Recomendaciones para protegerse contra ataques de ransomware
Dada la creciente ola de ataques de ransomware y la amenaza de una creciente inversión por parte de los actores de amenazas en plataformas de ransomware como servicio, las organizaciones están cada vez más preocupadas por proteger sus activos de TI mediante la adopción e implementación de las mejores prácticas en la gestión de la ciberseguridad a escala organizacional.
Recomendaciones
Copias de seguridad
Realice copias de seguridad de los datos, las imágenes del sistema y las configuraciones, pruebe regularmente y mantenga las copias de seguridad sin conexión.
Asegúrese de que las copias de seguridad se prueben regularmente y que no estén conectadas a la red empresarial, ya que muchas variantes de ransomware intentan encontrar y cifrar o eliminar copias de seguridad accesibles.
Mantener las copias de seguridad actuales fuera de línea es fundamental porque si los datos de red se cifran con ransomware, los sistemas no podrán restaurarse.
Actualizaciones
Actualizar y parchear los sistemas con prontitud: Esto incluye mantener la seguridad de los sistemas operativos, las aplicaciones y el firmware, de manera oportuna.
La orquestación es un punto clave. Es muy recomendable utilizar un sistema centralizado de administración de parches; use una estrategia de evaluación basada en el riesgo para impulsar su programa de administración de parches.
DNS
La seguridad DNS también debe ser una parte crítica de la defensa contra el ransomware de cualquier organización. El ransomware y la mayoría del malware utilizan DNS en una o más etapas de la cadena de muerte cibernética.
DNS se puede utilizar durante la fase de reconocimiento cuando se trata de un ataque dirigido. DNS también se utiliza en la fase de entrega, ya que las víctimas potenciales, sin saberlo, realizan consultas DNS para las direcciones IP involucradas en el ataque.
También se utilizará en el proceso de entrega de correo electrónico cuando el ransomware se propague a través de campañas de spam. La fase de explotación puede implicar consultas DNS cuando el sistema de la víctima está comprometido e infectado.
DNS también se usa con frecuencia cuando un sistema infectado se registra con la infraestructura de comando y control (C&C). El uso de inteligencia y análisis de amenazas en su DNS interno puede detectar y bloquear dicha actividad nefasta antes de que el ransomware se propague o descargue el software de cifrado.
Segmentación de la red
Ha habido un cambio reciente en los ataques de ransomware, desde el robo de datos hasta la interrupción de las operaciones. Es de vital importancia que las funciones comerciales corporativas y las operaciones estén separadas.
Limitar cuidadosamente el acceso a Internet a las redes operativas, identificar los enlaces entre estas redes y desarrolle soluciones alternativas o controles manuales para garantizar que las redes ICS puedan aislarse y continuar operando si su red corporativa se ve comprometida.
Pruebe regularmente los planes de contingencia, como los controles manuales, para que las funciones críticas para la seguridad se puedan mantener durante un incidente cibernético.
Plan de respuesta a incidentes de la organización de pruebas
No hay nada que muestre las brechas en los planes más que probarlos. Revise algunas preguntas básicas y utilícelas para crear un plan de respuesta a incidentes:
¿Puede mantener las operaciones comerciales sin acceso a ciertos sistemas? ¿Por cuánto tiempo? ¿Apagaría sus operaciones de fabricación si los sistemas comerciales, como la facturación, estuvieran fuera de línea?
Fuente: Infoblox
