Cómo prevenir ataques de ransomware: 9 cosas principales a tener en cuenta

Los ataques de ransomware se han convertido en un problema masivo para casi todas las industrias y todos los tamaños de organización.

Durante el último año, los delincuentes han atacado escuelas, agencias de transporte, organizaciones de atención médica, juicios médicos y más.

¿Qué es un ataque de ransomware?

El ransomware es un tipo específico de malware que retiene datos a cambio de un rescate. Como metodología de ataque, tiene el potencial de causar daños graves.

Los correos electrónicos de phishing son un método de entrega común, pero el ransomware también se puede propagar a través de descargas no autorizadas, que es cuando un usuario visita un sitio web que está infectado. Los ataques avanzados tardan unos segundos en comprometer los puntos finales, y los ataques de ransomware tardan unos segundos en dañar sus sistemas e infraestructura. Por eso es fundamental asegurarse de que su organización esté preparada. A medida que los ataques aumentan en sofisticación, el impacto del ransomware va más allá de las pérdidas financieras y la pérdida de productividad asociada con la caída de los sistemas.

Los intentos de ataques y violaciones de datos son inevitables, y ninguna organización quiere verse obligada a decidir entre pagar un rescate o perder datos importantes. Afortunadamente, esas no son las únicas dos opciones. La mejor opción es evitar verse obligado a tomar esa decisión en primer lugar. Este enfoque requiere un modelo de seguridad por capas que incluya controles de red, endpoint, aplicaciones y centros de datos impulsados ​​por inteligencia proactiva sobre amenazas globales. Con eso en mente, aquí hay nueve cosas a considerar para darle a su organización la mejor oportunidad de evitar ataques de ransomware.

Nueve cosas principales a tener en cuenta para evitar ataques de ransomware

1. Seguridad de la puerta de enlace de correo electrónico y espacio aislado

El correo electrónico es uno de los vectores de ataque más populares para los actores de amenazas. Una solución de puerta de enlace de correo electrónico segura proporciona una protección avanzada de varios niveles contra todo el espectro de amenazas transmitidas por el correo electrónico. El sandboxing proporciona una capa adicional de protección. Cualquier correo electrónico que pase el filtro de correo electrónico y aún contenga enlaces, remitentes o tipos de archivo desconocidos se puede probar antes de que llegue a su red o servidor de correo.

2. Seguridad de aplicaciones web / tecnología de cortafuegos

Un firewall de aplicaciones web (WAF) ayuda a proteger las aplicaciones web al filtrar y monitorear el tráfico HTTP hacia y desde un servicio web. Es un elemento de seguridad clave porque actúa como la primera línea de defensa contra los ciberataques. A medida que las organizaciones ejecutan nuevas iniciativas digitales, a menudo amplían la superficie de ataque al mismo tiempo. Las nuevas aplicaciones web y las interfaces de programación de aplicaciones (API) pueden estar expuestas a tráfico peligroso debido a vulnerabilidades del servidor web, complementos del servidor u otros problemas. Un WAF ayuda a mantener seguras estas aplicaciones y el contenido al que acceden.

3. Intercambio de inteligencia sobre amenazas

Las organizaciones deben tener inteligencia procesable en tiempo real para ayudar a mitigar amenazas invisibles como FortiGuard Labs . La información debe compartirse entre las diferentes capas de seguridad y productos dentro de su entorno para proporcionar una defensa proactiva. Además, este intercambio de información debe extenderse a la comunidad de seguridad cibernética más amplia fuera de su organización, como los equipos de respuesta ante emergencias informáticas (CERT), los centros de análisis e intercambio de información (ISAC) y las coaliciones de la industria como Cyber ​​Threat Alliance. El intercambio rápido es la mejor manera de responder rápidamente a los ataques y romper la cadena de muerte cibernética antes de que mute o se propague a otros sistemas u organizaciones.

4. Protección de dispositivos terminales

Las tecnologías antivirus tradicionales no siempre hacen un buen trabajo y, a medida que las amenazas continúan evolucionando, normalmente no pueden mantenerse al día. Las organizaciones deben asegurarse de proteger adecuadamente los dispositivos de punto final mediante una solución de detección y respuesta de punto final ( EDR ) y otras tecnologías.

En el entorno actual de amenazas, los ataques avanzados pueden tardar minutos o segundos en comprometer los puntos finales. Las herramientas de EDR de primera generación simplemente no pueden mantenerse al día porque requieren respuestas y clasificación manual. No solo son demasiado lentos para las amenazas ultrarrápidas de la actualidad, sino que también generan un volumen masivo de alarmas que sobrecargan a los equipos de ciberseguridad que ya están sobrecargados de trabajo. Además, las herramientas de seguridad de EDR heredadas pueden aumentar el costo de las operaciones de seguridad y ralentizar los procesos y las capacidades de la red, lo que puede tener un impacto negativo en el negocio.

Por el contrario, las soluciones EDR de próxima generación brindan inteligencia, visibilidad, análisis, administración y protección avanzados sobre amenazas en tiempo real para los endpoints, tanto antes como después de la infección para proteger contra el ransomware. Estas soluciones EDR pueden detectar y desactivar amenazas potenciales en tiempo real para reducir proactivamente la superficie de ataque y ayudar a prevenir la infección de malware y automatizar los procedimientos de respuesta y corrección con guías personalizables.

5. Copias de seguridad de datos y respuesta a incidentes

Su organización debería poder realizar copias de seguridad de todos sus sistemas y datos y almacenarlos fuera de la red. Estas copias de seguridad también deben probarse para asegurarse de que pueda recuperarse correctamente.

