El 14 de julio de 2021, el Centro Nacional de Excelencia en Ciberseguridad1 (NCCoE) en el Instituto Nacional de Estándares y Tecnología2 (NIST) organizó un taller virtual3 buscar comentarios de expertos gubernamentales y de la industria sobre enfoques prácticos para prevenir y recuperarse del ransomware y otros ciberataques destructivos. Después de escribir nuestros comentarios para NIST, nos dimos cuenta de que sería útil compartir esta perspectiva de manera más amplia para ayudar a las organizaciones a protegerse mejor contra la creciente ola de ataques de ransomware (altamente rentables). Si bien los ataques de ransomware y extorsión aún están evolucionando rápidamente, queremos compartir algunas lecciones críticas aprendidas y arrojar algo de luz sobre conceptos erróneos comunes sobre los ataques de ransomware.
Aclarar la terminología y el alcance de los ataques
Un concepto erróneo común acerca de los ataques de ransomware es que solo involucran ransomware («págame para recuperar tus sistemas y datos»), pero estos ataques en realidad se han convertido en ataques de extorsión generales. Si bien el rescate sigue siendo el principal ángulo de monetización, los atacantes también están robando datos confidenciales (los suyos y los de sus clientes) y amenazan con divulgarlos o venderlos en la web oscura o Internet (a menudo mientras los conservan para intentos posteriores de extorsión y ataques futuros).
También estamos viendo una percepción generalizada de que el ransomware todavía se limita a los ataques básicos de estilo cryptolocker, vistos por primera vez en 2013, que solo afectan a una sola computadora a la vez (también conocido como el modelo de productos básicos). Los atacantes de hoy han evolucionado mucho más allá de esto, utilizando kits de herramientas y sofisticados modelos comerciales de afiliados para permitir que los operadores humanos se dirijan a organizaciones enteras, roben deliberadamente credenciales de administrador y maximicen la amenaza de daños comerciales a las organizaciones específicas. Los operadores de ransomware a menudo compran credenciales de inicio de sesión a organizaciones de otros grupos de ataque, convirtiendo rápidamente lo que parecen ser infecciones de malware de baja prioridad en importantes riesgos comerciales.
Orientación simple y priorizada
También hemos visto que muchas organizaciones todavía luchan por dónde empezar, especialmente las operaciones más pequeñas con personal y experiencia limitados. Creemos que todas las organizaciones deben comenzar con una priorización de esfuerzos simple y directa (tres pasos) y hemos publicado esto, junto con la razón por la que cada prioridad es importante.
Figura 1: Priorización de mitigación recomendada.
Crea instrucciones detalladas
Microsoft también ha descubierto que muchas organizaciones luchan con el siguiente nivel del proceso de planificación. Como resultado, creamos una guía para que seguir estos pasos sea lo más claro y fácil posible. Microsoft ya trabaja con NIST NCCoE en varios esfuerzos, incluido el esfuerzo Zero Trust, que respalda Orden Ejecutiva Presidencial (EO) 14028 sobre Mejora de la Ciberseguridad de la Nación. Agradecemos la oportunidad de realizar cualquier trabajo adicional relacionado con el ransomware al proporcionar una guía aclaratoria utilizando las herramientas y tecnologías que las organizaciones tienen disponibles.
Figura 2: Instrucciones de copia de seguridad segura de Microsoft ransomware operado por humanos página.
Priorización de mitigación recomendada por Microsoft
Según nuestra experiencia con los ataques de ransomware, hemos descubierto que la priorización debe centrarse en estos tres pasos: preparar, limitar y prevenir. Esto puede parecer contradictorio, ya que la mayoría de las personas simplemente quieren evitar un ataque y seguir adelante. Pero la desafortunada verdad es que debemos asumir la violación (un principio clave de Confianza Cero) y enfocarnos en mitigar de manera confiable la mayor parte del daño primero. Esta priorización es fundamental debido a la alta probabilidad de que ocurra el peor de los casos con ransomware. Si bien no es una verdad agradable de aceptar, nos enfrentamos a atacantes humanos creativos y motivados que son expertos en encontrar una forma de controlar los complejos entornos del mundo real en los que operamos. En contra de esa realidad, es importante prepararse para lo peor y establecer marcos para contener y prevenir las habilidades de los atacantes para obtener lo que buscan.
Si bien estas prioridades deben regir qué hacer primero, alentamos a las organizaciones a ejecutar tantos pasos en paralelo como sea posible (incluido sacar victorias rápidas desde el paso tres siempre que pueda).
Paso 1. Prepare un plan de recuperación: recupérese sin pagar
- Qué: Planifique para el peor de los casos y espere que suceda en cualquier nivel de la organización.
- Por qué: Esto ayudará a su organización a:
- Limite el daño para el peor de los casos: Restaurar todos los sistemas a partir de copias de seguridad es muy perjudicial para el negocio, pero sigue siendo más eficiente que intentar realizar una recuperación utilizando herramientas de descifrado de baja calidad proporcionadas por el atacante después de pagar para obtener la clave. Recordar: pagar es un camino incierto; no tiene ninguna garantía de que la clave de los atacantes funcione en todos sus archivos, de que las herramientas funcionen de manera eficaz, o de que el atacante, que puede ser un aficionado que utiliza un conjunto de herramientas de un profesional, actuará de buena fe.
- Limite el retorno financiero para los atacantes: Si una organización puede restaurar las operaciones comerciales sin pagar, el ataque ha fallado efectivamente y ha dado como resultado un retorno de la inversión cero para los atacantes. Esto hace que sea menos probable que apunten a su organización nuevamente en el futuro (y los priva de financiamiento para atacar a otros). Recordar: Los atacantes aún pueden intentar extorsionar a su organización mediante la divulgación de datos o abusando / vendiendo los datos robados, pero esto les da menos influencia que poseer el único medio de acceder a sus datos y sistemas.
