Vuelva a centrar en el ransomware: 3 verdades para construir una red lista para ransomware

Con el inicio del Mes Nacional de Concientización sobre la Ciberseguridad , el único tema del que escuchará con certeza es el ransomware.   

Esto no es sorprendente, ya que el ransomware es el tipo más común de ciberataque al que se enfrentan las organizaciones.  

Debe estar preparado para ese momento en el que recibe una llamada telefónica de que parece haber detectado algo sospechoso dentro de su entorno.  

Este mes , concentrar en tres "verdades" importantes que todas las organizaciones deben aceptar y actuar para establecer una base estable para proteger su red de la propagación de un ataque de ransomware.  

Escuche a Nathanael Iversen, evangelista jefe de Illumio, sobre cómo cerciorar de que su organización esté preparada para el ransomware:

Continúe leyendo para obtener más información.

Verdad #1: Diseñe proactivamente su red en espera de un ataque de ransomware 

Imagina que recibes la llamada. En ese momento, cualquier red de tecnologías de detección y sensores que seleccionó hizo su trabajo y las capacidades de respuesta a incidentes serán críticas. Luego de todo, solo puede responder con lo que ya está implementado, activo y cuidadosamente preparado.   

Nadie tiene tiempo para desarrollar nuevas capacidades sobre la marcha cuando se está produciendo un ataque.    

Cuando los arquitectos diseñan edificios, deben diseñar puertas firewall en cada piso, oficina y entrada de escaleras. Estas puertas a menudo se dejan abiertas o simplemente funcionan como puertas normales la mayor parte del tiempo.  

Pero si comienza un incendio, estas puertas contienen el fuego y el humo y brindan una salida segura para que las personas salgan del edificio.   

Tres capacidades le brindarán estas "puertas firewall" para responder de manera efectiva a un ataque de ransomware y minimizar su impacto: 

1. La capacidad de visualizar los flujos de tráfico y el radio de ataque. Tener un montón de datos de NetFlow no será útil. En este momento, es fundamental contar con mapas de dependencia de aplicaciones completos y automatizados y la capacidad de consultar la actividad en cualquier puerto de red. En conjunto, es posible ver exactamente dónde está, estuvo y está tratando de ir un ataque. 
2. Lo siguiente son las políticas de seguridad preestablecidasque pueden cerrar partes de la red y crear zonas seguras en todos los lugares a los que aún no accedió el ataque. Esto evita que el ransomware se propague y crea las "zonas limpias" a las que se trasladarán las máquinas infectadas una vez que fueron desinfectadas. 
3. Finalmente, sedeben colocar límites estrictos alrededor de cualquier máquina comprometida para eliminar las conexiones a las redes de comando y control, la propagación o incluso el reconocimiento. Es poco probable que los firewalls de red tengan suficiente detalle para hacer esto. Una solución de segmentación basada en host preinstalada garantiza que las capacidades correctas estén disponibles cuando sea necesario.   

Cuando se detectó malware activo, todos desearían tener estas tres capacidades, por lo que tiene sentido implementarlas antes de que se necesiten. La contención efectiva ganará tiempo para completar las actividades de remediación. 

Verdad #2: Eliminar el riesgo es mejor que gestionarlo 

Una vez que un ataque está en marcha, hay muchas herramientas que prometen detectarlo y hacer algo al respecto.   

Pero hay una verdad aún más profunda: un ataque solo puede propagar a través de puertos abiertos. Si no hay camino, no hay propagación.   

Cada puerto innecesariamente abierto que se cierra reduce el riesgo. El tamaño de la red operativa se reduce, eliminando el riesgo y reduciendo la superficie de ataque.   

¿Cómo logras esto? 

1. Cierre los puertos de alto riesgo, alto valor y de abuso común. La mayoría de los ransomware comerciales emplean un puñado de protocolos conocidos para propagar, como RDP y SMB, que a menudo no necesitan estar abiertos globalmente. La mayoría de los especialistas en penetración emplean kits de herramientas estándar para tratar de explorar un entorno y buscar vulnerabilidades comunes en puertos conocidos.  En casi todos los casos, estos puertos conocidos no necesitan estar abiertos globalmente. Cerrarlos no reduce el riesgo; en realidad elimina todos esos vectores. ¿Por qué gestionar lo que puede eliminar?   
2. Aplicaciones de alto valor de Ringfence. En el desafortunado caso de que se descubra algo malo en su entorno, lo primero que se piensa serán las aplicaciones y los datos de mayor valor. Lo más probable es que el compromiso se detecte en el borde o en el punto final, pero la preocupación son las "cosas más importantes". En ese momento, todos desearán estar completamente protegidos y tener una estricta política de segmentación de confianza cero adjunta. Construya esa política ahora, luego estará en su lugar y esos activos críticos ya eliminaron la mayor parte del riesgo de un ataque a la red. 
3. Controle el acceso administrativo. La mayoría de las organizaciones usan hosts de salto. Cerciorar de que todas las formas de acceso administrativo estén estrictamente controladas para los usuarios y los hosts de salto adecuados para el entorno. Ninguna aplicación o puerto debe responder al acceso administrativo aleatorio, especialmente desde el entorno del usuario. Restringir radicalmente todos los protocolos administrativos elimina muchas clases de ataques. 

Los riesgos que no existen no tienen que ser gestionados. Y aunque ninguna tecnología elimina la necesidad de tecnologías complementarias, sigue siendo cierto que una base estable de segmentación dirigida eliminará enormes cantidades de riesgo de propagación de infracciones. 

Verdad #3: Necesita tanto Zero Trust Segmentation como EDR para detener la propagación del ransomware 

Lo mejor que puede hacer para eliminar la propagación de infracciones es implementar la segmentación de confianza cero además de un producto existente de detección y respuesta de endpoints (EDR).   

Bishop Fox realizó recientemente un serial de ataques de ransomware emulados en los que los atacantes intentaron comprometer una red protegida solo con EDR y una red protegida con EDR y segmentación de confianza cero.  

Descubrieron que, si bien EDR era muy eficaz para detectar y, en última instancia, remediar muchos ataques, las redes que también estaban protegidas por Zero Trust Segmentation contenían ataques cuatro veces más rápido y con un número radicalmente menor de hosts comprometidos.   

Cuanto mejor sea su política de segmentación, más eficaz podrá ser su EDR. Dale superpoderes a tu EDR agregando la segmentación de confianza cero a tu implementación para obtener la máxima capacidad de respuesta.   

Preparar para los inevitables ataques de ransomware 

El ransomware es un flagelo del entorno informático y de usuario moderno. Pero se pueden hacer preparativos efectivos para garantizar que una violación sea un evento, no una catástrofe.   

Invertir en un conjunto de políticas de segmentación de respuesta a incidentes proactivas y reactivas le dará a su equipo de seguridad controles valiosos en los primeros minutos críticos de una respuesta.   

Los equipos que eliminan el riesgo antes de un evento siempre tendrán menos que hacer que los que dejaron las aplicaciones críticas ampliamente expuestas y los puertos y protocolos de gestión de alto riesgo abiertos de par en par. ¿Y quién no querría que su EDR funcionara cuatro veces más rápido con una menor cantidad de hosts comprometidos?   

La plataforma de segmentación Illumio Zero Trust proporciona estas capacidades fundamentales que eliminarán el riesgo y mejorarán las capacidades de respuesta. ¡Ese es exactamente el tipo de conciencia de la que se trata este mes!   

Unir a nosotros la próxima semana mientras brindamos una nueva visión de por qué debería centrar en la segmentación de confianza cero en este Mes de Concientización sobre Ciberseguridad.