Cualquier organización, desde gobiernos locales, proveedores de atención médica o instituciones financieras, hasta pequeñas y medianas empresas, plantas de energía o proveedores de atención médica, se enfrenta Una creciente amenaza de ataques de ransomware.
Las operaciones criminales que han aparecido en las noticias han afectado a las compañías Fortune 500, hospitales e infraestructura crítica, y parece que es solo cuestión de tiempo antes de que su negocio se convierta en la próxima víctima de LockerGoga o SamSam.
Un consenso general sobre la mejor manera de prepararse para el eventual ataque de ransomware parece ser una copia de seguridad segura, regular y actualizada en el sitio y en la nube. Estos deberían ser capaces de generar una actividad comercial en línea con una interrupción mínima, reduciendo el costo del tiempo de inactividad y evitando pagos significativos que incitarían a los delincuentes a continuar con sus actividades.
Об автореTyler Reese es gerente senior de productos para One Identity.
Sin embargo, incluso con las copias de seguridad de actualizaciones, el costo de un compromiso puede ser considerable y el proceso de restauración de las operaciones lleva mucho tiempo. Como lo demuestra la investigación reciente, parece que aumenta el tiempo requerido para la recuperación y el precio a pagar por un ataque exitoso.
En el cuarto trimestre de 2018, las empresas tardaron un promedio de 6.2 días en volver al negocio, en comparación con 7.3 días en el primer trimestre de 2019. Este tiempo de inactividad les cuesta a las empresas más de € 50,000, pero En algunos casos, el costo del tiempo de inactividad puede superar el costo del rescate, lo que hace que sea más rentable para las organizaciones pagar a los delincuentes por recuperar sus datos.
Si pagar un rescate no es una opción o eliminar el malware y la ejecución de un plan de recuperación causa demasiado tiempo de inactividad para que su empresa pueda pagarlo, ¿Cómo puede recuperarse efectivamente de un ataque de ransomware que afecta a su negocio?
La única solución real es prevenir el ataque implementando las medidas de seguridad adecuadas. Esto puede parecer imposible, pero al tomar ciertas medidas, las compañías pueden mejorar significativamente su seguridad, reduciendo así el riesgo de ser víctimas de un ataque de ransomware.
Comprender el progreso de los ataques de ransomware
La primera regla de una estrategia de seguridad efectiva es "conoce a tu enemigo".
El ransomware no es más que un conjunto de ataques de malware destinados a eludir las suites de seguridad de Internet, que a menudo se implementan con una campaña de phishing o phishing destinada a incitar usuarios para hacer clic en un enlace malicioso o descargar un archivo adjunto comprometido.
A menudo, estos correos electrónicos están diseñados para dar la impresión de que provienen de una persona de alto rango en una organización, lo que aumenta la probabilidad de que un empleado abra el mensaje e implemente las acciones que prescribe.
Una vez que han infectado la máquina de un usuario final, estos malware comienzan a buscar información de identificación privilegiada. Esta información de identificación permite a los delincuentes acceder a las áreas más sensibles de la red, lo que les permite obtener datos valiosos y, en última instancia, controlar críticamente toda la red. Infraestructura de TI, al tiempo que les permite bloquear archivos y suspender sus procesos.
En este punto, los cibercriminales simplemente tienen que esperar a que las organizaciones paguen el rescate, conscientes de que cada segundo de tiempo de inactividad da como resultado la pérdida de ingresos.
Proteja sus activos con Privileged Access Management
Si bien la naturaleza destructiva de los ataques de ransomware ha sido ampliamente documentada por la cobertura de algunos de los casos más graves y de alto perfil, es importante recordar que estos programas de malware solo pueden comprometer la parte de la red y los ataques. datos que pueden obtener. acceso a
En pocas palabras, si la información de identificación privilegiada está bien protegida e inaccesible desde la máquina del usuario final, una infección de ransomware permanecerá limitada a esta máquina única, incapaz de propagarse a procesos críticos que causan un colapso operacional si se detiene por un monitoreo adecuado y administración de la red.
Mediante la implementación de procedimientos sólidos de gestión de privilegios de acceso (MAP), las empresas pueden proteger sus joyas de la corona del compromiso incluso en el caso de que un intruso tenga acceso a la red.
Conceptos clave de PAM
Los elementos clave de una estrategia PAM exitosa son:
Operación de una bóveda de contraseñas: las bóvedas de contraseñas generan credenciales de inicio de sesión privilegiadas que son válidas para una sola sesión. Esto significa que no hay información de identificación confidencial para buscar a un intruso, sino que cada acceso se realiza con una contraseña que queda obsoleta tan pronto que la sesión ha terminado.
Monitorear y grabar sesiones privilegiadas: cuando un usuario accede a un área privilegiada de la red, la sesión debe ser monitoreada y registrada. Esto permite que los equipos de seguridad reciban alertas si se detecta un comportamiento sospechoso y la herramienta de monitoreo puede finalizar la sesión de forma remota si se considera que el riesgo está por encima de cierto umbral.
Uso de la biometría del comportamiento: gracias al aprendizaje automático, las herramientas de biometría del comportamiento permiten recopilar marcadores de comportamiento de cada usuario privilegiado, en particular las teclas del teclado y los movimientos del mouse. Estos marcadores se calculan en un perfil de comportamiento actualizado continuamente, que sirve como plantilla para lo que debería ser una actividad normal. De esta forma, se pueden detectar actividades sospechosas de inmediato y se pueden tomar medidas para finalizar la sesión.
Siga el principio de menor privilegio: los usuarios deben poder acceder a la parte más pequeña de la red que necesitan para hacer su trabajo, y nada más. Esto incluye restringir qué usuarios pueden descargar y ejecutar qué software y aplicaciones en sus sistemas.
A medida que la popularidad de los ataques de ransomware continúa creciendo en popularidad, las empresas deben ser proactivas en sus esfuerzos de seguridad. Cada rescate pagado proporciona un incentivo adicional para que los ciberdelincuentes continúen sus operaciones. Es por eso que el esfuerzo para combatir este tipo de ataque debe ser colectivo.
Al comprender el funcionamiento del software de ransomware e implementar los procedimientos PAM apropiados (incluidas las bóvedas de contraseñas, la biometría del comportamiento, la gestión de sesión privilegiada y el privilegio mínimo), todas las empresas pueden contribuir a desactivar estos ataques. obsoleta.
Tyler Reese es gerente senior de productos para One Identity.