Tag Archives: Ransomware

Visibilidad generalizada del ransomware en la infraestructura existente: cómo ayuda Cisco Secure Network Analytics

Posted on

Por: William Nellis / Cisco Systems

Los ataques a la seguridad cibernética en 2023 alcanzaron un nuevo nivel de sofisticación a medida que importantes ataques a la cadena de suministro y herramientas de malware evolucionadas han acelerado el riesgo que enfrentan las instituciones financieras. Dado que las amenazas internas y el riesgo de la cadena de suministro representan el eslabón más débil de la cadena, la amenaza que enfrentan las finanzas ya no es si se violarán, sino cómo se violarán. Y, lo que es más importante, cómo pueden detectar, contener y defenderse de las infracciones a medida que se producen.

La proliferación de herramientas ha creado un desafío operativo, ya que agrega complejidad en torno a la coherencia operativa de la información de seguridad. Hay algunos enfoques que pueden ayudar, pero una cosa que escucho alto y claro es el deseo de usar las herramientas correctamente y no agregar otra herramienta cuando hay un control de seguridad actual (pero no utilizado). Una herramienta que tiene un inmenso valor potencial debido al soporte inherente a la infraestructura existente es Secure Network Analytics de Cisco.

Cisco Secure Network Analytics en servicios financieros

Esta herramienta permite a las instituciones financieras convertir casi todo el hardware existente en un motor de detección de malware mediante el uso de funciones en los dispositivos por los que ya han pagado. Esto puede reemplazar o aumentar los sistemas de detección de intrusiones (IDS) en sitios más pequeños y medianos. También puede proporcionar esta capacidad a una velocidad de línea de 100 g en el centro de datos e incluso inspeccionar el tráfico cifrado en el campus y la WAN, sin descifrarlo. Puede ayudar con DDOS, exfiltración de datos y ayudar a detectar amenazas internas y de la cadena de suministro mediante inteligencia de amenazas e IA/ML.

La herramienta Cisco Secure Network Analytics también ayuda a los bancos a cumplir con el cumplimiento normativo, ya que el cumplimiento no es sólo una obligación legal, sino también un aspecto crucial para proteger la reputación de una empresa y sus clientes. Las normas de cumplimiento se establecen para garantizar que las instituciones financieras operen en condiciones seguras y éticas. Aquí es donde Cisco Secure Network Analytics puede ser parte de una solución integral para ayudar a las instituciones financieras a cumplir con sus obligaciones regulatorias.

Ayudar a la infraestructura de hoy a contrarrestar las amenazas del mañana

Como se señaló anteriormente, un beneficio clave de Cisco Secure Network Analytics es su soporte implícito para la mayoría de los equipos ya utilizados. Podrá tomar una plataforma existente disponible en sucursales, centros de datos y la WAN y convertirlos en un IDS omnipresente en toda la empresa. Con esto, puede proporcionar una amplia visibilidad dondequiera que esté la red, sin agregar más complejidad. Incluso se integra con Cisco Identity Services Engine para poder poner en cuarentena el malware a medida que se detecta, mediante el envío de un cambio de autorización a la red.

En todo el conjunto de dispositivos compatibles hay una serie de capacidades que Cisco Secure Network Analytics puede proporcionar:

  1. Visibilidad mejorada y detección de amenazas: los ciberdelincuentes acuden a los bancos porque ahí es donde está el dinero. Cisco Secure Network Analytics ofrece un sistema avanzado de detección de amenazas que monitorea el tráfico de la red, identifica actividades sospechosas y ayuda a mitigar las amenazas. Esto se alinea con muchos requisitos regulatorios que exigen que las instituciones financieras tengan sistemas sólidos para identificar y mitigar posibles amenazas a la seguridad.
  2. Protección de datos: La protección de los datos de los clientes es un requisito regulatorio clave para todas las instituciones financieras. Cisco Secure Network Analytics ayuda a proteger los datos confidenciales al proporcionar información sobre quién accede a la red, a qué datos accede y si existen posibles violaciones de datos.
  3. Auditoría e informes: las auditorías periódicas son parte de los requisitos de cumplimiento para las instituciones financieras. Cisco Secure Network Analytics simplifica este proceso al proporcionar análisis detallados del tráfico de red e informes de detección de amenazas. Estos informes se pueden utilizar para demostrar a los reguladores que la institución está monitoreando y gestionando activamente la seguridad de la red, y mostrar qué países o instituciones de terceros se están comunicando activa o históricamente con la red. Al admitir el hardware ya utilizado, proporciona una manera fácil de auditar sitios remotos sin implementar otra caja.
  4. Simplificación de la segmentación de la red: las regulaciones a menudo exigen que las instituciones financieras segreguen sus redes para limitar la posible propagación de amenazas y proteger datos confidenciales. Cisco Secure Network Analytics simplifica la segmentación de la red al proporcionar visibilidad completa del tráfico de la red, lo que permite una fácil identificación y aislamiento de diferentes segmentos de la red. Una vez que haya agrupado de qué cosas debería hablarse, es fácil encontrar qué excepciones existen a su política para poder actualizarlas o remediarlas.
  5. Cumplimiento de regulaciones específicas: Cisco Secure Network Analytics puede ayudar a las instituciones financieras a cumplir con regulaciones específicas como GDPR, PCI DSS y la Ley Dodd-Frank. Proporciona información para ayudar a cumplir con las regulaciones FFIEC. Por ejemplo, para el cumplimiento del RGPD, la plataforma proporciona información sobre el movimiento y la ubicación de datos personales en la red. Para PCI DSS, ofrece visibilidad de los entornos de datos de los titulares de tarjetas (y a qué se accede a ellos para validar el control de segmentación), lo cual es fundamental para demostrar el cumplimiento.

La herramienta es fundamental para brindar una amplia visibilidad sin agregar más herramientas ni expansión. El hardware existente que utiliza licencias que ya posee se puede convertir en sensores de detección de malware que le permitirán ampliar su capacidad para detectar malware y detener el ransomware antes de que se propague. Con la integración nativa para vincularse con Identity Services Engine, puede poner en cuarentena este tráfico en la red. Lo hace con lo que posee hoy, para ayudar a contrarrestar las amenazas que enfrentará mañana.

