Prevenir, contener, recuperar:una guía de preparación de ransomware para cadenas de suministro

El ransomware ha sido una prioridad para muchos de nosotros en la industria de la ciberseguridad, ya que hemos visto un número creciente de ataques que afectan las redes hospitalarias, los gobiernos locales y la cadena de suministro en general. Un ataque de ransomware a una empresa generalmente da como resultado la pérdida de acceso a los datos y los sistemas durante un período de tiempo y tiene un impacto financiero a través de la pérdida de ingresos y el dinero gastado en esfuerzos de recuperación. Cuando un ataque de ransomware se dirige a una empresa que forma parte de la cadena de suministro, puede tener un impacto mucho más amplio, ya que un solo proveedor de servicios puede tener un efecto directo en cientos o miles de empresas.

Es imperativo comprender la preparación de su organización para la amenaza del ransomware, y saber cómo los proveedores de su cadena de suministro influyen en su preparación es una pieza fundamental de su estrategia general.

Puede resultar abrumador intentar asegurarse de que todas sus defensas estén cubiertas y de que ha hecho todo lo posible para prevenir o reducir el impacto de un ataque de ransomware. Una estrategia sólida es de gran alcance y de múltiples capas, que abarca la arquitectura, los puntos finales, los usuarios y mucho más.

Entonces, ¿En dónde debes empezar? Un enfoque estructurado y lógico puede ayudar a poner orden en la comprensión de la preparación del ransomware de su organización. Para ayudar a hacer esto, veamos tres categorías principales:prevención, contención y recuperación.

Prevención

Nuestro objetivo principal es mantener el ransomware fuera de nuestro entorno, evitando que ingrese desde el principio. Desde esta postura defensiva, debemos mirar su infraestructura desde los controles perimetrales hasta los usuarios finales. Si bien podríamos cubrir este tema en profundidad, centraremos nuestra atención en las brechas donde se introduce con mayor frecuencia el ransomware.

• Protocolo de escritorio remoto (RDP). Si bien no es una nueva tecnología o un nuevo vector de ataque, RDP ha sido un objetivo habitual debido a vulnerabilidades, mala configuración o susceptibilidad a ataques de fuerza bruta. Con el reciente aumento de la fuerza de trabajo remota y el aumento correspondiente en el uso de RDP, los atacantes están teniendo un día de campo con los nuevos objetivos. Las actividades de prevención aquí incluyen limitar la cantidad de puertos abiertos, controles de autenticación sólidos (incluida la autenticación de múltiples factores) y un programa sólido de administración de vulnerabilidades.
• Phishing. Los correos electrónicos de suplantación de identidad (phishing) pueden ser especialmente peligrosos, ya que pueden eludir muchos de sus controles de seguridad, lo que permite que el contenido malicioso se envíe directamente al que suele ser su vínculo de seguridad más débil:el usuario final. Los correos electrónicos de phishing generalmente intentan obtener credenciales de usuario o contienen archivos adjuntos o enlaces maliciosos, lo que en última instancia proporciona a los atacantes una ruta directa a su entorno. Las actividades de prevención aquí incluyen el uso de una solución de seguridad de correo electrónico, capacitación en seguridad y concientización para usuarios finales y soluciones de respuesta y detección de terminales.

En última instancia, las técnicas de prevención recomendadas no son nuevas. Son los mismos principios clave que la comunidad de seguridad de la información ha estado discutiendo durante algún tiempo:restringir lo que es accesible desde Internet, escaneo de vulnerabilidades, parches y fuertes controles de autenticación.

Contención

Entonces, a pesar de sus mejores esfuerzos, el ransomware ingresa a su entorno. ¿Cómo se puede detener la propagación? Considere un incendio en un edificio:la estrategia de contención se antepone al incendio real mediante el uso de cortafuegos, materiales ignífugos, etc. Lo mismo ocurre con los ataques como el ransomware. Aquí hay dos estrategias clave de contención:

• Uso de cuentas privilegiadas. A los atacantes les encanta apuntar a cuentas privilegiadas, ya que brindan altos niveles de acceso a sistemas y datos, así como los permisos necesarios para ejecutar código malicioso. La reutilización de contraseñas, las contraseñas de las cuentas de servicio almacenadas en texto sin cifrar, las contraseñas fáciles de adivinar, etc. son todos problemas comunes que contribuyen al compromiso de la cuenta.

Un enfoque holístico para la administración de cuentas privilegiadas es la clave aquí. Esto incluye comprender qué cuentas privilegiadas tiene y a qué tienen acceso; cómo se utilizan (p. ej., administrador de dominio frente a cuenta de servicio); y cómo se accede a esas cuentas y cómo se gestionan (por ejemplo, el uso de una solución de gestión de cuentas privilegiadas).

• Segmentación de la red. Las redes planas son un escenario de ensueño para un atacante. Una vez que se obtienen las credenciales, pueden moverse libremente por toda la red de una organización y tener acceso sin restricciones a los sistemas y datos. Como mínimo, debe usar la segmentación para restringir el movimiento lateral tanto como sea posible, de modo que un atacante tenga muchas más dificultades para atravesar su red y obtener acceso a sistemas y datos adicionales.

