Infoblox Inc., líder en soluciones de seguridad y de gestión de servicios “core” de red, ha publicado un documento en el que se recogen una serie de recomendaciones y “mejores prácticas” para ayudar a las empresas a protegerse contra los ataques de ransomware.
Los ataques de ransomware se han intensificado, convirtiéndose en una de las amenazas más peligrosas en la actualidad. Están siendo llevados a cabo cada vez con mayor frecuencia por estados y organizaciones criminales de todo el mundo, y causan daños por valor de millones de dólares en términos de reputación corporativa, gastos de recuperación, pagos de rescate por los extorsionados, pérdida de ingresos, incapacidad para usar infraestructura crítica, entre otros.
El término Ransomware-as-a-Service da nombre precisamente a la situación de crecimiento exponencial del ransomware y su utilización como una herramienta al servicio de aquel que desee contratar dichos servicios para realizar ataques dirigidos.
Las organizaciones están cada vez más preocupadas por proteger sus activos de TI mediante la adopción e implementación de medidas en la gestión de la ciberseguridad que les permitan mitigar estas amenazas. Infoblox, en base a su experiencia y conocimiento en ayudar a las empresas a proteger sus servicios básicos de TI y orquestar su postura de ciberseguridad, ha realizado una serie de recomendaciones básicas, como:
- Realizar copias de seguridad de datos, imágenes del sistema y configuraciones: pruébelas periódicamente y mantenga las copias de seguridad fuera de línea. Asegúrese de que las copias de seguridad se prueben con regularidad y de que no estén conectadas a la red empresarial, ya que muchas variantes de ransomware intentan encontrar y cifrar o eliminar las copias de seguridad accesibles. Mantener las copias de seguridad actuales sin conexión es fundamental porque si los datos de la red se cifran con ransomware, los sistemas no se podrán restaurar.
- Actualizar y aplicar parches a los sistemas de inmediato: esto incluye el mantenimiento de la seguridad de los sistemas operativos, las aplicaciones y el firmware de manera oportuna. La orquestación es un punto clave. Es muy recomendable utilizar un sistema de gestión de parches centralizado; Utilice una estrategia de evaluación basada en riesgos para impulsar su programa de administración de parches.
- Utilizar el DNS como primera línea de defensa. La seguridad del DNS también debe ser una parte fundamental de la defensa contra el ransomware de cualquier organización. El ransomware y la mayoría de los programas maliciosos utilizan DNS en una o más etapas de la cadena de ataque. DNS se puede utilizar durante la fase de reconocimiento cuando se trata de un ataque dirigido, pero también se utiliza en la fase de ataque propiamente dicho, ya que las víctimas potenciales, sin saberlo, realizan consultas de DNS para las direcciones IP involucradas en el ataque. También se utilizan las vulnerabilidades en la gestión de DNS en el proceso de entrega de correo electrónico cuando el ransomware se propaga a través de campañas de spam. La fase de explotación puede involucrar consultas de DNS cuando el sistema de la víctima está comprometido e infectado. El DNS también se usa con frecuencia cuando un sistema infectado se registra en la infraestructura de comando y control (C&C). El uso de inteligencia y análisis de amenazas en el DNS interno puede detectar y bloquear esta actividad nefasta antes de que el ransomware se propague o descargue el software de encriptación.
- Segmentación de la red: ha habido un cambio reciente en el patrón de ataques de ransomware, que han pasado de estar orientados al robo de datos a estar dirigidos a la interrupción de las operaciones de una organización. Es de vital importancia que las operaciones de negocio corporativas y las operaciones de fabricación/producción estén separadas y que se filtre y limite cuidadosamente el acceso a Internet, se identifiquen los enlaces entre estas redes y desarrolle soluciones alternativas o controles manuales para garantizar que los segmentos de red que soportan los procesos de producción puedan aislarse y continuar operando, aunque la red corporativa se vea comprometida. Se recomienda poner a prueba regularmente los planes de contingencia, como los controles manuales, para que las funciones críticas de seguridad se puedan mantener durante un incidente cibernético.
- Comprobar los planes de contingencia: no hay nada que muestre más las brechas en los planes que probarlos. Conviene hacerse algunas preguntas básicas y usarlas para crear un plan de contingencia: ¿Se pueden mantener las operaciones de negocio sin acceso a determinados sistemas? ¿Durante cuánto tiempo? ¿Se verían comprometidas las operaciones de producción si la conectividad con los sistemas de negocio, como la facturación, cayera?
- Verificar el trabajo del departamento de seguridad: utilice los servicios de terceros para testear la seguridad de los sistemas y su capacidad para defenderse de un ataque sofisticado.
Como comenta José Nieto, Ingeniero Preventa en Infoblox, “las organizaciones tienen la responsabilidad de protegerse y mantener seguros sus recursos, empleados y socios de la organización. Depende de nosotros construir una postura de seguridad sólida, a través de la orquestación y el uso de inteligencia de seguridad, pero también adoptando una serie de mejores prácticas que involucren a toda la organización. En el camino para lograrlo, no se debe pasar por alto el papel fundamental del DNS en el proceso»