Detecte y responda proactivamente a las amenazas externas mediante el servicio de protección de riesgos digitales de FortiRecon

Posted on

Por: Sigalit Kaidar / Fortinet

Sus superficies de ataque externas proporcionan numerosos puntos de intrusión potenciales que los ciberdelincuentes explotan regularmente para penetrar en una organización. Entre las técnicas más comunes utilizadas para apuntar y explotar su red se encuentran la recopilación de credenciales filtradas y protocolos de escritorio remoto de la dark web, la exploración de activos sin parches o mal configurados o servicios de bases de datos (por ejemplo, MongoDB, MySQL), a menudo creados por Shadow IT, y la creación de cuentas de redes sociales o sitios web falsos para atraer a los clientes y empleados para que divulguen sus credenciales de acceso. Lamentablemente, la mayoría de las organizaciones no pueden detectar este tipo de actividades maliciosas.

Paralelamente, los actores de amenazas han estado mejorando activamente su juego. Por ejemplo, Ransomware-as-a-Service (RaaS) proporciona software y servicios de ransomware por un porcentaje de las ganancias. RaaS se ha convertido rápidamente en una importante amenaza de ciberseguridad, que ayuda a los atacantes a acelerar y expandir sus operaciones. También ha ampliado la matriz de amenazas al reducir la barrera de entrada a los ciberdelincuentes, que ya no necesitan ser particularmente expertos o avispados cibernéticamente para lanzar un ataque.

Para defenderse de los riesgos actuales, las organizaciones necesitan monitorear continuamente su superficie de ataque externa. Esto les ayuda a identificar y remediar de manera temprana los activos vulnerables expuestos a Internet, y detectar y restablecer las credenciales comprometidas. También necesitan descubrir y eliminar rápidamente los sitios web que infringen el dominio, las aplicaciones no autorizadas y las cuentas de redes sociales falsas, ya que los atacantes las usan para capturar credenciales o difundir información falsa sobre la organización o sus productos.

Sin embargo, para la mayoría de las organizaciones, es más fácil decirlo que hacerlo.

Cómo puede ayudar FortiRecon

FortiRecon , el servicio basado en SaaS de protección de riesgos digitales (DRP) de Fortinet, puede ayudar. Combina tres tecnologías y servicios: gestión de superficie de ataque externa, protección de marca e inteligencia centrada en adversarios, para ayudarlo a proteger de manera proactiva sus activos y datos digitales de amenazas externas.

FortiRecon proporciona inteligencia de superficie de ataque externa procesable, seleccionada por expertos y específica de la organización sobre los activos expuestos y las actividades, herramientas y tácticas de los actores de amenazas. Lo hace mediante el monitoreo proactivo de la web abierta, las plataformas de redes sociales, las tiendas de aplicaciones móviles, la web oscura y las fuentes de la web profunda y alerta sobre los activos de Internet vulnerables y mal configurados de la organización, las credenciales robadas y la infracción de marca, incluido el monitoreo de fugas de datos de ransomware. — para identificar, remediar y ejecutar proactivamente eliminaciones de estas fuentes en nombre de una organización. 

Cuatro maneras en que FortiRecon ayuda a proteger su organización contra amenazas externas

1. Obtenga visibilidad en tiempo real de su superficie de ataque externa

Muchas organizaciones todavía luchan por detectar y controlar la TI en la sombra. FortiRecon escanea su entorno externo y, a menudo, encuentra más activos desconocidos (y olvidados) de los que sus equipos de seguridad y TI sabían que tenían (no es sorprendente que la mayoría sean activos en la nube). Es seguro asumir que si son desconocidos, es probable que también sean vulnerables o estén mal configurados.

La solución FortiRecon External Attack Surface Management ( EASM ) proporciona la vista de un atacante en su entorno, mostrándole lo que pueden descubrir fácilmente durante la fase de reconocimiento de su ataque. El escaneo externo encuentra activos expuestos a atacantes conocidos/desconocidos (p. ej., dominios, subdominios, ASN, bloques de IP, direcciones de IP). FortiRecon EASM luego identifica vulnerabilidades explotables, como errores de configuración, problemas de certificados SSL, puertos propensos a ataques, servicios de bases de datos expuestos, problemas relacionados con DNS, datos/credenciales filtrados y más. El servicio le proporciona una descripción detallada de cualquier problema de seguridad que identifique, así como información de remediación procesable. Las organizaciones globales también pueden ver un mapa global de activos digitales expuestos por país, priorizando los activos por gravedad de seguridad. 

Para ayudarlo a medir sus esfuerzos de mitigación de la exposición a amenazas, FortiRecon EASM también proporciona informes comparativos continuos para mostrar la mejora de su postura de seguridad externa a lo largo del tiempo. También puede ver los cambios recientes en su superficie de ataque externa (p. ej., cambios en los activos de Internet, puertos abiertos, certificados SSL caducados o próximos a caducar), tendencias de remediación y datos históricos. Esta información puede ayudarlo a identificar patrones de cambio, infracciones de políticas, áreas de mejora y otros riesgos potenciales para refinar mejor su programa de seguridad.

2. Priorice sus esfuerzos de riesgo y remediación

Si bien la aplicación oportuna de parches es un elemento esencial de cualquier estrategia de seguridad cibernética eficaz, la realidad es que la mayoría de las organizaciones no pueden parchear todos los activos vulnerables. Además, cada entorno incluye factores contextuales que pueden afectar el riesgo de una vulnerabilidad. FortiRecon utiliza una poderosa combinación de recursos humanos e inteligencia artificial (IA) para brindar una vista priorizada de su exposición a vulnerabilidades, ayudándolo a comprender qué vulnerabilidades representan el mayor riesgo para priorizar la remediación.

Las vulnerabilidades se clasifican de acuerdo con los siguientes parámetros:

  • Severidad del sistema CVE y puntajes CVSS
  • Explotabilidad en la naturaleza
  • Información recopilada de foros solo por invitación sobre la intención de un atacante
  • Exploraciones de superficie de ataque externo

FortiRecon combina estos elementos para calificar y clasificar (elevar/bajar) las vulnerabilidades en función de su riesgo real para la organización. También recomienda actividades de remediación, lo que ayuda a los equipos de seguridad a mitigar rápidamente posibles problemas de seguridad. También puede agregar CVE que le gustaría que FortiRecon monitoreara y alertara continuamente.

