Diseño del blog
Los hackers me están atacando ¿y ahora qué hago?
Emilio Javier Batarse Cardenas • 13 de mayo de 2022
COMPRA TEAMVIEWER CON FACTURA FISCAL EN MEXICO ¡CLICK AQUI!
COMPRA TEAMVIEWER CON FACTURA FISCAL EN MEXICO ¡CLICK AQUI!
Los hackers me estan atacando ¿y ahora qué hago?
El juego ha cambiado. Voy a ser audaz y decirlo claramente, en este punto todos deberían operar bajo el supuesto de que los piratas informáticos ya están en sus sistemas o podrían acceder fácilmente a ellos mañana. Está muy claro que los ciberdelincuentes inteligentes y sofisticados han estado superando constantemente incluso la mejor seguridad de primera línea desde hace un tiempo. Su estrategia es inteligente; pasar desapercibido y permanecer oculto. ¿Por qué? Su principal prioridad es observar y aprender, todo con la intención de encontrar sus debilidades y explotar sus vulnerabilidades mientras esperan el momento óptimo para atacar. Por supuesto, seguirán siendo más inteligentes y desarrollarán tecnologías para volverse más difíciles de detectar y/o evitar la detección por completo. ¿Y ahora que?
Demos un rápido paso atrás. ¿De qué estamos hablando aqui? Bueno, solía ser que el ransomware ingresaba a un sistema, comenzaba a cifrar y descargaba todo lo que podía, solo para escapar antes de que fuera detectado. Pero el ransomware ha evolucionado. Los delincuentes de ransomware han tomado algunas jugadas del libro de jugadas del crimen organizado. Imitan el arte de "revestir el porro", entrando y saliendo cuando el momento es óptimo para infligir el máximo impacto. Han perfeccionado el arte del reconocimiento cibernético. Esta práctica, a menudo denominada ransomware inactivo o ransomware durmiente, es ahora un hecho habitual en el mundo digital.
Los malos actores están muy motivados para causar la mayor destrucción posible para ganar más dinero y maximizar sus esfuerzos; al igual que con cualquier negocio, se trata del ROI. Algunos informes sugieren que el ransomware a veces permanece inactivo hasta por 18 meses. Los malos actores saben que la destrucción óptima depende de múltiples factores como el momento y el alcance. Quieren que no tenga opciones PERO pague su rescate. Los viejos tiempos en los que una brecha y un ataque ocurrían al mismo tiempo quedaron atrás. Esta complejidad adicional significa que a menudo pueden conocer sus sistemas mejor que usted, por lo tanto, las posibilidades de que inicien una serie de eventos diseñados para interrumpir y deshabilitar sistemas críticos para obtener pagos netos más grandes están aumentando drásticamente.
Entonces, ¿qué debe hacer hoy para combatir esta nueva estrategia de ransomware latente? La buena noticia es que algunas prácticas y tecnologías lo ayudan a detectar amenazas antes de que los malhechores puedan actuar. También puede utilizar estrategias para reducir la superficie de ataque y evitar interrupciones y deshabilitaciones a gran escala una vez que estén dentro de su entorno. ¡Aquí están los seis primeros!
1. Ilumine con Infraestructura y Visibilidad de Datos
Los atacantes buscan las áreas más débiles, esos lugares oscuros donde puede tener seguridad o supervisión limitadas. Por lo tanto, es vital implementar herramientas que brinden un conocimiento completo de la infraestructura, arrojando luz sobre todas esas áreas oscuras o datos oscuros en su entorno. Según Veritas Vulnerability Lag Research, el 35 % de los datos aún están oscuros. Eso es alarmantemente alto. Le recomendamos que se ponga a trabajar para saber qué datos tiene y dónde están lo antes posible.
Gran mejor práctica: además de la visibilidad completa de todo en su entorno, también es vital tener una documentación impresa clara sobre los detalles de su entorno, como procedimientos y configuraciones, incluidas direcciones IP, contraseñas, etc., para ayudar con la recuperación. . Omitir estos detalles puede evitar que usted y su equipo se recuperen rápidamente en el caos de un ataque. Guárdelos en una caja fuerte que revise y actualice regularmente.
2. Proteja todos los datos, de todas las fuentes
Una vez que sepa dónde están todos sus datos y todas sus fuentes, puede protegerlos con múltiples capas de protección para reducir la superficie de ataque y limitar el acceso. Después de colarse en su entorno, los ciberdelincuentes a menudo buscan información confidencial o credenciales de inicio de sesión que les permitan moverse lateralmente por su entorno. Están muy motivados para obtener acceso a sus sistemas de respaldo e intentar eliminar las opciones de recuperación. Hay algunas cosas que puede hacer para ayudar a mitigar esta práctica.
