Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Cómo cumplir con la guía de Cisa Phobos Ransomware con Illumio

Illumio Editorial
,
April 24, 2024
23 min. lectura

Recientemente, la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis y Intercambio de Información Multiestatal (MS-ISAC) lanzaron un nuevo asesoramiento en ciberseguridad destinado a informar a las organizaciones gubernamentales y de infraestructura crítica sobre cómo protegerse contra el ransomware Phobos.

En esta entrada de blog, aprenda qué es el ransomware Phobos, cómo los funcionarios gubernamentales recomiendan prepararse para Phobos y cómo el Panel de Protección contra Ransomware de Illumio puede ayudar a lograr estas recomendaciones.

¿Qué es el ransomware Phobos??

El ransomware Phobos está relacionado con múltiples variantes de ransomware, incluyendo Elking, Eight, Devos, Backmydata y Faust ransomware. La variante Backmydata se utilizó en un ataque de febrero de 2024 en Rumania que resultó en que los sistemas se desconectaran alrededor de 100 centros de salud.

El aviso comparte tácticas, técnicas y procedimientos conocidos (TTP) e indicadores de compromiso (IOCs) asociados con las variantes de ransomware Phobos observadas tan recientemente como febrero de 2024. Phobos opera como un modelo de ransomware como servicio (RaaS) y se ha dirigido a varios sectores desde mayo de 2019, incluidos el gobierno, los servicios de emergencia, la atención médica y la educación.

Cómo protegerse contra Phobos ransomware

El aviso proporciona tres puntos clave para mitigar la actividad del ransomware Phobos:

  1. Asegure los puertos RDP para evitar que los actores de amenazas abusen y aprovechen las herramientas de RDP.
  1. Priorizar la remediación de vulnerabilidades explotadas conocidas.
  1. Implementar soluciones EDR para interrumpir las técnicas de asignación de memoria de los actores de amenazas.

El Plataforma de Segmentación Illumio Zero Trust puede ayudarle a abordar estas tres recomendaciones.

1. Utilice el panel de protección contra ransomware de Illumio para proteger los puertos RDP

Con solo unos pocos pasos rápidos, su organización puede realizar mejoras importantes para frustrar a los malos actores y prevenir el movimiento lateral dentro de su entorno. Si puede evitar el movimiento lateral, se asegura de que incluso si los atacantes entren, no lleguen muy lejos ni accedan a aplicaciones de misión crítica.

Repasemos los tres pasos para asegurar los puertos RDP mediante Panel de protección contra ransomware:

  1. Identificar dónde hay Tráfico RDP en su entorno
  1. Siga las acciones recomendadas en el panel de protección contra ransomware de Illumio
  1. Medir la mejora en la puntuación de protección contra ransomware
Illumio’s Ransomware Protection Dashboard
Illumino's Ransomware Protection Dashboard le brinda una visibilidad clave del riesgo para que pueda priorizar y abordar la amenaza de ransomware.
Identificar el Tráfico RDP en su entorno

El Panel de Protección contra Ransomware de Illumino rastrea fácilmente los servicios de mayor riesgo en su entorno. Uno de estos servicios es RDP. Si está expuesto en su entorno sin que las políticas lo controlen, es posible que lo vea en su informe Top 5 Risky Services. Alternativamente, también puede dirigirse al mapa para buscar específicamente el tráfico RDP.

A screenshot of a computerDescription automatically generated
El Panel de Protección contra Ransomware proporciona una lista fácil de entender de sus cinco servicios más riesgosos.

En la imagen de arriba, puede ver que RDP figura en los cinco servicios más riesgosos, pero tampoco existe una política que controle este servicio.

Aquí es donde se puede hacer análisis de negocios para entender el impacto. Por ejemplo, hay ciertas personas en la organización que necesitan la capacidad de usar RDP. Esto es muy útil para TI que puede estar ayudando a los empleados que no están en el sitio a solucionar un problema. Sin embargo, no es algo que la carga de trabajo promedio deba tener disponible.

Aquí es donde entran en juego las acciones recomendadas por el panel de control.

Siga las acciones recomendadas por el Panel de protección contra ransomware

Una de las acciones recomendadas en el panel de control es crear una regla de denegar. Esta es una manera fácil de crear protección rápidamente a medida que avanza en lo que puede ser más grande Viaje a Zero Trust.

A screenshot of a computer programDescription automatically generated
El panel proporciona acciones recomendadas para implementar que mitiguen el riesgo.

En este caso, dado que CISA recomienda asegurar los puertos RDP, el siguiente paso es construir una regla de denegar para bloquear este tráfico. Las excepciones se pueden agregar según sea necesario, pero generalmente esto se bloqueará. Esto proporciona protección proactiva contra cualquier ataque de ransomware Phobos.

Cuando aplica reglas de denegar con Illumio, su nueva política se implementa en toda su organización en minutos, sin importar la escala.

Medir la mejora de la seguridad en la puntuación de protección contra ransomware

Una excelente manera de medir su progreso en la protección de su entorno es con la puntuación de protección contra ransomware del panel de control. A medida que implementa políticas y realiza cambios importantes, como bloquear el tráfico RDP, puede ver que esa puntuación sube.

Illumio no solo proporciona su puntuación actual, sino también esta puntuación a lo largo del tiempo. Esta es una excelente manera de medir cómo protege a su organización contra amenazas en constante evolución.

A graph on a screenDescription automatically generated
El puntaje de protección contra ransomware proporciona una representación visual de cómo la seguridad ha mejorado con el tiempo.

