En este momento una Pandemia paralela al Covid-19 está en curso. Los afectados se cuentan por miles a nivel mundial, e igual que el virus SARS-Cov2, los sectores que han sido más afectados durante el año 2020 y 2021 es el de la salud, financiero y energía.
No se trata de un virus mutado de murciélago, ni siquiera es un virus, pero si es producido 100% por los seres humanos. Hablaremos de qué es el Ransomware.
Las noticias se suceden una a otra:
- Un ciberataque a la nube de ASAC hace caer los servicios de varios ayuntamientos en España.
- La mayor red de oleoductos de USA es paralizada por un ataque de Ransomware, dejando a 17 estados en estado de emergencia por escases de combustible.
- Los dispositivos NAS de QNAP sufren un ataque masivo de Ransomware, etc.
Nadie está a salvo de ser víctima de un ataque, todos en cualquier parte del mundo, en cualquier momento pueden ser atacados.
Las pérdidas que ocasionan estos ataques se cuentan en miles de millones de dólares, y en la perdida de prestigio y confianza a las compañías que son vulneradas, pudiendo llevarlas a afrontar desde demandas por parte de usuarios afectados por la exposición de su información sensible, o llegar hasta el cierre de la compañía en caso de que no pueda afrontar exitosamente el ataque de Ransomware.
Por lo que te daremos algunos pasos claves para prevenir y afrontar la pesadilla de ser víctima de un Ransomware.
El objetivo del Control A13 de la Norma ISO 27001 es asegurar la Protección de la Información.
La Protección en las Redes informáticas y sus instalaciones de procesamiento de Información de soporte.
Asimismo, mantener la seguridad de la Información transferida dentro de una organización y con cualquier entidad externa.
¿Qué es y cómo funciona el RANSOMWARE?
Es un tipo de “software malicioso” (malware) que tiene como fin secuestrar los datos de un ordenador y pedir un rescate económico para liberarlo.
En términos generales los datos del ordenador atacado son encriptados y/o copiados por los delincuentes, que piden el rescate para entregar la llave para des-encriptar los datos, o bien el pago para no dar a conocer o vender la información sensible que han robado.
Ransomware = Ransom (rescate en ingles) + ware (software).
¿Cómo eliminarlo y evitarlo?
Hay cuatro pasos principales para dar respuesta a incidentes causados por Ransomware, estos pasos son sugeridos por el “NIST”: “National Institute of Standards and Technology” del gobierno de EEUU en su Guía de manejo de incidentes de seguridad informática.
Los pasos en cuestión son:
Paso 1. Preparación.
Paso 2. Detección y análisis.
Paso 3. Contención, erradicación y recuperación.
Paso 4. Actividad posterior al incidente.
En este artículo veremos los puntos principales del Paso 1, y en posteriores veremos los demás.
Paso 1. Preparación y Prevención del RANSOMWARE
Este paso sin lugar a dudas es el más importante de los cuatro. La preparación es indispensable no solo para prevenir una vulneración por el Ransomware, sino también en caso de incidente el poder responder de forma oportuna, precisa y adecuada.
La preparación tiene como objetivo que los sistemas, redes y aplicaciones sean lo más seguros posibles y tener un procedimiento probado en caso de incidencia.
Algunos puntos que debe tener en cuenta en la prevención y preparación contra un ataque de Ransomware son:
Preparación para manejar incidentes.
Comunicaciones e instalaciones del administrador de incidentes. Es necesario tener un procedimiento paso a paso de que hacer en caso de una incidencia de Ransomware. Lista de contactos internos como externos que apoyaran en la incidencia, y que forman parte del equipo de respuesta a incidentes. Procedimientos de notificación a las áreas que corresponden, canales seguros de comunicación (independientes a la red atacada), números de celular o procedimiento para comunicarse con el equipo de respuesta aún en horas de la madrugada, cuarto de guerra donde se coordinaran actividades.
Hardware y software de análisis de incidentes.
Se debe contar con todos los elementos tecnológicos para hacer frente al ataque, o tener póliza de servicio con una compañía especializada en ciberseguridad que pueda bridar todos estos elementos, tales como: Estaciones de trabajo para análisis forense, dispositivos de respaldo para crear imágenes, guardar archivos de bitácoras, para salvar información importante del incidente. Sniffers para analizar el tráfico en la red, software de análisis forense para analizar imágenes de disco. Impresoras portátiles para imprimir bitácoras de sistemas que se desconectaran de la red para evitar la propagación del Ransomware. Accesorios para recopilación de pruebas, cuadernos de pasta dura, cámaras fotográficas, grabadoras de audio, para preservar pruebas que puedan usarse en posibles acciones legales.
