El estado del ransomware 2022 El informe de Sophos encontró que dos tercios de los 5600 encuestados dicen que sus organizaciones se vieron afectadas por ransomware en 2021, casi el doble que el año anterior. Casi la mitad (46 %) de los encuestados admite que sus organizaciones fueron atacadas con ransomware de encriptación y tuvieron que pagar un rescate para recuperar sus datos.
Como señala Paul Watts, distinguido analista del Foro de Seguridad de la Información (ISF), todo el tiempo que se pagan los rescates, el atractivo del crimen permanece. Es un ciclo difícil de romper.
“A pesar de la gran cantidad de atención y preocupación por el ransomware, una gran cantidad de organizaciones simplemente no están preparadas para cuando ataca”, dice. “Del mismo modo, tampoco pueden y no permitirán que sus negocios se tambaleen. Ellos pagan, o su negocio muere. Puedes ver el dilema”.
Controles de usuario
Hay muchas técnicas para reducir el riesgo y el daño que pueden causar tales ataques. Los expertos con los que habló Computer Weekly recomendaron que las organizaciones comiencen con una educación actualizada del usuario que cubra las últimas tendencias y ataques.
Petra Wenham, voluntaria de BCS, The Chartered Institute for IT, dice que, por lo general, las protecciones contra ransomware incluyen el filtrado de todos los correos electrónicos entrantes y salientes en busca de archivos maliciosos y enlaces maliciosos. Esto se logra a menudo a través de un servicio comercial externo.
“Estos servicios de escaneo pueden extenderse para cubrir la filtración de datos a través del correo electrónico y el escaneo del tráfico web de una empresa”, dice.
Wenham sugiere que los líderes de TI deberían implementar políticas de inicio de sesión para el acceso a la red basadas en el acceso con privilegios mínimos. Ella recomienda que los departamentos de TI cifren el tráfico de red para los trabajadores remotos e implementen el acceso a la hora del día. Tales técnicas pueden limitar el daño causado si un trabajador remoto es atacado con éxito por ransomware.
Si bien el ransomware sigue siendo una de las principales preocupaciones de seguridad cibernética para las organizaciones en la actualidad, según Mandy Andress, directora de seguridad de la información (CISO) de Elastic, el estado de la defensa contra el ransomware está fallando.
Si bien las organizaciones tradicionalmente se han basado en una combinación de personas, procesos y tecnología para frustrar las amenazas cibernéticas, Andress dice que estas tácticas por sí solas no son suficientes para mitigar con éxito los ataques de ransomware cada vez más sofisticados.
“La defensa contra ransomware está fallando porque se considera un problema técnico u organizativo cuando, de hecho, es económico”, agrega.
Las economías del mundo dependen en gran medida del movimiento y la distribución de datos. Para Andress, esto implica que la infraestructura digital debe examinarse con la misma urgencia que la infraestructura física crítica. Ella considera el problema del ransomware como interconectividad.
“Los mismos ataques de ransomware que han causado escasez de gasolina y retrasos en el transporte también han afectado la capacidad de las personas para acceder a la atención médica o encontrar lo que buscan en la tienda de comestibles”, dice.
Al reconocer el ransomware como un problema económico, Andress dice que existe una oportunidad para que los líderes empresariales movilicen una respuesta más efectiva. Como parte de esto, sugiere que los CISO y los líderes empresariales de las organizaciones para las que trabajan deben hablar abiertamente sobre los ataques de ransomware que han experimentado.
Como señala Andress, existe una fuerte cultura de la vergüenza dentro de las organizaciones en torno al ransomware: “Las empresas a menudo tienen demasiado miedo o vergüenza para admitir que han sido víctimas de un ataque por temor a que dañe su reputación, resulte en fuertes multas o causar pánico entre los clientes y otras partes interesadas.
“De hecho, algunos atacantes de ransomware incluso usarán esto para su beneficio al emplear tácticas de ‘nombre y vergüenza’ con sus víctimas en un esfuerzo por obligarlas a pagar un rescate.
“Si las grandes corporaciones con amplios recursos de seguridad pueden ser víctimas del ransomware, las organizaciones deben reconocer que la vergüenza es injustificada. Todas las empresas están en riesgo”.
También vale la pena tener en cuenta que algunos de los ataques de ransomware más grandes y exitosos han sido orquestados por poderosos estados-nación. Esto, dice Andress, hace que sea casi imposible que una sola organización se proteja de manera efectiva.
