Nuestros expertos, Joe Robertson y Ricardo Ferreira, EMEA Field CISOs en Fortinet ofrecen su perspectiva sobre la situación del ransomware y lo que está por venir.
Joe: El ransomware sigue estando de actualidad porque se ha convertido en un negocio. Comenzó como una industria artesanal dirigida por individuos, pero ha evolucionado hasta convertirse en un negocio dirigido por organizaciones criminales que han construido su propio ecosistema de ciberdelincuencia. No se limitan a crear el ransomware y ponerlo en marcha, tienen líneas directas y salas de espera donde las víctimas pueden ponerse en contacto con ellos para obtener información sobre cómo pagar el rescate. Y ha crecido hasta el ransomware como servicio (RaaS), por lo que ni siquiera se necesitan conocimientos técnicos para realizar un ataque.
Ricardo: El ransomware sigue siendo una amenaza de primer orden debido a su prevalencia, a su fácil disponibilidad y al impacto que causa. Como hemos visto en los grupos criminales durante los últimos años, se han identificado más herramientas y servicios. Esto es un problema, ya que permite a los actores poco cualificados el potencial de causar interrupciones.
Otro aspecto importante es que las infraestructuras críticas han sido uno de los sectores más atacados por los delincuentes
¿Cómo luchar contra el ransomware en el endpoint o en la red?
Joe: Hoy en día las organizaciones necesitan mucho más que soluciones antivirus. Los equipos de TI deben adoptar un enfoque proactivo con la protección, detección y respuesta en tiempo real de los endpoints (EDR), junto con el acceso de confianza cero, la segmentación y el cifrado. Un buen sistema EDR puede analizar lo que ocurre con un portátil y detectar anomalías, como lecturas adicionales en el disco que podrían ser un malware que intenta cifrar el disco. La solución EDR puede entonces ponerlo en cuarentena e impedir el cifrado. Gracias a la inteligencia artificial (IA) y al aprendizaje automático (ML), el EDR puede detectar este tipo de actividad anómala que podría ser malware o fuga de datos de personas con acceso a información privilegiada que están copiando y eliminando archivos.
Cualquier organización que no tenga implementada la protección en tiempo real en el endpoint necesita hacerlo ahora. La IA puede correlacionar eventos en diferentes dispositivos, ver cosas que los humanos no pueden detectar y alertar a los analistas para que investiguen.
A nivel de red, las organizaciones deberían considerar abandonar las suites de productos puntuales y optar por soluciones integradas diseñadas para trabajar en conjunto y que aprovechan la inteligencia de amenazas en tiempo real. Una plataforma de malla de ciberseguridad integrada detecta patrones y huellas de amenazas, correlaciona cantidades masivas de datos para detectar anomalías e iniciar automáticamente una respuesta coordinada.
La gestión centralizada y la amplia visibilidad que proporciona este tipo de plataforma pueden ayudar a garantizar que las políticas se apliquen de forma coherente, que entreguen rápidamente las configuraciones y las actualizaciones y que se pueda lanzar una respuesta coordinada a las amenazas cuando el sistema detecte una actividad sospechosa.
Ricardo: Aquí es donde la consolidación puede desempeñar un gran papel gracias a las arquitecturas de malla de ciberseguridad. Podemos tener muy buenos modelos de IA/ML, pero si los datos no se enriquecen, son inútiles. Una arquitectura de malla utiliza datos de diferentes plataformas, productos y servicios para permitir que el punto de aplicación de políticas tome la mejor decisión basada en el nivel de riesgo.
