Tiempo de lectura estimado: 4 minutos
Lucha contra el Ransomware con una Estrategia de Defensa en Profundidad
El promedio diario de ataques de ransomware, según lo observado por la investigación de Check Point, ha aumentado un 50% en el tercer trimestre en comparación con el primer semestre de 2020. Desde el gobierno hasta los servicios financieros y los hospitales, los ataques de ransomware altamente lucrativos en todo el mundo han explotado y no muestran signos de ceder. A medida que los ataques de ransomware siguen siendo noticia, las organizaciones deben evolucionar hacia la lucha contra el ransomware con una estrategia de Defensa en Profundidad.
La ciberseguridad está evolucionando agresivamente, y los defensores están profundamente involucrados en un partido de ajedrez contra los atacantes. Cada paso que da un defensor para proteger su red, un atacante crea un nuevo método o vector de ataque. Los defensores deben estudiar continuamente sus movimientos, observar de cerca los indicadores de compromiso, aprender a predecir de manera confiable estrategias potenciales y vectores de ataque. Estas observaciones se convierten en parte de una estrategia compleja de Defensa en Profundidad, utilizada para identificar brechas de seguridad o puntos potenciales de falla dentro del Entorno Operativo Cibernético (COE).
Herramientas comunes para la defensa Cibernética
La defensa en profundidad aprovecha una gama de herramientas de seguridad que ofrecen diferentes tipos de protección en los diferentes puntos de acceso del COE. A continuación se presentan algunas de las más utilizadas para abordar las capas de seguridad principales.
Firewalls
Dado que los ataques de ransomware comienzan con el Agente Cibernético Malicioso (MCA) obteniendo acceso a una red, un firewall es a menudo la primera línea de defensa. El firewall bloquea ciertos puertos para que no accedan a la red y utiliza detecciones basadas en reglas o comportamientos para impedir que un MCA obtenga acceso a la red.
El Sistema de Prevención de Intrusiones de red (NID)
Los NID proporcionan otra capa de seguridad mediante la detección basada en reglas y comportamientos de posibles amenazas de ransomware a nivel de red. Además, los NID están equipados para proporcionar la granularidad de datos necesaria para que los analistas cibernéticos detecten un ataque y puedan responder con un enfoque específico para bloquear el acceso del MCA a la red.
Detección y respuesta de Endpoints (EDR)
Los EDRS proporcionan una visibilidad crucial para que los equipos de seguridad de red detecten amenazas, como ransomware, si los MCA logran evadir las otras capas de seguridad y penetrar en la red. Los EDRS proporcionan detección, investigación y corrección basadas en host contra malware para contener amenazas antes de que las acciones nefastas de un MCA se puedan ejecutar por completo.
Administración de parches
La administración de parches es otra capa de seguridad preventiva y sirve para evitar compromisos antes de que ocurran. Los atacantes de ransomware se dirigirán a las vulnerabilidades del sistema que se pueden usar para escalar privilegios y obtener la ejecución remota de código en el sistema sin privilegios de administrador.
Registro y Segmentación de red
El registro y la segmentación de red sirven como un obstáculo adicional para los MCA una vez que han penetrado en las otras herramientas de seguridad de red. Si un MCA compromete la red, se utiliza para segmentar áreas específicas de la red para mitigar el movimiento de un ataque, ralentizándolo hasta que los defensores puedan contener la amenaza. En el caso de ataques de ransomware, esto se aprovecharía para evitar el movimiento lateral dentro de la red.
Si bien las herramientas de seguridad anteriores ofrecen una defensa sólida y amplia contra amenazas y exploits, también son superiores a los MCA expertos, especialmente cuando se trata de ataques de ransomware. Entonces, ¿qué falta en el conjunto de herramientas de Defensa en Profundidad? ¿Y cómo pueden los defensores reforzar la seguridad para adelantarse a los ataques de ransomware?
La respuesta corta es la Inteligencia de Amenazas Cibernéticas. El elemento que más falta en una estrategia de Defensa en Profundidad es contar con Inteligencia integral sobre Amenazas Cibernéticas y un equipo dedicado de profesionales de seguridad que entiendan cómo derivar Inteligencia de Amenazas procesable a partir de lo que de otra manera solo serían datos potencialmente útiles sobre amenazas. Si bien muchas organizaciones pueden obtener una o varias fuentes de Inteligencia de amenazas, a menudo carecen de los recursos internos para comprender realmente cómo afectan esos datos a su COE único. Cuando se trata de ciberseguridad, es crucial que los datos de Inteligencia de amenazas se vean en función de la composición única del COE de una organización.
Un ejemplo de ransomware: Emotet
La siguiente imagen muestra datos que identifican una pieza de malware de uso común llamada Emotet. Este malware está diseñado como un troyano que permite a los atacantes obtener acceso remoto a un sistema, explotarlo e instalar otras cargas útiles maliciosas, especialmente ransomware.
Obtener información adicional sobre los atacantes C2 y los dominios maliciosos puede dar a los defensores otra capa de defensa para prevenir un ataque o proporcionar la capacidad de detección para que los defensores tengan la capacidad de responder a un ataque.
En función de los datos presentados anteriormente, un profesional de Inteligencia de amenazas puede ser capaz de identificar la ocupación o tipografía de dominios si un atacante se dirige a sus empresas o clientes, así como el C2 de una MCA y las nuevas técnicas que se utilizan en una campaña. Sin embargo, la identificación es solo un paso. Una vez identificada la amenaza potencial, un defensor tendría que validar la infraestructura C2 y, con suerte, recoger nuevos hashes de malware o vectores de ataque, detalles que se utilizarían para interrumpir la cadena de eliminación y bloquear MCAs en el punto de acceso inicial. Esto demuestra la diferencia entre tener solo datos de Inteligencia de Amenazas y tener datos de Inteligencia de Amenazas procesables.
Ya sea que su organización se enfrente a ataques de ransomware o a cualquiera de las otras legiones de amenazas y exploits, la adición más valiosa a su defensa frente a amenazas es la Inteligencia de amenazas procesable. Si bien la amenaza de ataques cibernéticos sigue siendo una de las principales preocupaciones de las organizaciones, relativamente pocas toman las medidas preventivas necesarias para proteger su entorno y capacitar al personal de seguridad. Al menos, no hasta después de que hayan sido atacados, lo que es mucho más costoso que si hubieran tomado medidas preventivas para empezar.