“Durante la pandemia, por ejemplo, la industria de la salud se vio abrumada con ataques de ransomware impulsados por estados-nación que intentaban obtener datos e investigaciones sobre las vacunas contra el covid-19, y muchos laboratorios pequeños e independientes no tenían los recursos o las habilidades adecuados para mitigarlos. estos ataques”, dice ella.
Desafíos de la protección contra el ransomware
Sin embargo, los CISO deben analizar cómo pueden mitigar el daño que puede causar un ataque exitoso de ransomware.
Rob Dartnall, CEO y jefe de inteligencia de SecAlliance, destaca la importancia de fortalecer la cadena de suministro. “Numerosas empresas se ocupan de las infracciones de ransomware y de datos, no desde dentro de su propia empresa sino desde su cadena de suministro”, dice.
“Ya sea que el proveedor tenga o no acceso directo a la red, proporcione software con posibles actualizaciones maliciosas o tenga datos confidenciales, monitorear el ecosistema más amplio, particularmente la cadena de suministro, ahora es tan importante como monitorear su organización.
“Saber quién puede apuntar a sus proveedores y cuál es la superficie de ataque podría tener un impacto significativo en la probabilidad de que su organización o sus datos se vean comprometidos por operadores de ransomware”, agrega Dartnall.
Watts de ISF recomienda que los líderes empresariales y de seguridad de TI decidan cuáles son sus joyas de la corona y sus activos de misión crítica. “Si no se mantiene al tanto de sus inventarios de activos, sus catálogos de servicios y datos, ¿cómo diablos puede estar seguro de que tiene todo cubierto, especialmente si nadie le dice cuándo cambian?” él dice.
Una copia de seguridad fuera de línea es un poco difícil de penetrar para el ransomware y la arquitectura general de seguridad de TI es una consideración importante en la lucha contra el ransomware.
“Si el diseño de su red es representativo de un único almacén de planta abierta, todo lo que el actor de amenazas debe hacer es ingresar, entonces es acceso a todas las áreas”, advierte Watts. “Inhibir el movimiento lateral de un actor de amenazas y limitar la escala del impacto en caso de que liberen una carga útil podría ser la diferencia entre un inconveniente menor y un evento de nivel de extinción”.
Insta a los arquitectos de seguridad de TI a invertir tiempo y esfuerzo en el diseño de un entorno segregado que pueda ofrecer un nivel de protección para limitar el daño que puede causar un ataque de ransomware.
Watts argumenta que los equipos de TI deben implementar configuraciones sólidas y seguras basadas en privilegios mínimos junto con un régimen efectivo de parches. “Si necesita adoptar un enfoque prioritario para esto, mi consejo es comenzar con sus activos orientados a Internet”, dice.
El departamento de TI debe evaluar si el activo está reparado y mantenido, y verificar si realmente necesita acceso a través de Internet o requiere servicios de acceso remoto como el protocolo de escritorio remoto. Watts recomienda a los equipos de TI que se aseguren de que los servicios como Telnet, SSH y W3C estén deshabilitados a menos que realmente se necesiten.
“El escaneo de vulnerabilidades y las pruebas de penetración van de la mano con todo esto, brindándole una visión independiente de dónde se encuentran sus debilidades”, agrega.
Más allá del escaneo de vulnerabilidades, Dartnall recomienda que los CISO implementen una función de inteligencia de amenazas cibernéticas para monitorear las amenazas de ransomware y las superficies de ataque. Estos ofrecen recomendaciones procesables que pueden evitar que ocurra un ataque de ransomware.
Mirando externamente, dice: “El monitoreo de las acciones de los actores de amenazas, sus tácticas y técnicas, la infraestructura de ataque y la recopilación de indicadores nos permite refinar nuestros controles de seguridad, lógica de detección y capacidades de búsqueda de amenazas. Cada una de estas actividades limita aún más la posibilidad de un brote de ransomware”.
Como señala John Tolbert, analista senior de KuppingerCole, contar con todos los elementos correctos de una arquitectura de seguridad mejora las posibilidades de un CISO de prevenir ataques de ransomware y/o minimizar el daño. Los atacantes ahora se dirigen a los miembros de la cadena de suministro de software y es probable que continúen haciéndolo. Recomienda que los CISO implementen defensas integrales para aumentar la resiliencia. Estas medidas deben implementarse en toda la industria de TI.