4 Principios Básicos para Protegerse Contra el Ransomware

La protección contra el ransomware es más desafiante que nunca.

En los últimos años, su infraestructura ha evolucionado, su perímetro de seguridad tradicional se ha disuelto y su personal trabaja en un entorno híbrido.

Al mismo tiempo, el ransomware ha evolucionado para aprovechar estos cambios y ha aprendido a comprometer rápidamente un gran volumen de activos en un pequeño período de tiempo.

No es de extrañar, entonces, que el ransomware se haya convertido en la mayor amenaza de hoy:

• Más de 4.000 ataques de ransomware suceden todos los días
• El tamaño promedio del rescate aumentado 40x en tan solo dos años
• El El rescate más grande de la historia — $40 millones — se pagó en 2021
• El daño total más grande de un ataque fue $300 millones

Claramente, la seguridad tradicional no protege contra el ransomware. Las organizaciones necesitan un nuevo enfoque. Y esta publicación de blog describe ese enfoque.

Detallaremos cuatro principios básicos que le ayudarán a proteger su organización contra el ransomware.

1. Asegúrese de que puede ver sus flujos de comunicación interna
2. Concéntrese primero en bloquear las vías favoritas del ransomware
3. Proteja sus activos de alto valor pase lo que pase
4. Utilice las herramientas de seguridad adecuadas

Echemos un vistazo a cada uno con mayor profundidad.

Principio 1: Asegúrese de que puede ver sus flujos de comunicación interna

La mayoría de los ransomware se esconden y pasan desapercibidos durante meses, y solo se detecta después de haber bloqueado los sistemas, amenazado con un volcado de datos y exigido un rescate.

Antes de ese momento, la mayoría de los ataques de ransomware dedican el mayor tiempo posible a comprometer tantos sistemas como sea posible. Para hacerlo, los ataques a menudo comprometen sistemas que la organización no sabe que tienen, recorriendo caminos entre sistemas que la organización no sabe que están abiertos, y dejando un rastro de datos que es difícil de detectar, correlacionar y “sumar” para darse cuenta de que un ataque está disminuyendo.

En resumen: Muchos ataques de ransomware tienen éxito porque las organizaciones ni siquiera pueden ver que están sucediendo o lo que están haciendo hasta que es demasiado tarde.

Para protegerse contra el ransomware, las organizaciones deben desarrollar visibilidad en los flujos de comunicación entre los sistemas dentro de su red. Hacerlo aumentará la posibilidad de detectar ataques cuando primero violen el entorno, o lo suficientemente temprano como para detenerlos antes de que se propaguen lo suficiente como para causar un daño real.

Específicamente, las organizaciones deben ser capaces de:

• Vea cómo sus sistemas se comunican entre sí (en tiempo real).
• Identificar qué vías entre sistemas están abiertas y cuáles pueden cerrarse.
• Centralice múltiples fuentes de datos de riesgo para identificar ataques complejos y sutiles.

Principio 2: Concéntrese primero en bloquear las rutas favoritas del ransomware

La mayoría de los ataques de ransomware se dirigen a las mismas vías y vulnerabilidades comunes, con más del 80 por ciento de los ataques teniendo éxito mediante el uso de un pequeño conjunto de exploits simples y bien conocidos.

Específicamente, la mayoría de los ataques de ransomware se dirigen a un pequeño conjunto de rutas de alto riesgo como Remote Desktop Protocol (RDP) y Server Message Block (SMB). Estos servicios se utilizan en muchos sistemas dentro de la red, a menudo se dejan abiertos cuando no es necesario, y brindan a los atacantes una ruta fácil hacia y a través de la red.

Para explotar estas vías, los atacantes suelen ser oportunistas. A menudo escanean Internet en busca de sistemas explotables con puertos abiertos que se comunican fuera de su red. Cuando un atacante encuentra uno, lo violará y utilizará otros puertos abiertos comunes dentro de la red para propagarse de un sistema a otro, comprometiéndolos a todos.

En resumen: Muchos ataques de ransomware tienen éxito porque las organizaciones dejan abiertas muchas vías comúnmente explotadas en su red, generalmente sin darse cuenta.

Para protegerse contra el ransomware, las organizaciones deben centrarse primero en bloqueo estas vías comúnmente explotadas. Hacerlo limitará la capacidad de un mal actor para violar su red y propagarse entre sistemas después de una violación exitosa.

Específicamente, las organizaciones deben ser capaces de:

• Identificar qué vías de alto riesgo deben permanecer abiertas y cuáles pueden cerrarse.
• Cerrar tantas vías de alto riesgo como sea posible y monitorear el resto.
• Bloquee el entorno para detener los ataques en curso.

Principio 3: Proteja sus activos de alto valor sin importar qué

La mayoría del ransomware comienza de manera pequeña: primero infecta activos de menor valor que están menos protegidos y luego se abre paso gradualmente a través de la red hacia activos de alto valor.

Por lo general, los ataques de ransomware deben completar muchas etapas para pasar de los activos de bajo valor de una organización a sus activos de alto valor. Deben moverse lentamente a través de la red y evitar la detección. Deben conectarse a Internet para reducir las herramientas para avanzar en su ataque (y cargar datos confidenciales para generar apalancamiento). Y deben ser pacientes y esperar hasta que encuentren activos vulnerables de alto valor antes de atacar, encriptar sistemas y exigir un pago de rescate.

