4 principios básicos para proteger contra el ransomware

Proteger contra el ransomware es más desafiante que nunca.

En los últimos años, su infraestructura evolucionó, su perímetro de seguridad tradicional se disolvió y su gente trabaja en un entorno híbrido.

Al mismo tiempo, el ransomware evolucionó para aprovechar estos cambios y aprendió a comprometer rápidamente un gran volumen de activos en un pequeño periodo de tiempo.

No es de extrañar, entonces, que el ransomware se convirtió en la mayor amenaza de la actualidad:

• 4,000+ ataques de ransomware ocurren todos los días
• El tamaño promedio del rescate aumentó 40 veces en solo dos años
• El rescate más grande de la historia , 40 millones de dólares, se pagó en 2021
• El mayor daño total de un ataque fue de 300 millones de dólares

Claramente, la seguridad tradicional no está protegiendo contra el ransomware. Las organizaciones necesitan un nuevo enfoque. Y esta publicación de blog describe ese enfoque.

Detallaremos cuatro principios básicos que lo ayudarán a proteger su organización contra el ransomware.

1. Cerciórate de que puedes ver tus flujos de comunicación interna
2. Concentrar primero en bloquear las vías favoritas del ransomware
3. Proteja sus activos de alto valor pase lo que pase
4. Emplee las herramientas de seguridad adecuadas

Veamos cada uno con mayor profundidad.

Principio 1: Cerciorar de que puede ver sus flujos de comunicación interna

La mayoría del ransomware se esconde y pasa desapercibido durante meses, y solo se detecta luego de bloquear los sistemas, amenazar con un volcado de datos y exigir un rescate.

Antes de ese momento, la mayoría de los ataques de ransomware pasan el mayor tiempo posible comprometiendo tantos sistemas como sea posible. Para hacerlo, los ataques a menudo comprometen sistemas que la organización no sabe que tienen, viajando rutas entre sistemas que la organización no sabe que están abiertos y dejando un rastro de datos que es difícil de detectar, correlacionar y "sumar" para dar de que un ataque está cayendo.

En resumen: muchos ataques de ransomware tienen éxito porque las organizaciones ni siquiera pueden ver lo que están sucediendo o lo que están haciendo hasta que es demasiado tarde.

Para proteger contra el ransomware, las organizaciones deben desarrollar visibilidad de los flujos de comunicación entre los sistemas dentro de su red. Si lo hace, aumentará la posibilidad de detectar ataques cuando violen el entorno por primera vez, o lo suficientemente temprano como para detenerlos antes de que se propaguen lo suficiente como para causar un daño real.

Específicamente, las organizaciones deben poder:

• Vea cómo sus sistemas se comunican entre sí (en tiempo real).
• Identifique qué vías entre sistemas están abiertas y cuáles pueden cerrar.
• Centralice múltiples fuentes de datos de riesgo para identificar ataques complejos y sutiles.

Principio 2: Concentrar primero en bloquear las vías favoritas del ransomware

La mayoría de los ataques de ransomware se dirigen a las mismas vías y vulnerabilidades comunes, y más del 80 por ciento de los ataques tienen éxito mediante el uso de un pequeño conjunto de exploits simples y conocidos.

Específicamente, la mayoría de los ataques de ransomware se dirigen a un pequeño conjunto de vías de alto riesgo como el Protocolo de escritorio remoto (RDP) y el Bloque de mensajes del servidor (SMB). Estos servicios se emplean en muchos sistemas dentro de la red, a menudo se dejan abiertos cuando no es necesario y brindan a los atacantes una ruta fácil hacia y a través de la red.

Para explotar estas vías, los atacantes suelen ser oportunistas. A menudo escanean Internet en busca de sistemas explotables con puertos abiertos que se comunican fuera de su red. Cuando un atacante encuentra uno, lo violará y usará otros puertos abiertos comunes dentro de la red para propagar de un sistema a otro, comprometiéndolos a todos.

En resumen: muchos ataques de ransomware tienen éxito porque las organizaciones dejan abiertas muchas vías comúnmente explotadas en su red, generalmente sin dar.

Para proteger contra el ransomware, las organizaciones primero deben centrar en bloquear estas vías comúnmente explotadas. Si lo hace, limitará la capacidad de un mal actor para violar su red y propagar entre sistemas luego de una violación exitosa.

Específicamente, las organizaciones deben poder:

• Identifique qué vías de alto riesgo deben permanecer abiertas y cuáles pueden cerrar.
• Cierre tantas vías de alto riesgo como sea posible y controle el resto.
• Bloquee el entorno para detener los ataques en curso.

Principio 3: Proteja sus activos de alto valor pase lo que pase

La mayoría del ransomware comienza con algo pequeño: primero infecta activos de menor valor que están menos protegidos y luego se abre camino gradualmente a través de la red hasta activos de alto valor.

Por lo general, los ataques de ransomware deben completar muchas etapas para pasar de los activos de bajo valor de una organización a sus activos de alto valor. Deben mover lentamente a través de la red y evitar la detección. Deben conectarse a Internet para desplegar herramientas para avanzar en su ataque (y cargar datos confidenciales para aprovechar el beneficio). Y deben ser pacientes y esperar hasta que encuentren activos vulnerables de alto valor antes de atacar, cifrar sistemas y exigir el pago de un rescate.

