Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

3 pasos para evitar que el ransomware se propague

Illumio Editorial
,
December 20, 2021
23 min. lectura

En un post anterior, exploramos el concepto de visibilidad y cómo puede ayudarle a detectar posibles rutas para ransomware y otro malware para propagar. Siguiente, describimos cómo visualizar, cuantificar y mitigar el riesgo de las vulnerabilidades.

Con esos elementos en su lugar, ahora estás bien posicionado para detenerte ransomware en sus vías, utilizando tanto medidas proactivas como reactivas.

¿Por qué es tan efectivo el ransomware?

A Análisis 2020 muestra que las empresas perdieron 21.000 millones de dólares debido al downtime provocado por los ataques de ransomware. Esta cifra por sí sola demuestra cuán efectivas son las tácticas de ransomware.

¿Qué hace que el ransomware sea tan lucrativo para los delincuentes? La debilidad humana es una vulnerabilidad fácilmente explotable que se puede reforzar con la conciencia sobre las amenazas de seguridad. El hardware y software obsoletos es otra vulnerabilidad de la que se benefician los delincuentes de ransomware.

Una consideración importante que hace que el ransomware sea tan efectivo es la falta de defensas tecnológicas a las que se enfrentan muchas empresas. Afortunadamente, con las estrategias y la tecnología adecuadas, se puede prevenir la propagación del ransomware.

Mejores prácticas para detener el ransomware

El ransomware causa estragos en empresas grandes y pequeñas en todas las industrias importantes. Pero tiene talón de Aquiles. Por lo general, se mueve en un patrón muy predecible.

Primero, el malware obtiene entrada en el entorno de TI de una organización a través de una ruta vulnerable. Luego, si no se marca, se propaga, a menudo durante semanas o meses, a través de redes, dispositivos y servidores. Finalmente, alguien cambia el interruptor para activarlo una vez que está en su lugar, y el ransomware parece aparecer de la nada.

Este proceso puede ocurrir porque es relativamente fácil moverse lateralmente a través de la mayoría de los entornos, ya que los firewalls generalmente se encuentran en la parte superior de los centros de datos y no cerca de los sistemas que protegen.

Detener la propagación de ransomware, malware y otros ataques cibernéticos implica un proceso de tres pasos:

1. Cierre los puertos y vectores riesgosos que el ransomware puede usar para obtener esa entrada inicial en sus sistemas.

2. Coloque barreras para evitar que el malware se mueva lateralmente a través de su entorno si entra.

3. Mejore su respuesta posterior a la intrusión mediante la configuración de políticas secundarias que se activarán para la respuesta a incidentes.

1. Eliminar conexiones innecesarias

Todo comienza con aislando activos críticos al eliminar la comunicación innecesaria.

Considere la posibilidad de realizar videoconferencias, por ejemplo. Por lo general, no hay una buena razón para que la computadora portátil de un host de conferencia hable directamente con otro dispositivo que haya iniciado sesión en la conferencia a través de puertos RDP o SMB. Por lo tanto, los administradores pueden sentirse libres de cerrar esos puertos en ambos dispositivos sin afectar nada más en el entorno. Como otro ejemplo, en la mayoría de los casos, puede apagar los protocolos FTP y Telnet más antiguos y altamente vulnerables dentro de su entorno.

Permitir solo la comunicación necesaria y eliminar rutas innecesarias entre dispositivos y redes le permite ajustar los flujos de trabajo y las máquinas hasta contener ransomware.

Puede hacerlo bloqueando todas las comunicaciones a través de puertos individuales, como en los ejemplos anteriores, para una sola aplicación, dentro de una ubicación geográfica o en toda una red.

Para obtener los mejores resultados, debe implementar dichos controles tanto de manera proactiva como reactiva:

  • Actuar de manera proactiva significa cerrar cualquier puerto no utilizado en su centro de datos u otras áreas antes de que ocurra un ataque, al igual que bloquear la puerta principal cuando se acuesta por la noche.
  • Actuar de manera reactiva significa responder a incidentes con políticas implementadas que puede activar cuando conoce o incluso sospecha de la presencia de malware en cualquier parte de su entorno.

