Cómo proteger sus datos cuando ataca el ransomware


Secuestro de datos no es un nuevo vector de ataque. De hecho, el primer malware de este tipo apareció hace más de 30 años y se distribuía en disquetes de 5,25 pulgadas. Para pagar el rescate, la víctima tuvo que enviar el dinero por correo a un apartado de correos en Panamá.

Avance rápido hasta hoy, los kits asequibles de ransomware-as-a-service (RaaS) están disponibles en la web oscura para que cualquiera los compre e implemente, y los atacantes tienen una cantidad infinita de canales disponibles para infiltrarse en las organizaciones como resultado de la dependencia de la nube. y tecnologías móviles.

Iniciar un ataque de ransomware se trata de obtener acceso discretamente. Y como los empleados ahora pueden acceder a sus datos desde cualquier lugar, ha perdido visibilidad sobre cómo lo hacen. Para protegerse contra estos ataques, no solo está buscando malware, necesita información continua sobre sus usuarios, los puntos finales que usan y las aplicaciones y los datos a los que acceden.

Estar atentolíder en seguridad de punto final a la nube, ha publicado una infografía interactiva para ayudarlo a visualizar cómo ocurre un ataque de ransomware y comprender cómo proteger sus datos. Lookout usará este blog para configurar 1) el clima que resultó en $ 20 mil millones de dólares en pagos de rescate en 2021y 2) cómo puede proteger su organización de estas amenazas constantes.

Trabajar desde cualquier lugar mejora tanto la productividad como la infiltración de atacantes

Si bien el malware real utilizado para mantener sus datos como rehenes se llama “ransomware”, no es en lo que debe concentrarse. Antes de que se implemente algo, los atacantes necesitan acceder a su infraestructura.

Hoy en día, los usuarios acceden a los datos mediante redes que no controla y dispositivos que no administra, lo que hace que las medidas de seguridad locales que tenía se vuelvan obsoletas.

Esto significa que los actores de amenazas pueden lanzar ataques de phishing para comprometer las credenciales de los usuarios o explotar una aplicación vulnerable con pocas consecuencias. Y una vez que están dentro de su infraestructura, implementan rápidamente malware para crear puertas traseras persistentes que les permiten entrar y salir cuando les plazca. Si aumentan los privilegios, se vuelve casi imposible evitar que se muevan lateralmente y tomen sus datos como rehenes.

Paso a paso: cómo protegerse contra el ransomware

Hay una serie de pasos que suceden entre que un atacante accede a su infraestructura y solicita un rescate. Estos pasos se describen en el infografía de la anatomía de un ataque de ransomware y aquí hay un resumen de alto nivel de lo que sucede y cómo puede proteger su organización.

1: Bloquee los ataques de phishing y encubra las aplicaciones habilitadas para la web

    Una de las formas más fáciles en que los atacantes obtienen acceso es tomando el control de una cuenta de usuario al comprometer las credenciales con ataques de phishing. Es fundamental poder inspeccionar el tráfico web en cualquier dispositivo para evitar que estos ataques afecten tanto a PC como a usuarios móviles. Esto garantizará que los operadores de ransomware no puedan iniciar sus ataques comprometiendo cuentas.

    Los actores de amenazas también rastrearán la web para encontrar infraestructura expuesta a Internet vulnerable o expuesta para explotar. Muchas organizaciones tienen aplicaciones o servidores expuestos a la web para habilitar el acceso remoto, pero esto significa que los atacantes pueden encontrarlos y buscar vulnerabilidades. Ocultar estas aplicaciones del descubrimiento es una táctica de defensa clave. Esto lo ayuda a alejarse del acceso desenfrenado que brindan las VPN y asegurarse de que solo los usuarios autorizados accedan a los datos que necesitan.

    2 — Detectar y responder a comportamientos anómalos

      Si los atacantes logran ingresar a su infraestructura, comenzarán a moverse lateralmente para realizar un reconocimiento. Esto es para encontrar vulnerabilidades adicionales con el objetivo final de descubrir datos confidenciales. Algunos de los pasos que podrían tomar incluyen cambiar su configuración para reducir los permisos de seguridad, filtrar datos y cargar malware.

      Es posible que algunos de estos pasos no sean un comportamiento totalmente malicioso, pero pueden considerarse un comportamiento anómalo. Aquí es donde la comprensión del comportamiento del usuario y del dispositivo y la segmentación del acceso a nivel de aplicación se vuelven esenciales. Para detener el movimiento lateral, debe asegurarse de que ningún usuario tenga acceso libre a su infraestructura y que no esté actuando de manera malintencionada. También es crucial poder detectar privilegios excesivos o mal configurados para que pueda evitar cambios en su aplicación y en la postura de la nube.

      3: inutilice los datos para pedir rescate con encriptación proactiva

        El paso final de un ataque de ransomware es mantener sus datos como rehenes. Además de cifrar los datos y bloquear a sus administradores, el atacante también podría filtrar algunos datos para usarlos como ventaja, luego eliminar o cifrar lo que queda en su infraestructura.

        La exfiltración y el impacto suelen ser cuando el atacante finalmente revela su presencia. Los cambios que realicen en los datos, independientemente de si están en reposo o en movimiento, harán saltar las alarmas y exigirán pagos. Sin embargo, puede hacer que todos sus esfuerzos sean en vano si su plataforma de seguridad cifra los datos de manera proactiva y los vuelve absolutamente inútiles para el atacante. El cifrado es una parte fundamental de cualquier prevención de pérdida de datos (DLP) y activarla a partir de políticas de protección de datos contextuales puede ayudarlo a proteger sus datos más confidenciales contra riesgos.

        Protección contra ransomware: productos puntuales frente a una plataforma unificada

        Un ataque de ransomware no es solo un evento único; es una amenaza persistente. Para proteger su organización, necesita una imagen completa de lo que sucede con sus terminales, usuarios, aplicaciones y datos. Esto garantiza que pueda bloquear ataques de phishing, encubrir aplicaciones web, detectar y responder a movimientos laterales y proteger sus datos incluso si se filtran y se retienen para pedir un rescate.

        Históricamente, las organizaciones han comprado nuevas herramientas para mitigar nuevos problemas. Pero este tipo de enfoque no funcionará con amenazas como el ransomware. Si bien puede tener algo de telemetría sobre la actividad de acceso de sus usuarios, el estado de su dispositivo corporativo y cómo se manejan sus datos, su equipo de seguridad tendrá que administrar varias consolas que no funcionan entre sí.

        Lookout entiende la necesidad de un enfoque de plataforma y ha creado un Plataforma de servicio de seguridad perimetral (SSE) que incluye DLP, Análisis de comportamiento de usuarios y entidades (UEBA) y Gestión de derechos digitales empresariales (EDRM).

        Con una plataforma que proporciona información integrada sobre todo lo que sucede dentro de su organización, le permitimos proteger los datos confidenciales sin obstaculizar la productividad. La plataforma SSE de Lookout fue recientemente nombrada Visionaria por el Cuadrante Mágico de Gartner 2022 para SSE. Lookout también se ubicó entre los tres primeros en todos los casos de uso de SSE en el Capacidades críticas de Gartner para 2022 para SSE.

        Para obtener más información sobre las lecciones clave que puede aprender de los grandes ataques de ransomware en 2021 y cómo proteger sus datos confidenciales, descargue la última versión de Lookout. guía sobre ransomware.



        ttn-es-57