El ransomware ha aumentado casi un 1100% en el último año según estudios, afectando a organizaciones de todos los tamaños y en todos los sectores del mercado. Y según varias encuestas sobre el estado del ransomware, el 96% de las organizaciones indican que están preocupadas por la amenaza de un ataque de ransomware, con el 85% informando que están más preocupados por un ataque de ransomware que por cualquier otra amenaza cibernética. Como resultado, la preparación para un ataque de ransomware se ha convertido en una cuestión de la sala de juntas y una prioridad para los CISO de todo el mundo.
Y la preocupación es genuina. Más de dos tercios de los encuestados admitieron haber sido objeto de un ataque de ransomware, y uno de cada seis afirmó haber sido atacado tres o más veces. Afortunadamente, saber que un tipo específico de ataque nos afecta proporciona una oportunidad para prepararse.
El 96% de los encuestados considera que está al menos moderadamente preparado. Sus principales medidas de preparación incluyen la formación cibernética de los empleados, la evaluación continua de los riesgos, las copias de seguridad de los datos fuera de línea y los seguros de ciberseguridad/ransomware. Pero menos de la mitad incluye cosas como la segmentación de la red, medidas de continuidad del negocio, un plan de remediación, la prueba de métodos de recuperación de ransomware, o ejercicios de equipo rojo/equipo azul diseñados para identificar las debilidades en los sistemas de seguridad - todas las cosas que la mayoría de los expertos en seguridad ven como elementos cruciales de cualquier estrategia de mitigación de ransomware exitosa.
Del mismo modo, muchas tecnologías críticas no figuran en la lista de herramientas consideradas esenciales para combatir el ransomware. Mientras que una pasarela web segura, una VPN y el control de acceso a la red están en la parte superior de la lista, esas herramientas se centran principalmente en los vectores de ataque creados por los trabajadores remotos. Las herramientas esenciales diseñadas para hacer frente a otros vectores de ataque, como una pasarela de correo electrónico segura, segmentación, UEBA y sandboxing, están al final de la lista, priorizadas por menos de un tercio de los encuestados.
Uno de los temas más controvertidos relacionados con el ransomware es si se debe pagar un rescate. El FBI aconseja a las organizaciones que no paguen, citando varias razones, entre ellas que la mayoría no recupera sus datos después de pagar o descubre que los datos recuperados han sido corrompidos y que pagar simplemente anima a los ciberdelincuentes. Casi tres cuartas partes de los encuestados tienen una política de rescate, y para el 74%, esa política es pagar, con un 24% añadiendo una advertencia de que depende de lo caro que sea el rescate.
Parte de esto puede deberse a que la mayoría de las organizaciones encuestadas afirman tener un “seguro contra el ransomware”. Algunos argumentan que tener un seguro cibernético anima a las víctimas de ransomware a pagar simplemente porque los rescates están cubiertos por sus aseguradoras. Según un extenso informe del Royal United Services Institute for Defence and Security Studies (RUSI) del Reino Unido, se está intentando prohibir a las aseguradoras el pago de rescates para desalentar el modelo de negocio que impulsa el crecimiento del ransomware o hacer que las aseguradoras "retiren la cobertura de los pagos de rescates mientras mantienen la cobertura de los costes de recuperación de un ataque".
Tomar las medidas adecuadas para prepararse
Lo que está claro es que hay poco acuerdo entre las organizaciones en cuanto a lo que significa estar preparado para un ataque de ransomware. Para empezar, las organizaciones deberían seguir los siguientes cinco pasos para estar mejor preparadas.
Conocer de qué se está defendiendo. Las organizaciones deben entender cómo operan las organizaciones de ransomware, sus principales vectores de ataque, cómo se inserta su malware en su red y qué hace mientras está allí. Las organizaciones criminales de ransomware son complejas coaliciones de actores especializados que van desde los desarrolladores de malware hasta los especialistas en adquisición de objetivos, los expertos financieros que fijan los rescates y los blanqueadores de dinero que procesan los pagos. Algunas bandas atacan directamente a las organizaciones, y otras venden sus servicios en línea a afiliados que aprovechan las tecnologías y las listas de organizaciones precomprometidas a cambio de una parte de los beneficios.
Tomar medidas preventivas. El primer paso es diseñar las vulnerabilidades fuera de la red. Esto comienza con la aplicación de un estricto protocolo de ciberhigiene para parchear y actualizar todos los dispositivos de la red o realizar un "parcheado en caliente", mediante el cual los dispositivos que no pueden actualizarse se aíslan o se protegen directamente con tecnologías de seguridad avanzadas. El acceso a la red debe garantizar que cualquier dispositivo que desee entrar en la red esté parcheado y ejecute el software de seguridad adecuado. Las redes de confianza cero y la segmentación de la red basada en la intención garantizan que los usuarios y los dispositivos sólo puedan acceder a recursos predeterminados, de modo que el malware no pueda moverse lateralmente por la red. Dado que los secuestradores toman cada vez más datos como rehenes, amenazando con hacer pública la información de los clientes o los datos de investigación si no se paga un rescate, es fundamental cifrar la mayor cantidad de datos posible, especialmente los que están en reposo. Las copias de seguridad de los datos deben mantenerse fuera de la red, junto con cualquier hardware necesario para reiniciar la red.
Añadir tecnologías de seguridad esenciales. La dispersión de la tecnología es un problema para muchas organizaciones, ya que rompe la visibilidad, complica el proceso de correlación de la información sobre amenazas para detectar un ataque y limita la capacidad de lanzar una respuesta coordinada. Las organizaciones no sólo necesitan seleccionar una cartera de herramientas diseñadas para proteger todos los vectores de ataque, sino que esas soluciones también deben funcionar como parte de un tejido de seguridad unificado. Las pasarelas web seguras y las pasarelas de correo electrónico seguras son esenciales para detectar y detener el ransomware antes de que entre en la red o llegue al dispositivo del usuario final.
Planificar una respuesta y luego trabajar el plan. La respuesta rápida al ransomware puede tener un impacto significativo en la rapidez con la que una organización puede recuperarse. Las tecnologías de detección son inútiles si los equipos de TI tardan demasiado en saber qué hacer a continuación. Es necesario establecer protocolos de respuesta. Es necesario establecer cadenas de mando. El personal de respuesta debe tener la autoridad necesaria para actuar. Hay que priorizar los datos y sistemas críticos. Es necesario que los muros caigan automáticamente para separar los sistemas infectados del resto de la red. Es necesario establecer procesos para borrar los sistemas infectados y restaurarlos con copias de seguridad limpias desde fuera de la red. Y todo esto debe practicarse regularmente, idealmente con un equipo externo de profesionales.
Hacer que todos formen parte del equipo de seguridad. Desde el presidente del consejo de administración hasta el recepcionista, todos los trabajadores deben recibir formación periódica para detectar y evitar cosas como la ingeniería social y el phishing. Considere la posibilidad de dividir los presupuestos de seguridad entre los equipos y exigirles que trabajen juntos para crear una estrategia de seguridad cohesionada. Y asegúrese de participar activamente en el intercambio de amenazas con otros en su región y mercado.
Estos pasos contribuirán en gran medida a garantizar que cualquier organización esté preparada para defenderse con éxito del ransomware. Nos enfrentamos a lo que bien puede ser una amenaza existencial para nuestra economía digital global, y la única manera de responder es que todos se tomen el tiempo y el esfuerzo para cerrar la oportunidad de que los actores del ransomware prosperen.
Fuente: CSO
Comentários