Las empresas modernas de hoy se basan en datos, que ahora residen en innumerables aplicaciones en la nube. Por lo tanto prevenir la p\u00e9rdida de datos<\/a> es esencial para su \u00e9xito. Esto es especialmente cr\u00edtico para mitigar los crecientes ataques de ransomware, una amenaza que El 57% de los l\u00edderes de seguridad esperan verse comprometidos dentro del pr\u00f3ximo a\u00f1o.<\/a>. <\/p>\n Como las organizaciones contin\u00faan evolucionando, a su vez tambi\u00e9n lo hace el ransomware<\/a>. Para ayudarlo a mantenerse a la vanguardia, el director de estrategia de Lookout, Aaron Cockerill, se reuni\u00f3 con la asesora en jefe de seguridad de Microsoft, Sarah Armstrong-Smith, para analizar c\u00f3mo trabajo remoto<\/a> y la nube han hecho que sea m\u00e1s dif\u00edcil detectar un ataque de ransomware, as\u00ed como tambi\u00e9n c\u00f3mo la implementaci\u00f3n de la detecci\u00f3n basada en anomal\u00edas de comportamiento puede ayudar a mitigar el riesgo de ransomware. Accede a la entrevista completa<\/a>. <\/p>\n Aar\u00f3n Cockerill:<\/strong> Siento que la forma en que operan las empresas modernas, que incluye una combinaci\u00f3n de tecnolog\u00edas, ha permitido que prospere el ransomware. Habiendo experimentado este tipo de ataque en mis roles anteriores, s\u00e9 cu\u00e1ntos CISO se sienten por ah\u00ed. El instinto humano es pagar el rescate. \u00bfQu\u00e9 tendencias est\u00e1s viendo?<\/p>\n Sarah Armstrong-Smith:<\/strong> Es bastante interesante pensar en c\u00f3mo ha evolucionado el ransomware. Creemos que estos ataques son realmente sofisticados. La realidad es que los atacantes prefieren lo probado y probado: favorecen el robo de credenciales, el rociado de contrase\u00f1as, escanean la red, compran credenciales de la web oscura, usan kits de ransomware. <\/p>\n Entonces, en muchos sentidos, las cosas no han cambiado. Est\u00e1n buscando cualquier forma de entrar en su red. Entonces, aunque hablamos de que los ataques cibern\u00e9ticos se vuelven sofisticados, ese punto de entrada inicial realmente no es lo que distingue a los operadores de ransomware, es lo que sucede a continuaci\u00f3n. <\/p>\n Todo se debe a esa persistencia y paciencia. La tendencia creciente es que los atacantes entienden muy bien la infraestructura de TI. Por ejemplo, muchas empresas ejecutan m\u00e1quinas con Windows o Linux o tienen entidades locales. Tambi\u00e9n pueden estar utilizando servicios en la nube o plataformas en la nube u otros puntos finales. Los atacantes entienden todo eso. Para que puedan desarrollar malware que siga esos patrones de infraestructura de TI. Y en esencia, ah\u00ed es donde est\u00e1n evolucionando, se est\u00e1n volviendo sabios con nuestras defensas. <\/p>\n Aar\u00f3n: <\/strong>Una evoluci\u00f3n que hemos presenciado es el robo de datos y luego amenazar con hacerlos p\u00fablicos. \u00bfEst\u00e1s viendo lo mismo?<\/p>\n Sara<\/strong>: Si absolutamente. A eso lo llamamos doble extorsi\u00f3n. Entonces, parte de la extorsi\u00f3n inicial podr\u00eda ser sobre el cifrado de su red y tratar de recuperar una clave de descifrado. La segunda parte de la extorsi\u00f3n se trata realmente de que usted tenga que pagar otra cantidad de dinero para tratar de recuperar sus datos o para que no se divulguen. Debe asumir que sus datos se han ido. Es muy probable que ya se haya vendido y ya est\u00e9 en la dark web. <\/p>\n Aar\u00f3n: <\/strong>\u00bfCu\u00e1les cree que son algunos de los mitos comunes asociados con el ransomware?