En el siguiente ejemplo, de 1648 vulnerabilidades globales notables, esta organización tiene que atender solo 62 vulnerabilidades, de las cuales solo tres están clasificadas como altas (sin vulnerabilidades clasificadas como críticas).

Una de las herramientas más efectivas en nuestro arsenal de FortiRecon es nuestra tecnología de inteligencia artificial patentada, entrenada en uno de los conjuntos de datos más grandes y diversos de la industria. Esto le permite entregar información precisa y validada sobre las amenazas. Sin embargo, más de una cuarta parte de nuestros informes de FortiRecon se basan únicamente en la inteligencia humana que recopilamos, lo que ayuda a brindar la visión más realista de los riesgos potenciales para una organización.

3. Conserva y protege tu marca

A muchas organizaciones les resulta difícil monitorear el sitio web, la infracción de aplicaciones móviles y las campañas de phishing dirigidas a usuarios finales y clientes, ya que están fuera del alcance típico de sus equipos de seguridad. FortiRecon Brand Protection  utiliza algoritmos patentados que permiten a estas organizaciones recibir alertas tempranas sobre los riesgos de marca y reputación y actuar con rapidez, utilizando servicios de eliminación especializados para proteger la reputación de su marca.

Una de las áreas más críticas que busca el servicio de protección de marca es el “abuso de marca”. Este punto de datos proporciona una vista inmediata de la cantidad de sitios web ilícitos que los actores de amenazas ya están utilizando para engañar a sus clientes y empleados. Otro punto de datos crucial es la suplantación de identidad de la marca en las plataformas de redes sociales, como las cuentas falsas de Facebook, que los atacantes utilizan para los mismos fines. 

Para ayudar a proporcionar una indicación temprana de campañas de phishing contra su organización, también podemos crear una marca de agua digital que puede agregar a su página web. Esta marca de agua es un Java Script incorporado que nos permite saber dónde está alojado su contenido. Cuando los actores de amenazas copian páginas de su sitio web e intentan alojarlas en otro lugar para crear una campaña de phishing, podemos detectar de inmediato dónde está alojado este sitio web e iniciar una eliminación basada en su ubicación.

El panel de protección de marca de FortiRecon también proporciona una interfaz intuitiva que permite que su equipo de seguridad y su nivel C comprendan rápidamente los riesgos que representan para su organización, clientes, datos y reputación de marca.

4. Supervise continuamente la web oscura en busca de fugas de datos y credenciales

Los datos y las credenciales filtrados, el acceso al Protocolo de escritorio remoto ( RDP ) y las credenciales VPN comprometidas se encuentran entre los principales artículos a la venta en los mercados de la web oscura, lo que proporciona a los atacantes una puerta de entrada a su red.

Tomemos, por ejemplo, los ataques de relleno de credenciales , una de las causas más frecuentes de violaciones de datos. Estos ataques funcionan tan bien porque muchos usuarios usan los mismos nombres de usuario y contraseñas para iniciar sesión en diferentes sistemas, y los atacantes tienen fácil acceso a millones de credenciales de usuarios comprometidas en la web oscura. La combinación de estas credenciales con botnets simples permite a los atacantes probar la validez de las combinaciones de nombre de usuario y contraseña, y cuando una credencial aún está activa, obtienen acceso.

El servicio de inteligencia centrada en el adversario (ACI) de FortiRecon monitorea la web oscura para identificar rápidamente cuándo su información confidencial cae en manos de los ciberdelincuentes. Esto reduce la ventana de oportunidad para hacer copias de datos confidenciales y credenciales y usarlos o venderlos. Si los datos filtrados se detectan con suficiente antelación, aún tiene tiempo para tomar medidas proactivas, como restablecer la contraseña, para prevenir o bloquear un ataque.

El servicio FortiRecon ACI aprovecha el  equipo global de analistas de amenazas de FortiGuard que identifica las amenazas interactuando directamente con los actores malintencionados. Exploramos activamente la dark web, incluidos los sitios solo por invitación, donde los ciberdelincuentes anuncian y publican constantemente amenazas y venden datos y credenciales que pertenecen a organizaciones específicas. También monitoreamos salas de chat ocultas, fuentes de inteligencia de código abierto, sitios web privados, redes peer-to-peer, Pastebin/IM y plataformas de redes sociales y lo alertamos sobre las amenazas a su organización. Y para nuestros clientes de servicios financieros, también proporcionamos monitoreo BIN de tarjetas de crédito, con alertas sobre números de tarjetas de crédito y débito filtrados.

Todos los hallazgos se clasifican según su criticidad (los recursos incluyen Darknet, TechINT, OSINT, HUMINT y más) y también se pueden filtrar por las motivaciones de los adversarios (p. ej., ransomware, tendencias de día cero, etc.).

Cuando es necesario, los servicios de eliminación de FortiRecon están disponibles para cuentas de redes sociales falsas, sitios web y aplicaciones móviles fraudulentas, por lo que estos sitios y aplicaciones fraudulentos ya no son una amenaza.

Empezando

El servicio FortiRecon ofrece tres paquetes opcionales. Disponible como módulos apilables, puede comprar FortiRecon EASM como un servicio independiente, combinarlo con FortiRecon Brand Protection, o con FortiRecon Brand Protection y FortiRecon Adversary Centric Intelligence para una cobertura completa.

5 estrategias de protección contra ransomware para 2023

Posted on

Por: Aamir Lakhani / Fortinet

Si el crecimiento de los ataques de ransomware en 2022 indica lo que depara el futuro, los equipos de seguridad de todo el mundo deberían esperar que este vector de ataque se vuelva aún más popular en 2023. Solo en la primera mitad de 2022, la cantidad de nuevas variantes de ransomware que identificamos aumentó en casi 100 % en comparación con el período anterior de seis meses, con nuestro equipo de FortiGuard Labs documentando 10 666 nuevas variantes de ransomware en la primera mitad de 2022 en comparación con solo 5400 en la segunda mitad de 2021. Este crecimiento explosivo en nuevas variantes de ransomware se debe principalmente a que más atacantes se aprovechan de Ransomware- suscripciones como servicio (RaaS) en la dark web.

