Cómo vencer al ransomware: 6 cuestiones que hay que resolver antes de que ataque

Ser atacado por un ransomware ha sido comparado con sufrir un ataque al corazón. Es algo que, en teoría, acecha a todo el mundo y, sin embargo, cuando ocurre, el impacto de la experiencia es siempre una sorpresa. Durante los primeros segundos, minutos -y a veces horas- las organizaciones están solas.

Es un momento de traumatismo inesperado que a muchas organizaciones les paraliza, algo que los atacantes planean. Esto hace que los efectos del ataque sean aún peores. Finalmente, un número cada vez mayor pide ayuda, valorando la experiencia de un proveedor de servicios que ha visto a otros pasar por el mismo molino muchas veces antes.

Una de las empresas que recibe algunas de esas llamadas es AT&T y su unidad de negocio de servicios de seguridad gestionados. Director Bindu Sundaresan tiene experiencia de primera mano en ayudar a las víctimas en el difícil día uno. ¿Qué consejo daría a alguien preocupado por esta amenaza?

1. Has probado el plan de respuesta a incidentes, ¿verdad?

«Cuando un cliente se pone en contacto con nosotros durante un ataque de ransomware, siempre es una situación caótica en la que la capacidad del cliente para llevar a cabo su negocio se ha detenido por completo. Suele ser la primera vez que sufren una interrupción de tal magnitud», afirma.

El primer golpe es para el propio equipo de TI como unidad de funcionamiento. «Muchas veces, el equipo de TI siente que tiene la culpa de que les haya pasado esto, y ese miedo se propaga por todo el equipo». Según su experiencia, el descuido más importante no es que no haya un plan de respuesta a incidentes, sino que no se haya puesto a prueba adecuadamente, empezando por la cadena de mando de comunicación y toma de decisiones. Así que hay que poner a prueba regularmente el plan de respuesta a incidentes de ciberseguridad, junto con los seres humanos y la tecnología que lo llevarán a cabo. Podría tener una falsa sensación de seguridad si sus únicas pruebas provienen de conversaciones en una sala de reuniones sin presión alguna mientras su organización se oscurece.

«¿Quién es el responsable último de este incidente? A menudo se ve que un grupo de personas levanta la mano, lo cual no es lo ideal. Mi consejo es que sólo puede haber una persona a cargo de la toma de decisiones».

Reunir a algunas personas de un MSSP externo no es suficiente. Esa empresa no puede tomar decisiones por ti: un funcionario de la empresa debe estar a cargo, idealmente alguien que haya visto un ataque de ransomware desde dentro. La comunicación no se limita a la cadena de mando interna, sino que se trata de quién habla con los proveedores externos, los socios y las fuerzas del orden.

2. Treinta días de registro no son suficientes

La primera pregunta que toda víctima quiere que se le responda cuando se produce un ataque es si los atacantes siguen en la red y, si es así, dónde se han escondido. Lo primero que buscará el equipo de TI son los registros que, con suerte, delatan los fragmentos de sus movimientos y las técnicas y procedimientos de las herramientas (TTP).

RECOMENDADO  Cómo mantenerse seguro mientras se juega en línea

El fallo es que los registros no siempre capturan suficientes datos sobre la configuración por defecto; por ejemplo, los últimos 30 días en un controlador de Active Directory (AD). El consejo de Sundaresan es ir más allá de lo que se requiere para el cumplimiento básico y ampliar el registro a varios meses, como mínimo, en los servidores importantes. Sólo entonces será posible descubrir la raíz de un compromiso, esencial para evitar que se repita el incidente.

«Los atacantes pueden estar en su red durante 230 días en algunos casos y los registros de la empresa sólo se remontan a 30 días. Eso ya no funciona».

3. ¿Dónde están los activos?