- Cómo: Las organizaciones deben asegurarse de que:
- Registrar riesgo. Agregue ransomware al registro de riesgos como un escenario de alta probabilidad y alto impacto. Realice un seguimiento del estado de la mitigación a través de su ciclo de evaluación de Enterprise Risk Management (ERM).
- Defina y respalde los activos comerciales críticos. Realice automáticamente una copia de seguridad de los activos críticos en un horario regular, incluida la copia de seguridad correcta de las dependencias críticas, como Microsoft Active Directory.
- Proteja las copias de seguridad. Para protegerse contra el borrado y el cifrado deliberados, utilice el almacenamiento fuera de línea, el almacenamiento inmutable y / o los pasos fuera de banda (autenticación multifactor o PIN) antes de modificar o borrar las copias de seguridad en línea.
- Pruebe el escenario de ‘recuperación de cero’. Asegúrese de que su continuidad del negocio y recuperación ante desastres (BC / DR) puede hacer que las operaciones comerciales críticas se pongan en línea rápidamente desde la funcionalidad cero (todos los sistemas inactivos). Realice ejercicios de práctica para validar los procesos y procedimientos técnicos de todos los equipos, incluidas las comunicaciones fuera de banda con los empleados y los clientes (suponga que todo el correo electrónico y el chat están inactivos). Importante: Proteja (o imprima) los documentos y sistemas de respaldo necesarios para la recuperación, incluidos los documentos del procedimiento de restauración, las bases de datos de gestión de la configuración (CMDB), los diagramas de red y las instancias de SolarWinds. Los atacantes destruyen regularmente estos documentos.
- Reducir la exposición en las instalaciones. Mueva datos a servicios en la nube con respaldo automático y reversión de autoservicio.
Paso 2. Limite el alcance del daño: proteja los roles privilegiados (comenzando con los administradores de TI)
- Qué: Asegúrese de tener controles sólidos (prevenir, detectar, responder) para cuentas privilegiadas, como administradores de TI y otros roles con control de sistemas críticos para el negocio.
- Por qué: Esto ralentiza o bloquea a los atacantes para que no obtengan acceso completo para robar y cifrar sus recursos. Eliminar la capacidad del atacante para usar cuentas de administración de TI como un acceso directo a los recursos reducirá drásticamente las posibilidades de que tengan éxito en el control de suficientes recursos para impactar su negocio y exigir el pago.
- Cómo: Habilite una mayor seguridad para las cuentas con privilegios: proteja, supervise de cerca y responda rápidamente a los incidentes relacionados con estos roles. Ver Pasos recomendados por Microsoft ese:
- Cubre la seguridad de la sesión de un extremo a otro (incluida la autenticación multifactor para administradores).
- Proteger y monitorear los sistemas de identidad.
- Mitigar el recorrido lateral.
- Promover una respuesta rápida a las amenazas.
Paso 3.Haga que sea más difícil ingresar: elimine los riesgos gradualmente
- Qué: Evite que un atacante de ransomware ingrese a su entorno, así como también responda rápidamente a los incidentes y elimine el acceso de los atacantes antes de que puedan robar y cifrar datos.
- Por qué: Esto hace que los atacantes fallen antes y con más frecuencia, lo que socava sus ganancias. Si bien la prevención es el resultado preferido, es posible que no sea posible lograr una prevención del 100 por ciento y una respuesta rápida en una organización del mundo real con un complejo complejo de múltiples plataformas, múltiples nubes y responsabilidades de TI distribuidas.
- Cómo: Identifique y ejecute victorias rápidas que refuercen los controles de seguridad para evitar la entrada y detectar y desalojar rápidamente a los atacantes, mientras implementa un programa sostenido que lo ayuda a mantenerse seguro. Microsoft recomienda seguir los principios descritos en la estrategia Zero Trust. Contra el ransomware, las organizaciones deben priorizar:
- Mejora de la higiene de la seguridad reduciendo la superficie de ataque y centrándose en la gestión de vulnerabilidades de los activos en su patrimonio.
- Implementación de controles de protección, detección y respuesta para activos digitales, además de brindar visibilidad y alertas sobre la actividad de los atacantes mientras responde a las amenazas activas.
La comida para llevar
Para contrarrestar la amenaza del ransomware, es fundamental identificar, proteger y estar listo para recuperar activos de alto valor, ya sean datos o infraestructura, en el caso probable de un ataque. Esto requiere un esfuerzo sostenido que implica obtener la aceptación del nivel superior de su organización (como la junta) para lograr que las partes interesadas de TI y seguridad trabajen juntas y hagan preguntas matizadas. Por ejemplo, ¿cuáles son las partes críticas del negocio que podrían interrumpirse? ¿Qué activos digitales se asignan a estos segmentos comerciales (archivos, sistemas, bases de datos)? ¿Cómo podemos asegurar estos activos? Este proceso puede ser un desafío, pero ayudará a configurar su organización para realizar cambios impactantes siguiendo los pasos recomendados anteriormente.
Para obtener más información, visite nuestra página en cómo protegerse rápidamente contra ransomware y extorsión.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web. Agregue el blog de seguridad a sus favoritos para mantenerse al día con nuestra cobertura de expertos en asuntos de seguridad. Además, síguenos en @MSFTSeguridad para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Centro Nacional de Excelencia en Ciberseguridad.
2Instituto Nacional de Estándares y Tecnología, Departamento de Comercio de EE. UU.
3Taller virtual sobre prevención y recuperación de ransomware y otros eventos cibernéticos destructivos, Centro Nacional de Excelencia en Ciberseguridad, 14 de julio de 2021.
GIPHY App Key not set. Please check settings