Conecta con nosotros

Opinión

Defender la red: ¿por qué la visibilidad es clave para acabar con el ransomware?

Publicado el

Telefónica elige a Nokia para sus redes ópticas metropolitanas

La mayoría de las organizaciones están realizando importantes inversiones para reducir los costes operativos y mejorar la eficiencia global de sus redes. Pero, a menudo, hay riesgos imprevistos y costes asociados con la infraestructura que conecta los servidores y los host internamente y con terceras partes y otros dispositivos. Sin una “visibilidad agnóstica” de toda la actividad de la red y del tráfico, los hackers siempre diseñarán métodos para entrar en la red.

Una falta de visibilidad de la red puede permitir a los autores de ransomware reutilizar eficazmente la red de su empresa red para obtener beneficios económicos de sus datos y en su contra. Lo que sigue expondrá a la organización a toda una serie de riesgos y costes imprevistos, muchos de los cuales superarán la demanda del rescate inicial.

El ransomware era un problema del consumidor o del usuario final. Ahora, los grupos criminales están infiltrando ransomware en su red y cada host, base de datos, archivo compartido, copia de seguridad del sistema está expuesto a convertirse en un motor de extorsión. Si bien, es difícil estimar con precisión el impacto de la epidemia de ransomware empresarial a nivel global; pues sólo Trend Micro detuvo 99 millones de amenazas entre octubre del año pasado y abril de 2016. Otro indicio de la seriedad del problema se produjo a finales de marzo de 2016, cuando el US-CERT del Departamento de Seguridad Nacional de EE.UU. y el Centro de Respuesta a Ciberdelincuentes de Canadá (CCIRC) emitieron una importante advertencia a las organizaciones sobre los peligros del ransomware.

La advertencia enumeraba algunas de las potenciales repercusiones que puede tener para las empresas:

  • Pérdida temporal o permanente de información confidencial o patentada, y propiedad intelectual.
  • Interrupción de operaciones regulares.
  • Pérdidas financieras para restaurar sistemas y archivos.
  • Potencial daño a la reputación de una organización.

Ya sea por el cifrado de datos y/o por impedir el acceso a un host, sistema, servidor o aplicación, su adversario buscará extorsionarle con un pago a cambio de la promesa de devolverle los datos. Desde una perspectiva de red, aquí hay más en juego que el hecho de pagar o no pagar.

Las organizaciones, por tanto, deben considerar lo siguiente:

1 – La petición de rescate inicial podría ser sólo la punta del iceberg. Parte de su estrategia, incluyendo la decisión de pagar o no pagar, debe implicar una línea de visión clara sobre la magnitud del problema dentro de su red. Sin esto, tal vez juegue involuntariamente su baza en etapas adicionales de un ataque.

2 – Conocer el origen, los medios y el método de la filtración es clave para asegurar que no se están estableciendo las etapas adicionales de un ataque de ransomware, y ayuda a evitar posibles agujeros expuestos que pueden haber permitido que el ransomware camine por su red.

3 – Establecer visibilidad en toda la actividad de la red malintencionada para que pueda ver efectivamente el alcance del problema y trabajar en el nivel de riesgo actual y futuro. ¿Puede identificar no sólo el punto de entrada, sino los intentos de movimiento dentro de su red, determinar qué hosts se han visto afectados y, en última instancia, el plan de juego general de los black hats?

4 – Identificar rápidamente los indicadores de compromiso y notificar estos a otros activos de la red como medio para prevenir un brote y frustrar ataques posteriores. Utilice todos estos puntos de vista para mejorar continuamente tanto su postura en lo relacionado con la seguridad para los dispositivos como para el equipo humano. ¿La causa eran dispositivos sin protección? ¿Qué empleados se vieron afectados? ¿Se usan las credenciales de confianza de terceros?

No puede defender la red de aquello que no puede ver

El ransomware puede infiltrarse en la red a través de cualquier rincón o grieta que no esté monitorizada o que parezca normal a simple vista. Para remediar lo que equivale a una “catarata de ransomware” dentro de la red, se necesita una línea de visión clara del tráfico, puertos y protocolos de red tanto de los segmentos físicos como virtuales de la misma. Combinado con el poder de las técnicas de detección más amplias y exhaustivas tales como el escaneo de amenazas avanzado, análisis de sandbox personalizado y una visión de amenazas correlacionadas, tendrá la red equivalente a la cirugía ocular con láser, es decir, podrá obtener una visibilidad sin restricciones de los intentos por secuestrar la red corporativa junto con los sistemas, aplicaciones de datos y la propiedad intelectual del misma.

El valor de ganar visibilidad es muy amplio:

1 – Detectar los intentos de utilizar las credenciales de confianza de terceros o dispositivos como ransomware para saltar de un lado a otro en la red. ¿Su proveedor intenta autenticar una aplicación a las 3 de la mañana?

2 – Identificar los sistemas no gestionados, aplicaciones o dispositivos asociados a los indicadores de la filtración de ransomware. ¿Está la aplicación TOR en un host de un empleado vinculada a una dirección IP conocida de comando y control / malware avanzado?

3 – Correlacionar todos los aspectos de un intento de sembrar ransomware en la red a través de todo el ciclo de vida del ataque. ¿Los indicadores de compromiso (IOC) que encontró a través de la web o del email aparecieron en otros lugares de la red? ¿Qué otros protocolos y segmentos de su red se ven afectados por este ataque?

Se necesita una estrategia de defensa de red para evitar que el ransomware se infiltre y se expanda por la red corporativa. Para ello, se requieren tecnologías que puedan detectar cargas y tráfico malicioso, comunicaciones C&C, comportamiento atacante, exploits y otros indicadores de un ataque de ransomware a través de todo el tráfico y segmentos de la red. La visibilidad que proporciona este tipo de herramientas puede ser compartida con otras soluciones de seguridad de terceros para ayudar a detener y evitar que el ransomware se propague a otros endpoints y servidores.

En resumen, se trata de tomar medidas proactivas para limitar el impacto y reducir el riesgo de un ataque repetido de ransomware.

Esto significa optar por un enfoque de defensa en profundidad: una arquitectura de seguridad en capas que establece visibilidad agnóstica de toda la actividad de la red en su corazón. Combinado con protección web y del correo electrónico, así como con protección del endpoint y del servidor,  estará preparado para minimizar totalmente el riesgo y los costes asociados a la epidemia ransomware moderna.

Escrito por Wendy Moore, Trend Micro.

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Top 5 cupones

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!