Claudia Rincón Pérez: 5 pasos para mejorar la resistencia al ransomware

De acuerdo con Claudia Rincón Pérez, directora de Factoría IT, el panorama del ransomware está evolucionando, y el ransomware es ahora uno de los tipos de malware más populares (para los ciberdelincuentes) y dañinos. Los ataques JBS, Colonial Pipeline y Kaseya son ejemplos recientes de alto perfil del impacto del ransomware y las monumentales consecuencias que puede tener: cambios en el mercado, impacto en la infraestructura e incluso que conduzcan a la adopción de medidas en los niveles más altos de gobierno.

Rincón Pérez señala que a raíz de estos ataques y otros eventos como el ataque SolarWinds , el poder ejecutivo ha tomado medidas en forma de orden ejecutiva (EO), que cubre varios conceptos de ciberseguridad. Esta orden anima a las empresas del sector privado a seguir el ejemplo del gobierno federal para ayudar a minimizar el impacto de futuros incidentes.

Hay varios conceptos diferentes descritos en la EO, por lo que para ayudar a las organizaciones a comenzar, describí algunos de los conceptos clave a los que las organizaciones deberían prestar atención ahora y ofrezco algunos consejos sobre cómo puede comenzar a implementar estas estrategias hoy.

1. Adopte una postura de "seguridad cero" hacia el ransomware

Una de las órdenes que me llamó la atención es el requisito de “Modernizar e implementar estándares de ciberseguridad más sólidos en el gobierno federal”. Esto tiene como objetivo impulsar al Gobierno Federal para que aumente y adopte mejores prácticas de seguridad con seguridad de confianza cero, acelerando el movimiento hacia servicios seguros en la nube y el despliegue de autenticación y cifrado multifactorial.

En Veritas, asesoramos a las empresas para que adopten lo que llamamos una postura de "seguridad cero"; es la mentalidad de que se violará incluso la seguridad de endpoints más eficaz. Es importante tener un plan para estar preparado para cuando esto suceda.

2. Sea activo, no pasivo

Las empresas necesitan tener una protección de datos de punto final sólida y seguridad del sistema. Esto incluye software antivirus e incluso software de listas blancas donde solo se puede acceder a las aplicaciones aprobadas. Las empresas necesitan tanto un elemento activo de protección como un elemento reactivo de recuperación.

Las empresas afectadas por un ataque de ransomware pueden pasar cinco días o más recuperándose de un ataque, por lo que es imperativo que las empresas estén implementando activamente las estrategias de copia de seguridad y recuperación adecuadas antes de un ataque de ransomware.

3. No ponga todos sus huevos en una canasta

Los sombreros negros que están desarrollando ransomware están tratando de evitar que cualquier medio de salida de una empresa tenga que pagar el rescate. Esta es la razón por la que los ataques de ransomware se dirigen a archivos y sistemas en uso, así como a sistemas de respaldo y datos basados ​​en la nube.

Instamos a las organizaciones a implementar un enfoque de copia de seguridad y recuperación más completo basado en el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). Incluye un conjunto de mejores prácticas: uso de almacenamiento inmutable, que evita que el ransomware cifre o elimine copias de seguridad; implementar cifrado en tránsito y en reposo para evitar que los malos actores pongan en peligro la red o roben sus datos; y fortalecer el entorno habilitando firewalls que restringen puertos y procesos.

4. Cree un manual de estrategias para los incidentes cibernéticos

El otro aspecto de la EO que quería abordar era la llamada a "Crear un manual de estrategias estándar para responder a los incidentes cibernéticos". El gobierno federal planea crear un manual para las agencias federales que también actuará como modelo para el sector privado, para ayudar a las empresas a tomar las medidas adecuadas para identificar y mitigar una amenaza.

El tiempo es esencial, por lo que antes de ver el manual del gobierno federal, aquí hay algunos pasos importantes en los que las organizaciones deberían pensar cuando se trata de crear el suyo propio:

Runbook digital : tener un plan en papel es un comienzo, pero tener un plan digital que se pueda ver y ejecutar fácilmente con un solo clic es esencial. Cuanto más complejo sea la ejecución de un plan, más tardará en recuperarse de un ataque.

Probar, Probar, Probar : Probar asegura que su plan funcionará cuando lo necesite. Las pruebas iniciales son importantes para garantizar que todos los aspectos del plan funcionen, pero los entornos de TI cambian constantemente, por lo que es fundamental realizar pruebas con regularidad.

Elimine los puntos únicos de falla : la práctica 3-2-1 es la idea de que debe tener tres o más copias de sus datos para que una sola falla no descarrile su plan. Que tiene al menos dos medios de almacenamiento distintos para que una vulnerabilidad en uno no comprometa todas sus copias. Al menos uno de estos dos medios debe estar fuera del sitio o en una copia con espacio de aire para que tenga opciones en caso de que un ataque destruya todo un centro de datos.

Tenga opciones para una recuperación rápida : cuando la recuperación de un ataque destruye un centro de datos completo, la recuperación puede ralentizarse al lidiar con desafíos compuestos relacionados con el hardware, la red, las cargas de trabajo y los datos en sí. Tener una opción alternativa, como instalar rápidamente un centro de datos en un proveedor de nube pública, puede acortar el tiempo de inactividad y brindar alternativas al pago de un rescate.

5. Recuerde: el ransomware es una carrera armamentista

Preparar a su empresa para un inevitable ataque de ransomware es cada día más crítico. El ataque Colonial Pipeline ha impulsado nuevos mandatos para la resiliencia cibernética y, como líderes de seguridad, tenemos un papel fundamental para garantizar que estamos haciendo todo lo posible para proteger y asegurar los datos valiosos y confidenciales.

El ransomware no se "resolverá". Lo veo como una carrera armamentista en la que todos tenemos que estar constantemente vigilantes, especialmente en torno a elementos que están fuera de nuestro control. Ninguna solución única o control de seguridad detendrá el ransomware, pero al adoptar un enfoque de seguridad en capas, podrá mitigar el impacto y volver a estar en funcionamiento muy rápidamente.