Sin embargo, incluso con el aumento de las variantes de ransomware, las técnicas que vemos que utilizan los malos actores para entregar ransomware siguen siendo prácticamente las mismas. Esta previsibilidad es una buena noticia porque los equipos de seguridad tienen un plan confiable para protegerse contra estos ataques. Aquí hay una mirada más cercana a las estrategias de mitigación de ransomware y cómo puede implementarlas en su organización.

¿Qué es ransomware?

El ransomware es malware  que retiene datos como rehenes a cambio de un rescate. Amenaza con publicar, bloquear o corromper datos, o impedir que un usuario trabaje en su computadora o acceda a ella a menos que cumpla con las demandas del atacante. Hoy en día, el ransomware a menudo se envía a través de  correos electrónicos de phishing . Estos archivos adjuntos maliciosos infectan la computadora de un usuario una vez abiertos. El ransomware también se puede propagar a través de descargas ocultas, lo que sucede cuando un usuario visita un sitio web que está infectado. El malware de ese sitio se descarga e instala sin que el usuario se dé cuenta.

La ingeniería social  a menudo también juega un papel en un ataque de ransomware. Esto es cuando un atacante intenta manipular a alguien para que divulgue información confidencial. Una táctica común de ingeniería social es enviar correos electrónicos o mensajes de texto para asustar al objetivo para que comparta información confidencial, abra un archivo malicioso o haga clic en un enlace malicioso.

¿Qué es la mitigación de ransomware?

Los intentos de ataques y  filtraciones de datos  son inevitables, y ninguna organización quiere verse obligada a decidir entre pagar un rescate o perder datos importantes. Afortunadamente, esas no son las únicas dos opciones. El mejor camino a seguir es tomar las medidas adecuadas para proteger sus redes, lo que disminuirá las posibilidades de que su empresa se vea afectada por ransomware. Este enfoque requiere un modelo de seguridad en capas que combine controles de red, punto final, borde, aplicación y centro de datos, así como inteligencia de amenazas actualizada.

Además de implementar las herramientas y los procesos de seguridad adecuados, no olvide el papel que juega la educación en seguridad cibernética en su estrategia de mitigación. Enseñar a los empleados cómo detectar un ataque de ransomware, y educarlos sobre prácticas sólidas de higiene cibernética en general, es una gran defensa contra los atacantes inteligentes.

“Enseñe a los empleados cómo detectar signos de ransomware, como correos electrónicos diseñados para parecer de empresas auténticas, enlaces externos sospechosos y archivos adjuntos cuestionables”.
Comprensión de los riesgos que hacen necesaria la mitigación del ransomware

Mire a su alrededor en cualquier organización y es probable que encuentre “brechas” de seguridad que aumentan las posibilidades de que una empresa sea víctima de un ataque de ransomware. Aquí hay varios desafíos comunes que enfrentan los equipos de seguridad y sus organizaciones, que pueden hacerlos más vulnerables a los incidentes cibernéticos.

  • Falta de conocimientos sobre higiene cibernética entre los empleados: el comportamiento humano sigue siendo un factor importante en la mayoría de los incidentes de seguridad. Más allá de comprender los signos del ransomware, la falta de educación general sobre ciberseguridad entre los empleados puede poner en riesgo a su organización. Según el Informe de investigaciones de violación de datos de Verizon 2022 , el 82% de las violaciones que ocurrieron el año pasado involucraron al elemento humano.
  • Políticas de contraseña débiles: las políticas insuficientes relacionadas con las credenciales de los empleados, o no tener una política, aumentan la probabilidad de que una organización experimente una brecha de seguridad. Las credenciales comprometidas están involucradas en casi el 50% de los ataques .
  • Supervisión y procesos de seguridad insuficientes: ninguna herramienta única ofrece todo lo que su equipo de seguridad necesita para supervisar y protegerse contra posibles incidentes cibernéticos como el ransomware. Un enfoque de seguridad en capas puede ayudarlo a administrar adecuadamente el riesgo de su empresa.
  • Escasez de personal entre los equipos de seguridad y TI: no es ningún secreto que debe tener personas con las habilidades adecuadas en su equipo para respaldar los esfuerzos de monitoreo y mitigación de riesgos para combatir el delito cibernético de manera efectiva. Sin embargo, los datos muestran que la brecha de habilidades en ciberseguridad presenta un desafío continuo para los CISO: cómo atraer y retener nuevos talentos mientras se asegura que los miembros actuales del equipo obtengan la capacitación necesaria y las oportunidades de mejora.
Últimos ataques de ransomware de los que aprender

El ransomware  continúa volviéndose más desagradable y más costoso, lo que afecta a empresas de todos los sectores y geografías. Si bien la mayoría de nosotros recordamos los recientes ataques de ransomware de alto perfil que involucraron a compañías como Colonial Pipeline  y JBS , ocurren innumerables otros incidentes de ransomware que no aparecen en las noticias nacionales. Sin embargo, muchos ataques de ransomware se pueden prevenir mediante la aplicación de sólidas prácticas de higiene cibernética, incluida la oferta de capacitación continua de concientización cibernética para los empleados, y al centrarse en implementar medidas de acceso a la red de confianza cero (ZTNA) y seguridad de punto final.

5 mejores prácticas de protección contra ransomware

La detección efectiva de ransomware requiere una combinación de educación y tecnología. Estas son algunas de las mejores formas de detectar y prevenir la evolución de los ataques de ransomware actuales:

