Ciberseguridad para todos.

Phishing, ransomware, 0-days… los ataques a las infraestructuras tecnológicas, sean computadores, servidores, o dispositivos de control industrial, se han masificado en los últimos años. Cada vez existen más herramientas, a disposición de los ciberdelincuentes, para que puedan explotar las vulnerabilidades sin la necesidad de que sean hackers especializados.

Adicionalmente, los ataques patrocinados por entidades gubernamentales, y las herramientas que han acabado disponibles, han multiplicado la cantidad de ataques masivos para los cuales cualquier organización debe estar preparada en la actualidad. Y, yendo más allá, también las personas, como ciudadanos digitales, debemos tener un mínimo conocimiento, medios de protección y resiliencia que a la mayoría le resultan muy lejanos.

Las organizaciones deben actualizar las medidas de protección tradicionales: Antivirus, SIEM, IDS, IPS, siguen siendo necesarias, pero hoy en día no consiguen llevar a la empresa al equilibrio entre inversión y seguridad que se requiere para no estar expuestas a estos ataques masivos.

Hay que dar el siguiente paso en la evolución de la ciberseguridad, y protegerse adecuadamente contra APTs y Ransomware, con soluciones especializadas y, tanto las empresas como las personas, debemos trabajar las medidas de resiliencia básicas que nos permitan, por ejemplo, minimizar el impacto de un ransomware.

Los marcos de manejo de incidentes (SANS, NIST y Navy) fijan las siguientes etapas: Preparación, detección, contención, erradicación y recuperación.

Paso 1 – Preparación: Los ataques de Ransomware están aumentando en frecuencia y seriedad. Es necesario preparar la organización para la posibilidad muy real de un ataque.

  • Parche agresivo.
  • Asignar privilegios mínimos.
  • Crear y proteger sus copias de seguridad.
  • Conectar con fuentes de inteligencia.
  • Preparar un plan de respuesta.
  • Proteja sus puntos finales.
  • Educar a los usuarios.

Paso 2 – Detección: En el caso de que su empresa se vea afectada con un ataque, puede minimizar el daño si puede detectar el malware temprano. Las siguientes alertas nos pueden ayudar a la detección:

  • Correos con enlaces maliciosos y payloads.
  • Implementar reglas de bloqueo para los ejecutables.
  • Busque señales de encriptación y notificación.

Paso 3 – Contención: Una vez que el ransomware ya ha hecho su trabajo sucio en un dispositivo, hay pasos que puede tomar para contenerlo localmente para que los archivos de red no se vean afectados.

  • Eliminar los procesos en ejecución y aislar el punto final afectado.

Paso 4 – Erradicación: Una vez que sepa que ha tenido un incidente de ransomware, y se ha contenido, ahora necesita erradicarlo de su red.

  • Reemplazar, reconstruir o limpiar las máquinas: Por lo general, se recomienda que las máquinas se sustituyan en lugar de limpiar. Al igual que con cualquier tipo de malware, es difícil saber si los archivos residuales están ocultos en el sistema y son capaces de volver a infectar los dispositivos.

Paso 5 – Recuperación: Seguir el plan de recuperación de desastres para que todos los sistemas afectados se vuelvan a poner en funcionamiento y vuelvan a funcionar como siempre.

  • Restaurar desde una copia de seguridad limpia.
  • Busque el vector de infección.
  • Notificar a la policía si es apropiado.

 

Las empresas cada vez invierten más en herramientas de seguridad, pero muchas descuidan la planificación de cómo implementar las medidas de la seguridad en la organización, y ni el mejor software del mercado puede protegerlas.

Desde el punto de vista de las personas, pocos usuarios tienen los conocimientos como para programar un backup de sus archivos, pero todos sabemos conectar un disco duro externo y copiarlos.

La industria ha trabajado fuertemente en proporcionar conectividad a todo lo que nos rodea, pero la seguridad no se ha desarrollado a la misma velocidad. Tanto desde el punto de vista de infraestructura TIC, como en lo que se refiere al conocimiento básico que las personas deben tener, la ciberseguridad sigue siendo una asignatura pendiente, que no podemos permitirnos suspender.

Deja un comentario