El ransomware no es ninguna novedad. Ha supuesto una amenaza importante para organizaciones de todo el mundo durante bastante tiempo. Sin embargo, lo que en un principio fue una amenaza relativamente fácil de gestionar, se está convertido rápidamente en un problema complejo.
Tradicionalmente, los ciberdelincuentes se abrían paso a la fuerza por las defensas perimetrales, descargaban su payload maliciosa y exigían un rescate para "corregir" la situación. Este método de ataque por fuerza bruta se solía afrontar mediante la detección, la contención y la recuperación. Básicamente, los sistemas de paralizaban y se restauraban copias de seguridad.
En la actualidad, sin embargo, el ransomware es mucho más sofisticado, dirigido y devastador. En lugar de forzar su entrada, los ciberdelincuentes dirigen sus ataques contra los usuarios para intentar apoderarse de sus credenciales, incitarles a cometer un error o convencerlos de lanzar un ataque malicioso contra su empresa.
Para protegerse frente a esta amenaza, los equipos de ciberseguridad deben adoptar una estrategia de desplazamiento a la izquierda, antes en la cadena de ataque. Alejarse de la detección y recuperación y poner la prioridad en la preparación, la prevención, y las personas.
Figura 3-2 Ciclo de vida de respuesta a incidentes (Detección y análisis)
Preparación
Detección y análisis
Contención, erradicación y recuperación
Actividad posincidente
Protección de sus datos
La estrategia de protección y respuesta frente al ransomware era entendible cuando se trataba solamente de proteger la información. Sin embargo, ante el descenso de organizaciones que ceden a las demandas de rescate, los ciberdelincuentes han cambiado de táctica para proteger sus flujos de ingresos.
En la actualidad, el ransomware a menudo incluye algún peligro adicional, ya sea el espionaje industrial o el robo de datos, lo que lo convierte prácticamente en un problema de prevención de la pérdida de datos (DLP).
Por esa razón, cualquier defensa eficaz contra el ransomware debe dar prioridad a los datos. Esto empieza por la clasificación. Necesita saber qué datos están en riesgo, quién necesita acceder a ellos, quién tiene acceso a ellos y qué valor pueden tener para los ciberdelincuentes.
Cuando realice estas clasificaciones, vaya más allá de la zona geográfica y la ubicación de los datos. El modelo tradicional de datos en uso y datos en reposo ya no es eficaz. Una estrategia DLP moderna debe seguir a los usuarios dondequiera que vayan, ya que son ellos los que ponen sus datos en riesgo por fugas y data breach.
El problema de las personas
Cuando más del 90 % de los ciberataques requieren algún tipo de interacción humana, sus usuarios constituyen el mayor factor de riesgo al que se enfrenta su organización.
En la actualidad, los ciberdelincuentes rara vez derriban la puerta. En lugar de eso, son invitados por sus empleados a través de una estratagema, un descuido o un robo. Cuanto mejor conozca a sus usuarios, su actividad y su comportamiento, mejor podrá detectar las señales de advertencia temprana de un ataque, con independencia del factor determinante.
Usuario malicioso: un usuario malicioso es el que quiere dañar la organización intencionadamente. Puede tratarse de un empleado descontento que busca venganza o que haya recibido dinero de alguna banda de ciberdelincuentes para acceder a sus redes y datos.
La vigilancia es fundamental para detectar los usuarios maliciosos. Implemente una solución que sea capaz de detectar comportamientos sospechosos, como inicios de sesión a horas intempestivas o solicitudes de acceso inusuales, y limite el acceso a información sensible exclusivamente a sus empleados con más privilegios.
Usuarios negligentes: los usuarios negligentes permiten a los ciberdelincuentes atravesar las defensas perimetrales por descuido. Esto puede deberse a que no cierran la sesión de los sistemas de la empresa correctamente, utilizan contraseñas predeterminadas o no aplican los parches de seguridad.
Cuando se trata de detectar los descuidos entre sus equipos, vigile la higiene de seguridad deficiente, como dejar anotadas las contraseñas e instalar aplicaciones no autorizadas.
Usuarios comprometidos: un usuario comprometido es aquel cuyos dispositivos o credenciales han quedado a merced de los ciberdelincuentes. Las cuentas y dispositivos pueden comprometerse con malware, phishing u otra forma de ataque dirigido.
Desafortunadamente, el compromiso de cuentas es extremadamente difícil de detectar. Ante todo, la mejor defensa consiste en minimizar el compromiso, a través de protecciones como la autenticación multifactor y la formación en ciberseguridad.
Erradicación del ransomware
El objetivo último del ransomware pueden ser sus datos, redes y sistemas. Pero solamente pueden alcanzar su propósito con la ayuda de sus empleados. Por lo tanto, la forma más eficaz de mantenerlo a raya es eliminar por completo el factor humano.
Con una solución de protección del correo electrónico y de prevención de la pérdida de datos robusta puede analizar, filtrar y bloquear los mensajes maliciosos antes de que lleguen a la bandeja de entrada. Sin embargo, incluso las mejores defensas perimetrales pueden ser franqueadas.
Las protecciones del correo electrónico deberían acompañarse de información detallada de la telemetría de sus registros de acceso y actividad de red. Necesita saber quién accede a sus datos, cómo, cuándo y por qué. Cuanta más información tenga, más rápidamente podrá identificar cualquier anomalía.
Y luego está la última línea de defensa: sus empleados. Cada usuario debe saber exactamente lo que debe hacer frente a un ataque de ransomware, y las consecuencias de no actuar adecuadamente para detenerlo. Y lo más importante, deben comprender que su comportamiento puede poner en peligro a su organización.
Esto solo es posible a través de una formación de concienciación en materia de seguridad continua y adaptable que vaya más allá de las preguntas tipo test y las mejores prácticas estándar. El objetivo último de todo programa de formación debería ser instaurar una cultura de seguridad en la que la ciberseguridad sea responsabilidad de todos.
La realidad es que el ransomware es cada vez más sofisticado, lo que convierte en ineficaces las defensas tradicionales, y cuando la cura ya no funciona, la prevención es el único remedio.
Descubra más información sobre este descripción del enfoque moderno de la protección de la información.
Más información sobre la prevención de la pérdida de datos y los riesgos internos
Nuestro cuarto número de la revista New Perimeters, "Los datos no se pierden por arte de magia", está ya disponible.
En un mundo en el que los ataques son cada vez más dirigidos, hay algo que permanece invariable: los ciberdelincuentes atacan a las personas. Sus técnicas han evolucionado, lo que hace que sea más importante que nunca la protección de sus empleados, sus datos y el acceso a la información más crítica.
Explore las razones por las que debemos cambiar la forma de prevenir la pérdida de datos y proteger frente a las amenazas internas en una realidad de "trabajo desde cualquier lugar".