Para empezar, limite qué y dónde puede operar cada conjunto de credenciales y tenga diferentes contraseñas para cada dominio. Asegúrese de que no haya un administrador divino que pueda hacerlo todo. Es importante bloquear o limitar el acceso de los ejecutivos, ya que a menudo son objetivos fáciles, pero es igual de importante limitar el acceso y los privilegios de los administradores, especialmente a las copias de seguridad.
La práctica común es adoptar una postura de confianza cero en todo el entorno e implementar MFA y RBAC.
También es importante segmentar o microsegmentar su red en múltiples zonas de redes más pequeñas y garantizar que el acceso sea administrado y limitado, especialmente a sus datos más importantes. No dejes que los malos actores lleguen muy lejos. Sea creativo con eso. Es decir, sea único y configure un sistema único para sus necesidades y requisitos de seguridad. Cuando la Autoridad de Transporte Metropolitano de Nueva York, básicamente el metro de Nueva York, fue pirateada en abril pasado, los piratas informáticos no obtuvieron acceso a los sistemas que controlan los vagones de tren ni se comprometió la información de los clientes. ¿Por qué? Porque tienen una red segmentada de varias capas de más de 18 sistemas diferentes. Solo tres de los cuales estaban comprometidos. Este sistema creativo evitó que los actores de amenazas se movieran por la red; el evento fue aislado y restaurado rápidamente.
Excelente práctica recomendada: cree una red aislada que se vea exactamente como su red de producción pero con diferentes credenciales de administración. No comparta nada con sus redes de producción excepto el acceso al almacenamiento inmutable. Utilizará estos espacios para recuperar sus datos y servicios, y limpiar sus datos de malware. También es un gran lugar para probar la recuperación.
En la misma línea, es importante usar Air Gap Solutions (que desglosaremos en la siguiente sección). Un dominio ya no es lo suficientemente bueno. Mantenga las funciones vitales de la infraestructura fuera de la web. Guarde las configuraciones de los servicios clave, como la copia de seguridad, los servicios de nombres, la red y los servicios de autenticación en un lugar separado.
3. Implementar almacenamiento inmutable e indeleble y un espacio de aire
Un método fantástico para proteger sus datos de la manipulación es implementar un almacenamiento inmutable e indeleble, lo que garantiza que los datos no se puedan cambiar, cifrar o eliminar durante un período de tiempo determinado o en absoluto. Aquí hay un excelente blog sobre nuestra arquitectura inmutable de varios niveles de mi colega, Roger Stein, y si está buscando una inmersión más profunda, un informe técnico titulado Secure by Default, NetBackup Flex Scale.
En Veritas, recomendamos la estrategia de copia de seguridad 3-2-1 más una adicional. La metodología 3-2-1+1 consiste en al menos tres copias de sus datos, al menos dos tipos de medios distintos (como disco y nube), al menos una copia externa o segregada de los datos y al menos una en almacenamiento inmutable.
Veritas NetBackup puede garantizar fácil y automáticamente que no haya ningún punto único de falla al configurar políticas de ciclo de vida que envían datos a un dominio secundario o incluso terciario. Llamamos a esta tecnología Auto Image Replication o AIR. Con AIR configurado, sus datos pueden enviarse unidireccionalmente a una segunda ubicación segura que puede tener diferentes credenciales configuradas y capacidades de red limitadas, lo que garantiza una segmentación adecuada de su entorno de protección de datos. Por supuesto, no se detiene allí, utilizando el mismo ciclo de vida automático que configuramos para AIR, también podemos enviar una copia de los datos almacenados inmutablemente deduplicados a la nube.
Otro protocolo de seguridad importante es crear un Air Gap o una separación o aislamiento físico de dispositivos, sistemas, redes, etc. para incluir nada más que aire. Esto puede venir en la forma tradicional de cinta, pero también puede incluir hardware, software y soluciones de espacio libre en la nube. Además de las formas tradicionales, Veritas ofrece un entorno de recuperación aislado de NetBackup.
Excelente práctica recomendada: al principio, haga que el almacenamiento inmutable sea su segunda copia, pero una vez que se sienta cómodo con sus políticas de retención, conviértalo en su copia principal.
4. Adopte la detección de actividades anómalas y el escaneo de malware
A continuación, implemente herramientas que brinden detección de comportamientos o actividades anormales tanto de los datos como de la actividad del usuario. ¿A qué nos referimos con eso? Ponga en marcha medidas concretas y automatizadas para alertar si sucede algo fuera de lo normal en todo su entorno. Esto podría ser cosas como una actividad inusual de escritura de archivos que podría indicar una infiltración, pero también podría detectar extensiones de archivos de ransomware conocidas, patrones de acceso a archivos, patrones de tráfico, descargas de códigos, solicitudes de acceso, aumentos repentinos de la capacidad de almacenamiento, rutas de tráfico externas o incluso una inusual. salto en la actividad en comparación con los patrones típicos de los individuos. Es vital ser notificado inmediatamente de cualquier cosa fuera de lo común. Este es un gran ejemplo.
