Cómo prevenir ataques de ransomware con un modelo de seguridad de confianza cero


Los ataques de ransomware son desenfrenados y se producen miles todos los días. Descubra cómo un modelo de seguridad de confianza cero puede proteger su organización.

Secuestro de datos

Imagen: kaptnali, Getty Illustrations or photos / iStockphoto

Se producen ataques de ransomware 4.000 veces en todo el mundo todos los días. El proceso es bastante sencillo: el malware infecta una computadora de destino y un atacante encripta datos valiosos y luego envía a la víctima una notificación exigiendo el pago de un rescate para liberar el acceso a ellos. Es una apuesta: si se paga el rescate, no hay garantía de que el atacante divulgue los datos.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Vale la pena señalar que este es un fenómeno serious que en realidad bloquea los datos específicos no es lo mismo que un correo electrónico aleatorio de un extraño que dice que «obtuvieron acceso a sus dispositivos, que united states of america para navegar en World-wide-web» y «después de eso, comencé a rastrear sus actividades en World wide web», por lo que proceden a acusarlo de participar en Comportamiento desagradable en línea que amenazan con exponer a menos que les envíe Bitcoin. Es seguro ignorarlos. El ransomware no se puede ignorar.

TechRepublic ha ofrecido muchos consejos para combatir el ransomware, así como estrategias para ser proactivo al respecto. Sin embargo, existe un modelo de confianza cero para la ciberseguridad que también puede ayudar a las empresas a mantenerse seguras.

Duncan Greatwood, director ejecutivo de Xage, una empresa de seguridad de confianza cero, señaló que un ataque de ransomware puede ser mucho más dañino que simplemente impedir el acceso a datos valiosos. Eso es un inconveniente y una posible interrupción de las operaciones comerciales, pero cuando una red de energía o de servicios públicos se ve comprometida, esto puede provocar apagones, atascos y, cuando se rompen los mecanismos de seguridad, la liberación de productos químicos tóxicos, derrames de petróleo, incendios o explosiones.

Además, señaló Greatwood, los países ricos y las empresas son los principales objetivos de los ataques de ransomware. «Cuanto mayor sea la expectativa de confiabilidad, calidad y confianza del servicio, es más possible que la empresa sea un objetivo del ataque. Para estas empresas, el impacto debido a la pérdida de ingresos y reputación es mucho mayor que el pago. money para pagar el rescate. Los servicios públicos, los operadores de petróleo y gasoline, los oleoductos, la fabricación de productos químicos y la industria de alimentos y bebidas son los principales objetivos «, dijo.

El problema se ve agravado por el hecho de que últimamente las habilidades necesarias para ejecutar un ataque de ransomware se han reducido drásticamente. Los paquetes de software package de ransomware existen junto con millones de credenciales de acceso robadas en la web oscura que permiten a las personas con relativamente pocos conocimientos técnicos ejecutar ataques de ransomware de forma eficaz. De hecho, están surgiendo modelos de ransomware como servicio con ofertas de software program completas para piratas informáticos. Los grupos de hackers tienen su base en todo el mundo con cierta concentración en Europa del Este, China, Irán, Rusia «, dijo Greatwood.

El acceso basado en la identidad, los cambios frecuentes de contraseña y la autenticación de múltiples factores pueden ayudar a reducir la incidencia de tales ataques, pero para ser proactivos, Greatwood y yo estuvimos de acuerdo en que identificar la fuente de intentos de inicio de sesión repetidos y excesivos y bloquear dichos intentos es important para detectar y reducir el impacto de los ataques de ransomware.

Un modelo de confianza cero es un valioso mecanismo de defensa para bloquear el ransomware. «Una de las formas más efectivas de prevenir los ataques de ransomware es mediante la adopción de una arquitectura de confianza cero, la alternativa moderna a la seguridad basada en el perímetro. Basado en el principio &#39nunca confíe, verifique siempre&#39, una estrategia de seguridad de confianza cero habría evitó ataques de ransomware como Colonial Pipeline y JBS, al evitar que se propague a través de las operaciones mientras se mantiene la operación en funcionamiento.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

El ataque Colonial Pipeline, así como muchos otros ataques recientes (JBS, Brenntag, Oldsmar, etcetera.) demuestran que las operaciones industriales carecen de controles de seguridad en todas sus operaciones para identificar, aislar y recuperar de manera efectiva los sistemas infectados. Los controles de ciberseguridad en todas las operaciones le dan al operador la capacidad de controlar cada interacción entre aplicaciones, usuarios y máquinas de forma personal en función de la identidad y la política y con cero confianza. Cuando existen tales controles, le dan al operador un método para evitar que el ataque se propague y la operación puede seguir funcionando incluso durante un ataque activo «, dijo Greatwood.