En resumen: muchos ataques de ransomware solo tienen éxito una vez que comprometieron activos de alto valor. Dependiendo de la seguridad interna de su objetivo, esto puede llevar a un actor de ransomware años, meses, semanas, días, horas o incluso solo minutos.

Para proteger contra el ransomware, las organizaciones deben limitar la capacidad de un atacante para propagar rápidamente de un sistema a otro dentro de su red. Al hacerlo, las organizaciones ralentizarán a los atacantes, aumentarán las posibilidades de detectar el ataque antes de que tenga éxito y evitarán que sus activos de alto valor se vean comprometidos, y evitarán que el atacante desarrolle suficiente influencia para hacer una demanda creíble.

Por lo general, las organizaciones pueden proteger sus activos de alto valor segmentando su entorno, rodeando estos activos con anillos y cercas para aislarlos y, en general, separando el entorno para que los atacantes no tengan un camino claro para pasar de activos de bajo valor desprotegidos a activos de alto valor bien defendidos.

Principio 4: Emplee las herramientas de seguridad adecuadas

Tradicionalmente, la mayoría de las organizaciones intentaron proteger contra el ransomware empleando firewalls manuales y herramientas de segmentación de red similares. Pero estas herramientas se crearon hace décadas para una arquitectura de red y un paradigma de seguridad diferentes. Como resultado, generalmente no protegen a las organizaciones contra el ransomware y no se pueden usar para dar vida a estos nuevos principios.

Específicamente, las herramientas de seguridad tradicionales como firewalls y dispositivos de red:

• No visualizar los flujos de comunicación: No recopilan datos utilizables sobre las comunicaciones internas este-oeste o norte-sur. Solo recopilan telemetría limitada que no identifica el riesgo y que a menudo está dispersa y aislada entre una pila de soluciones puntuales de un solo propósito.
• No se pueden bloquear las vías favoritas del ransomware: No crean una visión centralizada de qué vías y exploits comunes están abiertos en la red de la organización, luchan por mantener estas vías cerradas en entornos modernos y son demasiado lentas para responder a los ataques en curso.
• No proteger los activos de alto valor: Por lo general, gestionan configuraciones y políticas de segmentación a través de flujos de trabajo manuales que no se pueden escalar a entornos modernos con millones de puntos de conexión entre sistemas. La segmentación que aplican se elimina en el momento en que cambia la red.

En resumen: las organizaciones no pueden usar herramientas de seguridad tradicionales para proteger contra el ransomware. Necesitan nuevas herramientas diseñadas para proteger los entornos modernos de las amenazas modernas de ransomware.

Conozca Illumio: un enfoque moderno para proteger contra el ransomware

Illumio le brinda una administración de políticas optimizada y escalable, lo que facilita la creación de una nueva arquitectura de seguridad para proteger contra el ransomware, sin importar el tamaño y la escala de su entorno.

Illumio hace que sea fácil dar vida a estos principios.

Obtenga una visibilidad completa de los flujos de comunicación

Dentro de la primera hora de instalación, Illumio crea un mapa en tiempo real de todas las comunicaciones entre todos los sistemas de su entorno. Illumio lo ayuda a ver cuáles de estas comunicaciones son necesarias y cuáles puede cerrar, y crea una única fuente de verdad para muchos equipos y herramientas como SIEM.

Bloquee rápidamente las vías que el ransomware le gusta explotar

Illumio le muestra las rutas comunes de ransomware abiertas en su entorno y facilita el cierre de estas vías mediante la automatización de cada paso clave en la gestión de políticas de seguridad. Finalmente, Illumio le permite crear un "interruptor de contención" para bloquear su red y sistemas en segundos durante un incidente.

Realice una segmentación escalable de Zero Trust para proteger los activos de alto valor

Illumio le ofrece una solución de segmentación integral que aplica la política en entornos modernos a gran escala y facilita la limitación de la propagación lateral y el aislamiento de activos de alto valor. Illumio aplica estas políticas de forma dinámica y las mantiene en todo momento, incluso a medida que su red evoluciona.

En resumen: Illumio resuelve muchos de los problemas con las herramientas y arquitecturas de seguridad tradicionales, y le permite implementar un nuevo enfoque para proteger contra el ransomware.

Proteger contra el ransomware hoy: lleve a Illumio a su defensa

Illumio es empleado por muchas de las organizaciones más grandes e innovadoras del mundo para proteger contra el ransomware. Con Illumio, obtienen visibilidad de sus flujos de comunicación y una comprensión clara de sus rutas más riesgosas, con un control total de la segmentación hasta el nivel de la aplicación.

Illumio actualmente protege activos para:

• Más del 10% de las compañías de la lista Fortune 100
• 6 de los 10 bancos globales más grandes
• 5 de las principales compañías de seguros
• 3 de las 5 mayores compañías de SaaS empresarial

Nuestros clientes también emplean Illumio para crear posturas de seguridad fundamentalmente más estables que defienden contra una amplia gama de ataques.

Es hora de llevar a Illumio en tu defensa. Da el siguiente paso correcto.

• Profundiza: Cómo detener los ataques de ransomware eBook
• Pruébelo usted mismo: los laboratorios prácticos de Illumio Experience
• Programe un chat: consulta gratis y demostración