Defender la red: ¿por qué la visibilidad es clave para acabar con el ransomware?

Por: Wendy Moore, Trend Micro

La mayoría de las organizaciones están realizando importantes inversiones para reducir los costes operativos y mejorar la eficiencia global de sus redes. Pero, a menudo, hay riesgos imprevistos y costes asociados con la infraestructura que conecta los servidores y los host internamente y con terceras partes y otros dispositivos. Sin una «visibilidad agnóstica» de toda la actividad de la red y del tráfico, los hackers siempre diseñarán métodos para entrar en la red.

Una falta de visibilidad de la red puede permitir a los autores de ransomware reutilizar eficazmente la red de su empresa red para obtener beneficios económicos de sus datos y en su contra. Lo que sigue expondrá a la organización a toda una serie de riesgos y costes imprevistos, muchos de los cuales superarán la demanda del rescate inicial.

El ransomware era un problema del consumidor o del usuario final. Ahora, los grupos criminales están infiltrando ransomware en su red y cada host, base de datos, archivo compartido, copia de seguridad del sistema está expuesto a convertirse en un motor de extorsión. Si bien es difícil estimar con precisión el impacto de la epidemia de ransomware empresarial a nivel global, Trend Micro detuvo 99 millones de amenazas entre octubre del año pasado y abril de 2016. Otro indicio de la seriedad del problema se produjo a finales de marzo de 2016, cuando el US-CERT del Departamento de Seguridad Nacional de EE.UU. y el Centro de Respuesta a Ciberdelincuentes de Canadá (CCIRC) emitieron una importante advertencia a las organizaciones sobre los peligros del ransomware.

La advertencia enumeraba algunas de las potenciales repercusiones que puede tener para las empresas:

  • Pérdida temporal o permanente de información confidencial o patentada, y propiedad intelectual
  • Interrupción de operaciones regulares
  • Pérdidas financieras para restaurar sistemas y archivos
  • Potencial daño a la reputación de una organización

Ya sea por el cifrado de datos y/o por impedir el acceso a un host, sistema, servidor o aplicación, su adversario buscará extorsionarle con un pago a cambio de la promesa de devolverle los datos. Desde una perspectiva de red, aquí hay más en juego que el hecho de pagar o no pagar.

Las organizaciones, por tanto, deben considerar lo siguiente:

  • La petición de rescate inicial podría ser sólo la punta del iceberg. Parte de su estrategia, incluyendo la decisión de pagar o no pagar, debe implicar una línea de visión clara sobre la magnitud del problema dentro de su red. Sin esto, tal vez juegue involuntariamente su baza en etapas adicionales de un ataque
  • Conocer el origen, los medios y el método de la filtración es clave para asegurar que no se están estableciendo las etapas adicionales de un ataque de ransomware y ayuda a evitar posibles agujeros expuestos que pueden haber permitido que el ransomware camine por su red.
  • Establecer visibilidad en toda la actividad de la red malintencionada para que pueda ver efectivamente el alcance del problema y trabajar en el nivel de riesgo actual y futuro. ¿Puede identificar no sólo el punto de entrada, sino los intentos de moverse dentro de su red, determinar qué hosts se han visto afectados y, en última instancia, el plan de juego general de los black hats?
  • Identificar rápidamente los indicadores de compromiso y publicar estos a otros activos de la red como medio para prevenir un brote y frustrar ataques posteriores. Utilice todos estos puntos de vista para mejorar continuamente tanto su postura de seguridad para dispositivos como para humanos. ¿ La causa eran dispositivos sin protección? ¿Qué empleados se vieron afectados? ¿Se usan las credenciales de confianza de terceros?

No puede defender la red de aquello que no puede ver El ransomware puede infiltrarse en su red a través de cualquier rincón o grieta que no esté monitorizada o que parezca normal a simple vista. Para remediar lo que equivale a una «catarata de ransomware» dentro de su red, necesita una línea de visión clara del tráfico de red, puertos y protocolos tanto de los segmentos físicos como virtuales de la red. Combinado con el poder de técnicas de detección más amplias y exhaustivas tales como el escaneo de amenazas avanzado, análisis de sandbox personalizado y una visión de amenazas correlacionadas, tendrá la red equivalente a la cirugía ocular con láser: que le permite obtener una visibilidad sin restricciones de los intentos de secuestrar su red junto con los sistemas, aplicaciones de datos y la propiedad intelectual del mismo.

  · ·

El valor de ganar visibilidad es muy amplio:

  • Detectar los intentos de utilizar las credenciales de confianza de terceros o dispositivos como ransomware de ‘salto de isla’ en su red. ¿Su proveedor intenta autenticar una aplicación a las 3 de la mañana?
  • Identificar los sistemas no gestionados, aplicaciones o dispositivos asociados a los indicadores de la filtración de ransomware. ¿Está la aplicación TOR en un host de un empleado vinculada a una dirección IP conocida de mando y control / malware avanzado? • Correlacionar todos los aspectos de un intento de sembrar ransomware en su red a través de todo el ciclo de vida del ataque. Los indicadores de compromiso (IOC) que encontró a través de la web o del email aparecieron en otros lugares de la red? ¿Qué otros protocolos y segmentos de su red se ven afectados por este ataque?

Necesita una estrategia de defensa de red para evitar que el ransomware se infiltre y se expanda dentro de su red. Trend Micro Deep Discovery Inspector es un dispositivo único diseñado para detectar cargas maliciosas, tráfico malicioso, comunicaciones C&C, comportamiento atacante, exploits y otra actividad indicativa de un ataque de ransomware a través de todo su tráfico de red y segmentos. La visibilidad que proporciona puede ser compartida con Trend Micro y herramientas de seguridad de terceros para ayudar a detener y evitar que el ransomware se propague a otros endpoints y servidores.

Trend Micro Deep Discovery Inspector ofrece:

Detección avanzada a través de todo el tráfico de red, puertos y más de 100 protocolos de red para identificar ransomware y comportamientos maliciosos en todo el ciclo de vida de un ataque.

Análisis sandbox diseñado para replicar su entorno de TI para detectar modificaciones de archivos, cifrado y comportamiento malicioso indicativo de un ataque de ransomware.

Integración con los gateways de correo electrónico y web de Trend Micro, protección endpoint y del servidor y soluciones de terceros para ofrecer una defensa contra amenazas conectadas donde la información de una nueva amenaza es compartida a través de múltiples capas.

En resumen, se trata de tomar medidas proactivas para limitar el impacto y reducir el riesgo de un ataque repetido de ransomware.

Esto significa optar por un enfoque de defensa en profundidad: una arquitectura de seguridad en capas que establece visibilidad agnóstica en toda la actividad de la red en su corazón. Combinado con protección web y del correo electrónico, así como con protección de endpoint y del servidor, le ayudará a minimizar totalmente el riesgo y los costes asociados a la epidemia ransomware moderna.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.