  1. Eduque a sus empleados sobre las características del ransomware: la capacitación en conciencia de seguridad para la fuerza laboral actual es imprescindible y ayudará a las organizaciones a protegerse contra una variedad de amenazas en constante evolución. Enséñeles a los empleados cómo detectar signos de ransomware, como correos electrónicos diseñados para parecer de empresas auténticas, enlaces externos sospechosos y archivos adjuntos cuestionables.
  2. Use el engaño para atraer (y detener) a los atacantes:  un  señuelo es un señuelo que consiste en repositorios falsos de archivos diseñados para parecer objetivos atractivos para los atacantes. Puede detectar y detener el ataque cuando un pirata informático de ransomware persigue su honeypot. La tecnología de engaño cibernético como esta no solo usa las propias técnicas y tácticas del ransomware contra sí mismo para activar la detección, sino que descubre las tácticas, herramientas y procedimientos (TTP) del atacante que lo llevaron a su éxito en la red para que su equipo pueda identificar y cerrar esas brechas de seguridad.
  3. Monitoree su red y puntos finales:  al realizar un monitoreo continuo de la red, puede registrar el tráfico entrante y saliente, escanear archivos en busca de evidencia de ataque (como modificaciones fallidas), establecer una línea de base para la actividad aceptable del usuario y luego investigar cualquier cosa que parezca fuera de lugar. común. La implementación de herramientas antivirus y antiransomware también es útil, ya que puede usar estas tecnologías para incluir sitios aceptables en la lista blanca. Por último, es esencial agregar detecciones basadas en el comportamiento a su caja de herramientas de seguridad, particularmente a medida que las superficies de ataque de las organizaciones se expanden y los atacantes continúan subiendo la apuesta con ataques nuevos y más complejos.
  4. Mire fuera de su organización: Considere la posibilidad de adoptar una visión fuera de la red de los riesgos que se plantean para una organización. Como extensión de una arquitectura de seguridad, un servicio DRP puede ayudar a una organización a ver y mitigar tres áreas de riesgo adicionales: riesgos de activos digitales, riesgos relacionados con la marca y amenazas subterráneas e inminentes.
  5. Aumente su equipo con SOC como servicio si es necesario: la intensidad actual que vemos en el panorama de amenazas, tanto en  velocidad como en sofisticación , significa que todos debemos trabajar más duro para estar al tanto de nuestro juego. Pero eso solo nos lleva hasta cierto punto. Trabajar de manera más inteligente significa subcontratar tareas específicas, como la respuesta a incidentes y la búsqueda de amenazas. Esta es la razón por la cual es útil confiar en un proveedor de Detección y respuesta administrada (MDR) o en una oferta de SOC como servicio . Aumentar su equipo de esta manera puede ayudar a eliminar el ruido y liberar a sus analistas para que se concentren en sus tareas más importantes.

Si bien el volumen de ransomware no se está desacelerando, hay numerosas tecnologías y procesos disponibles para ayudar a su equipo a mitigar los riesgos asociados con este ataque. Desde los programas de educación cibernética en curso hasta el fortalecimiento de los esfuerzos de ZTNA, podemos mantener a raya a los atacantes astutos.

Cuando la ciberseguridad se debilita: Resiliencia

Posted on

Por: Juan Marino / Cisco Systems

Con ataques, amenazas y vulnerabilidades a la velocidad de los cohetes, se discute mucho sobre cuál debe ser el comportamiento de las organizaciones para mitigar los riesgos cibernéticos. Tal es su importancia que el tema terminó en el Foro Económico Mundial, autor del informe «Global Cybersecurity Outlook 2022», lanzado en enero y extremadamente enriquecedor para gerentes, tomadores de decisiones y para la industria de ciberseguridad.

El informe aporta información significativa sobre la amenaza digital para la economía global y señala los comportamientos que las organizaciones deben adoptar para mitigar riesgos y ataques. También registra las mayores preocupaciones de los líderes empresariales en el escenario de la ciberseguridad; recomienda a las empresas incluir el tema en las decisiones de negocios; y concluye que la digitalización sigue avanzando tan rápido como surgen nuevas tecnologías, lo que hace que el riesgo sea inevitable.

La comparación entre ciberseguridad y ciber resiliencia hecha en el estudio nos enciende la luz roja. Más de la mitad (59%) de los líderes de ciberseguridad afirmaron a los investigadores que estamos ante sinónimos. Algo que preocupa porque estamos ante conceptos relacionados, no sinónimos. Ciberseguridad es un conjunto de tecnologías, personas y procesos dedicados a proteger los negocios. Comparando, la ciber resiliencia acepta la hipótesis de ataque y prepara a la organización para retomar sus negocios.

La confusión conceptual es extremadamente preocupante, porque evidencia que aún no estamos preparados para la resiliencia. Muchos todavía se resisten a aceptar que los ataques van a ocurrir y que necesitaremos no solo enfrentarlos, sino también prepararnos para salir de la guerra con el menor rasguño posible.

Cuando la empresa no acepta la posibilidad de sufrir y sobrevivir, ella no entiende el problema. Pensar en resiliencia es pensar en la gestión del riesgo.

Sistematización

El primer paso para sistematizar la política de ciber resiliencia es entender y aceptar el riesgo. Hacer un análisis profundo de los activos digitales – teléfonos, computadoras, etc. -, creando un catálogo de activos correlacionados a los riesgos que proporcionan y el nivel de ataque que la empresa consigue soportar.

Una vez hecho esto, se recomienda evaluar si es posible eliminar el riesgo, mitigarlo o contratar un seguro de ciberseguridad. La cuarta opción es aceptar el riesgo. Esto mismo, el riesgo puede ser aceptado si la evaluación lo identifica como bajo. Es decir, la empresa crea una matriz con el tipo de riesgo, el impacto y su probabilidad, y puede concluir que está lista para aceptar un riesgo de bajo impacto en su operación.

No hay política de ciberseguridad apartada de una estrategia de ciber resiliencia. Un estudio global dice que el 60% de las empresas que sufren un ataque importante de ransomware van a banca rota, mueren, porque no soportan el impacto económico.

Es por eso por lo que los ataques de ransomware y las amenazas a la infraestructura operacional están entre las grandes preocupaciones de las empresas, según el informe del Foro Económico Mundial. No es para menos: la probabilidad de un ataque ransomware golpea la puerta de las empresas, con el agravante de que el ransomware también es un concepto, con varias formas mutantes y cada vez más sofisticadas.

En paralelo, la infraestructura operativa ha entrado en el radar del cibercrimen, debido a la baja resistencia que ofrece. Recordemos que son frecuentes los registros de invasión utilizando los aparatos de aire acondicionado y otros equipos ajenos al ambiente de TI, y que el impacto de estos ataques a las redes operativas ya conocemos. Baste recordar lo que ocurrió con la red de oleoductos más grande de los Estados Unidos, que, bajo ataque, hizo que el gobierno declarara el estado de emergencia en 2021.

