¿Qué puede hacer una empresa para no ser víctima de un ataque de ransomware?

  • Seguridad

ransomware

Los ataques de ransomware no solo han aumentado su número, sino que los ciberdelincuentes están evolucionando continuamente sus técnicas. Estas son las mejores prácticas para protegerse contra esta amenaza.

Recomendados: 

Empresas data driven: estrategias de datos para marcar la diferencia Evento 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Los ataques de ransomware se han intensificado y se han convertido en una de las amenazas más peligrosas para las empresas, en términos de reputación corporativa, gastos de recuperación, pagos de rescate por los extorsionados, pérdida de ingresos, incapacidad para usar infraestructura crítica, etc. Infoblox ha publicado un documento que recoge una serie de recomendaciones y mejores mejores prácticas para hacer frente al ransomware, una de las amenazas más comunes en la actualidad:

- Realizar copias de seguridad de datos, imágenes del sistema y configuraciones: es necesario que las copias de seguridad se prueben con regularidad y de que no estén conectadas a la red empresarial, ya que muchas variantes de ransomware intentan encontrar y cifrar o eliminar las copias de seguridad accesibles. Mantener las copias de seguridad actuales sin conexión es fundamental porque si los datos de la red se cifran con ransomware, los sistemas no se podrán restaurar.

- Actualizar y aplicar parches a los sistemas de inmediato: esto incluye el mantenimiento de la seguridad de los sistemas operativos, las aplicaciones y el firmware de manera oportuna. La orquestación es un punto clave. Es muy recomendable utilizar un sistema de gestión de parches centralizado; Utilice una estrategia de evaluación basada en riesgos para impulsar su programa de administración de parches.

- Utilizar gestión segura de DNS como primera línea de defensa: la seguridad del DNS también debe ser una parte fundamental de la defensa contra el ransomware de cualquier organización. El ransomware y la mayoría de los programas maliciosos utilizan DNS en una o más etapas de la cadena de ataque. DNS se puede utilizar durante la fase de reconocimiento cuando se trata de un ataque dirigido, pero también se utiliza en la fase de ataque propiamente dicho, ya que las víctimas potenciales, sin saberlo, realizan consultas de DNS para las direcciones IP involucradas en el ataque. También se utilizan las vulnerabilidades en la gestión de DNS en el proceso de entrega de correo electrónico cuando el ransomware se propague a través de campañas de spam. La fase de explotación puede involucrar consultas de DNS cuando el sistema de la víctima está comprometido e infectado. El DNS también se usa con frecuencia cuando un sistema infectado se registra en la infraestructura de comando y control (C&C). El uso de inteligencia y análisis de amenazas en el DNS interno puede detectar y bloquear esta actividad nefasta antes de que el ransomware se propague o descargue el software de encriptación.

- Segmentación de la red: ha habido un cambio reciente en el patrón de ataques de ransomware, que han pasado de estar orientados al robo de datos a estar dirigidos a la interrupción de las operaciones de una organización. Es de vital importancia que las operaciones de negocio corporativas y las operaciones de fabricación/producción estén separadas y que se filtre y limite cuidadosamente el acceso a Internet, se identifiquen los enlaces entre estas redes y desarrolle soluciones alternativas o controles manuales para garantizar que los segmentos de red que soportan los procesos de producción puedan aislarse y continuar operando aunque la red corporativa se vea comprometida. Se recomienda poner a prueba regularmente los planes de contingencia, como los controles manuales, para que las funciones críticas de seguridad se puedan mantener durante un incidente cibernético.

- Comprobar los planes de contingencia: no hay nada que muestre más las brechas en los planes que probarlos. Conviene hacerse algunas preguntas básicas y usarlas para crear un plan de contingencia: ¿Se pueden mantener las operaciones de negocio sin acceso a determinados sistemas?, ¿durante cuánto tiempo?, ¿se verían comprometidas las operaciones de producción si la conectividad con los sistemas de negocio, como la facturación, cayera?

- Verificar el trabajo del departamento de seguridad: utilice los servicios de terceros para testear la seguridad de los sistemas y su capacidad para defenderse de un ataque sofisticado.