2021 ha sido un año récord en incidentes de ransomware, tanto en porcentaje de incremento (125% respecto 2020), sofisticación (como el relevante ALPHV BlackCat), actividad (el omnipresente GandCrab), impacto en negocio causado así como profesionalización de los criminales que se dedican a ello (RaaS, Ransomware as a Service
Desde 2020 los ataques de ransomware –secuestro de la información- han aumentado un 435% y en los últimos años, las demandas de rescate se han disparado de cientos de miles de dólares a más de 60 millones de dólares. Una de las razones es la disponibilidad del malware en la web oscura (Deep Web) en forma de aplicaciones de “ransomware como servicio”.
Los ataques recientes han tenido consecuencias devastadoras para muchas organizaciones, con fuertes impactos sociales como la escasez de combustible, la interrupción de la cadena de suministro o de los servicios públicos. Su éxito confirma que la mayoría de las organizaciones son vulnerables y no están preparadas para el ransomware.
Guía de defensa frente al ransomware
DXC ha elaborado una guía para ayudar a las organizaciones a frustrar los ataques de ransomware, basada en décadas de experiencia en gestión de riesgos, diseño de ciberdefensas, gestión de programas y despliegue, análisis forense y reparación.
La guía analiza las tres áreas principales asociadas al riesgo de ataque: empresarial, técnica y operativa y proporciona una lista de comprobación para identificar los puntos débiles de cada entorno que podrían ser explotados por el ransomware, para reducir las superficies de ataque y disminuir la probabilidad de su éxito. También permite realizar autoevaluaciones para determinar los riesgos de seguridad y los esfuerzos necesarios para reducir esos riesgos, y ofrece consejos para recuperar el control del entorno de TI y minimizar el impacto en el negocio. Además, ofrece para cada acción una valoración de debilidades de configuración, tiempo estimado, coste, prioridad y nivel de impacto de la mitigación de la amenaza del ransomware.
La guía describe las vulnerabilidades típicas y ofrece recomendaciones de actuación. “No abordar los elementos de esta lista de comprobación puede suponer un riesgo importante y dejar a las organizaciones vulnerables al ransomware y otras ciberamenazas”, comenta Mikel Salazar, responsable de Ciberseguridad en DXC Iberia.
En opinión de Salazar, “esta guía acumula el conocimiento de años y la experiencia sobre el terreno de los mejores especialistas de DXC Technology, y lo hace desde diferentes prismas, necesarios para estar preparados y saber responder a estos ataques implacables”.
Riesgo empresarial
A menudo, las actividades técnicas, las estrategias de gestión de riesgos y los procedimientos de seguridad están mal alineados con el negocio. La guía establece parámetros como tiempo, coste, prioridad e impacto, que simplifican la toma de decisiones.
Los problemas en este ámbito tienen que ver con un enfoque débil -la dirección percibe la seguridad informática como un obstáculo y un factor de coste con un retorno de la inversión poco definido. También hay que identificar los activos clave, saber asignar las capas de seguridad, contar con apoyo jurídico, apoyar las iniciativas estratégicas y prepararse para el futuro.
Riesgo técnico
Los retos asociados a la prevención de ataques de ransomware con éxito a nivel técnico son significativamente más amplios que los del nivel empresarial. Las debilidades más frecuentemente observadas en los entornos técnicos tienen su primer nivel en la copia de seguridad y restauración, la cual exige una estrategia integral, planificada, probada y actualizada y documentada periódicamente. Le sigue la gestión de la vulnerabilidad, con especial atención de los puntos finales y de la red y el parcheo de aplicaciones servidoras y clientes. Un siguiente nivel es la visibilidad de la red, con especial atención a los puntos finales. Otro elemento clave es el ciclo de vida de la identidad, ya que muchos incidentes graves de seguridad implican un componente de identidad y credenciales. A ella se añaden la autenticación multifactorial -las cuentas con privilegios sin una autenticación fuerte generan debilidad-, las normas técnicas y de configuración y cumplimiento -a menudo anticuadas o incompletas- y los antivirus, con un papel a la hora de proporcionar algunos controles de seguridad.
Riesgos operativos
Un área clave de defensa que abarca los enfoques, procesos y procedimientos operativos que se utilizan para mantener y ejecutar los entornos de TI. La guía incluye las prácticas más importantes para abordar proactivamente los riesgos operativos y reducir la superficie de ataque del ransomware y las amenazas relacionadas. En primer lugar la vigilancia de la seguridad que permita la detección temprana de actividades sospechosas. Le sigue el CMDB y la gestión de activos, ya que sólo se puede proteger lo que se conoce. En tercer lugar, los procesos de respuesta a incidentes -creación de runbooks- diseñando planes integrales de emergencia y de respuesta a incidentes de manera proactiva. También hay que identificar funciones y responsabilidades, claves una vez confirmado el ataque. Sin funciones y responsabilidades definidas, la orquestación de los grupos implicados puede ser un reto. Finalmente, la evaluación de la madurez cibernética, que permite conocer el estado preciso de la madurez de la seguridad de una organización, en comparación con sus competidores y el sector en su conjunto.
Conclusión
Según la guía, las organizaciones tienen muchos factores que considerar en la planificación de la defensa contra el ransomware. Seguir estas recomendaciones ayudará a prepararse y mitigar los efectos de los incidentes de ransomware. No todos los ataques pueden prevenirse por completo, pero con la planificación adecuada, las organizaciones pueden reducir significativamente los efectos de un ataque de ransomware y recuperarse rápidamente.
Acceder a la guía: https://dxc.com/us/en/insights/perspectives/paper/ransomware-defense-guide--prepare-for-an-attack
Fuente Comunicae
