El ransomware se ha profesionalizado cada vez más con actores de amenazas organizados, herramientas sofisticadas y nuevos modelos comerciales, como el ransomware como servicio (RaaS), que impulsan las economías de escala. El lado positivo es que el grave impacto del ransomware en el negocio ha llevado a la cibernética al nivel de la junta directiva.
El ransomware tiene el potencial de causar daños comerciales irreversibles, por lo que los CISO deben considerar no solo la protección (el escenario “si”), sino también la respuesta y la recuperación (el escenario “cuándo”). Como tal, los CISO deben encontrar el equilibrio adecuado entre la prevención y la recuperación, equilibrando las soluciones tácticas y estratégicas, en línea con su panorama de amenazas, la industria y las características específicas del negocio.
Proteccion
Mirar el espectro completo de medidas de protección y respuesta para ransomware puede ser desalentador. La implementación de tecnologías avanzadas, como la detección y respuesta extendidas (XDR) o la orquestación, automatización y respuesta de seguridad (SOAR), puede reducir drásticamente la susceptibilidad de una organización a un ataque de ransomware, pero tiene un precio alto y requiere tiempo para implementarse.
Por lo tanto, si bien los CISO deben planificar a largo plazo, se debe dar la misma consideración a la mejora de la seguridad a corto y mediano plazo.
Esto es especialmente importante ya que vemos repetidamente ataques de ransomware causados por la falta de higiene de seguridad; Los CISO deben implementar un régimen continuo de reducción de riesgos que equilibre el tiempo y los recursos para las medidas tácticas y estratégicas en los controles de protección, respuesta y recuperación.
Esto se puede hacer examinando una cadena o marco de ataque típico de ransomware, evaluando su postura de seguridad actual frente al enfoque elegido y luego trabajando con los propietarios del control y los expertos en la materia para impulsar la mejora de la seguridad.
Por ejemplo, si consideramos las etapas de un ataque típico de ransomware, que incluirán el reconocimiento del objetivo, el acceso inicial, la escalada de privilegios y el movimiento lateral hasta el impacto final, los CISO pueden enfocarse en áreas específicas para mejorar a lo largo de la cadena de ataque.
En cuanto a la escalada de privilegios, ¿puede el administrador de su dominio eliminar sus copias de seguridad? Si es así, reforzar Active Directory o implementar una gestión básica de acceso privilegiado para sistemas clave puede ayudar.
Para el acceso inicial, ¿se pueden usar libremente medios extraíbles en su red? En caso afirmativo, considere fortalecer los puntos finales para evitar el uso de medios extraíbles no autorizados. La mayoría de los ataques de ransomware buscarán filtrar datos, así que verifique que la configuración de pérdida de datos de O365 sea la estándar.
Una postura de seguridad más sólida también ayuda a la hora de adquirir un seguro cibernético, que los CISO pueden considerar. Las aseguradoras buscarán una comprensión del riesgo de una organización para informar la decisión y la prima asociada. Si bien el seguro puede ser parte de la solución, las organizaciones no deben confiar únicamente en el seguro cuando se trata de ransomware.
Respuesta y recuperación
Un régimen integral de resiliencia cibernética abarca toda la organización y puede convertirse en un tema de discusión independiente por derecho propio. Una sólida capacidad de recuperación cubrirá los procesos comerciales críticos, la tecnología adecuada, el equipo de crisis y las comunicaciones y las disposiciones de terceros, además de la planificación tradicional de la continuidad del negocio y las pruebas de respaldo.
Un problema de recuperación clásico surge cuando la TI y la seguridad cibernética están desconectadas del negocio, por lo que solo se juntan cuando hay un incidente importante. Repetidamente, vemos procesos comerciales críticos identificados y priorizados por equipos operativos, en lugar de partes interesadas comerciales.
La recuperación puede ser mucho más rápida si los equipos de ciberseguridad y TI trabajan en la reconstrucción de la pila de tecnología en función de lo que impulsa el negocio. Del mismo modo, los planes de continuidad del negocio y recuperación ante desastres deben cubrir toda la organización y no pueden realizarse de forma aislada o centrarse en sitios o amenazas específicos. Una solución rápida, y el primer paso, para muchas organizaciones preocupadas por el ransomware es reunir a los equipos de ciberseguridad, TI y negocios para priorizar los procesos comerciales críticos.
El conocimiento de los componentes técnicos que se necesitan para la recuperación es vital. Cuando se trata de reconstruir el entorno, es irritante tener que poner los servidores en línea o restaurar la conexión al servidor de tiempo. Es doloroso tener que reconstruir desde cero los sistemas de gestión de paquetes, que rigen todas las aplicaciones y su distribución, como SCCM. Es una perspectiva desalentadora reconstruir servicios de directorio desde cero, como Active Directory, que modelan toda la empresa y tienen mapeados a todos los usuarios, grupos, dispositivos e impresoras.
Por lo tanto, la identificación de antemano de los conjuntos de datos críticos para el negocio y la copia de seguridad de los componentes de recuperación necesarios para cualquier recuperación exitosa a menudo pueden ser el factor decisivo de un incidente.
La planificación y la preparación para la recuperación sentarán las bases, pero no hay mejor manera de comprender su capacidad de respuesta y recuperación que hacer una prueba adecuada desde cero con los proveedores. Lo hemos hecho y sabemos que muestra verdaderos tiempos de recuperación: desde su capacidad para cumplir con los requisitos comerciales hasta la capacidad de sus proveedores para cumplir con sus acuerdos de nivel de servicio (SLA).
Los resultados pueden ser sorprendentes e impulsar aún más lo cibernético a la atención del nivel ejecutivo. Incluso probar los conceptos básicos puede mejorar notablemente la postura de su organización. Los procesos de gestión de crisis se centran en la comunicación y la toma de decisiones efectivas, por lo que los ejercicios regulares de juegos de guerra y las pruebas simples, como garantizar que el personal pueda acceder a las herramientas de colaboración utilizadas en una crisis y acordar roles y responsabilidades de crisis por adelantado, son gastos generales bajos pero producen beneficios tangibles.
Todo esto subraya que el ransomware es una amenaza creíble que puede causar una grave interrupción del negocio y, en última instancia, dañar la confianza del cliente y la marca. Por lo tanto, es importante impulsar la mejora continua de la seguridad junto con la creación de una sólida capacidad de respuesta y recuperación.
Arina Palchik y Charles Moorey son expertos en ciberseguridad de PA Consulting.