6 pasos para defenderse contra el ransomware – Las vulnerabilidades conocidas son uno de los puntos de entrada más utilizados para los exploits de ransomware. Una vez dentro de la red, los atacantes aprovechan las deficiencias de Active Directory (AD) para escalar privilegios y propagar código malicioso a lo largo de toda la organización. Una de las formas más eficaces de detener los ataques de ransomware es concentrarse en los aspectos básicos, tales como adoptar un abordaje basado en el riesgo para la corrección de vulnerabilidades y evaluar periódicamente las configuraciones de AD.
A continuación, te indicamos 6 pasos que debes seguir para mejorar tus defensas de seguridad contra el ransomware:
Paso 1: Escanea frecuentemente, escanea todo
Cada vez más cepas de ransomware utilizan vulnerabilidades del software como vector de ataque inicial, con grupos de ransomware como REvil/Sodinokibi, que apuntan a las vulnerabilidades de Oracle WebLogic (CVE-2019-2729) y Pulse Secure (CVE-2019-11510). Estas fallas tienden a ser antiguas y bien conocidas, por lo cual es imprescindible evaluar constantemente toda tu superficie de ataque – sobre todo las aplicaciones web, la infraestructura de acceso remoto y los dispositivos de TO – en la medida en que tu entorno cambia y aparecen nuevas vulnerabilidades.
Paso 2: Refuerza AD para proteger las “joyas de la corona”
Los grupos de ransomware ya se deshicieron de los códigos de propagación personalizados que usaban para desarrollar los ataques. En su lugar, optaron por una tecnología más efectiva ya presente en las organizaciones: Active Directory. Active Directory (AD) contiene las “llaves del reino”, tales como credenciales de acceso, ajustes de configuración y políticas de acceso para todos los usuarios, puntos de conexión, aplicaciones y servidores. Es fundamental garantizar que AD no tenga errores de configuración críticos que permitan que los atacantes implementen su carga útil en los sistemas de TI y en los dispositivos de los usuarios finales.
Paso 3: Reduce la escalación de privilegios
Al igual que el software antimalware escanea Windows en busca de archivos y procesos inusuales, es importante monitorear AD en busca de actividad inusual. Si se dispone de la inteligencia adecuada, los cambios en AD, las modificaciones de Syslog y los registros de eventos de Windows pueden correlacionarse para revelar usos indebidos de las cuentas privilegiadas y exploits de errores de configuración de activos. Gracias a esta tecnología, los equipos de respuesta ante incidentes pueden impedir de forma proactiva la propagación de los ataques de ransomware a través de AD. Integra estos datos con tu SIEM para recoger la información reenviada desde los registros de eventos de Windows Server y otros sistemas.
Paso 4: Prioriza utilizando la predicción
No se puede colocar un parche en todo, y la buena noticia es que no es necesario hacerlo. Aprovecha la inteligencia de amenazas en tiempo real para comprender las últimas rutas de ataque utilizadas por los grupos de ransomware y orientar su estrategia de corrección. Pero eso no es todo. Las vulnerabilidades a las que se apunta con los exploits de ransomware tienden a agruparse en torno a tipos específicos de deficiencias y categorías de activos. Esto permite a los defensores inteligentes predecir qué vulnerabilidades es probable que se exploten en los ataques de ransomware y, de este modo, ocuparse de ellas de forma proactiva antes de que se produzca un evento que afecte al negocio.
Paso 5: Corrige como si tu organización dependiera de ello
Con demasiada frecuencia, las vulnerabilidades que deben corregirse no se pueden corregir del todo. Mientras que los equipos de seguridad son responsables de detectar y priorizar las vulnerabilidades la colocación de parches es responsabilidad de Operaciones de TI y de los desarrolladores, que usan términos diferentes y tienen metas distintas. Hoy es más importante que nunca la integración de sus sistemas ITSM y de emisión de tickets con sus soluciones de gestión de vulnerabilidades basadas en el riesgo, a fin de automatizar los flujos de trabajo, correlacionar las vulnerabilidades con los parches y verificar que se hayan colocado parches en todas las instancias de una vulnerabilidad (o que se hayan corregido) mediante un control compensatorio.
Paso 6: Mide para mejorar tu estrategia
Los equipos eficaces se toman tiempo para reflexionar sobre su rendimiento, y la seguridad no es diferente. Para ello es necesario desarrollar métricas clave para medir y comunicar cómo están funcionando (o no) sus controles operativos y, además, recopilar datos para realizar evaluaciones comparativas del rendimiento a través de grupos internos o, externamente, con los competidores. Las métricas deben abarcar las prácticas fundamentales de higiene cibernética, tales como la capacidad de valuación, la velocidad de la corrección y la reducción general del riesgo cibernético.
Con Tenable y la asesoría especializada de BG2 Services, predice las posibles fallas de AD y detecta indicadores de ataques en tiempo real. ¡Contáctanos hoy!
📞 (81) 8123 3730
Fuente
- Tenable. (2021). Seis pasos para defenderse contra el ransomware [infografía]. https://es-la.tenable.com/infographics/six-steps-for-defending-ransomware
