Lectura oscura | Seguridad | Proteja el negocio



Los recientes ataques causados ​​por el ataque de ransomware Darkside afectaron no solo a la empresa que fue atacada, sino también a todo el este de los EE. UU., Ya que generó una demanda significativa de productos petrolíferos y la recuperación tomó semanas.

En noticias más recientes, el ransomware Conti se ha dirigido a las redes de atención médica y de primeros auxilios de EE. UU., Así como a más de 400 organizaciones en todo el mundo. Ninguna organización es demasiado pequeña o insignificante para un atacante, y los acontecimientos recientes nos muestran cuán dañino puede ser un ataque. «Un gran poder conlleva una gran responsabilidad», una cita popularizada que ahora se conoce alternativamente como el Principio de Peter Parker, es una lección que la industria debería adoptar al considerar sus defensas. Para determinar esa gran responsabilidad, me inclino a preguntar: «¿Por qué esto todavía es posible hoy y qué se puede hacer para prevenir los ataques antes de que sucedan?»

Durante la última década, ha habido una creciente dependencia de la detección como un medio para obtener una mejor visibilidad de la amenaza que conocemos como ransomware. En muchos casos, esto se ha convertido en el principal medio de respuesta a estos ataques y requiere herramientas de respuesta como servicios de respuesta a incidentes, así como análisis forenses para determinar la causa raíz y la mejor respuesta. Después del ataque, se coloca un microscopio en la organización, la industria y, más directamente, los equipos de respuesta dentro de la organización. Lo que sigue es presión para cambiar personas, procesos o herramientas para enfrentar mejor los ataques futuros.

Al investigar cómo se hacen posibles estos ataques, es fácil ver las acciones comunes que permiten estos ataques a pesar del objetivo. A menudo, el ataque inicial es a través de ingeniería social, phishing o descargas no autorizadas para establecer un punto de apoyo o comando y regulate a través de una vulnerabilidad en el application o las aplicaciones web. Lo siguiente es el descubrimiento, el movimiento lateral, la escalada de privilegios y, en algunos casos, la exfiltración de datos. En última instancia, la última etapa del ataque es el rescate de la (s) máquina (s), donde una organización a menudo se encuentra en la posición precaria de tener que pagar un rescate o lidiar con el impacto prolongado del ataque.

Las organizaciones ya no pueden esperar hasta que el ataque tenga una política de seguridad, un programa de administración de parches, una mentalidad de privilegios mínimos y, lo que es más importante, un programa de capacitación para la conciencia del usuario que se ejecuta al menos trimestralmente con todos los empleados de la organización. Adoptar este enfoque proactivo para revisar periódicamente todas las políticas de seguridad permite a las organizaciones no solo mantenerse a la vanguardia del panorama cambiante, sino también mantener nuestros activos más críticos (empleados) como parte de la práctica basic de seguridad. Detener los ataques de phishing reconociendo las comunicaciones ilegítimas del correo electrónico, las redes sociales y los sitios web en los dispositivos corporativos es una parte integral de cualquier práctica de seguridad.

Tener una mentalidad de prevención significa establecer nuestras capacidades de prevención para «prevenir» en lugar de depender de la detección y la respuesta. A menudo, confundimos una mejor visibilidad con una mejor seguridad, y no existe un reemplazo para una excelente prevención previa a la ejecución cuando se trata de la seguridad de su endpoint.

Es importante tener una buena visibilidad del movimiento lateral, la escalada de privilegios y la exfiltración de datos, pero sin un equipo que analice y actúe sobre las alertas, los datos en sí son menos valiosos. Igualmente importante para la recopilación de datos forenses debería ser el proceso de evaluación de los datos y la toma de decisiones informadas sobre los controles de acceso, las políticas de los terminales, los procesos en ejecución y las conexiones externas en cada terminal. Si, como organización, no estamos respondiendo rápidamente a todos los eventos, corremos el riesgo de perder los indicadores del ataque que podrían haberse evitado.

En seguridad, está bien desafiar la norma de forma standard. No debería estar bien revisar sus medidas y configuraciones de seguridad solo en retrospectiva. El momento de la revisión y el desafío es antes del ataque, y con frecuencia. Debería haber al menos revisiones trimestrales de todas las herramientas en cuanto a visibilidad, efectividad y ajuste para cerrar las brechas de seguridad. Debe haber revisiones anuales de las excepciones aplicadas por compatibilidad y continuidad del negocio para asegurarse de que aún sean necesarias y cerrar cualquier brecha abierta en la seguridad que plantean estas excepciones. Finalmente, debe haber una revisión mensual de las vulnerabilidades de la aplicación y del sistema operativo y un prepare de acción para parchear que cierre la exposición.

Al igual que Peter Parker, nosotros también tenemos la responsabilidad como consumidores de información y usuarios de tecnología de ser inquisitivos sobre el acceso que tenemos y el impacto potencial que puede tener en nuestras vidas, tanto a nivel profesional como individual. Como vemos en los ejemplos de la atención médica y el petróleo, algo que usamos para apoyar nuestra vida diaria puede afectarnos profundamente cuando ya no existe.

Si bien es posible que su empresa no se vea afectada hoy, la amenaza que representa el ransomware está ahí para todos nosotros, ya sea en casa o en la oficina. Es tarea de todos en una organización solicitar un enfoque de prevención junto con un esfuerzo frequent de revisión, capacitación y análisis de datos. Si nos enfocamos en permitir que nuestras herramientas y nuestros empleados sean parte de la práctica de seguridad, es muy posible detener la amenaza del ransomware y detener el impacto que tiene en todos nosotros.



Enlace a la noticia initial