Comience colocando anillos de protección alrededor de sus aplicaciones o activos de mayor valor. De esa manera, si el malware incumple un dispositivo o red en su entorno, permanecerá confinado dentro de un área pequeña, dejando el resto intacto.

Como exploramos en nuestro post anterior, algunos puertos presentan más riesgo que otros y deberían obtener la máxima prioridad para el cierre. Estos incluyen puertos altamente conectados que tal vez sólo un puñado de servidores utilizan para comunicarse con otros sistemas en un data center.

En la mayoría de los casos, los servidores que no son de administración nunca deben usar puertos vulnerables como los puertos RDP y SMB que permiten la comunicación entre pares. La buena noticia es que tales puertos conforman más de los vectores de ataque para malware. En otras palabras, si restringe entradas como RDP, SMB y Win RM, puede eliminar la mayor parte del malware que aparece en las noticias.

Además, considere los puertos conocidos utilizados por las bases de datos y los servicios principales. Esa lista incluye aplicaciones y servicios comúnmente agrupados en distribuciones de Linux. Muchos de estos son muy antiguos en su núcleo y tienen vulnerabilidades creadas a lo largo de muchos años.

Afortunadamente, sencillo, controles basados en el riesgo y las políticas que trabajan en el lado entrante de cualquier máquina en un centro de datos pueden ayudarle a controlar estas vulnerabilidades conocidas para detener el malware.

En cuanto a los puertos salientes, la mayoría de los servidores en el data center no tienen negocio hablando con Internet o tal vez sólo de maneras específicas y claramente definidas.

Al endurecer la comunicación para evitar que los datos no autorizados salgan de la organización, puede evitar que la función de comando y control del ransomware telefonee a casa para desencadenar bombas de cifrado mortales.

Por supuesto, puede hacer lo mismo con los sistemas en la nube y los permisos de acceso de usuario demasiado amplios. Simplemente limite el tráfico saliente, controlando cuándo y cómo las aplicaciones, los dispositivos y los usuarios se comunican con la Internet en general. De esta manera, puede implementar rápidamente estrategias de contención de Ransomware.

Se trata de aislar los activos infectados y proteger el resto de su entorno. Y una buena visibilidad de su entorno puede llevarlo aún más lejos al revelar patrones a lo largo del tiempo.

2. Utilice la visibilidad para la protección contra ransomware

En nuestro post anterior, mostramos cómo Illumio toma datos de conexión e información de flujo de routers, switches y otra infraestructura local junto con nubes y sistemas de usuario final.

Illumio utiliza esa información para crear mapas de dependencia de aplicaciones para profesionales de TI e interfaces API para la automatización de la seguridad.

Esta información permite a los administradores tomar decisiones de alta calidad y de baja arrepentimiento sobre qué activos deben hablar con qué otros activos. Luego, pueden desarrollar políticas proactivas, esencialmente creando barreras y conteniendo activos y sistemas críticos, que funcionan en máquinas, firewalls nativos de la nube, switches de red y más para protegerse contra amenazas.

En pocas palabras, una brecha entre dos usuarios no debería afectar a otros usuarios o activos en la nube o el centro de datos, y una buena visibilidad puede resaltar tal vulnerabilidad potencial antes de un ataque.

3. Mejorar la respuesta posterior a la intrusión

Illumio también ayuda con la respuesta posterior a la intrusión.

Por ejemplo, supongamos que detecta actividad sospechosa que se mueve a través de su entorno. En ese caso, es posible que desee poner barreras para proteger sus bases de datos principales, PCI sistemas de pago, registros médicos, información comercial y otros activos sensibles.

Lo que se necesita en este caso es una capacidad de contención que podría ser más restrictiva de lo que desea ejecutar en las operaciones diarias. Su propósito es detener la propagación del malware en la fuente.

