Los ataques de ransomware siguen aumentando en volumen e impacto en gran parte debido a los débiles controles de seguridad de las organizaciones. Las empresas del mercado medio son el objetivo porque poseen una cantidad significativa de datos valiosos pero carecen del nivel de controles de protección y personal de las organizaciones más grandes.
Según una encuesta reciente de RSM, el 62 % de las empresas medianas creen que corren el riesgo de sufrir ransomware en los próximos 12 meses. El sentimiento de los líderes de seguridad cibernética se encuentra en algún lugar del espectro entre “lo más importante” y “esto me da migrañas graves”.
Dado que el ransomware sigue siendo la forma preferida de los actores para monetizar su acceso, existe una gran necesidad de comprender los niveles de preparación de la organización e identificar y remediar las brechas antes de que un atacante pueda explotarlas.
Los equipos de ciberseguridad Lean pueden medir rápidamente su preparación para el ransomware siguiendo el marco NIST CSF y preguntándose: “¿Tenemos algo como esto en su lugar?” para cada una de las funciones principales: “Identificar,”https://thehackernews.com/2022/12/”Proteger,”https://thehackernews.com/2022/12/”Detectar,”https://thehackernews.com /2022/12/”Responder” y “Recuperar”:
Identificar
La gestión de activos es el proceso de saber cuáles son todos los activos críticos de su organización, dónde están ubicados, quién los posee y quién tiene acceso a ellos. Los datos deben clasificarse para que se pueda controlar el acceso, y la empresa se beneficia al garantizar la integridad de los datos. Una organización solo necesita proteger la confidencialidad de algunos de sus datos en función de su clasificación. Los controles que aseguran la utilidad y la autenticidad de los datos aportan un valor real a la organización.
Proteger
La identidad es una forma de datos que define la relación entre una persona y una organización. Se verifica a través de credenciales (nombre de usuario y contraseña) y, cuando se ve comprometida, un evento de seguridad se convierte en un incidente. Por ejemplo, el uso de credenciales filtradas permite a los actores de amenazas instalar ransomware en sus computadoras. Según el Informe de Microsoft Defender 2022, seguir el 98 % de la higiene de seguridad básica, como la autenticación multifactor (MFA), aplicar los principios de confianza cero, mantener el software actualizado y usar antimalware de detección y respuesta extendida aún protege contra el 98 % de los ataques
Otro aspecto clave de la protección de identidades es la capacitación de concientización: ayudar a un empleado a reconocer un archivo adjunto o enlace malicioso. Cuando se trata de simulaciones de incumplimiento, es importante recompensar a los empleados que lo hicieron bien en lugar de penalizar a los que no lo hicieron. Realizadas incorrectamente, las simulaciones de brechas pueden afectar gravemente la confianza de los empleados en su organización.
Una buena seguridad de datos puede proteger sus datos del ransomware y permitirle recuperarse de un ataque. Esto significa contar con gestión de acceso, encriptación y copias de seguridad. Aunque esto suena básico, muchas organizaciones se quedan cortas en al menos uno o dos de los anteriores. Otros controles que se incluyen en la función “Proteger” de NIST CSF son la gestión de vulnerabilidades, el filtrado de URL, el filtrado de correo electrónico y la restricción del uso de privilegios elevados.
La restricción de las instalaciones de software es esencial: si no puede instalar software, no puede instalar ransomware. Sin embargo, algunos ransomware pueden explotar con éxito las vulnerabilidades existentes que permiten una elevación de privilegios, sin pasar por el control de instalación restringido.
Lo que nos lleva al siguiente control bajo la función “Proteger” de NIST CSF: control de políticas. El software de cumplimiento de políticas puede reducir la cantidad de personal necesario para implementar controles, como restringir el uso y la instalación solo a software autorizado o restringir el uso de privilegios elevados.
Detectar
Las tecnologías que abordan los requisitos de los controles bajo esta función realmente pueden marcar la diferencia, pero solo si van acompañadas de un elemento humano. Muchos acrónimos aquí: Análisis de comportamiento de usuarios y entidades (UEBA), Administración de registros centralizados (CLM), Inteligencia de amenazas (TI) y EDR/XDR/MDR.
Un buen UEBA detecta fácilmente el ransomware porque hace cosas que ningún buen software hace. Esta tecnología solo puede detectar ransomware, no puede prevenirlo ni detenerlo. La prevención requiere otro software, como prevención de phishing, monitoreo continuo de seguridad y EDR/XDR/MDR. Según el informe Cost of a Breach 2022 de IBM, las organizaciones con tecnologías XDR identificaron y contuvieron una brecha 29 días más rápido que aquellas sin XDR. Además, las organizaciones con XDR experimentaron una reducción del 9,2 % en el costo de una infracción, lo que puede parecer una pequeña mejora, pero con un costo promedio de una infracción de USD 4,5 millones, esto representa un ahorro de casi medio millón de USD.
Responder
Independientemente de cuán buenos sean los controles y las herramientas de la organización, siempre habrá algo que requiera una respuesta humana. Tener un plan y probarlo reduce drásticamente el costo de la infracción, en un promedio de USD 2,66 millones, según el informe.
Los controles adicionales pueden maximizar su preparación para el ransomware: tener plantillas de comunicación (para garantizar que el equipo sepa qué, cómo y a quién contactar durante un incidente), realizar análisis de eventos obligatorios e implementar la tecnología de Orquestación, Automatización y Respuesta de Seguridad (SOAR) como un producto separado o una parte nativa de una solución XDR.
Recuperar
Tener un plan de recuperación, copias de seguridad inmutables en la nube y un plan de comunicación de incidentes son los tres controles clave para maximizar la preparación de ransomware de su organización.
Un plan de recuperación para ransomware debe incluir los medios para recuperar datos cifrados, restablecer los sistemas operativos y restaurar la confianza del cliente en caso de una infracción.
El ransomware funciona impidiendo el acceso a los datos. Si esos datos se pueden restaurar desde un dispositivo no infectado por el ransomware (copia de seguridad inmutable), entonces el camino hacia la recuperación puede ser rápido y relativamente gratuito. Según el informe de Microsoft Defender 2022, el 44 % de las organizaciones afectadas por ransomware no tenían copias de seguridad inmutables.
Un plan de comunicación de incidentes mejora la capacidad de respuesta de la organización y minimiza el daño a la reputación al proporcionar mecanismos para alertar y coordinar rápidamente a las partes interesadas internas y externas mientras se monitorea el sentimiento del cliente.
Para ayudar a los líderes de seguridad cibernética a desarrollar resiliencia al ransomware, Cynet ofrece una solución rápida y Evaluación de preparación de ransomware basada en NIST junto con una inmersión más profunda en las funciones principales.