2. Remediar vulnerabilidades explotadas conocidas con Segmentación de Confianza Cero

La Segmentación de Confianza Cero (ZTS) puede ayudarle a reducir el impacto de los ataques de ransomware como Phobos al ver y abordar dónde vulnerabilidades en su red han sido explotados.

Vea y corrija brechas de seguridad

El Mapa de Illumio ayuda a revelar sistemas o aplicaciones con comunicación excesiva, innecesaria o que no cumple con las normas. Incluso puede combinar esta información con datos de escáneres de vulnerabilidades.

Con esta información, los equipos de seguridad pueden establecer políticas de segmentación flexibles y granulares para reducir la exposición a vulnerabilidades y detener la propagación de brechas inevitables. Al comprender el contexto y la exposición, las cargas de trabajo se pueden asegurar rápidamente antes de que se implemente un parche.

Illumio’s Real-time Map Provides Visibility Into Application Behavior
El mapa en tiempo real de Illumio proporciona visibilidad del comportamiento de las aplicaciones y los flujos de tráfico en cualquier centro de datos y nube.
Cuantifique el riesgo con información basada en datos sobre vulnerabilidades

Ante amenazas como el ransomware Phobos, es crucial no solo identificar sino también cuantificar las vulnerabilidades potenciales dentro de su red. Illumio muestra los puntos débiles de la red para que los equipos puedan implementar medidas proactivas precisamente donde más se necesitan.

Esta información proporciona a los equipos multifuncionales conocimientos prácticos para abordar las brechas de seguridad, fomentar la toma de decisiones basada en datos y mejorar las estrategias de mitigación de riesgos en todo el entorno.

Construya de manera proactiva defensas contra vulnerabilidades

Modele, pruebe e implemente la segmentación granular de activos de alto riesgo como control de compensación, protegiendo sistemas críticos cuando la implementación de parches no sea factible o introduzca una complejidad operacional inaceptable.

La conciencia es clave. Si el tráfico se conecta a un puerto con una vulnerabilidad conocida, el centro de operaciones de seguridad (SOC) recibe una alerta de la infracción, incluido el contexto de vulnerabilidad y gravedad con los datos proporcionados por Illumio.

3. Combine EDR y Segmentación de Confianza Cero para detectar y proteger automáticamente contra el movimiento lateral

Complementos de Illumio EDR al reducir la superficie de ataque con políticas de Segmentación de Confianza Cero que dejan poco margen de maniobra a los atacantes. Illumio llena el vacío entre incidente y detección, agnóstico del patrón de ataque.

Según el aviso de ciberseguridad, EDR es una pieza importante de protección contra ataques de ransomware como Phobos. Pero cuando un ataque finalmente infracciona un punto final, EDR no tiene forma de evitar que esa brecha continúe moviéndose lateralmente a través de la red de su organización. Por eso es fundamental combinar EDR con ZTS. Cuando el sistema EDR detecta una brecha, ZTS puede apagar y poner en cuarentena automáticamente cualquier carga de trabajo infectada.

Illumio Endpoint brings ZTS to Your Devices
Illumio Endpoint lleva la Segmentación de Confianza Cero a sus dispositivos de punto final para detener la propagación de ataques cibernéticos inevitables.

La combinación de tecnología proactiva como ZTS con tecnología reactiva como EDR en cada endpoint disminuye la debilidad del tiempo de permanencia al tiempo de permanencia, al tiempo que aumenta significativamente las capacidades de respuesta. De hecho, según las pruebas realizadas por Obispo Fox, la combinación de EDR con Illumio redujo radicalmente la propagación de un atacante mientras detectaba 4 veces más rápido.

Ponte en contacto con nosotros para saber cómo la Segmentación de Confianza Cero puede ayudarle a cumplir con la guía de CISA y detener los ataques de ransomware como Phobos hoy en día.

Temas relacionados

Contención de Ransomware

Artículos relacionados

Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware
Contención de Ransomware

Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware

Conozca cómo Bishop Fox creó una emulación de ataque de ransomware para probar la efectividad de la Segmentación de Confianza Cero.

Leer más
Cómo un bufete de abogados global detuvo un ataque de ransomware usando Illumio
Contención de Ransomware

Cómo un bufete de abogados global detuvo un ataque de ransomware usando Illumio

Cómo la defensa contra el ransomware de Illumio detuvo rápidamente un ataque a un bufete de abogados global, al tiempo que evitaba daños significativos a su sistema, reputación y clientes.

Leer más
Detener el ransomware: vea sus amenazas con Illumio
Contención de Ransomware

Detener el ransomware: vea sus amenazas con Illumio

Leer más
3 pasos para reducir el riesgo de ransomware con el nuevo panel de protección contra ransomware de Illumino
Contención de Ransomware

3 pasos para reducir el riesgo de ransomware con el nuevo panel de protección contra ransomware de Illumino

Descubra cómo el Panel de protección contra ransomware de Illumio y la interfaz de usuario (UI) mejorada le brindan visibilidad clave sobre el riesgo de ransomware.

Leer más
Contener ransomware en su origen con segmentación de confianza cero
Contención de Ransomware

Contener ransomware en su origen con segmentación de confianza cero

Descubra por qué la amenaza de ransomware es tan crítica y cómo lograr la contención del ransomware con la Segmentación de confianza cero.

Leer más
Cómo contener los ataques LockBit Ransomware con Illumio
Contención de Ransomware

Cómo contener los ataques LockBit Ransomware con Illumio

Descubra cómo funciona el ransomware LockBit y cómo Illumio Zero Trust Segmentation contenía un ataque de ransomware LockBit en el verano de 2022.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información