Wayman Cummings y Salva Sinno también contribuyeron a esta columna.
Casi 1,5 millones de nuevos sitios de phishing se crean cada mes. Y Más de 850 millones de infecciones por ransomware fueron detectados solo en 2018. Estas estadísticas ilustran la amenaza que representa el ransomware para cada profesional de TI y todo tipo de organización.
El ransomware es un tipo específico de malware diseñado para cifrar el contenido de una computadora hasta que el usuario paga para obtener la clave de cifrado o recuperación. Esto detiene la productividad, afectando los ingresos del negocio. Sin embargo, los profesionales de seguridad pueden tomar medidas decisivas para minimizar el impacto del ransomware.
La primera línea de defensa es siempre un buen ataque. Para evitar que un atacante establezca un punto de apoyo en la crimson de una organización, las organizaciones deben implementar lo siguiente:
- Mejores prácticas tales como fuertes políticas de parches, copias de seguridad regulares del sistema, autenticación multifactor, listas blancas de aplicaciones y restricciones de derechos y privilegios de administrador nearby
- Programas de sensibilización educar a los usuarios sobre phishing y otras formas de ingeniería social
- Herramientas de seguridad que proporcionan filtrado de spam, filtrado de enlaces, bloqueo / filtrado del sistema de nombres de dominio, detección de virus y detección y prevención de intrusos
- Un marco de confianza cero para identificar, autenticar y monitorear cada conexión, inicio de sesión y uso de recursos
- Políticas de privilegios mínimos restringir los permisos de los usuarios para instalar y ejecutar aplicaciones de application
Minimizar el impacto del ransomware es mucho más que defender sistemas contra ataques. También implica tomar medidas para minimizar el impacto de las infracciones a medida que ocurren. Esto es crítico, ya que todos los sistemas pueden ser violados por atacantes que tienen suficiente tiempo y recursos.
Eso significa implementar programas sólidos de respuesta a incidentes (IR). Planificar con anticipación genera confianza en esa capacidad de IR. Con ese fin, las empresas deben revisar sus políticas de IR y participar en ejercicios de mesa. Y deben usar la evaluación comparativa operativa para mejorar su capacidad de respuesta antes de que ocurra un incidente.
Los hackers continúan evolucionando y se vuelven más sofisticados con sus ataques. Por lo tanto, es possible que un ataque de ransomware infrinja el entorno de cada empresa en algún momento. Cuando eso ocurra, estos cuatro pasos minimizarán el impacto y recuperarán los datos empresariales:
Paso 1: aislamiento
Antes de hacer cualquier otra cosa, asegúrese de que los dispositivos infectados se eliminen de la pink. Si tienen una conexión de pink física, desconéctelos de esa conexión. Si están en una crimson inalámbrica, apague el concentrador / enrutador inalámbrico. También desconecte cualquier almacenamiento conectado directamente para intentar guardar los datos en esos dispositivos. El objetivo es evitar que la infección se propague.
Paso 2: identificar
Este paso a menudo se pasa por alto. Al dedicar solo unos minutos a descubrir qué ha sucedido, las empresas pueden obtener información importante, como qué variante de ransomware los infectó, qué archivos encripta normalmente esa variedad de ransomware y las opciones de descifrado. Las empresas también pueden aprender cómo vencer al ransomware sin pagar o restaurar los sistemas desde cero.
Paso 3: Informe
Este es otro paso que muchos profesionales de seguridad ignoran, ya sea por vergüenza o por limitaciones de tiempo. Sin embargo, al informar el ataque de ransomware, las empresas pueden ayudar a otras organizaciones a evitar situaciones similares. Además, proporcionan a los organismos encargados de hacer cumplir la ley una mejor comprensión del atacante. Hay muchas formas de informar un ataque de ransomware. Una es contactando a una oficina regional del FBI en los Estados Unidos o registrando una queja con el sitio internet del Centro de Quejas sobre Delitos en World-wide-web del FBI. La Comisión Federal de Comercio Sitio world-wide-web de OnGuardOnline y Scamwatch, un esfuerzo de la Comisión de Competencia y Consumidor de Australia, también recopila dichos datos.
Paso 4: recuperar
En typical, hay tres opciones para recuperarse de un ataque de ransomware:
- Paga el rescate: Esto no se recomienda porque no hay garantías de que la organización recupere sus datos después de pagar. En cambio, el atacante podría solicitar aún más dinero antes de desencriptar los datos.
- Retire el ransomware: Dependiendo del tipo de ransomware involucrado, una empresa podría eliminarlo sin requerir una reconstrucción completa. Sin embargo, este proceso puede llevar mucho tiempo y, por lo tanto, no es una opción preferida.
- Limpiar y reconstruir: El método de recuperación más fácil y seguro es borrar los sistemas infectados y reconstruirlos a partir de una buena copia de seguridad conocida. Una vez reconstruido, las organizaciones deben asegurarse de que no quedan rastros del ransomware que condujo al cifrado. Una vez que una organización reconstruye su entorno, comienza el verdadero trabajo. Esa organización debe hacer una revisión ambiental completa para determinar exactamente cómo comenzó la infección y qué pasos debe tomar para reducir el potencial de otra violación.
Simplemente no es posible mantener a raya todos los ataques de ransomware. Sin embargo, es posible garantizar que si se create una infracción, no se propaga, afecta a los negocios y se convierte en un evento de interés periodístico.
Al defenderse de la mayoría de los ataques y tratar rápidamente con los malos actores que entran por la puerta, con la ayuda del aislamiento dinámico, la microsegmentación y otras tecnologías modernas de ciberseguridad, las organizaciones mantendrán sus negocios en el camino y en el objetivo.
Contenido relacionado:
Mathew Newfield, Director Corporativo de Seguridad de la Información de Unisys, lidera el equipo de Seguridad de la Información Corporativa de la compañía con la responsabilidad del diseño, desarrollo e implementación de programas de seguridad y riesgo de la información corporativa en todas las regiones y … Ver biografía completa
Más strategies