La resiliencia en las redes operativas significa anticipar lo que puede suceder y cómo enfrentar una ocurrencia. En los próximos 12 a 24 meses, lamentablemente asistiremos a más incidentes relacionados con la infraestructura crítica, con alto impacto a los clientes de las organizaciones, porque la tendencia indica un número mayor de activos conectados – el avance de internet de las cosas (IoT)sin que los riesgos estén en la agenda. Recordemos que los profesionales de las redes ots no dominan los riesgos de TI.

Esta fragilidad lleva a otro tema señalado como crítico por el informe del Foro Económico Mundial. El estudio señala que los drivers de ciberseguridad son automatización y machine Learning y el trabajo remoto, para más de la mitad de las personas que respondieron al cuestionario. El primero es porque, especialmente las grandes corporaciones han acumulado productos y servicios de ciberseguridad, haciendo de esta estructura un problema en sí mismo. Firewalls, antivirus y otras herramientas necesitan ser orquestadas, hecho que, por la complejidad y la alta demanda, evidenciaron el déficit global de profesionales capacitados. Para mantener todo funcionando adecuadamente, la automatización se ha presentado como la bala de plata, con cada una de las tecnologías ganando inteligencia para aumentar la productividad de los equipos de profesionales.

Por todo lo que hemos abordado y conocido, vemos que la arquitectura de seguridad tradicional tiene que cambiar rápidamente, porque el escenario ha cambiado. La pandemia de COVID-19 intensificó el trabajo remoto, evidenciando que los muros corporativos ya no protegen el lugar de trabajo. Sumado a esto, en nombre de la agilidad y la productividad, vemos la rápida e intensa adopción de la computación en nube sin que se establezcan políticas de ciberseguridad y resiliencia de operación de la empresa en estos entornos.

El informe del Foro Económico Mundial deja clara la importancia de una política de ciber resiliencia y la necesidad de insertar seguridad digital en las decisiones de negocios. No es tan simple. Necesitamos cambiar el modelo de gestión, con la contratación de especialistas capaces de comunicar cuestiones de riesgo y seguridad, en términos de negocio. Este personaje debe ser un gran influencer de los demás ejecutivos. Es la única manera de tener seguridad de principio a fin y no como un obstáculo operativo o comercial. El estudio concluye que la digitalización y la tecnología siguen un ritmo acelerado y apunta la ciberseguridad como un riesgo inevitable, poniéndonos la condición de la resiliencia. Como decían nuestros tíos y abuelos, si no podemos con los riesgos, mejor aceptarlos, creando alternativas de supervivencia.

 Reduzca el riesgo con una solución de seguridad moderna aquí.

¿Cómo protegernos contra Ransomware?

Posted on

Por: Gustavo Medina / Cisco Systems

Si el cibercrimen se midiera como un país, entonces el delito cibernético ya sería la tercera economía más grande del mundo después de EE. UU. y China y el Ransomware definitivamente es una de sus practicas mas lucrativas. El ransomware es un software malicioso (malware) que se utiliza en un ciberataque para cifrar los datos de la víctima con una clave de cifrado que es conocida solo por el atacante, lo que hace que los datos sean inutilizables hasta que se realice el pago de un rescate (normalmente en criptomonedas, como Bitcoin); además los atacantes a menudo extorsionan y amenazan con vender o filtrar datos extraídos si no se paga el rescate.

En estos últimos días este tema ha estado en muchos titulares de noticias. Por ejemplo, el grupo cibercriminal Conti permanece muy activo y los ataques de ransomware de Conti reportados contra organizaciones estadounidenses e internacionales han aumentado a más de 1,000 según la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). Navegando al propio blog de este grupo en la dark web donde publican o venden archivos confidenciales robados a las víctimas que se niegan a negociar el pago del rescate podemos ver que publican información para ejercer presión.

En general, algunas organizaciones consideran que pagar el rescate es la forma más rentable de recuperar sus datos y desafortunadamente, esto puede ser cierto; el año pasado el grupo de ransomware conocido como DarkSide fue responsable de un ataque en Estados Unidos que provocó que Colonial Pipeline (un sistema de oleoducto) cerrara 5550 millas de tubería, dejando varados innumerables barriles de gasolina, diésel y combustible para aviones en la costa este y la compañía terminó pagando cerca de 5 millones de dólares a este grupo para retomar las operaciones.

Sin embargo, los organismos encargados de hacer cumplir la ley recomiendan no pagar debido a que hacerlo fomenta que esta actividad delictiva continue e incluso ya en algunos países pagar el rescate podría ser ilegal ya que proporciona financiación a actividades delictivas. Otro punto importante cuando se trata del sector público es que seguramente ningún contribuyente estaría contento si el dinero de sus impuestos se utilizara para pagar a cibercriminales.

Recientemente el FBI giró una alerta advirtiendo que las agencias gubernamentales locales son objetivos atractivos para que los cibercriminales ataquen con ransomware porque supervisan servicios críticos de los que depende el pueblo causando interrupciones en la atención médica, los servicios de emergencia y las operaciones de seguridad.

Muchas personas me han preguntado de este tema en estos días y una de las cosas que me llama la atención es la idea equivocada que se tiene de como operan estos grupos criminales, algunos creen que operan como en las películas en las que un hacker esta en su garaje o habitación tratando de vulnerar un objetivo. La realidad es que estos grupos funcionan como cualquier compañía de tecnología lícita con un departamento de recursos humanos, programas de empleado del mes e incluso revisiones de desempeño. Como en cualquier compañía también pueden existir empleados descontentos; justamente esto hizo que un empleado de Conti filtrara en la dark web un Manual de Ransomware utilizado por este grupo.

Nuestro equipo de investigación e inteligencia frente a amenazas Talos cuenta con un equipo de hablantes nativos dedicados que tradujeron estos documentos en su totalidad al inglés para entender mejor su operación.  Estos documentos traducidos de cirílico revelan que en estos grupos cibercriminales hasta personas no muy técnicas pueden llevar a cabo ataques de ransomware contra organizaciones siguiendo instrucciones detalladas.

¿Cómo protegernos?

