Windows es un sistema operativo ampliamente utilizado en servidores, por lo tanto son un blanco muy atractivo para ransomware, en esta entrada daremos recomendaciones puntuales para proteger esta plataforma.
Una infección de ransomware puede entrar en una organización de varias maneras: correo electrónico, un sitio web comprometido o un ataque a una aplicacion, y los administradores de centros de datos están en primera línea para prevenir o mitigar estos ataques en sistemas críticos.Históricamente, los esfuerzos de prevención de ransomware se han concentrado donde las infecciones casi siempre se originan: dispositivos de punto final. Pero esta estrategia puede ser inadecuada para proteger servidores Windows. La mejor manera de bloquear ransomware es concientizar a la toda la organización y poseer múltiples capas de protección.
COMENZAR POR LOS ENDPOINTS
Un buen punto de comienzo debe ser por estos puntos tan vulnerables dentro de la red en tres sencillos puntos:
- Equipar los puntos finales con una solucion antimalware de detección por firmas y con tecnología de nueva generación con análisis dinámicos (sandbox) y estáticos (machine learning entre otros). Hemos hablado de lo poco efectivo que es contar solo con protección por firmas pero al poseer ambos tipos de protección disminuye la superficie de ataque.
- Los administradores deben bloquear el uso de aplicaciones no autorizadas, secuencias de comandos y archivos ejecutables en dispositivos de punto final mediante una directiva de restricción de software mediante Directiva de grupo o Device Guard. Existen herramientas de terceros que pueden generar una lista blanca las aplicaciones autorizadas para impedir que otras se ejecuten.
- Por último, ejecute una gestión de parches completa. Mantener el sistema operativo y las aplicaciones parcheadas evita que el malware explote vulnerabilidades.
SEGMENTAR LOS SERVIDORES WINDOWS
Normalmente, los administradores no usan navegadores web o clientes de correo en servidores, lo que ayuda a prevenir el ransomware. Pero si un endpoint sucumbe al malware, existe la posibilidad de que por movimiento lateral o elevación de privilegios el servidor también sea vulnerable. Utilice su firewall para segmentar la red de endpoints de la de servidores para evitar contagios no deseados.
Mantenga el sistema operativo Windows Server actualizado con parches y configure el software antimalware y una lista blanca de aplicaciones para el servidor. Las opciones pueden estar limitadas por el tipo de implementación del servidor. Por ejemplo, puede que no sea posible ejecutar estos esquemas de protección en Nano Server, la versión minimalista de Microsoft de su sistema operativo Windows Server 2016.
AJUSTE LOS PRIVILEGIOS DE USUARIO
Windows Server es vulnerable a ransomware a través de archivos compartidos. Si el dispositivo de un usuario se infecta mediante ransomware, puede cifrar datos en el dispositivo del usuario y utilizar los permisos para cifrar el contenido de cualquier unidad de servidor de archivos asignada a ese dispositivo.
Los administradores pueden impedir que ransomware acceda a los archivos de los servidores de red evitando el uso de servidores de archivos tradicionales. Por ejemplo, almacene archivos dentro de una biblioteca de documentos de SharePoint para ofrecer un grado adicional de protección, siempre y cuando los puntos finales de red no tengan una asignación de unidades en la biblioteca.
Pero esta estrategia no siempre es práctica y no garantiza la protección. Como práctica recomendada, restrinja a los usuarios a que sólo tengan acceso a los datos que necesitan. Un límite en el acceso de usuario evita el daño de una infección de ransomware; Si el usuario no puede acceder a los datos, tampoco puede el ransomware.
IMPLEMENTAR PROTECCION CONTINUA DE DATOS A TRAVÉS DE RESPALDOS
En caso de un brote de ransomware, el personal de TI necesita una forma de recuperar los datos cifrados.
Los productos de protección de datos continuos respaldan datos a nivel de bloque de forma continua a medida que se modifican los datos. Si ransomware cifra el contenido de un servidor de archivos, el sistema continuo de protección de datos interpretará el cifrado malicioso como una modificación de archivo y escribirá los bloques de almacenamiento modificados para realizar copias de seguridad. Sin embargo, el software de protección también hace que sea fácil para un administrador revertir los cambios y deshacer el daño causado por la infección.
APRENDE COMO PREVENIR ATAQUES DE RANSOMWARE Y PRUEBA TECNOLOGÍAS DE NUEVA GENERACIÓN NO DEPENDIENTES DE FIRMAS
DA CLICK A LA IMAGEN Y CONFIRMA TU ASISTENCIA
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Brien Posey/TechTarget/2017