Recuperación

Aparte de un plan de respuesta a incidentes, el plan más crítico para ayudar en sus esfuerzos de recuperación es un plan de resiliencia empresarial. ¿Cómo seguirá funcionando la empresa? Un plan de resiliencia sólido ayudará a restaurar la funcionalidad de sus sistemas comerciales centrales.

Los vectores de ataque comunes para las organizaciones incluyen proveedores externos en la cadena de suministro. Entonces, ¿cómo podemos identificar y reducir los riesgos que presentan nuestros proveedores? Primero, responda estas preguntas críticas:

• ¿Quiénes son sus proveedores?
• ¿Qué servicio brinda cada proveedor a su organización?

Identificar realmente quiénes son sus proveedores no es una tarea sencilla. ¿Es posible que tenga proveedores que tengan acceso a su red o datos y no los conozca? Absolutamente. La realidad es que existe la capacidad de ir directamente a una solución basada en la nube y con nada más que una tarjeta de crédito y unos pocos clics del mouse, ahora tiene un proveedor con acceso a sus datos. Si no sabe quiénes son, es imposible evaluar el riesgo que corren para su organización. En cuanto a lo que hacen, los proveedores de su cadena de suministro pueden realizar todo tipo de servicios. Algunos, de forma inherente, suponen un mayor riesgo para su empresa en función de los datos o los sistemas internos a los que tienen acceso.

Responder a estas preguntas es un excelente punto de partida para realizar actividades de evaluación adecuadas contra esos proveedores. El objetivo es lograr que los proveedores cuenten con los controles adecuados para proteger sus sistemas o datos en función de los servicios que le brindan. Hay muchas estrategias de evaluación para aprovechar, incluida la revisión de certificaciones como SOC o ISO, cuestionarios de evaluación como SIG, resultados de pruebas de penetración, etc. Independientemente de cómo lo aborde, validar que sus proveedores tengan estos controles en su lugar puede reducir el riesgo de su organización se verá afectada en caso de un ataque.

A medida que los sistemas se vuelven más conectados y complejos, los atacantes aún pueden encontrar algún camino a través de sus defensas. Pero estar preparado para un ataque de ransomware puede reducir significativamente el impacto y la interrupción en su organización. Con una estrategia de defensa en profundidad, junto con planes adecuados de contención y resistencia, la fuerza cibernética de su organización solo puede aumentar.

Gary Brickhouse es director de seguridad de la información de GuidePoint Security.

El ransomware ha sido una prioridad para muchos de nosotros en la industria de la ciberseguridad, ya que hemos visto un número creciente de ataques que afectan las redes hospitalarias, los gobiernos locales y la cadena de suministro en general. Un ataque de ransomware a una empresa generalmente da como resultado la pérdida de acceso a los datos y los sistemas durante un período de tiempo y tiene un impacto financiero a través de la pérdida de ingresos y el dinero gastado en esfuerzos de recuperación. Cuando un ataque de ransomware se dirige a una empresa que forma parte de la cadena de suministro, puede tener un impacto mucho más amplio, ya que un solo proveedor de servicios puede tener un efecto directo en cientos o miles de empresas.

Es imperativo comprender la preparación de su organización para la amenaza del ransomware, y saber cómo los proveedores de su cadena de suministro influyen en su preparación es una pieza fundamental de su estrategia general.

Puede resultar abrumador intentar asegurarse de que todas sus defensas estén cubiertas y de que ha hecho todo lo posible para prevenir o reducir el impacto de un ataque de ransomware. Una estrategia sólida es de gran alcance y de múltiples capas, que abarca la arquitectura, los puntos finales, los usuarios y mucho más.

Entonces, ¿En dónde debes empezar? Un enfoque estructurado y lógico puede ayudar a poner orden en la comprensión de la preparación del ransomware de su organización. Para ayudar a hacer esto, veamos tres categorías principales:prevención, contención y recuperación.

Prevención

Nuestro objetivo principal es mantener el ransomware fuera de nuestro entorno, evitando que ingrese desde el principio. Desde esta postura defensiva, debemos mirar su infraestructura desde los controles perimetrales hasta los usuarios finales. Si bien podríamos cubrir este tema en profundidad, centraremos nuestra atención en las brechas donde se introduce con mayor frecuencia el ransomware.