Antes de cualquier ataque, los administradores de TI podrían querer crear políticas secundarias para activarlas como parte de su libro de ejecución de respuesta a incidentes. La idea es aislar y proteger los sistemas mediante la eliminación de la conectividad que podría resultar en un compromiso. En cambio, la política de contención congela aún más la propagación de malware, por ejemplo, al restringir las comunicaciones RDP no esenciales.

Illumio soporta esto al permitir a los administradores detectar el flujo de tráfico de maneras inesperadas e implementar rápidamente políticas que corten las conexiones no deseadas.

Más allá de los firewalls con la segmentación de confianza cero de Illumio

Con Illumio, puede ver las cargas de trabajo que se ejecutan en su entorno, ya sea en un data center, en la nube o entre estos entornos, por ejemplo, entre cargas de trabajo web y de bases de datos.

Con este mapa visual, puede cerrar rápidamente la puerta al tráfico inseguro. Usando RDP como ejemplo de una forma común para que el ransomware se mueva a través de las cargas de trabajo, puede crear una regla que bloquee solo ese tráfico. También puede definir barreras basadas en metadatos, como etiquetas para diferentes tipos de cargas de trabajo y ubicaciones físicas.

Puede pensar en estas barreras como una especie de firewall inverso. Esto se debe a que, en los firewalls, normalmente se crean reglas que definen el tráfico deseado, con todo lo demás no permitido de forma predeterminada. Illumio le permite revertir ese flujo de trabajo para definir primero el tráfico denegado. Luego, realiza excepciones para habilitar las comunicaciones para casos individuales.

Y todo está automatizado, lo que le permite crear políticas de emergencia que puede lanzar en cualquier momento para proteger su entorno de cualquier ataque con solo unos pocos clics.

En resumen, Illumio proporciona la visibilidad que necesita para detectar cargas de trabajo y máquinas vulnerables, cerrar puertos innecesarios antes de un ataque y aislar infecciones de malware antes de que se propaguen. Este doble golpe de controles proactivos y reactivos le ayuda a detener rápidamente los ataques para que no se conviertan en desastres cibernéticos.

Póngase en contacto con nosotros hoy para aprender a contener ataques de ransomware con Illumio.

Temas relacionados

Contención de Ransomware

Artículos relacionados

Evaluación de vulnerabilidades para detener el ransomware
Contención de Ransomware

Evaluación de vulnerabilidades para detener el ransomware

Leer más
Cómo cumplir con la guía de Cisa Phobos Ransomware con Illumio
Contención de Ransomware

Cómo cumplir con la guía de Cisa Phobos Ransomware con Illumio

Descubra la guía de CISA para protegerse contra el ransomware Phobos y cómo la plataforma de segmentación Illumio Zero Trust ayuda a cumplir con estos estándares.

Leer más
Los ataques a las empresas de servicios públicos son cada vez más disruptivos: qué pueden hacer los operadores
Contención de Ransomware

Los ataques a las empresas de servicios públicos son cada vez más disruptivos: qué pueden hacer los operadores

Descubra cómo los ataques a las utilidades están cambiando y las cinco estrategias que los operadores pueden usar para mitigar las amenazas actuales.

Leer más
Contener ransomware en su origen con segmentación de confianza cero
Contención de Ransomware

Contener ransomware en su origen con segmentación de confianza cero

Descubra por qué la amenaza de ransomware es tan crítica y cómo lograr la contención del ransomware con la Segmentación de confianza cero.

Leer más
Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?
Contención de Ransomware

Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?

Conseguir la perspectiva de un experto sobre los factores que llevan a las organizaciones a pagar los resandos a pesar de sus riesgos reputacionales, financieros y de seguridad.

Leer más
4 Principios Básicos para Protegerse Contra el Ransomware
Contención de Ransomware

4 Principios Básicos para Protegerse Contra el Ransomware

Observar e implementar estos 4 principios básicos le ayudará a proteger a su organización cuando se trata de cómo defenderse contra el ransomware. Leer más.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información