Proteja su negocio contra la amenaza del ransomware

Publicado el 29 julio 2022 por Ferranmunoz @ferran_munoz

Como todos saben, los ataques de ransomware representan una amenaza grave e incluso fatal para las empresas de hoy. Pero mientras algunos han acaparado los titulares, la verdadera amplitud y profundidad de este problema sigue siendo un misterio para muchas empresas.

En una encuesta importante de 2200 tomadores de decisiones de TI, CrowdStrike descubrió que la cantidad de organizaciones que experimentaron múltiples ataques en un solo año alcanzó su punto más alto en 2021 (32% de los encuestados), y que una cuarta parte de las empresas consultadas habían sólo ha sido atacado una vez durante el mismo período.
Finalmente, solo el 23% de los encuestados indicó que aún no había sido víctima de un ataque de ransomware, una caída significativa del 10% en comparación con el estudio de 2020.

Para muchos expertos, la responsabilidad de la oleada de ataques de ransomware recae -ciertamente de forma un poco simplista- en la pandemia de la COVID-19, que ha provocado la modificación de emergencia de determinados protocolos, el uso de no gestionados y el uso del teletrabajo. Esto no es falso, pero estas razones, que eran lógicas hace doce meses, para el período 2019-2020, sin duda contribuyeron a la ola de ciberdelincuencia registrada en ese momento. Sin embargo, las condiciones laborales han cambiado relativamente poco entre 2020 y 2021, por lo que las empresas deberían haber alcanzado cierta madurez en la gestión de las conexiones remotas y la seguridad fuera de las instalaciones.

innegablemente, la pandemia ha brindado a los ciberdelincuentes la oportunidad de adquirir experiencia y sofisticación, así como el desarrollo continuo y seguro de nuevas técnicas. La aceleración del cibercrimen se ha “emancipado” de la pandemia después de haber extraído de ella su impulso inicial. Mientras tanto, muchas empresas no han logrado ponerse al día a medida que se amplía la gama de amenazas.

Esta ganancia de confianza se refleja en la cantidad de rescates exigidos que, según nuestra investigación, a cru de 63% en un año a un promedio de $1.79 millones. Asimismo, ha aumentado la probabilidad de que se lancen múltiples ataques contra los mismos objetivos, ya sean infracciones individuales o intentos de extorsión además de la solicitud original.
Algunos líderes están convencidos de que pagar el rescate es la única opción, pero suele ser una mala decisión: El 96% de las empresas que cumplen con las demandas de los cibersecuestradores son luego víctimas de otra extorsión cuyo monto alcanza un promedio de 792.493 dólares!

Las nuevas formas de ataques que se llevan a cabo a través de software de terceros o sus componentes, y que tienen como objetivo las cadenas de suministro en particular, son cada vez más comunes debido a su capacidad para frustrar las defensas tradicionales.

Ante amenazas cada vez más apremiantes, ¿cómo deben reaccionar las empresas? Al principio, en reevaluando su arsenal tecnológico. Los antivirus obsoletos basados ​​en firmas hace tiempo que dejaron de ser una contramedida viable. De hecho, este software es totalmente ineficaz contra ataques dirigidos sin malware que han proliferado durante varios años. Las herramientas de próxima generación, por supuesto, seguirán detectando este tipo de ataques, pero ahora el enfoque cambia a la detección de patrones y comportamientos, así como a la extracción de cantidades masivas de datos en la nube en busca de anomalías. y riesgos de proliferación.

Al mismo tiempo que la instalación de software del tipo EDR (Detección y respuesta de punto final), las empresas necesitan implementar un conjunto de herramientas conectadas para complementarlas y llenar los vacíos. Por ejemplo, sabemos que muchos ataques utilizan inicialmente credenciales legítimas robadas a su propietario, pero las herramientas tradicionales no pueden considerarlas como hostiles. En otras palabras, los permisos otorgados en función del nombre de un usuario y la contraseña asociada son inherentemente sospechosos. Las organizaciones deberían invertir en una solución de autenticación multifactor (AMF), o incluso optar por una arquitectura y soluciones Confianza cero. Cada usuario y cada agente conectado a la red son monitoreados constantemente, incluso después de haber sido autenticados. No es raro que los malhechores con contraseñas robadas permanezcan ocultos durante varios meses después de ingresar con éxito a una empresa, por lo que los sistemas de protección deben estar listos para reaccionar tan pronto como se reactiven.

Del mismo modo, las herramientas EDR deben ampliarse para abarcar todos los dispositivos más allá de los puntos finales: servidores en la nube, impresoras y pantallas conectadas, dispositivos móviles, etc. Dicha cobertura requiere tanto soluciones de seguridad específicas de la nube como el despliegue de una amplia tecnología de detección y respuesta. XDR (Detección y respuesta extendidas). Por supuesto, estas tecnologías deben funcionar juntas a la perfección. La afluencia de notificaciones e informes generados por diferentes soluciones no hace nada para mejorar la postura de seguridad de una empresa, incluso corre el riesgo de comprometerla. De hecho, es muy probable que un volumen excesivo de información enmascare la única alerta que realmente requiere una acción urgente por parte de un administrador.

Finalmente, Hablando de personal de respuesta humano, es imperativo nunca pasar por alto su importancia para la ciberseguridad y la resiliencia empresarial.. Las tecnologías avanzadas de ciberseguridad son en gran medida muy capaces y se encuentran disponibles importantes medios de automatización. Pero las empresas deben comprender que una dependencia excesiva de la tecnología está mal.

Como en otros campos, los operadores capacitados y experimentados son esenciales. Del lado del proveedor, los expertos humanos continuamente alimentan y refinan los modelos de IA, analizan la inteligencia de amenazas, responden a los eventos en persona y prueban los sistemas en busca de fallas. En el lado empresarial, las políticas y los procesos centrados en las personas siguen siendo esenciales para evitar y sobrevivir a los ataques: las contraseñas deben ser seguras y protegidas, los puntos finales deben estar físicamente protegidos y las funciones de respuesta y recuperación ante desastres deben probarse rigurosamente para emular las posibles condiciones posteriores al ataque. Finalmente, si el ciberdelito ha evolucionado y se ha fortalecido, también lo han hecho nuestros medios de defensa: pero para ser

verdaderamente efectivas, las diversas prácticas de seguridad y resiliencia deben ser implementadas por las empresas utilizando un enfoque riguroso y proactivo.
___________________

Par Sebastián BarónGerente de ingeniería de ventas chez multitudhuelga

Lea también:

El gran retorno del cibercrimen del estado-nación

Telecomunicaciones: objetivo número uno de los ataques cibernéticos patrocinados por los estados nacionales

Entornos en la nube: 3 fundamentos para garantizar la seguridad.

Ciberseguridad e IA, ¿un arma de doble filo?

Riesgo cibernético: cómo proteger los datos comerciales contra el ransomware y la doble extorsión.

50 sombras de ransomware: una mirada retrospectiva a un año de ciberataques.

[