Seguro tu agenda está llena de cosas importantes por hacer, revisar el nuevo proyecto de seguridad, capacitar a tu equipo de TI, diseñar nuevos proyectos de crecimiento hacia la nube, reuniones de negocio con los directivos de las diferentes áreas, entre otras mil cosas más.
Y, sabes que ¡Te entendemos perfecto! Pues seguro ya tienes una estrategia con soluciones tecnológicas para la seguridad de tu información. Sin embargo, ¿estás contemplando una estrategia de prevención contra estrategias cibercriminales como ransomware?
¿Qué pasaría si te enteras que uno de tus usuarios fue infectado por ransomware y no tienes un plan de acción o de remediación?
Aquí te proporcionamos 12 consejos para que para nada, te olvides de cumplir con las acciones de prevención básicas ante ransomware y las sumes a tu estrategia de seguridad.
1) ¿Qué hacer cuando un correo electrónico con links llega al servidor de correo de tu empresa?
La mayoría de los ataques de malware como ransomware están estratégicamente desarrollados para la víctima, pues realizan un estudio de su blanco a través de ingeniería social, como consecuencia saben qué tipo de links desconocidos utilizar para saltarse las medidas de seguridad tradicional
La recomendación aquí es realizar un análisis completo de estos links sospechosos, a través de un testing en un entorno “sandbox” antes de autorizarlos en la organización.
2) ¿Qué hacer cuando un correo electrónico con archivos adjuntos llega al servidor de correo en tu empresa?
Una gran cantidad de ataques avanzados como ransomware están diseñados para afectar a una organización “objetivo”, por tanto emplean archivos (PDF, XLS, DOCS) aparentemente “reales” pero totalmente desconocidos para la seguridad tradicional.
La recomendación aquí es que todos los archivos se examinen en un ambiente de “sandbox”, en donde se simulen las acciones que se tomarían si efectivamente este archivo fuera real.
3) ¿Qué hacer cuando una aplicación intenta cifrar archivos en el equipo de un usuario de la empresa?
Muchos de los malware avanzados como ransomware se enfocan en cifrar la mayor parte de la información alojada en el equipo de cómputo lo más rápido posible.
La recomendación aquí es contar con un nivel de visibilidad que permita identificar y bloquear cualquier aplicación no autorizada, logrando parar el proceso de cifrado de cifrar varios archivos.
4) ¿Qué hacer cuando el dispositivo de cualquier usuario presenta vulnerabilidades?
Tenemos que recordar que la distribución y testing de parches es un proceso complejo y riesgoso para la empresa, pero que debe realizarse en caso de no tener un plan de acción.
La recomendación aquí es contar con la visibilidad necesaria para detectar dispositivos con vulnerabilidades y comenzar un plan de remediación inmediato. Con esto, limitarás la superficie de ataque disponible para un malware avanzado como Ransomware.
6) ¿Qué hacer cuando el dispositivo de algún usuario es vulnerable pero no existe un parche publicado?
Casi todos los fabricantes de aplicaciones como Adobe, Oracle, Microsoft tardan días o hasta semanas en dar a conocer los parches, a eso hay que sumarle el tiempo en que se distribuye en la organización.
La recomendación aquí es contar con una solución de “virtual patching” a fin de proteger a todos los equipos que puedan estar en riesgo tomando en cuenta que el parche no está disponible para su instalación.
7) ¿Qué hacer cuando una aplicación desconocida intenta ejecutarse en un dispositivo?
Gran cantidad de ataques maliciosos como ransomware utilizan aplicaciones maliciosas desarrolladas específicamente para la víctima y totalmente desconocidas para pasar desapercibidas por las soluciones de seguridad tradicional.
La recomendación aquí es contar con una “whitelist” de aplicaciones autorizadas controlando qué si puede ejecutarse y qué no en los dispositivos de los usuarios, así se minimizará riesgo de ejecutar aplicaciones maliciosas.
8) ¿Qué hacer cuando un dispositivo intenta conectarse con otros dispositivos dentro de la empresa?
El malware como ransomware se propaga de forma inmediata en toda la red interna para infectar a todos los dispositivos posibles.
La recomendación aquí es analizar el tráfico de red y los comportamientos típicos de un malware avanzado como ransomware logrando detectar dispositivos infectados, limitando su propagación y minimizando la cantidad de daños para la empresa.
9) ¿Qué hacer cuando un dispositivo intenta acceder a carpetas compartidas en un servidor?
El malware avanzado como ransomware tiene la capacidad de cifrar carpetas compartidas desde el equipo comprometido a otros dispositivos de forma remota.
La recomendación aquí es analizar de manera coordinada el comportamiento típico del malware entre los dispositivos de ataque y de destino.
10) ¿Qué hacer con la forma en que los procesos de backup y respaldo se llevan a cabo en tu empresa?
Si un ataque de ransomware ocurre en tu empresa, es de vital importancia estar prevenido a través de un plan de acción que incluya las políticas de backup automatizado adecuadas para endpoints y servidores.
La recomendación aquí es tener un proceso de back up y respaldo que se lleve a cabo de como política corporativa de forma semanal y mensual.
11) ¿Qué hacer con la forma en que se almacenan las copias de backup y respaldo?
Después de “secuestrar” los archivos locales y remotos, el malware como ransomware intenta cifrar todos los archivos de backup y respaldo.
La recomendación aquí es realizar un respaldo siguiendo la regla 3, 2, 1, a través de servicios en la nube y que estén aislados de la red corporativa.
12) ¿Qué hacer para concientizar al usuario sobre la forma en que debe reaccionar ante un incidente de Ransomware?
Los incidentes de Ransomware aislados y aún en pequeña escala suelen ser un indicador de presencia de código malicioso en la empresa.
La recomendación aquí es concientizar al usuario sobre como detectar y mitigar los focos más comúnes para impedir nuevos incidentes. Una estrategia de políticas de seguridad debidamente comunicadas que involucren al equipo de TI es importante para evitar la propagación de ataques. El incidente de pequeña escala puede generar complicaciones serias si no se mitiga de forma adecuada.
Es importante mencionar que en ningún caso se recomienda el pago de rescates, pues esto no garantiza recuperar la información cifrada.
Siempre toma en cuenta que los ataques a tu empresa, aunque aparentemente hayan sido mitigados pueden haber sembrado la infraestructura para un ataque futuro. Con estos consejos básicos minimizarás el riesgo de ser infectado por ransomware sin que la operación de tu día a día te lo impida.
En Smartekh estamos trabajando de la mano con el equipo de especialistas en Ransomware de Trend Micro dedicado a analizar casos de clientes de todo tamaño y sector a fin de evitar el impacto de ser vulnerado por ransomware y contar con una estrategia de prevención para evitar futuros ataques de cifrado de información. Si quieres hablar con un consultor experto agenda tu asesoría gratuita aquí.
Espero estos consejos te funcionen, estoy 100% que de esta forma tendrás más tiempo y podrás tachar este pendiente de tu agenda.
Si tienes algún otro consejo, compártelo.