Aamir Lakhani, Global Security Strategist en Fortinet, enumera las 5 Mejores Prácticas para luchar contra el Ransomware.
Si el crecimiento de los ataques de ransomware en 2022 es indicativo de lo que nos espera, el próximo año se incrementará la presencia de este tipo de malware. Sólo en la primera mitad de 2022, el número de nuevas variantes de ransomware identificadas por nuestro equipo de inteligencia de amenazas aumentó en casi un 100% en comparación con el semestre anterior, superando las 10.500 variantes. Este explosivo crecimiento se debe principalmente a que más atacantes se aprovechan de las suscripciones de Ransomware -as-a-Service (RaaS) en la web oscura. Sin embargo, las técnicas siguen siendo las mismas.
Esta previsibilidad es realmente una buena noticia ya que los equipos de seguridad pueden analizar las estrategias de mitigación del ransomware y aplicarlas en su organización. Para ello lo primero es conocer en detalle qué es y cómo opera este malware.
Retos para los equipos de seguridad
Si observamos cualquier organización, es probable que encontremos “lagunas” de seguridad que aumentan las posibilidades de que una empresa sea víctima de un ataque de ransomware. Estos son los retos comunes a los que se enfrentan los equipos de seguridad y sus organizaciones, que pueden hacerlos más vulnerables a los ciberincidentes.
- Falta de conocimientos de ciber higiene entre los empleados: El comportamiento humano sigue siendo un factor importante en la mayoría de los incidentes de seguridad. Más allá de la comprensión de los signos del ransomware, la falta de educación general sobre ciberseguridad entre los empleados puede poner a su organización en riesgo. Según el informe Verizon 2022 Data Breach Investigations Report, el 82% de las infracciones que se produjeron el año pasado estuvieron relacionadas con el elemento humano.
- Políticas de contraseñas débiles: Las políticas insuficientes relacionadas con las credenciales de los empleados -o la ausencia de políticas- aumentan la probabilidad de que una organización sufra una violación de la seguridad. Las credenciales comprometidas están implicadas en casi el 50% de los ataques.
- Insuficiente supervisión y procesos de seguridad: Ninguna herramienta por sí sola ofrece todo lo que su equipo de seguridad necesita para supervisar y proteger contra posibles incidentes cibernéticos como el ransomware. Un enfoque de seguridad por capas puede ayudarle a gestionar adecuadamente el riesgo de su empresa.
- Escasez de personal entre los equipos de seguridad y TI: No es ningún secreto que es necesario contar con personas con las habilidades adecuadas en su equipo para apoyar los esfuerzos de supervisión y mitigación de riesgos para combatir la ciberdelincuencia de manera eficaz. Sin embargo, los datos muestran que la brecha de habilidades de ciberseguridad presenta un desafío continuo para los CISO: cómo atraer y retener a los nuevos talentos mientras se garantiza que los miembros actuales del equipo obtengan la formación necesaria y las oportunidades de actualización.
Ransomware: Top 5 Mejores Prácticas para protegerse
La detección eficaz del ransomware requiere una combinación de educación y tecnología. He aquí algunas de las mejores formas de detectar y prevenir la evolución de los actuales ataques de ransomware:
Eduque a sus empleados sobre cómo funciona el ransomware.
Formar a los trabajadores en materia de seguridad es imprescindible y ayudará a las organizaciones a protegerse contra una serie de amenazas en constante evolución. Enseñe a los empleados a detectar las señales de ransomware, como los correos electrónicos diseñados para parecer de empresas auténticas, los enlaces externos sospechosos y los archivos adjuntos dudosos.
Utilice el engaño para atraer (y detener) a los atacantes.
Un honeypot es un señuelo que consiste en repositorios falsos de archivos diseñados para parecer objetivos atractivos para los atacantes. Puede detectar y detener el ataque cuando un hacker de ransomware va tras su honeypot. Esta tecnología de ciberengaño no sólo utiliza las propias técnicas y tácticas del ransomware contra sí mismo para desencadenar la detección, sino que descubre las tácticas, herramientas y procedimientos (TTP) del atacante que le han llevado a afianzarse con éxito en la red para que su equipo pueda identificar y cerrar esas brechas de seguridad.
Supervise su red y sus endpoints.
Al llevar a cabo una supervisión continua de la red, puede registrar el tráfico entrante y saliente, escanear los archivos en busca de pruebas de ataque (como modificaciones fallidas), establecer una línea de base para la actividad aceptable de los usuarios, y luego investigar lo que parezca fuera de lo normal. El despliegue de herramientas antivirus y antiransomware también es útil, ya que puede utilizar estas tecnologías para crear una lista blanca de sitios aceptables. Por último, añadir detecciones basadas en el comportamiento a su conjunto de herramientas de seguridad es esencial, especialmente a medida que las superficies de ataque de las organizaciones se expanden y los atacantes siguen subiendo la apuesta con ataques nuevos y más complejos.
Adoptar una visión externa sobre los riesgos de su organización.
Como extensión de una arquitectura de seguridad, un servicio de DRP puede ayudar a una organización a ver y mitigar tres áreas adicionales de riesgo: los riesgos de los activos digitales, los riesgos relacionados con la marca y las amenazas clandestinas e inminentes.
Aumente su equipo con el SOC como servicio si fuera necesario.
La intensidad del panorama de amenazas, tanto en velocidad como en sofisticación, significa que todos tenemos que trabajar de forma más inteligente lo que implica subcontratar tareas específicas, como la respuesta a incidentes y la búsqueda de amenazas. Por eso resulta útil confiar en un proveedor de detección y respuesta gestionada (MDR) o en una oferta de SOC como servicio. Aumentar su equipo de esta manera puede ayudar a eliminar ruido y liberar a sus analistas para que se centren en sus tareas más importantes.
Aunque el volumen de ransomware no está disminuyendo, existen numerosas tecnologías y procesos para ayudar a los equipos de TI a mitigar los riesgos asociados a este ataque. Con programas de educación en ciberseguridad o reforzando la política de ZTNA, podemos mantener a raya a los astutos atacantes.