Invertir en resiliencia de seguridad, también conocida como resiliencia cibernética, le permite a las organizaciones resistir las amenazas impredecibles de hoy y emerger más fuertes. La resiliencia cibernética se refiere a la capacidad de una organización para identificar, responder y recuperarse rápidamente de un incidente de seguridad de TI. Desarrollar resiliencia cibernética incluye hacer un plan centrado en el riesgo que asume que la empresa en algún momento enfrentará una brecha o un ataque. Ademas es fundamental prestar atención al panorama de amenazas actual y mantenerse al día, así como asegurarse que la inteligencia detrás de las inversiones en soluciones de ciberseguridad esta respaldada por un grupo reconocido en la industria.

Los métodos de seguridad no solo deben centrarse en la detección, sino que también deben incluir la capacidad de mitigar el impacto una vez que entra el atacante. Las organizaciones deben analizar su modelo de seguridad de manera holística y obtener visibilidad y control en todos los niveles: antes de que ocurra un ataque, durante el tiempo que está en progreso e incluso después de que comience a dañar los sistemas o robar información.

En Cisco contamos con una guía de diseño validada para la protección contra Ransomware que incluye los siguientes componentes:

Para obtener más detalles sobre esta guía de diseño pueden ir al siguiente enlace:

https://www.cisco.com/c/en/us/solutions/collateral/enterprise/design-zone-security/breach-defense-design-guide.html

Podemos ayudarlo a detectar y proteger su empresa de amenazas: De click aquí.

Tendencias emergentes de ciberamenazas

Posted on

Por: Ghassan Dreibi / Cisco Systems

Con este blog, considero que es un excelente momento para reflexionar sobre dos cosas sumamente importantes:

  1. La ciberseguridad está en cada uno de nosotros… llamesé organización, gobierno, colaborador, no importa, todos podemos generar conciencia y hacerlo no solo un mes al año, sino el año completo.
  2. Las tendencias clave y emergentes del año pasado, ya que no ha habido escasez de titulares de seguridad sobre los cuales reflexionar, por lo que hablaré sobre tres cuestiones clave que me llamaron especialmente la atención.
La cadena de suministro.

Antes de 2021, se suponía que los ataques a la cadena de suministro eran exclusivamente una herramienta solo para actores de amenazas sofisticados patrocinados por el estado. Se pensaba que los recursos y conocimientos necesarios para comprometer a un proveedor de software e integrar código malicioso estaban fuera del alcance de los actores de amenazas criminales, sin embargo, en julio de 2021 esta suposición fue aplastada.

El ransomware REvil se distribuyó a través de la explotación de una vulnerabilidad previamente no identificada en el código del servidor de Kaseya VSA, una herramienta de monitoreo y administración del sistema. Los actores de amenazas abusaron de la vulnerabilidad para distribuir su código malicioso como una actualización de confianza distribuida desde el servidor comprometido a los sistemas cliente administrados por la herramienta.  Con el agente falso malicioso instalado, el software escribe una versión legítima, pero explotable, antigua de una aplicación de Windows Defender en el disco, y finalmente la usa para ejecutar el ransomware. Por lo tanto, el disco se cifra desde una aplicación de confianza y firmada, que se ejecuta desde un directorio de confianza.

El impacto del ataque fue más amplio de lo que podría imaginarse en un principio. Kaseya VSA se utiliza a menudo para administrar un gran número de sistemas en una amplia variedad de organizaciones. Golpear los servidores dentro de los proveedores de servicios administrados significó que un servidor violado afectó a muchas organizaciones. Detener muchas empresas significa más pagos de rescate potenciales para que los malos los cobren y, por lo tanto, será una táctica tentadora para muchos otros atacantes en el futuro.

En muchos sentidos, los actores de APT bien recursos actúan como líderes de pensamiento para el resto del panorama de amenazas, mostrando lo que un actor de amenazas ambicioso y efectivo puede lograr. Es posible que los actores criminales que llevaron a cabo el ataque de Kaseya hayan tenido algún tipo de apoyo o protección estatal, o que hayan logrado el ataque completamente a través de sus propios esfuerzos. En cualquier caso, es probable que veamos más casos de cadenas de suministro que se utilizan para distribuir malware en el futuro.

Robo de recursos informáticos con fines de lucro.

Los actores de amenazas criminales están motivados por las ganancias. Uno de los modelos de negocio más exitosos que han creado es el del ransomware, donde un sistema puede detenerse cifrando datos y requiriendo el pago para que el sistema vuelva a su estado normal. Aunque lucrativo, este modelo es muy abrupto. Las víctimas pueden notar que el sistema se compromete muy rápidamente y deben resolver la situación para continuar con su función normal. Sin embargo, hay debilidades en este modelo para el atacante. El flujo de ingresos se basa en la búsqueda continua de nuevas víctimas, lo que requiere tiempo y recursos. Si el compromiso es solo un inconveniente menor para la víctima, y en ausencia de una copia de seguridad que funcione, la víctima puede optar por volver a imaginar el sistema.

La persistencia en un sistema comprometido puede ofrecer más oportunidades para extraer valor que el enfoque de una sola toma del ransomware. Apropiarse de recursos de sistemas comprometidos fue una táctica implementada por muchas de las primeras botnets. En estos ataques, el controlador de botnet robó recursos, incluido el ancho de banda de la red, mediante el envío de spam o el lanzamiento de ataques de denegación de servicio desde los sistemas de sus víctimas infectadas.

En los últimos años, los atacantes han desarrollado criptomineros para robar recursos informáticos de sistemas comprometidos. La minería de criptomonedas requiere grandes cantidades de potencia informática para resolver los desafíos criptográficos necesarios para adquirir nuevos tokens de criptomonedas. Desarrollar y operar las instalaciones informáticas legítimas para lograr los cálculos necesarios es costoso. Sin embargo, robar estos recursos es fácil por lo tanto, vemos el desarrollo de malware de criptominería que se encuentra como un proceso de fondo en sistemas comprometidos, robando recursos para ganar dinero a los malos.

Aunque el beneficio de un solo sistema es pequeño, los atacantes pueden persistir en sistemas comprometidos durante largos períodos de tiempo y controlar un gran número de sistemas afectados.

El creciente despliegue de sistemas y dispositivos inteligentes en nuestros hogares y lugares de trabajo significa efectivamente que estamos instalando muchos dispositivos informáticos pequeños conectados a la red sin considerar necesariamente cómo defenderemos y monitorearemos estos dispositivos. Una cosa es cierta: los malos buscarán comprometer y extraer valor de estos sistemas, casi con seguridad robando su potencia informática y conectividad de red.