«A diferencia de las técnicas tradicionales, en virtud de las cuales un atacante puede explotar las debilidades cibernéticas al obtener acceso dentro del perímetro de un segmento de crimson, la confianza cero trata la identidad de cada máquina, aplicación, usuario y flujo de datos como su propio &#39perímetro&#39 independiente, lo que permite la aplicación de políticas de acceso granular. Como tal, la aplicación de seguridad rigurosa continúa incluso en el caso de que los piratas informáticos ingresen a una crimson operativa o corporativa, y el ransomware no pueda atravesar los sistemas de TI y OT «, dijo Greatwood.

Greatwood también enfatizó que la confianza cero es especialmente vital para las empresas de industrias que se han modernizado más lentamente, como las del petróleo y el fuel, los servicios públicos y la energía. Debido a su transformación digital retrasada, así como a una combinación de equipos heredados y modernos, estas empresas suelen ser las más difíciles de asegurar.

«La Agencia de Seguridad de Infraestructura y Ciberseguridad publicó recientemente un conjunto de pautas específicamente para operaciones industriales debido al aumento de ataques de ransomware en este sector. El Instituto Nacional de Estándares y Tecnología también ha estado actualizando su conjunto de pautas para proteger los Sistemas de Management Industrial de tales ataques. Ambos abogan por un enfoque de defensa en profundidad que se centre en la confianza cero con una gestión de acceso granular basada en roles para todas las interacciones en OT y especialmente en entornos de TI / nube «, dijo Greatwood».

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

«La confianza cero realmente significa una forma de controlar las interacciones entre los usuarios, las máquinas, las aplicaciones e incluso los datos de forma unique, lo que requiere autenticación y autorización según la política de seguridad, vertical y horizontalmente y en varios niveles. Las organizaciones deben implementar controles en todos sus entornos: nube, empresa, centro de command, instalaciones, subestaciones, parques eólicos, en todas partes para poder no solo proteger, sino también aislar rápidamente los sistemas infestados y recuperar las operaciones ”, agregó.

Estos son los beneficios (y requisitos) de un sistema de ciberseguridad distribuido de confianza cero (malla / tejido de ciberseguridad) según lo establecido por Greatwood:

  • Sin dependencia de zonas de confianza implícitas, cuentas estáticas y reglas de firewall
  • Cada identidad (usuario, máquina, aplicación, datos) forma su propia protección perimetral
  • Permisos de acceso controlados en función de la identidad, el rol y la política
  • Todas las interacciones tienen «acceso justo» habilitado «justo a tiempo»
  • Los protocolos no seguros como RDP, VNC, Modbus y sus vulnerabilidades nunca se exponen fuera de la organización, sino que se transfieren a través de sesiones TLS.
  • A diferencia de las VPN que colocan los dispositivos de los usuarios remotos (y el potencial malware en ellos) en las redes, los dispositivos de los usuarios remotos de ZTA nunca están dentro de la red (ni siquiera corporativos)
  • Controla las interacciones de usuario a máquina, de máquina a máquina, de aplicación a máquina y de aplicación a datos y asegura la transferencia de archivos y datos dentro y entre OT, TI y la nube
  • Gestión de acceso vertical (corporativa y remota para controlar la crimson) y horizontal (ICS de sitio a sitio)
  • Impulsado por la gestión de políticas central y aplicado mediante nodos distribuidos (cualquier activo, cualquier ubicación). La malla de ciberseguridad con aplicación distribuida basada en la identidad es una de las principales tendencias estratégicas para 2021, según Gartner.
  • Se superpone en arquitecturas OT / IT existentes sin cambios de red o cambios de sistemas (appropriate con la base de estaciones de trabajo, HMI, IED, etc.) implementadas existentes.

VER: Experto: Intel compartir es clave para prevenir más ciberataques a la infraestructura (TechRepublic)

Greatwood señaló el riesgo de responsabilidad aquí: «Las empresas que pagan tarifas de ransomware (las víctimas de ransomware) también pueden exponerse a un riesgo lawful grave según la identidad y el origen de los piratas informáticos, ya que las leyes de EE. UU. Prohíben el envío de fondos a determinadas organizaciones y personas , como terroristas o algunos sindicatos del crimen organizado, y también prohíbe a las empresas hacer negocios con ciertos países «.

Ver también



Enlace a la noticia original