En el infame hackeo de SolarWinds, los piratas informáticos utilizaron una actualización periódica de software para introducir un código malicioso elegante e innovador en una multitud de empresas que utilizan el software SolarWinds. Durante más de nueve meses, deambularon por algunas empresas sensibles y de alto perfil, escondiéndose a simple vista, aprendiendo sus sistemas, reuniendo inteligencia, hasta que cometieron el error de deambular por la empresa de seguridad cibernética, FireEye. El equipo de seguridad de FireEye notó una actividad extraña y sospechosa, alguien que intentaba registrar un segundo teléfono en la red de la empresa. Al encontrar extraño que un empleado tuviera dos teléfonos, se pusieron en acción y llamaron al usuario. ¡Sorpresa, ese usuario no registró ese teléfono y no tenía idea de quién lo hizo! Gracias a la vigilancia de FireEye, que realizó una investigación de actividad fuera de lo común y descubrió la intrusión.
Excelente práctica recomendada: lleve a cabo cacerías de ciberamenazas con regularidad. Tómatelo en serio e implementa herramientas de detección con protocolos para investigar comportamientos anómalos y malware.
5. Optimice para una recuperación flexible, rápida e híbrida, a escala
Con el cambio de mentalidad "los malos ya están adentro", la resiliencia y la recuperación rápida se convierten en el objetivo final. Estamos hablando de mucho más que un punto de restauración, una sola copia de seguridad o hacer varias copias. Debe diseñar una experiencia de recuperación optimizada y simplificada que lo ayude a volver a estar en funcionamiento, rápidamente, incluso a gran escala.
Para estar realmente optimizado para la experiencia de recuperación, se requiere una planificación cuidadosa, orquestación, capacidad para tener opciones de recuperación, alineación y capacitación interfuncionales, eficiencias de deduplicación de almacenamiento y visibilidad y supervisión global. Con Veritas, nuestras soluciones brindan recuperación desde cualquier lugar a cualquier lugar y opciones que brindan flexibilidad y elección en caso de un ataque o desastre. ¿Porque es esto importante? A veces, todo se ve afectado y es posible que deba recuperar un centro de datos completo en la nube, bajo demanda. Tal vez no todo su entorno se vea afectado, tal vez solo una parte, la Recuperación granular de archivos le permite obtener bases de datos y archivos individuales para recuperarlos rápidamente de nuevo a la producción. En el caso de que se cifren servidores completos, Bare Metal Recovery le permite recuperar rápidamente todo el servidor en otro lugar. Tal vez solo necesite recuperar una gran cantidad de máquinas virtuales para que vuelvan a producción. ¡También lo hacemos fácil!
Excelente práctica recomendada: las múltiples soluciones de respaldo dispares por diseño crean una experiencia de recuperación complicada, especialmente cuando varios sistemas están comprometidos. Simplifique y optimice reduciendo el número y la variedad de productos y proveedores puntuales en toda su organización.
6. Organice ensayos de recuperación no disruptivos
Los ciberdelincuentes esperan que su organización sea como la mayoría, no optimizada para la recuperación. Quieren el máximo daño y tiempo de inactividad para asegurar el pago de los rescates. Si está listo y ensayado para la recuperación, entonces está un gran paso adelante. Para llegar a una recuperación rápida, debe tener un plan de respuesta de seguridad cibernética para todo su entorno, que incluya pruebas tempranas y frecuentes. Sí, los ensayos regulares de su recuperación ayudan a limitar el tiempo de inactividad y las interrupciones y reducen el impacto de un ataque. Veritas hace que sea fácil y eficiente ejecutar pruebas no disruptivas con ensayos que están automatizados y asegurados mientras aprovecha los recursos que no son de producción, como los entornos de sandbox y cercados de red.
Excelente práctica recomendada: Veritas también sugiere que ensaye recuperar todo y no solo un subconjunto de sus aplicaciones. Incluyendo cosas como su servicio de nombres, autenticación, hora del sistema y otros servicios de infraestructura, ya que lo más probable es que recupere la mayor parte o la totalidad de su entorno de producción.
El ensayo y la validación regulares son vitales para el éxito porque cuando estás en modo de crisis, las cosas simplemente deben funcionar.
Tiene el poder de tomar medidas importantes para combatir el ransomware y darle la vuelta a los ciberdelincuentes. Al implementar una estrategia de resiliencia de ransomware de varias capas que incluye estas mejores prácticas y una higiene de ciberseguridad impecable, puede detener a los atacantes antes de que se afiancen y tener una valiosa tranquilidad. Lo ha escuchado antes y lo diré nuevamente, cuando se trata de un evento de seguridad cibernética o un ataque de ransomware, ya no es si, sino cuándo. Durante el año pasado, hemos sido testigos de una gran cantidad de ejemplos de lo que no se debe hacer.