Recursos para el análisis de incidentes.
Se debe tener documentados los puertos activos en los firewall y lista de puertos usados por troyanos para el análisis del comportamiento de la red durante el ataque. Documentación de sistemas operativos, aplicaciones, protocolos, configuración de antivirus. Diagramas de red y lista de servidores críticos. Se debe tener documentada la actividad normal o esperada de los sistemas, para compararla con la actividad durante el ataque. Acceso a imágenes limpias de sistemas operativos y aplicaciones con propósito de usarlos para restauración y recuperación de respaldos.
Prevención de incidentes.
Se debe hacer todo lo posible para prevenir los incidentes de Ransomware, existen varias medidas que deben tomarse para ello, aunque esta no es una guía exhaustiva de todas las previsiones que pueden tomarse, si mencionamos varias de las más importantes:
Evaluación de riesgos.
Es necesario realizar periódicamente una evaluación de riesgos de las aplicaciones y sistemas con el fin de mitigar, transferir o aceptar el riesgo mientras se toman las medidas necesarias hasta alcanzar un nivel de riesgo general razonable.
Seguridad de los hosts.
Los servidores deben tener configuraciones estandarizadas para su mejor administración y seguridad, los usuarios deben seguir la política de mínimos privilegios, el monitoreo debe alertar sobre actividad inusual en acceso, uso de CPU, memoria y disco.
Seguridad de la red.
La red perimetral debe de bloquear toda actividad no permitida, bloquear los puertos no necesarios, se recomienda usar VPNs para separar tráfico entre compañías y/o departamentos, el uso de microsegmentación es recomendable para limitar impactos de los ataques.
Prevención de Malware.
Es necesario tener software anti-malware para detectar y detener a los malware, implementado a nivel de servidores, aplicaciones y máquinas de usuario.
Capacitación de usuarios.
Muchos ataques se efectúan por medio de los equipos personales de los usuarios, por lo cual es indispensable que los usuarios sean capacitados y sensibilizados de la importancia de mantener las medidas de seguridad conforme a los estándares de la organización.
Aproximadamente el 74% de las empresas reportaron que tienen implementados filtros de correo, y el 62% IDS (Intrusion Detection System). Sin embargo, no son utilizados de manera adecuada o no están actualizados.
Costos del RANSOMWARE
El costo de no prepararse para un ataque de ransonware puede ser muy superior a la inversión de tiempo, dinero y esfuerzo que implica el tener medidas de prevención y planes adecuados de respuesta ante ataques.
Los ataques de ransonware no solo están poniendo en jaque a usuarios y empresas, sino implican un peligro creciente a nivel de gobiernos llegando a poner en riesgo el bienestar y seguridad física de las personas.
En siguientes artículos veremos los tres pasos adicionales al “Paso 1. Preparación” en respuesta a ataques de Ransomware conforme a las recomendaciones de NIST:
Paso 2. Detección y análisis.
Paso 3. Contención, erradicación y recuperación.
Paso 4. Actividad posterior al incidente.
COSTOS Y recomendaciones
La recomendación es que mantengas un contrato de soporte con el fabricante, que permita las actualizaciones de las aplicaciones de manera regular. Las actualizaciones generalmente están relacionadas a minimizar Riesgos y Vulnerabilidades por medios de parches.
Otra recomendación es acercarte a expertos en Ciberseguridad para realizar pruebas de Penetración y Análisis de Vulnerabilidades. El resultado mostrará aquellos puertos y bugs de software por lo que podría entrar un Cibercriminal.
El beneficio será que con una implementación sólida y con el asesoramiento de nuestros SOCIOS TECNOLÓGICOS CONSULTORES expertos del tema, además de reforzar y mejorar el control de acceso, y por lo tanto la seguridad de la información, se avanza en el camino del cumplimiento de la norma ISO 27001 y el Control de Seguridad A13.
Te proponemos realices un diagnóstico del estado de madurez de la Seguridad de la Información en tu Organización por medio de un cuestionario ISO 27001 en línea. Te sorprenderán los resultados.
0 comentarios