Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Una cartilla de ransomware

Escrito por: Blog Cisco Talos


Defensa contra ransomware La seguridad cibernética es continuamente un tema relevante para los clientes de Cisco y otras partes interesadas. El ransomware se está convirtiendo rápidamente en uno de los temas más candentes en el espacio tecnológico, ya que estas familias de malware se dirigen a empresas y organizaciones de alto nivel. En Cisco, a menudo nos contactamos para obtener orientación y recomendaciones sobre las formas en que las organizaciones pueden prepararse, detectar y prevenir ataques de ransomware. Algunos de los proveedores de Cisco también se han visto afectados por el ransomware y han recurrido a Cisco para conocer nuestras expectativas y experiencia. Como empresa líder en seguridad tecnológica, Cisco aporta credibilidad para compartir con nuestra guía sobre medidas proactivas y consideraciones reactivas. Sin embargo, la prevención y reparación de ransomware son temas complejos y no existe un enfoque de "talla única". En este documento, describiremos una colección de estrategias de mitigación de riesgos. Si bien ninguno de estos métodos es nuevo, cuando se combinan, estas técnicas y métodos defensivos permiten la resistencia contra el acceso inicial y la capacidad de contener la amenaza si un adversario obtiene el acceso inicial con éxito.


Parcheo El ransomware a menudo es evitable para la mayoría de las organizaciones. En cuanto a lo que la comunidad de seguridad ha enfatizado durante muchos años, la administración efectiva de parches es un control de seguridad vital que las organizaciones deben implementar en sus entornos. Hemos visto muchos ataques tener éxito simplemente porque una organización no pudo parchear sus entornos. Los exploits confiables para las vulnerabilidades de día cero a menudo son tremendamente costosos para los atacantes, mientras que los exploits públicos parcheados pueden ser más baratos. Los atacantes simplemente no suelen utilizar una vulnerabilidad de día cero si pueden encontrar un medio más barato para lograr el objetivo de su misión. En la mayoría de los casos, si un sistema dentro del entorno de una organización se ve comprometido debido a la explotación de una vulnerabilidad de día cero, Ese es un buen indicador de que está haciendo todo lo demás de manera eficaz porque significa que es probable que el atacante no pueda encontrar otra vía más barata para romper sus defensas. Ahí es cuando entran en juego algunas de nuestras otras estrategias.


Funcionalidad mínima Solo implemente la funcionalidad del sistema que sea necesaria para que los sistemas realicen su función o función prevista. Por ejemplo, Microsoft recomienda deshabilitar SMBv1 si no es necesario. Asimismo, limitar el acceso a sistemas y servicios es otro control de seguridad vital. Incluso si SMBv1 está en uso en un sistema, es raro que esté expuesto a entornos de red hostiles como Internet. Aprovechar los firewalls basados ​​en host, como el integrado en el sistema operativo Windows, incluso en los segmentos de la red interna, es otra forma de controlar el acceso a estos servicios.


Privilegios mínimos Limite el uso de herramientas administrativas como WMI y PSExec solo a aquellos sistemas desde los cuales los administradores del sistema están realizando funciones de administración del sistema. La supervisión del uso de estas herramientas en la red de una organización, aunque no es necesariamente un control de seguridad preventivo, se puede utilizar para identificar rápidamente los sistemas comprometidos y permitir que las organizaciones inicien procesos de respuesta a incidentes adecuados. Siga las pautas de Microsoft para configurar hosts administrativos seguros para la administración crítica del sistema. Si hay varios controladores de dominio de Active Directory en su organización, considere implementar controladores de dominio de solo lectura como recomienda Microsoft.

Monitoreo del sistema y la red Los gusanos informáticos generalmente se propagan muy rápidamente, lo que los hace extremadamente ruidosos en la mayoría de los entornos. En la mayoría de los casos, el gusano iniciaría una función de escaneo para identificar nuevos hosts a los que propagarse. Monitorear el entorno en busca de barridos de servicio o intentos de conectarse a muchos sistemas mediante un solo sistema en una red dentro de un período breve podría identificar los sistemas comprometidos de manera temprana para que el problema se pueda abordar antes de que cause un impacto organizacional mayor.


Segmentación de la red Incluso en entornos en los que simplemente no fue posible instalar actualizaciones de seguridad asociadas con vulnerabilidades de host y aplicaciones, la segmentación de la red es una forma eficaz de prevenir un ataque exitoso o limitar el posible impacto de un ataque exitoso en el resto del entorno de la organización. La creación de "puntos de estrangulamiento" en las vías de comunicación no solo limita los efectos de un compromiso exitoso, sino que también proporciona una ubicación ideal para implementar controles de seguridad basados ​​en la red que se pueden usar para evitar que ocurra un ataque exitoso en primer lugar. Como se describió anteriormente, el principio de funcionalidad mínima dictaría que en cada uno de estos puntos de estrangulamiento, se desplegarían controles de acceso para limitar las comunicaciones solo a lo que se requiere para que los sistemas cumplan su función dentro del negocio.


Procesos y políticas Es esencial que las organizaciones hayan establecido políticas y procesos para garantizar que estén preparadas para responder de manera adecuada y efectiva cuando suceda lo inesperado. Los planes de respuesta a incidentes, recuperación ante desastres y continuidad del negocio permiten a las organizaciones recuperarse de desastres o interrupciones no planificadas del sistema. Para que estos procesos sigan siendo efectivos a lo largo del tiempo, las organizaciones deben tener los planes implementados y probar y validar esos planes a lo largo del tiempo para garantizar que continúen satisfaciendo las necesidades de la organización. ¿Puede su organización recuperarse de una interrupción del sistema lo suficientemente rápido para satisfacer sus necesidades comerciales? ¿Está funcionando su estrategia de respaldo? ¿Puede recuperarse utilizando solo sus copias de seguridad? Estas necesidades cambian con el tiempo y probar estos procesos garantizará que sigan siendo efectivos antes de que ocurra una interrupción o un desastre. La respuesta a incidentes es otro ejemplo de un proceso que debe implementarse y probarse periódicamente con ejercicios de caza, ejercicios de mesa y recorridos. Esta es la única manera de garantizar verdaderamente que el equipo de respuesta a incidentes tenga el conocimiento y las herramientas necesarias para responder de manera efectiva cuando ocurren eventos de seguridad dentro de un entorno. Si su organización no cuenta con un equipo de respuesta a incidentes dedicado, considere la posibilidad de un retenedor de respuesta a incidentes para fortalecer de manera proactiva su postura de seguridad y brindar soporte de investigación y comunicación durante el evento de una violación de datos o incidente de ransomware. El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado la Publicación especial 800-53 "Controles de seguridad y privacidad para organizaciones y sistemas de información federales", que proporciona una guía completa sobre las mejores prácticas recomendadas y la selección de controles de seguridad que se pueden implementar para establecer una sólida arquitectura defensiva en entornos en red. Esta guía está disponible en la sección de referencias a continuación.


Referencias Microsoft: implementación de hosts administrativos seguros Microsoft: instale un controlador de dominio de solo lectura Cisco: respuesta a incidentes de SAS NIST: control de seguridad y privacidad para sistemas y organizaciones de información

Fuente: https://blog.talosintelligence.com/2021/02/ransomware-primer.html

6 vistas0 comentarios