El primer paso es enseñar a toda su organización (desde el personal de TI hasta la gestión ejecutiva) cómo no ser una víctima y eso ya implica un reto, conoce los demás puntos que pueden evitar que seas presa.
En los últimos meses, los ataques exitosos de ransomware han aumentado exponencialmente. Más de 27.000 incidentes surgieron a principios de 2017, cuando un error de mala configuracion en la base de datos de código abierto Mongo DB hizo que cientos de miles de bases de datos fueran vulnerables al secuestro. Los ciber criminales se conectaron a las bases de datos de las víctimas, respaldaron los datos fuera de la red, borraron la información y ofrecieron devolverlos por .2 Bitcoins, que se traduce en $ 200.
Si bien esto puede parecer una cantidad minúscula, hay una lógica detrás de ello. Si se pide demasiado, la propensión a pagar disminuye. Además, el volumen del ataque produce atractivos dividendos. Y para las víctimas perder el acceso a información importante para operar un negocio es extremadamente desconcertante, creando desesperación y haciéndolos propensos a pagar.
LAS MECÁNICAS DE ATAQUE
Hay dos vectores primarios en un entorno de TI comercial. El primero es obtener acceso remoto a la computadora de un usuario y recorrer la red hasta que se obtengan credenciales de administrador para llegar a bases de datos y silos de almacenamiento de información. Esto se logra enviando a un empleado un correo electrónico de phishing que lo invita a abrir un archivo adjunto o visitar un sitio web comprometido que cargue código malicioso en equipo, una vez que la computadora está comprometida, los agentes de la amenaza exploran el ambiente e intentan encontrar un terminal para tener acceso a datos de la red. Después de establecerse en un equipo de cómputo de un administrador, pueden de manera remota cifrar o borrar los datos y solicitar el rescate.
El segundo método es más un ataque frontal a los servidores de base de datos. La mayoría de las empresas tienen sitios web públicos, por ende los ciber criminales encontrarán un servidor con una aplicación vulnerable, la explotarán para obtener acceso al centro de datos y si el personal de TI no ha segmentado los servidores web públicos de los servidores de base de datos y archivos (lo cual es un error común de los equipos pequeños de TI), un agente de amenazas puede usar ese acceso para alcanzar la base de datos.
MEJORES PRÁCTICAS COMO RESPUESTA
Con todas estas nuevas técnicas en juego, ¿qué pueden hacer los equipos de seguridad para mitigar la amenaza? La buena noticia es que su personal de TI probablemente ya está haciendo muchas de las cosas necesarias para proteger su entorno. Estas son algunas de las mejores prácticas para ayudar a reducir aún más el riesgo:
Vector de usuario:
- Establezca un programa de educación de usuarios con un proveedor especializado sobre cómo identificar un correo electrónico de phishing.
- En los equipos de computo deshabilite la capacidad de los usuarios para compartir recursos punto a punto (peer to peer)
- Implementar una estrategia de respaldo para datos personales en unidades externas o unidades virtuales.
- Instalar software de protección para endpoint no solo con capacidades de deteccion por firmas debe poseer análisis dinámicos y estáticos de malware.
- Nunca habilite un servidor orientado al público en el mismo hardware que una base de datos o almacenamiento de datos.
- Garantizar una correcta segmentación entre servidores web y servidores de bases de datos.
- Garantice el parchado recurrente de vulnerabilidades en los servidores de datos críticos y de recursos compartidos de archivos.
- Asegúrese de que el personal de TI tenga una estrategia de respaldo de datos para bases de datos y archivos compartidos,
- Considere el uso de servicios de seguridad de terceros en la nube o servicios virtualizados para el almacenamiento de datos críticos y archivos compartidos fuera de sitio.
- Tenga un plan de respuesta a incidentes antes de que ocurra un incidente: Tener un plan en marcha permite la documentación inmediata de todas las decisiones posibles y planes de comunicación que deben aplicarse bajo la presión de un incidente de la vida real.
- Visite el sitio web NoMoreRansom.org para solicitar ayuda: Este sitio web sin fines de lucro es una asociación entre los proveedores de tecnologías de seguridad de la información, instancias para la aplicación de la ley a nivel internacional e investigadores sobre amenazas en ciberseguridad.Esta fuente ha ayudado a miles de víctimas a descifrar datos y proporcionando recomendaciones sobre qué hacer en caso de un ataque.
- ¿Pagar o no pagar?: Una consideración final que entra en la mente de muchos es si pagar o no el rescate. La opinión de la mayoría de los expertos es consistente con el FBI: no pagar. Sin embargo, esta es una decisión fácil para alguien que que no tiene secuestrada la información.
Al final del día, la decisión se reducirá al impacto del ataque en los negocios de su empresa. Mientras que el ciber crimen en muchos casos devuelve los datos según lo prometido, pueden dejar backdoors para regresar por más dinero, una y otra vez, o pueden no devolver datos en absoluto.
Para tener una estrategia exitosa la preparación avanzada y la aplicación de las mejores prácticas será la manera más eficaz de evitar un ataque exitoso de ransomware. Y recuerde esta amenaza es un tema donde toda su organización debe estar informada e involucrada no es un tema exclusivo de tecnologías de la información o sistemas como es conocido en nuestro país.
APRENDE COMO PREVENIR ATAQUES DE RANSOMWARE Y PRUEBA TECNOLOGÍAS DE NUEVA GENERACIÓN NO DEPENDIENTES DE FIRMAS
DA CLICK A LA IMAGEN Y CONFIRMA TU ASISTENCIA
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Jeff Schilling/DarkReading/2017