<\/p>\n Sara: <\/strong>Existe la idea err\u00f3nea de que si paga el rescate, recuperar\u00e1 sus servicios m\u00e1s r\u00e1pido. La realidad es bastante diferente. <\/p>\n Tenemos que asumir que los operadores de ransomware ven esto como una empresa. Y, por supuesto, la expectativa es que si paga el rescate, recibir\u00e1 una clave de descifrado. La realidad es que solo el 65% de las organizaciones realmente recuperan sus datos. Y no es una varita m\u00e1gica. <\/p>\n Incluso si recibiera una clave de descifrado, tienen bastantes errores. Y ciertamente no va a abrir todo. A menudo, a\u00fan tiene que revisar archivo por archivo y es incre\u00edblemente laborioso. Muchos de esos archivos se corromper\u00e1n potencialmente. Tambi\u00e9n es m\u00e1s probable que esos archivos grandes y cr\u00edticos en los que conf\u00eda sean los que no podr\u00e1 descifrar. <\/p>\n Aar\u00f3n:<\/strong> \u00bfPor qu\u00e9 el ransomware sigue afectando tanto a las empresas? Parece que hemos estado hablando de los m\u00e9todos que utilizan los atacantes para lanzar estos ataques, como el phishing y el compromiso del correo electr\u00f3nico comercial, as\u00ed como tambi\u00e9n la prevenci\u00f3n de la exfiltraci\u00f3n de datos y la aplicaci\u00f3n de parches a los servidores para siempre. \u00bfPor qu\u00e9 el ransomware sigue siendo un problema tan grande? \u00bfY qu\u00e9 podemos hacer para prevenirlo?<\/p>\n Sara<\/strong>: Ransomware se ejecuta como una empresa. Cuanta m\u00e1s gente pague, m\u00e1s actores de amenazas van a hacer rescates. Creo que ese es el desaf\u00edo. Siempre que alguien en alg\u00fan lugar pague, hay un retorno de la inversi\u00f3n para el atacante. <\/p>\n Ahora la diferencia es cu\u00e1nto tiempo y paciencia tiene el atacante. Particularmente algunos de los m\u00e1s grandes, tendr\u00e1n persistencia, y tendr\u00e1n voluntad y ganas de seguir movi\u00e9ndose por la red. Es m\u00e1s probable que usen secuencias de comandos, malware diferente, y est\u00e1n buscando esa elevaci\u00f3n de privilegios para poder filtrar datos. Permanecer\u00e1n en su red por m\u00e1s tiempo. <\/p>\n Pero el defecto com\u00fan, si se quiere, es que el atacante cuenta con que nadie est\u00e9 mirando. Sabemos que a veces los atacantes permanecen en la red durante meses. Entonces, en el punto en que se encript\u00f3 la red o se exfiltraron los datos, es demasiado tarde para usted. El incidente real comenz\u00f3 hace semanas, meses o hace mucho tiempo. <\/p>\n Eso se debe a que est\u00e1n aprendiendo nuestras defensas: “\u00bfalguien se dar\u00e1 cuenta si elevo el privilegio, si empiezo a filtrar algunos datos? Y suponiendo que me noten, \u00bfalguien puede responder a tiempo?” Estos atacantes han hecho su tarea, y en el momento en que piden alg\u00fan tipo de extorsi\u00f3n o demanda, han realizado una gran cantidad de actividad. Para los operadores de ransomware m\u00e1s grandes, existe un retorno de la inversi\u00f3n. As\u00ed que est\u00e1n dispuestos a dedicar tiempo y esfuerzo porque creen que van a recuperar eso.<\/p>\n Aar\u00f3n: <\/strong>hay un interesante art\u00edculo escrito por Gartner<\/a> sobre c\u00f3mo detectar y prevenir ransomware. Dice que el mejor punto para detectar ataques es en la etapa de movimiento lateral, donde un atacante busca exploits para pivotar o activos m\u00e1s valiosos para robar.<\/p>\n Creo que ese es uno de los desaf\u00edos m\u00e1s fundamentales que tenemos. Sabemos qu\u00e9 hacer para mitigar el riesgo<\/a> de phishing, aunque eso siempre ser\u00e1 un problema porque hay un elemento humano en ello. Pero una vez que obtienen ese acceso inicial, obtienen un RDP (Protocolo de escritorio remoto), o credenciales para el servidor o lo que sea, y luego pueden comenzar ese movimiento lateral. \u00bfQu\u00e9 hacemos para detectar eso? Parece que esa es la mayor oportunidad para la detecci\u00f3n.<\/p>\n Escuchar a la entrevista completa<\/a> para escuchar los pensamientos de Sarah sobre la mejor manera de detectar un ataque de ransomware. <\/p>\n El primer paso para asegurar los datos es saber qu\u00e9 est\u00e1 pasando. Es dif\u00edcil ver los riesgos a los que se enfrenta cuando sus usuarios est\u00e1n en todas partes y utilizan redes y dispositivos que no controla para acceder a datos confidenciales en la nube.<\/p>\n Elimina las conjeturas<\/a> al obtener visibilidad de lo que sucede, tanto en puntos finales administrados como no administrados, en la nube y en cualquier lugar intermedio. P\u00f3ngase en contacto con Lookout hoy<\/a>.<\/p>\n <\/p>\n<\/div>\n