Toda organización debe tener un plan de respuesta a incidentes para garantizar que su empresa esté preparada si se ve afectado por un ataque de ransomware exitoso. Las personas deben tener asignadas tareas específicas con anticipación. Por ejemplo, ¿con quién se comunicará para obtener ayuda con el análisis forense? ¿Tiene expertos disponibles para ayudarlo a restaurar sistemas? También debe realizar ejercicios de forma regular, con especial atención a cómo se recuperará de un ataque de ransomware.

6. Implementación de confianza cero

El modelo de seguridad de confianza cero asume que cualquier persona o cualquier cosa que intente conectarse a la red es una amenaza potencial. Esta filosofía de seguridad de la red establece que no se debe confiar en nadie dentro o fuera de la red a menos que se haya verificado minuciosamente su identificación. La confianza cero reconoce que las amenazas tanto dentro como fuera de la red son un factor omnipresente. Estas suposiciones informan el pensamiento de los administradores de red, obligándolos a diseñar medidas de seguridad estrictas y sin confianza.

Con un enfoque de confianza cero , cada individuo o dispositivo que intente acceder a la red o aplicación debe someterse a una estricta verificación de identidad antes de que se le otorgue el acceso. Esta verificación utiliza autenticación multifactor (MFA) y requiere que los usuarios proporcionen múltiples credenciales antes de que se les conceda acceso. La confianza cero también incluye el control de acceso a la red (NAC), que se utiliza para restringir el acceso de usuarios y dispositivos no autorizados a una red corporativa o privada. Garantiza que solo los usuarios que estén autenticados y solo los dispositivos autorizados y que cumplan con las políticas de seguridad puedan ingresar a la red.

7. Cortafuegos y segmentación de la red

La segmentación de la red es cada vez más importante a medida que aumenta la adopción de la nube, especialmente en entornos de nubes múltiples e híbridas. Con la segmentación de la red, las organizaciones dividen su red de acuerdo con las necesidades comerciales y otorgan acceso de acuerdo con el rol y el estado de confianza actual. Cada solicitud de red se inspecciona de acuerdo con el estado de confianza actual del solicitante. Esto es extremadamente beneficioso para evitar el movimiento lateral de amenazas dentro de la red, si de hecho ingresan a la red.

8. La formación de los usuarios y una buena higiene cibernética son fundamentales

Los seres humanos deben estar en el centro de cualquier estrategia de ciberseguridad. Según el Informe de Investigaciones de Violación de Datos de Verizon de 2021 , el 85% de las filtraciones de datos involucran la interacción humana. Puede tener todas las soluciones de seguridad del mundo, pero si ha pasado por alto la formación de sus empleados en conciencia cibernética, nunca estará realmente seguro. Asegúrese de que todos sus empleados reciban una formación sustancial sobre cómo detectar y denunciar actividades cibernéticas sospechosas, mantener la higiene cibernética y proteger sus dispositivos personales y redes domésticas. Los empleados deben recibir capacitación cuando son contratados y periódicamente a lo largo de su mandato, para que la información se mantenga actualizada y en primer lugar. La capacitación también debe mantenerse actualizada e incluir cualquier nuevo protocolo de seguridad que deba implementarse.

Educar a las personas, especialmente a los trabajadores remotos, sobre cómo mantener la distancia cibernética, desconfiar de las solicitudes sospechosas e implementar herramientas y protocolos de seguridad básicos puede ayudar a los CISO a construir una línea de base de defensa en el borde más vulnerable de su red y ayudar a mantener seguros los recursos digitales críticos. .

Las organizaciones también deben practicar una buena higiene cibernética básica para garantizar que todos los sistemas estén correctamente actualizados y parcheados.

9. Tecnología de engaño

Las organizaciones también deben estar al tanto de la tecnología de engaño. Aunque no es una estrategia primaria de ciberseguridad, las soluciones de engaño pueden ayudar a proteger los sistemas si, a pesar de todas las demás estrategias de ciberseguridad que tiene, los malos actores todavía encuentran una manera de entrar.

Con la tecnología de engaño, los señuelos imitan los servidores, las aplicaciones y los datos reales, de modo que se engaña a los malos actores para que crean que se han infiltrado y obtenido acceso a los activos más importantes de la empresa cuando en realidad no lo han hecho. Este enfoque se puede utilizar para minimizar los daños y proteger los verdaderos activos de una organización. Además, la tecnología de engaño puede acelerar el tiempo promedio para descubrir y abordar las amenazas.

¿Está completamente equipado para evitar un ataque de ransomware?

Los ataques de ransomware están en todas partes. El tamaño de la empresa y la industria ya no importan, ya que los delincuentes buscan un punto de entrada fácil a la red. El cambio global hacia el trabajo remoto ha creado un mayor riesgo de explotación para los malos actores, y están aprovechando al máximo su momento. Según el Informe del panorama de amenazas globales de Fortinet , a fines de 2020, había hasta 17.200 dispositivos que informaban ransomware cada día.

Sin embargo, las organizaciones no están indefensas. Es posible que deban reconsiderarse y reorganizarse, pero hay herramientas disponibles que pueden brindar una protección significativa contra los ataques de ransomware. Evalúe estas nueve recomendaciones y considere lo que podría necesitar hacer de manera diferente para brindar a su organización la mejor oportunidad posible de vencer esta importante amenaza.

Obtenga más información sobre la organización de inteligencia e investigación de amenazas FortiGuard Labs de Fortinet y la cartera de servicios y suscripciones de seguridad de FortiGuard .

Contáctamos +(33) 35 87 59 13 y 14 contacto@sctelecom.com.mx Sobre SCtelecom

SCtelecom es una empresa de tecnologías de información (TI) con más de 17 años de experiencia, abordando proyectos y soluciones específicas para cada uno de sus clientes Fortinet Mexico | Fortinet Guadalajara | Distribuidor Fortinet | Partner Fortinet