Reenfoque en el ransomware: 3 verdades para construir una lista roja para ransomware

Con Mes Nacional de Concientización sobre Ciberseguridad al inicio, el único tema del que escucharás con certeza es ransomware.

Esto no es sorprendente, ya que el ransomware es tipo más común de ciberataque organizaciones encaran.

Necesitas estar preparado para ese momento en el que recibes una llamada telefónica de lo que parece ser haber sido encontrado dentro de tu entorno.

Este mes, pon tu ransomware centrarse en tres “verdades” importantes que todas las organizaciones deben aceptar y actuar para que se cree una base sólida para proteger su red de propagación de un ataque de ransomware.

Escuche a Nathanael Iversen, el evangelista jefe de Illumio, sobre cómo asegurarse de que su organización esté lista para ransomware:

Sigue leyendo para saber más.

Verdad #1: Diseñe proactivamente su red en espera de un ataque de ransomware

Imagina que obtienes la convocatoria. En ese momento, cualquier red de tecnologías de detección y sensores que haya seleccionado habrá hecho su trabajo y las capacidades de respuesta a incidentes serán críticas. Después de todo, solo puede responder con lo que ya está desplegado, activo y bien preparado.

Nadie tiene tiempo para desarrollar nuevas capacidades sobre la marcha cuando se lleva a cabo un ataque.

Cuando los arquitectos diseñan edificios, se les exige que diseñen puertas contra incendios en cada piso, oficina y entrada de escaleras. Estas puertas a menudo se dejan abiertas, o simplemente funcionan como puertas normales la mayor parte del tiempo.

Pero si se inicia un incendio, estas puertas tienen el fuego y el humo y se les da una salida segura para que las personas salgan del edificio.

Tres capacidades le brindarán estas “puertas contra incendios” para responder de manera efectiva a un ataque de ransomware y minimizar su impacto:

1. La capacidad de Visualizar los flujos de tráfico y radio de ataque. Tener un montón de datos de NetFlow no será útil. Por el momento, es crítico contar con mapas de dependencia de aplicaciones completos y automatizados y la capacidad de consultar la actividad en cualquier puerto de red. Tomados en conjunto, se puede ver exactamente dónde está, ha estado, y está tratando de ir un ataque.
2. El siguiente es preestablecido políticas de seguridad que pueden cerrar partes de la red y crear zonas seguras en todas las partes a las que el ataque aún no haya accedido. Esto evita que el ransomware se propague y crea las “zonas limpias” a las que se trasladarán las máquinas infectadas una vez que hayan sido desinfectadas.
3. Por último, apretado fronteras debe rodar alrededor de cualquier máquina comprometida para eliminar las conexiones a las redes de mando y control, la propagación o incluso el reconocimiento. Es poco probable que los firewalls de red suficiente tengan granularidad para hacer esto. Una solución de segmentación basada en host preinstalada garantiza que las capacidades correctas esten disponibles cuando sea necesario.

Cuando se ha descubierto malware activo, todos desean tener estas tres capacidades, por lo que tiene sentido implementar antes de lo que sean necesarias. La contención efectiva dará tiempo para que se completen las actividades de remediación.

Verdad #2: Eliminar el riesgo es mejor que administrarlo

Una vez que un ataque está en marcha, hay muchas herramientas que prometen detectar y hacer algo al respecto.

Pero hay una verdad aún más profunda: un ataque sólo puede propagar a través de puertos abiertos. Si no hay camino, no hay propagación.

Cada puerto abierto innecesariamente cerrado reduce el riesgo. El tamaño de la red operacional se reduce, lo que elimina el riesgo y reduce la superficie de ataque.

¿Cómo logras esto?

1. Cerrar puertos de alto riesgo, de alto valor y uso de uso. La mayoría de los ransomware comerciales utilizan un puñado de protocolos bien conocidos para propagarse, como RDP y SMB, que a menudo no necesitan ser abiertos a nivel mundial. La mayoría de los especialistas en penetración utilizan kits de herramientas estándar para tratar de explorar un entorno y buscar las vulneraciones comunes en puertos conocidos. En casi todos los casos, estos puertos bien conocidos no necesitan estar abiertos globalmente. Cerrarlos no reducir el riesgo; en realidad elimina todos esos vectores. ¿Por qué administrar lo que puede eliminar?
2. Aplicaciones de alto valor de Ringfence. En el desafortunado caso de que se descubro algo malo en su entorno, lo primero que se piensa serán las aplicaciones y los datos de mayor valor. Lo más probable es que el compromiso se detecte en el borde o punto final, pero la preocupación son las “cosas más importantes”. En ese momento, todos desearán estar completamente vallados y tener una política de Segmentación de Confianza Cero ajustada adjunta. Cree esa política ahora; entonces estará en su lugar y esos activos críticos ya han eliminado la mayor parte del riesgo de un ataque a la red.
3. Controlar el acceso administrativo. La mayoría de las organizaciones utilizan anfitriones de salto. Averíguese de que todas las formas de acceso administrativo están muy administradas para los usuarios y salte a los hosts que son los que son los que se le pueden dar al entorno. Ninguna aplicación o puerto debe responder al acceso administrativo aleatorio, en concreto desde el entorno del usuario. La reducción radical de todos los protocolos administrativos elimina muchas clases de ataques.

Los riesgos que no existen no tienen que ser Administrados. Y aunque ninguna tecnología elimina la necesidad de tecnologías complementarias, sigue siendo cierto que una base sólida de segmentación dirigida elimina enormes cobros de riesgo de propagación de brechas.

Verdadero #3: ¿necesitas? ambos Segmentación de confianza cero y EDR para detener la propagación del ransomware

Lo mejor que puede hacer para eliminar la propagación de brechas es implementar Segmentación de confianza cero además de un producto existente de detección y respuesta de punto final (EDR).

Obispo Fox recientemente se le ha hecho una serie de emulados ransomware ataques en el que los atacantes se ven a la hora de comprar una red protegida sólo con EDR y una red protegida con Segmentación de EDR y confianza cero.

Averiguaron que si bien EDR era muy eficaz para detectar y, en última Instancia, remediar muchos ataques, las redes que también estaban resplandecidas por la Segmentación de Confianza Cero contenían ataques cuatro veces más rápidos y con un número de anfitriones de menor nivel.

Cuanto mejor sea su política de segmentación, más eficaz podrá ser en EDR. Otorgue superpoderes a su EDR con Segmentación de Confianza Cero a su implementación para una máxima capacidad de respuesta.

Prepárese para los inevitables ataques de ransomware

El ransomware es un flagelo para los usuarios modernos y el entorno de cómputo. Pero se pueden hacer preparativos para garantizar que una brecha sea un evento, no una catástrofe.

Invertir en un conjunto de calidad de políticas de segmentación de respuesta a incidentes proactivas y reactivas le dará a su equipo de seguridad controles de calidad en los primeros minutos críticos de una respuesta.

Los equipos que quitan el riesgo antes de un evento siempre tendrán menos que hacer que los que han dejado las aplicaciones críticas muy exportadas y los puertos y protocolos de administración de alto riesgo abiertos. ¿Y quién no quiere que su EDR funcionara? cuatro veces mas rápido ¿Con menores cantidad de anfitriones?

El Plataforma de Segmentación Illumino Zero Trust se trata de capacidades fundamentales que eliminarán el riesgo y mejorarán las capacidades de respuesta. ¡Ese es exactamente el tipo de conciencia de este mes!

Únase a nosotros la próxima semana mientras traemos nuevos conocimientos sobre por qué debería centrarse en la Segmentación de Confianza Cero este Mes de Concientización sobre Ciberseguridad.