Una guía práctica para CISO sobre almacenamiento y resiliencia de ransomware de copia de seguridad


Una cosa está clara. El “Valor de negocio” de datos sigue creciendo, lo que los convierte en la pieza principal de propiedad intelectual de una organización.

Desde la perspectiva del riesgo cibernético, los ataques a los datos son la amenaza más importante para las organizaciones.

Los reguladores, las empresas de seguros cibernéticos y los auditores están prestando mucha más atención a la integridad, la resiliencia y la capacidad de recuperación de los datos de la organización, así como a la infraestructura y los sistemas de TI que almacenan los datos.

¿Qué impacto tiene esto en la seguridad de los sistemas de respaldo y almacenamiento?

Hace solo unos años, casi ningún CISO pensaba que el almacenamiento y las copias de seguridad eran importantes. Ese ya no es el caso hoy.

El ransomware ha vuelto a colocar la copia de seguridad y la recuperación en la agenda corporativa y de TI.

Los ciberdelincuentes, como Conti, Hive y REvil, son apuntar al almacenamiento y la copia de seguridad sistemas, para evitar la recuperación.

Algunos ransomwares, Locky y Crypto, por ejemplo, ahora eluden los sistemas de producción por completo y apuntan directamente a las copias de seguridad.

Esto ha obligado a las organizaciones a revisar de nuevo los posibles agujeros en sus redes de seguridad mediante la revisión de sus estrategias de almacenamiento, copia de seguridad y recuperación de datos.

Punto de vista del CISO

Para obtener información sobre nuevos métodos de almacenamiento, copia de seguridad y protección de datos, 8 CISO fueron entrevistados. Estas son algunas de esas lecciones.

Fuente: Punto de vista del CISO: El rol siempre cambiante de los datos y las implicaciones para la protección de datos y la seguridad del almacenamiento (Continuidad)

Los CISO están preocupados por el aumento del ransomware, no solo por la proliferación de ataques sino también por su sofisticación: “Los entornos de almacenamiento y copia de seguridad ahora están bajo ataque, ya que los atacantes se dan cuenta de que este es el factor determinante más importante para mostrar si la empresa pagará el rescate.” dice Jorge EapenGroup CIO (y ex CISO) en Petrofac,

Juan Meakinex CISO de GlaxoSmithKline, BP, Standard Chartered y Deutsche Bank cree que “Por importante que sea, el cifrado de datos no es suficiente para proteger los datos centrales de una organización. Si los atacantes logran ingresar a un sistema de almacenamiento (ya que el cifrado de datos por sí solo no les impide hacerlo), pueden causar daños graves al eliminar y comprometer petabytes de datos, ya sea que estén cifrados o no. Esto también incluye las instantáneas y la copia de seguridad.

Sin una estrategia sólida de almacenamiento, respaldo y recuperación de datos, las organizaciones tienen pocas posibilidades de sobrevivir a un ataque de ransomware, incluso si terminan pagando el rescate.

Responsabilidad compartida: CISO frente a proveedor de almacenamiento y copias de seguridad

Si bien los proveedores de almacenamiento y respaldo brindan excelentes herramientas para administrar la disponibilidad y el rendimiento de su infraestructura, no hacen lo mismo con la seguridad y la configuración de esos mismos sistemas.

Algunos proveedores de almacenamiento y respaldo publican guías de mejores prácticas de seguridad. Sin embargo, la implementación y el control de las características y configuraciones de seguridad es responsabilidad del departamento de seguridad de una organización.

Sin embargo, se están llevando a cabo una serie de iniciativas de resiliencia cibernética. Éstas incluyen:

Iniciativas actuales de resiliencia de ransomware para almacenamiento y copia de seguridad:

Copias de datos con espacio de aire

Agregar un espacio de aire significa separar las copias de seguridad de los datos de producción. Esto significa que si se viola el entorno de producción, los atacantes no tienen acceso inmediato a las copias de seguridad.

También puede mantener las cuentas de almacenamiento separadas.

Instantáneas de almacenamiento y replicación

Las instantáneas registran el estado en vivo de un sistema en otra ubicación, ya sea en las instalaciones o en la nube. Por lo tanto, si el ransomware llega al sistema de producción, hay muchas posibilidades de que se replique en la copia.

Almacenamiento y bóveda inmutables

El almacenamiento inmutable es la forma más sencilla de proteger los datos de copia de seguridad. Los datos se almacenan en un estado Write Once Read Many (WORM) y no se pueden eliminar durante un período preestablecido.

Las políticas se establecen en el software de copia de seguridad o en el nivel de almacenamiento y significa que las copias de seguridad no se pueden cambiar ni cifrar.

Si bien la inmutabilidad es útil para remediar las amenazas cibernéticas, ciertamente no es a prueba de balas.

El almacenamiento inmutable puede ser “envenenado”, lo que permite a los piratas informáticos cambiar la configuración de los clientes de respaldo y reemplazar gradualmente los datos almacenados con información sin sentido. Además, una vez que los piratas informáticos obtienen acceso al sistema de almacenamiento, pueden borrar fácilmente las instantáneas.

Gestión de la postura de seguridad del almacenamiento

Las soluciones de administración de la postura de seguridad del almacenamiento lo ayudan a obtener una visión completa de los riesgos de seguridad en sus sistemas de respaldo y almacenamiento. Lo hace escaneando continuamente estos sistemas, para detectar automáticamente configuraciones incorrectas y vulnerabilidades de seguridad.

También prioriza los riesgos en orden de urgencia e impacto en el negocio, y brinda orientación para la remediación.

4 pasos para el éxito

  1. Definir líneas de base de seguridad integrales para todos los componentes de los sistemas de almacenamiento y respaldo (Publicación Especial NIST 800-209; Directrices de seguridad para la infraestructura de almacenamiento proporciona un conjunto completo de recomendaciones para la implementación, configuración y operación seguras de los sistemas de almacenamiento y respaldo)
  2. Utilice la automatización para reducir la exposición al riesgo y permita mucha más agilidad para adaptarse a las prioridades cambiantes. Las soluciones de gestión de la postura de seguridad del almacenamiento (también conocidas como gestión de la vulnerabilidad del almacenamiento) pueden contribuir en gran medida a reducir esta exposición.
  3. Aplique controles mucho más estrictos y pruebas más completas de seguridad de almacenamiento y respaldo, y la capacidad de recuperarse de un ataque. Esto no solo mejorará la confianza, sino que también ayudará a identificar activos de datos clave que podrían no cumplir con el nivel requerido de protección de datos.
  4. Incluya todos los aspectos de la gestión del almacenamiento y las copias de seguridad, incluidos los componentes clave que a menudo se pasan por alto, como los dispositivos de red de canal de fibra, las consolas de gestión, etc.

Publicación Especial NIST 800-209; Directrices de seguridad para la infraestructura de almacenamiento proporciona una descripción general de la evolución de la tecnología de almacenamiento, las amenazas de seguridad recientes y los riesgos que plantean.

Incluye un conjunto integral de recomendaciones para la implementación, configuración y operación seguras de los recursos de almacenamiento. Estos incluyen protección de datos y confidencialidad mediante cifrado, aislamiento y garantía de restauración.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57