La siguiente tarea de reparación es la aplicación de parches, que resulta ser más difícil de lo que parece. «La mayoría de las veces, la gente no tiene un inventario de activos preciso. Si no se sabe lo que hay en la red, no se puede hacer mucho para detener la propagación», dice. «En el momento en que les preguntas si está actualizado, suele haber un silencio».

Para la recuperación de ataques, el único inventario de activos que tiene sentido es el que funciona en tiempo real, añadiendo un activo cada vez que se ve. Las organizaciones no pueden asegurar lo que no pueden ver o no conocen, incluyendo no sólo los dispositivos físicos sino los repositorios en la nube, el almacenamiento, las aplicaciones y todo tipo de servidores.

El descubrimiento de activos en tiempo real es posible desde hace años gracias a los motores de inventario de activos en línea ofrecidos como servicio, un ejemplo de cómo esto no tiene por qué ser una tarea onerosa. Esto se sincronizará con la base de datos de gestión de la configuración de ServiceNow (CMDB) de la organización.

4. La copia de seguridad es genial – si se ha probado

Todas las organizaciones exigen la realización de copias de seguridad, pero no todas son tan útiles en caso de que se produzca un ransomware. Según Sundaresan, el primer problema es que las organizaciones no siempre las prueban. Eso significa hacer suposiciones pesimistas sobre el estado de la propia red.

«Las copias de seguridad son una obviedad, pero hay que probarlas desde el punto de vista de la capacidad de recuperar los sistemas sin acceso a determinados recursos».

El núcleo tradicional de las copias de seguridad es el formato 3-2-1, en el que las organizaciones realizan copias de seguridad en diferentes tipos de soportes y en diferentes ubicaciones, incluso fuera de línea y fuera de las instalaciones. Pero si uno de esos medios se ve interrumpido de alguna manera -un problema de conectividad causado por el ataque, por ejemplo-, esa estrategia empieza a mostrar su fragilidad.

«Una y otra vez, las organizaciones piensan que han probado la copia de seguridad, pero no la han probado con suficiente frecuencia en condiciones realistas. Además, la práctica de la recuperación lleva a descubrir otros puntos débiles en sus preparativos. Por lo general, se descubren en la calidad de las copias de seguridad, lo que a su vez conducirá a mejores copias de seguridad para cuando realmente se necesiten» La forma más sencilla de incorporar pruebas más exhaustivas es, según Sundaresan, hacer que sea responsabilidad de alguien.

RECOMENDADO  La nueva amenaza del ransomware: la triple extorsión

5. Pagar no es una salida fácil

El pago de un rescate ha sido una cuestión controvertida desde los primeros ataques de hace una década, y la cuestión no parece estar más cerca de resolverse. ¿Podría el pago de un rescate simplemente invitar a futuros problemas?

«Nuestra recomendación es no pagar porque las posibilidades de recuperar los datos son, en el mejor de los casos, parciales. Y lo que es más importante, les estás dando más munición para ir a por ti». La otra preocupación de Sundaresan es que al hacer que el pago forme parte de la estrategia de ciberseguridad se corre el riesgo de socavar el tipo de controles que podrían hacerlo innecesario en primer lugar.

«También podrías coger ese dinero e invertirlo en ciberseguridad y reducir tu exposición al riesgo».

6. La defensa DIY está obsoleta

Un bloqueo importante para muchas organizaciones pequeñas ha sido reunir la inversión y los conocimientos necesarios para defenderse. Pero el enfoque de bricolaje no es necesario en la era de los servicios MSSP, argumenta Sundaresan. «Cuando se necesita una operación, se acude a un cirujano. Te estás perjudicando a ti mismo al pensar que tienes que hacerlo todo por ti mismo».

Igualmente, reconoce, elegir un MSSP no es fácil en un mercado saturado. Su consejo es que busques un socio que no sólo te diga cuál es el problema, sino que también lo solucione. Pero como eso cambia con bastante rapidez a medida que aparecen nuevos ataques, eso exige un proveedor capaz de demostrar que puede invertir e innovar con el tiempo.