5 preguntas para valorar su preparación ante el ransomware
La mejor manera de solucionar las consecuencias de un ciberataque es evitarlo antes de que ocurra, la prevención es esencial a la hora de mantenerse protegido ante las ciberamenazas, es por eso que aquí les ofrecemos 5 preguntas para valorar su preparación ante el ransomware.
1. ¿Puedo romper la seguridad de su perímetro?
Hay innumerables formas de vulnerar un perímetro. Puedo buscar una inyección SQL en una de tus aplicaciones web. Puedo intentar adivinar las credenciales de su VPN. O puedo buscar un error en la configuración de su cortafuegos que me permita acceder a un servicio o aplicación sensible.
Como atacante, es menos probable que me dirija a su empresa, analice su perímetro en busca de problemas y luego intente aprovechar uno para entrar. En su lugar, trataré todo Internet como mi objetivo. Es más fácil escanear una vulnerabilidad específica en la que estoy realmente interesado, encontrar 100 sistemas que tengan esa vulnerabilidad, y luego investigar las empresas que poseen esos 100 sistemas. En otras palabras, no necesariamente voy a atacarte como organización. Voy a dirigirme a ti como propietario de un sistema vulnerable.
2. ¿Puedo hacer phishing a sus usuarios?
Seguro que has implementado defensas que hacen más difícil y lento el phishing a tus usuarios. Pero los dominios son baratos y los correos electrónicos son gratuitos, así que voy a seguir intentándolo. Además, el phishing es un juego con reintentos ilimitados, y yo solo necesito que un usuario haga clic una vez, mientras que tú necesitas que tus usuarios no hagan clic cada vez. Puedo seguir probando diferentes iteraciones de mi pretexto/carga o pasar a otro objetivo. Si consigo un clic, se acabó el juego.
Ya sabes qué tipo de defensas hay que poner en marcha. Necesitas fuertes controles de puntos finales, incluyendo EDR y permisos restringidos. Necesita un filtrado de correo electrónico que compruebe los atributos de los mensajes, como la edad y la reputación del dominio de origen. Y, por supuesto, necesita formar a todos los usuarios -desde sus altos ejecutivos hasta sus nuevas contrataciones- para asegurarse de que entienden la buena higiene del correo electrónico.
3. ¿Sus copias de seguridad críticas son viables y están bien protegidas?
Una infraestructura de copias de seguridad comprometida es el beso de la muerte en un ataque de ransomware. Si pudiera llegar a sus copias de seguridad críticas y borrar o cifrar sus archivos de copia de seguridad, perdería la única opción que tiene para restaurar su negocio. Eso aumentará dramáticamente la probabilidad de un gran día de pago para su servidor.
Para mantener una opción de conmutación por error, debe proteger la infraestructura de las copias de seguridad. La autenticación multifactorial es importante, al igual que la segmentación. Sus servidores de copia de seguridad deben estar en un dominio separado y no ser accesibles a través de la red por todos los usuarios de su organización. Además, es esencial que la infraestructura de copia de seguridad no comparta credenciales con otros sistemas de producción.
Una advertencia más: sus sistemas de copia de seguridad deben funcionar. Asegúrate de que quien sea responsable de ejecutar y probar los sistemas de copia de seguridad lo haga con regularidad. No querrás descubrir que hay un fallo en tu capacidad de recuperación cuando estés justo en medio de un ataque de ransomware.
4. ¿Cuánto tiempo puedo permanecer sin ser detectado?
Esta es una de las lecciones más fundamentales que he aprendido de mi tiempo como atacante de ransomware de mentira: cuanto más tiempo tenga a mi disposición para explorar y sondear su entorno, mayores serán mis posibilidades de éxito. Si me detectan y desalojan una hora después de haber conseguido un punto de apoyo, no suelo tener muchas posibilidades de llevar a cabo un ataque con éxito. Pero si tengo varios días para moverme lateralmente y comprometer sistemas adicionales, casi siempre alcanzo el punto en el que puedo hacer algo muy dañino.
La detección rápida y precisa de las amenazas es fundamental para sus esfuerzos contra el ransomware. Necesita mucha telemetría de sus puntos finales, de la red y de la nube. Tiene que ser capaz de dar sentido a esa telemetría, sin verse abrumado por la fatiga de las alertas. Y necesitas traducir inmediatamente tu descubrimiento e identificación de cualquier amenaza activa en una acción decisiva para neutralizarla.
5. ¿Mi objetivo está volando solo?
¿La verdad? Francamente, si estamos solos yo y mi equipo contra el típico SOC con poco personal, casi siempre ganaremos. Esto no es un insulto a los SOC, es sólo un juego de números. Pero los clientes que ya han pasado por el pentesting y las tácticas de adversidad de los equipos rojos son más difíciles de superar. Esto se debe principalmente a que ya nos han permitido realizar una o tres pruebas con ellos, por lo que ya hemos descubierto dónde son vulnerables y les hemos ayudado a corregir esas vulnerabilidades.
Lo mismo ocurre con prácticamente cualquier otro atacante. Si usted no es el objetivo más fácil del mundo, la mayoría de los atacantes pasarán con gusto a un entorno más vulnerable.
La buena noticia es que no tiene que ser perfectamente a prueba de balas. Si puedes frenar a los atacantes rápidamente, lo más probable es que huyan al siguiente objetivo más fácil. Y esa puede ser, en última instancia, tu mejor defensa.
Fuente: HelpNetSecurity