Cómo los avances en la seguridad cloud pueden ayudar con el ransomware
Las organizaciones deben actualizar su protección contra ransomware al mismo ritmo que los atacantes cambian sus tácticas.
El flagelo del ransomware continúa, a medida que los atacantes se expanden a industrias verticales y apuntan a infraestructura crítica. Las demandas de rescate también han ido en aumento. Según IT Governance, la tasa promedio de clave de descifrado de los atacantes es de $ 140,000, pero muchas organizaciones terminan pagando mucho más que eso.
La amenaza del ransomware está evolucionando más rápido que la capacidad de las personas para realizar un seguimiento. Un concepto erróneo común es que las cargas útiles generalmente se entregan mediante correos electrónicos de phishing. Si bien eso puede ser cierto en muchos casos, es mucho más probable que la nueva generación de ransomware sea lanzada por un intruso que ya haya violado la red. De hecho, la batalla ahora se centra en monitorear la actividad dentro de su entorno en lugar de evitar que los usuarios hagan clic en enlaces desconocidos.
Otra creencia obsoleta es que las copias de seguridad frecuentes son la mejor estrategia de recuperación. Si bien eso puede ser cierto para ataques de menor capacidad, un atacante que ya está dentro de una red no solo tiene la oportunidad de comprometer las copias de seguridad, sino también filtrar (y, en última instancia, filtrar) datos críticos.
Cerrar puertas traseras
El punto de entrada más común es el protocolo de escritorio remoto (RDP), una función de Microsoft Windows que permite que una computadora se conecte a otras para mostrar una interfaz gráfica de usuario para aplicaciones como pizarras compartidas. Las vulnerabilidades de RDP continúan proliferando , y muchas son el resultado de una configuración deficiente o la falta de aplicación de parches.
Realizar un reconocimiento avanzado permite a los intrusos apuntar a los ataques para causar el máximo dolor. La creciente precisión de los ataques es una de las razones por las que las demandas de rescate están aumentando, a pesar de que las empresas toman medidas más proactivas para protegerse.
Enfocar los esfuerzos de prevención en detectar ataques antes de que sucedan es cerrar la puerta del establo después de que el caballo ya haya cruzado la mitad del campo. De hecho, el ataque suele ser la última etapa de una brecha.
Segmentar, detectar y gobernar
Los datos no tienen jurisdicción. A medida que más datos continúan moviéndose a la nube , sigue el ransomware. Cuando considera que los atacantes pueden tener en sus manos aún más datos allí, es fácil ver por qué la nube se ha vuelto tan atractiva para los cibercriminales.
Por esta razón, la protección de datos unificada en todos los dispositivos de los usuarios, el tráfico web y los entornos de nube es imprescindible. Con una estrategia de Security Service Edge (SSE) que incluye capacidades de prevención de pérdida de datos (DLP), los equipos de seguridad podrán bloquear la exfiltración de datos automáticamente, evitando así las amenazas comunes de doble extorsión del ransomware en la actualidad.
Los principios básicos de una arquitectura de confianza cero (Zero Trust) se relacionan con los fundamentos de los privilegios mínimos, donde al usuario se le otorgan los niveles mínimos de acceso o permisos necesarios para realizar su trabajo. Un verdadero enfoque de confianza cero conecta a un usuario directamente con la aplicación que necesita, sin exponer nunca la red. Los equipos de seguridad pueden autenticar continuamente a los usuarios y conectarlos directamente a las aplicaciones, en lugar de confiar inherentemente en el tráfico de una red interna o un dispositivo corporativo.
La microsegmentación es otro concepto central de confianza cero. Implica restringir el acceso a aplicaciones y recursos para que los atacantes que violan uno no puedan causar daño a otros. También combate las técnicas de «aterrizar y expandirse» que utilizan los intrusos para moverse desde un punto de entrada a otros objetivos en la red.
El uso de servicios RDP legítimos y credenciales válidas continúa desafiando a los equipos de seguridad para distinguir entre actividades confiables y maliciosas. El análisis de comportamiento de usuarios y entidades (UEBA) y los controles basados en anomalías pueden ayudar a detectar y mitigar comportamientos anormales y potencialmente peligrosos.
Han pasado 10 años desde que el ransomware llamó la atención por primera vez y el flagelo no muestra signos de disminuir. Aunque no existe una protección infalible contra el ransomware, mantenerse al día con las tendencias y las prevenciones puede minimizar el riesgo de daño.
Las empresas deben ir más allá de la ciberseguridad básica para protegerse contra el ransomware.
Fuente: Cio