En resumen: Muchos ataques de ransomware solo tienen éxito una vez que han comprometido activos de alto valor. Dependiendo de la seguridad interna de su objetivo, esto puede llevar a un actor de ransomware años, meses, semanas, días, horas o incluso solo minutos.

Para protegerse contra el ransomware, las organizaciones deben limitar la capacidad de un atacante para propagarse rápidamente de un sistema a otro dentro de su red. Al hacerlo, las organizaciones ralentizarán a los atacantes, aumentarán las posibilidades de detectar el ataque antes de que sea exitoso y evitarán que sus activos de alto valor se vean comprometidos, y evitarán que el atacante desarrolle suficiente apalancamiento para generar una demanda creíble.

Por lo general, las organizaciones pueden proteger sus activos de alto valor segmentando su entorno, rodeando estos activos con anillos y cercas para aislarlos y separando en general el entorno para que los atacantes no tengan una ruta clara para pasar de activos desprotegidos de bajo valor a activos de alto valor bien defendidos.

Principio 4: Utilizar las herramientas de seguridad adecuadas

Tradicionalmente, la mayoría de las organizaciones han tratado de protegerse contra el ransomware utilizando firewalls manuales y similares segmentación de red herramientas. Pero estas herramientas fueron creadas hace décadas para una arquitectura de red y un paradigma de seguridad diferente. Como resultado, por lo general no protegen a las organizaciones contra el ransomware y no se pueden utilizar para dar vida a estos nuevos principios.

Específicamente, las herramientas de seguridad tradicionales como firewalls y dispositivos de red:

• No se pueden visualizar los flujos de comunicación: No recopilan datos utilizables en las comunicaciones internas este-oeste ni en las comunicaciones norte-sur. Solo recopilan telemetría limitada que no logra identificar el riesgo y que a menudo se encuentra dispersa y en silos entre una pila de soluciones puntuales de propósito único.
• No se pueden bloquear las rutas favoritas del ransomware: No crean una visión centralizada de qué vías y exploits comunes están abiertos en la red de la organización, luchan por mantener estas vías cerradas en entornos modernos y son demasiado lentos para responder a los ataques en curso.
• No proteger los activos de alto valor: Por lo general, administran configuraciones y políticas de segmentación a través de flujos de trabajo manuales que no pueden escalar a entornos modernos con millones de puntos de conexión entre sistemas. La segmentación que aplican se elimina en cuanto cambia la red.

En resumen: Las organizaciones no pueden usar herramientas de seguridad tradicionales para protegerse contra el ransomware. Necesitan nuevas herramientas diseñadas para proteger los entornos modernos de las amenazas modernas de ransomware.

Conozca Illumio: un enfoque moderno para protegerse contra el ransomware

Illumio le brinda administración de políticas escalable y optimizada, lo que facilita la construcción de una nueva arquitectura de seguridad para protegerse contra el ransomware, sin importar el tamaño y la escala de su entorno.

Illumio hace que sea fácil dar vida a estos principios.

Obtenga visibilidad integral de los flujos de comunicación

Dentro de la primera hora de instalación, Illumio crea un mapa en tiempo real de todas las comunicaciones entre todos los sistemas de su entorno. Illumio te ayuda a ver cuáles de estas comunicaciones son necesarias y cuáles puedes cerrar, y crea una única fuente de verdad para muchos equipos y herramientas como los SIEM.

Bloquee rápidamente las vías que le gusta explotar al ransomware

Illumio le muestra las vías comunes de ransomware abiertas en su entorno y facilita el cierre de estas vías mediante la automatización de cada paso clave en la administración de políticas de seguridad. Finalmente, Illumio le permite crear un “switch de contención” para bloquear su red y sistemas en segundos durante un incidente.

Realice una segmentación escalable de confianza cero para proteger activos de alto valor

Illumio te da un solución integral de segmentación que aplica políticas en entornos modernos a gran escala y facilita la limitación de la dispersión lateral y el aislamiento de activos de alto valor. Illumio aplica estas políticas dinámicamente y las mantiene en todo momento, incluso a medida que su red evoluciona.

En resumen: Illumio resuelve muchos de los problemas con las herramientas y arquitecturas de seguridad tradicionales, y le permite implementar un nuevo enfoque para protegerse contra el ransomware.

Protéjase contra el ransomware hoy: lleve a Illumino a su defensa

Illumio es utilizado por muchas de las organizaciones más grandes e innovadoras del mundo para protegerse contra el ransomware. Con Illumio, obtienen visibilidad de sus flujos de comunicación y una comprensión clara de sus vías más riesgosas, con control completo de segmentación hasta el nivel de aplicación.

Actualmente, Illumio protege activos para:

• Más del 10% de la lista Fortune 100
• 6 de los 10 bancos más grandes del mundo
• 5 de las principales compañías de seguros
• 3 de las 5 empresas SaaS empresariales más grandes

Nuestro clientes también utilizan Illumio para construir posturas de seguridad fundamentalmente más fuertes que defiendan contra una amplia gama de ataques.

Es hora de traer a Illumio a tu defensa. Dé el siguiente paso correcto.

• Profundiza: Libro electrónico Cómo detener los ataques de ransomware
• Pruébalo tú mismo: Los laboratorios prácticos de Illumio Experience
• Programe un chat: Consulta gratuita y demostración