• Protocolo de escritorio remoto (RDP). Si bien no es una nueva tecnología o un nuevo vector de ataque, RDP ha sido un objetivo habitual debido a vulnerabilidades, mala configuración o susceptibilidad a ataques de fuerza bruta. Con el reciente aumento de la fuerza de trabajo remota y el aumento correspondiente en el uso de RDP, los atacantes están teniendo un día de campo con los nuevos objetivos. Las actividades de prevención aquí incluyen limitar la cantidad de puertos abiertos, controles de autenticación sólidos (incluida la autenticación de múltiples factores) y un programa sólido de administración de vulnerabilidades.
• Phishing. Los correos electrónicos de suplantación de identidad (phishing) pueden ser especialmente peligrosos, ya que pueden eludir muchos de sus controles de seguridad, lo que permite que el contenido malicioso se envíe directamente al que suele ser su vínculo de seguridad más débil:el usuario final. Los correos electrónicos de phishing generalmente intentan obtener credenciales de usuario o contienen archivos adjuntos o enlaces maliciosos, lo que en última instancia proporciona a los atacantes una ruta directa a su entorno. Las actividades de prevención aquí incluyen el uso de una solución de seguridad de correo electrónico, capacitación en seguridad y concientización para usuarios finales y soluciones de respuesta y detección de terminales.

En última instancia, las técnicas de prevención recomendadas no son nuevas. Son los mismos principios clave que la comunidad de seguridad de la información ha estado discutiendo durante algún tiempo:restringir lo que es accesible desde Internet, escaneo de vulnerabilidades, parches y fuertes controles de autenticación.

Contención

Entonces, a pesar de sus mejores esfuerzos, el ransomware ingresa a su entorno. ¿Cómo se puede detener la propagación? Considere un incendio en un edificio:la estrategia de contención se antepone al incendio real mediante el uso de cortafuegos, materiales ignífugos, etc. Lo mismo ocurre con los ataques como el ransomware. Aquí hay dos estrategias clave de contención:

• Uso de cuentas privilegiadas. A los atacantes les encanta apuntar a cuentas privilegiadas, ya que brindan altos niveles de acceso a sistemas y datos, así como los permisos necesarios para ejecutar código malicioso. La reutilización de contraseñas, las contraseñas de las cuentas de servicio almacenadas en texto sin cifrar, las contraseñas fáciles de adivinar, etc. son todos problemas comunes que contribuyen al compromiso de la cuenta.

Un enfoque holístico para la administración de cuentas privilegiadas es la clave aquí. Esto incluye comprender qué cuentas privilegiadas tiene y a qué tienen acceso; cómo se utilizan (p. ej., administrador de dominio frente a cuenta de servicio); y cómo se accede a esas cuentas y cómo se gestionan (por ejemplo, el uso de una solución de gestión de cuentas privilegiadas).

• Segmentación de la red. Las redes planas son un escenario de ensueño para un atacante. Una vez que se obtienen las credenciales, pueden moverse libremente por toda la red de una organización y tener acceso sin restricciones a los sistemas y datos. Como mínimo, debe usar la segmentación para restringir el movimiento lateral tanto como sea posible, de modo que un atacante tenga muchas más dificultades para atravesar su red y obtener acceso a sistemas y datos adicionales.

Recuperación

Aparte de un plan de respuesta a incidentes, el plan más crítico para ayudar en sus esfuerzos de recuperación es un plan de resiliencia empresarial. ¿Cómo seguirá funcionando la empresa? Un plan de resiliencia sólido ayudará a restaurar la funcionalidad de sus sistemas comerciales centrales.

Los vectores de ataque comunes para las organizaciones incluyen proveedores externos en la cadena de suministro. Entonces, ¿cómo podemos identificar y reducir los riesgos que presentan nuestros proveedores? Primero, responda estas preguntas críticas:

• ¿Quiénes son sus proveedores?
• ¿Qué servicio brinda cada proveedor a su organización?

Identificar realmente quiénes son sus proveedores no es una tarea sencilla. ¿Es posible que tenga proveedores que tengan acceso a su red o datos y no los conozca? Absolutamente. La realidad es que existe la capacidad de ir directamente a una solución basada en la nube y con nada más que una tarjeta de crédito y unos pocos clics del mouse, ahora tiene un proveedor con acceso a sus datos. Si no sabe quiénes son, es imposible evaluar el riesgo que corren para su organización. En cuanto a lo que hacen, los proveedores de su cadena de suministro pueden realizar todo tipo de servicios. Algunos, de forma inherente, suponen un mayor riesgo para su empresa en función de los datos o los sistemas internos a los que tienen acceso.

Responder a estas preguntas es un excelente punto de partida para realizar actividades de evaluación adecuadas contra esos proveedores. El objetivo es lograr que los proveedores cuenten con los controles adecuados para proteger sus sistemas o datos en función de los servicios que le brindan. Hay muchas estrategias de evaluación para aprovechar, incluida la revisión de certificaciones como SOC o ISO, cuestionarios de evaluación como SIG, resultados de pruebas de penetración, etc. Independientemente de cómo lo aborde, validar que sus proveedores tengan estos controles en su lugar puede reducir el riesgo de su organización se verá afectada en caso de un ataque.

A medida que los sistemas se vuelven más conectados y complejos, los atacantes aún pueden encontrar algún camino a través de sus defensas. Pero estar preparado para un ataque de ransomware puede reducir significativamente el impacto y la interrupción en su organización. Con una estrategia de defensa en profundidad, junto con planes adecuados de contención y resistencia, la fuerza cibernética de su organización solo puede aumentar.

Gary Brickhouse es director de seguridad de la información de GuidePoint Security.