El 27% de los incidentes de malware informados en 2020 se pueden atribuir al ransomware. El ransomware es una extorsión cibernética que ocurre cuando el malware se infiltra en los sistemas informáticos y cifra los datos, manteniendo a las víctimas como rehenes hasta que se paga el rescate, y puede tener un impacto mayor en una organización que una violación de datos.
A corto plazo, el ransomware puede costar a las empresas millones de dólares y, a la larga, puede causar aún más daño, afectando la reputación y la credibilidad. Desde los principales proveedores y minoristas de atención médica en los EE. UU. hasta los proveedores de seguros en el Medio Oriente, los atacantes de ransomware están demostrando ser una amenaza persistente para la seguridad cibernética.
“Las organizaciones deben centrarse en la preparación y la mitigación temprana si quieren reducir las pérdidas”
“En algunos casos recientes de ataques de ransomware, los grupos de víctimas han pagado grandes sumas de dinero a los atacantes, lo que puede ser una de las razones por las que estos ataques se han vuelto más populares”, dijo Paul Webber, analista senior de gestión de Gartner. reducir el daño causado por el ransomware, deben centrarse en la preparación y la mitigación temprana”.
Los CISO y los líderes de seguridad pueden reducir la probabilidad de ataques de ransomware, reducir la exposición a vulnerabilidades y proteger la organización mediante un plan de mitigación . Este plan debe contemplar las siguientes seis acciones.
No. 1: Realice evaluaciones iniciales de ransomware
Realice evaluaciones de riesgos y pruebas de penetración para determinar la superficie de ataque y el estado actual de resiliencia y preparación de la seguridad en términos de herramientas, procesos y habilidades para defenderse de los ataques.
“Antes de asumir que el pago es la única opción, investigue utilizando un software de descifrado de ransomware gratuito”, dice Webber.
No. 2: Hacer cumplir la gobernanza del ransomware
Establezca procesos y procedimientos de cumplimiento que involucren a los tomadores de decisiones clave en la organización, incluso antes de prepararse para la respuesta técnica a un ataque de ransomware. El ransomware puede escalar de un problema a una crisis en poco tiempo, lo que le cuesta a una organización la pérdida de ingresos y crea una reputación dañada.
Las personas clave, como el director ejecutivo, la junta directiva y otras partes interesadas importantes, deben participar en la preparación. En caso de un ataque de ransomware, es probable que los periodistas y otras partes interesadas externas se comuniquen con la junta directiva para obtener una respuesta al ataque, no con los líderes de seguridad o el CISO.
No. 3: Mantener una preparación operativa constante
Realice ejercicios y simulacros frecuentes para asegurarse de que los sistemas siempre puedan detectar ataques de ransomware. Cree pruebas periódicas de escenarios de respuesta a incidentes en el plan de respuesta al ransomware.
Pruebe, pruebe y vuelva a probar a intervalos regulares para verificar vulnerabilidades, sistemas no conformes y configuraciones incorrectas. Asegúrese de que los procesos de respuesta a incidentes no dependan en sí mismos de sistemas de TI que puedan verse afectados por ataques de ransomware o que no estén disponibles en caso de un incidente grave.
No. 4: Copia de seguridad, prueba, repite la respuesta del ransomware
Realice una copia de seguridad no solo de los datos, sino también de todas las aplicaciones no estándar y su infraestructura de TI de apoyo. Mantenga capacidades de respaldo y recuperación frecuentes y confiables. Si se utilizan copias de seguridad en línea, asegúrese de que el ransomware no las cifre. Refuerce los componentes de la infraestructura de copia de seguridad y recuperación de la empresa contra los ataques examinando de forma rutinaria la aplicación de copia de seguridad, el almacenamiento y el acceso a la red y comparándolos con la actividad esperada o de referencia.
Prepárese para la recuperación de aplicaciones críticas en un ataque de ransomware en todo el sistema mediante la creación de parámetros específicos de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO), protegiendo la accesibilidad y los medios de almacenamiento de copia de seguridad.
No. 5: Implementar el principio de privilegio mínimo
Restrinja los permisos y deniegue el acceso no autorizado a los dispositivos. Elimine los derechos de administrador local de los usuarios finales y bloquee la instalación de aplicaciones por parte de los usuarios estándar, reemplazándolos con una instalación de distribución de software administrada centralmente.
Los CISO y los líderes de seguridad deben implementar la autenticación multifactor siempre que sea posible, especialmente para las cuentas privilegiadas. Aumente el registro de autenticación en todos los servidores críticos, dispositivos de red y servicios de directorio, y asegúrese de que no se eliminen los registros. Notifique a los equipos de operaciones de seguridad sobre cualquier actividad inesperada y asegúrese de que busquen de manera proactiva intentos de autenticación fallidos o inicios de sesión inusuales.
No. 6: educar y capacitar a los usuarios sobre las acciones de respuesta al ransomware
Investigue las autoridades gubernamentales y regionales que han proporcionado pautas sobre cómo las organizaciones pueden fortalecer su infraestructura de red contra el ransomware. Los CISO y los líderes de seguridad pueden usar pautas como estas para crear un programa de capacitación básico para todo el personal de la organización. Sin embargo, la capacitación en preparación para ransomware debe personalizarse para la organización para obtener mejores resultados.
“Utilice herramientas de simulación de crisis cibernética para simulacros y capacitación que brinden situaciones más cercanas a la vida real para una mejor preparación de los usuarios finales contra el ransomware”, dice Webber.
Los desafíos del ransomware y otras formas de malware son las tácticas y agendas en constante cambio de los piratas informáticos. Tener una estrategia implementada para la preparación puede ayudar a contener las pérdidas y proteger a la organización.