La prevención del ransomware es un gran desafío para organizaciones de todos los tipos y tamaños, y no existe una solución mágica. Los expertos dicen que las empresas necesitan una estrategia múltiple de prevención de ransomware que incluya lo siguiente:
- Seguridad de defensa en profundidad. Un enfoque de defensa en profundidad incluye controles de seguridad en capas que funcionan en conjunto para bloquear la actividad maliciosa. Si el malware logra burlar un control, la esperanza es que otro mecanismo de seguridad superpuesto lo detenga.
Los expertos recomiendan, como mínimo, implementar herramientas y estrategias fundamentales de ciberseguridad, como antimalware, autenticación multifactor, firewalls, filtrado de seguridad de correo electrónico, filtrado web, análisis de tráfico de red, listas de permitidos/denegados, detección y respuesta de terminales, el principio de privilegio mínimo y control remoto seguro, incluidas VPN y acceso a redes de confianza cero. También aconsejan a las organizaciones que limiten o bloqueen el uso de RDP.
- Controles de seguridad avanzados. Si bien los controles básicos de ciberseguridad pueden reconocer y detectar muchas variantes conocidas de ransomware, es más probable que las tecnologías de protección avanzadas descubran ataques novedosos. Considere herramientas y estrategias como detección y respuesta extendidas (XDR), detección y respuesta administradas, Secure Access Service Edge, SIEM, análisis de comportamiento de usuarios y entidades, seguridad de confianza cero y engaño cibernético.
- Gestión de parches. Cuando el ataque de ransomware WannaCry se produjo por primera vez en mayo de 2017, aprovechó una vulnerabilidad conocida para la cual Microsoft había lanzado un parche dos meses antes, una que cientos de miles de víctimas aún no habían implementado. Sorprendentemente, las organizaciones con sistemas sin parches siguen siendo víctimas de WannaCry y muchos otros ataques heredados.
Si bien las organizaciones a veces tienen buenas razones para retrasar las actualizaciones de software y sistemas –por ejemplo, porque los parches pueden causar problemas de rendimiento que afectan las operaciones comerciales–, deben sopesarlas con los costos de incidentes de seguridad potencialmente catastróficos. Siga las mejores prácticas de administración de parches para reducir drásticamente el riesgo de ransomware.
- Copias de seguridad de datos. Las copias de seguridad de datos críticos pueden efectivamente cortocircuitar un ataque de ransomware, permitiendo a una organización restaurar sus operaciones sin atender las demandas de los ciberdelincuentes. Sin embargo, lo más importante es que la copia de seguridad debe ser inaccesible desde el entorno de TI principal para que los actores de amenazas no puedan encontrarla y cifrarla durante la intrusión. También es importante señalar que, si bien las copias de seguridad son una parte importante de la defensa contra el ransomware, no son una panacea, especialmente en el caso de ataques de extorsión doble o triple.Las organizaciones que utilizan copias de seguridad basadas en la nube para protegerse contra ransomware deben conocer las preguntas correctas que deben hacer a los proveedores para garantizar que sus datos estén en buenas manos.
- Capacitación en concientización sobre seguridad. Los operadores de ransomware frecuentemente obtienen acceso a las redes corporativas a través de medios detectables y prevenibles. Podría decirse que la educación del usuario final es el elemento más importante –y el más difícil– de la prevención del malware. La capacitación en concientización sobre seguridad debe ser dinámica y atractiva, y debe incluir detalles específicos sobre el ransomware para enseñar a los usuarios cómo evitar ataques y qué hacer si creen que uno podría estar en marcha.
Las empresas pueden detectar un ataque de ransomware a través de varios métodos y técnicas:
- Monitoreo del comportamiento del sistema: Los cambios inusuales en el funcionamiento del sistema pueden ser un indicador de un ataque de ransomware
- Seguimiento de la firma digital: Las firmas digitales pueden ayudar a identificar software malicioso.
- Detección de anomalías en el tráfico de la página web: Un aumento repentino o inusual en el tráfico puede ser un signo de un ataque.
- Uso de software de seguridad informática: Un buen programa de seguridad informática con protección en tiempo real puede ayudar a frustrar los ataques de ransomware.
- Sistemas de detección de intrusos en la red (NIDS): Estos sistemas monitorean el tráfico de la red para detectar posibles amenazas.
- Firewall basados en host (HFW) y Firewall de nueva generación (NGFW): Estos firewalls pueden bloquear tráfico malicioso.
- Fuentes de inteligencia de malware y amenazas: Estas fuentes proporcionan información actualizada sobre las últimas amenazas de ransomware.
- Antivirus y software antiransomware: Estos programas pueden detectar y bloquear ransomware.
Software de prevención de pérdida de datos: Este software puede detectar actividades sospechosas que podrían indicar un ataque de ransomware.
Un plan de recuperación de ransomware debe constar de tres fases:
- Preparación: Planificar la recuperación, asegurarse de que se dispone de copias de seguridad fiables (siguiendo al menos la regla 3-2-1), disponer de una ubicación de recuperación ante desastres preparada y lista para funcionar, y aumentar la formación y los ejercicios para garantizar que la empresa y la organización están preparadas.
- Respuesta: Seguir un proceso de respuesta a incidentes predefinido y probado, localizar y contener la infiltración, y analizar las copias de seguridad para asegurarse de que no están contaminadas.
- Recuperación: Recuperar el entorno sin reintroducir el malware o los datos ciber-infectados en el entorno de producción durante la restauración, y conseguir que la empresa vuelva a funcionar.