No quite el dedo del renglón…

En los últimos dos años, las tendencias a largo plazo del aumento del trabajo remoto y el uso de servicios entregados en la nube se han acelerado masivamente debido al trabajo remoto durante la pandemia de COVID-19. Con los usuarios y los sistemas a los que acceden fuera del entorno de oficina tradicional, la cuestión de cómo autenticar a los usuarios se ha vuelto cada vez más importante.

Los nombres de usuario y las contraseñas nunca han sido un mecanismo particularmente seguro para verificar las identidades de los usuarios. Los usuarios son propensos a revelar sus nombres de usuario y contraseñas en respuesta a las señales de ingeniería social de los ataques de phishing. Los estudios han demostrado que los usuarios incluso revelarán voluntariamente su contraseña a cambio de una golosina de chocolate. El uso continuo de sistemas heredados, las malas elecciones en la implementación del sistema o los malos algoritmos hash también han permitido a los atacantes recopilar un gran número de nombres de usuario y pares de contraseñas de texto sin formato.

El uso de la autenticación multifactor ofrece una capa adicional de seguridad. Estos enfoques, incluido Cisco Duo, requieren que los usuarios se autentiquen con un método de inicio de sesión adicional, como responder a una alerta en su dispositivo móvil. Los teléfonos personales son excelentes para autenticar a los usuarios, ya que los usuarios se dan cuenta rápidamente cuando sus teléfonos no están cerca, y estos dispositivos con frecuencia están protegidos por datos biométricos, como una huella digital.

Sin embargo, el reconocimiento biométrico se basa en una “cadena de custodia” segura. El dispositivo que lee la huella digital debe ser seguro, el software que interactúa con el dispositivo de huellas dactilares debe ser seguro, al igual que la conexión que transmite el resultado al sistema de autenticación. Nada de esto puede darse por sentado.

Hemos demostrado que es posible imprimir en 3D una huella digital que engañará a los sistemas de lectura de huellas dactilares con equipos de impresión 3D de grado de consumidor y nada más que un escaneo de la huella digital del usuario. Esto significa que cualquier actor de amenazas con recursos adecuados podría desarrollar técnicas de clonación de huellas dactilares para engañar al reconocimiento biométrico. Si bien la biometría ofrece una vía adicional de autenticación, todos debemos ser conscientes del hecho de que el mundo de la biometría también abre la posibilidad de nuevos tipos de ataques.

Constante evolución.

A medida que evoluciona nuestro uso de la tecnología y las capacidades de los actores de amenazas, también lo hace el panorama de amenazas que enfrentamos. En Talos, monitoreamos continuamente el panorama de amenazas, nuestra inteligencia de amenazas ayuda a impulsar la cartera de seguridad de Cisco. Nuestros analistas de respuesta a incidentes están disponibles tanto para resolver incidentes de ciberseguridad cuando ocurren, para compartir nuestra experiencia para garantizar que las organizaciones se enfrenten a la menor cantidad de incidentes posible y para prepararse con anticipación para que los incidentes se resuelvan de manera rápida y fácil.La tecnología y las tácticas de los malos seguirán cambiando, por lo que debemos asegurarnos de que nuestras posturas seguras sean adecuadas para las amenazas a las que nos enfrentamos.

Los mejores tips para la defensa contra ransomware

Posted on

Por: Ghassan Dreibi / Cisco Systems

Octubre es el mes de la concientización sobre ciberseguridad  y aprovecho para compartir un tema que ya se ha discutido mucho, pero que últimamente se ha ido abriendo camino fuera del espacio de la ciberseguridad: el ransomware. Es posible encontrar en todas partes, desde noticias en los principales vehículos de prensa hasta la cumbre del G7, debates en torno a esta amenaza. Cada vez más, este tipo de estafa está afectando a las empresas de infraestructura crítica que no pueden permitirse ningún tiempo de inactividad o interrupción de un incidente cibernético.

Recuerde que el ransomware es un tipo de malware o software malicioso que cifra los datos de una víctima y luego el atacante exige un rescate. Una vez que se paga el rescate, el atacante envía una clave de descifrado para restaurar el acceso a los datos de la víctima, el rescate puede variar desde unos pocos cientos de dólares hasta millones de dólares. Por lo general, el pago se requiere en forma de criptomonedas, como bitcoins.

¿Cómo funciona exactamente? ¿Qué lo hace tan destructivo? ¿Y cómo pueden las organizaciones detenerlo? Aunque el gobierno ha declarado recientemente que jugará un papel más importante en la mitigación del ransomware y otros ciberataques, también ha enfatizado la importancia de colaborar con el sector privado para combatir este problema generalizado.El ransomware ahora es un problema para todos, desde gobiernos, corporaciones e incluso individuos. La pandemia ha aumentado aún más las oportunidades para los atacantes cibernéticos, ya que los empleados acceden a los recursos de la empresa desde una multitud de dispositivos y redes no administrados por el personal de TI corporativo.

¿Por qué el ransomware es tan peligroso, especialmente ahora?

Los datos son el elemento vital de todas las organizaciones y, a menudo, detienen las operaciones cuando no están disponibles. Históricamente, el ransomware se dirigía a sistemas individuales y solicitaba unos cientos de dólares para recuperar datos en esa máquina en particular. Ahora, a través de la “caza mayor”, los actores de amenazas persiguen objetivos más grandes y se mueven lateralmente por un entorno para llegar a sistemas más críticos para la misión. Una vez que obtienen acceso, implementan ransomware en múltiples puntos de la red para que la víctima esté más dispuesta a pagar un rescate muy alto (a veces en millones).

También se están utilizando otras tácticas más agresivas para aumentar las posibilidades de que los operadores de ransomware ganen dinero. Por ejemplo, comprometerán los sistemas de respaldo para que los administradores no puedan usarlos para restaurar datos. Algunos operadores de ransomware también están empleando la “doble extorsión”, amenazando con divulgar información confidencial al público al mismo tiempo que interfieren con las operaciones diarias de la víctima.

Además, el modelo de ransomware como servicio hace que la barrera de entrada para lanzar ransomware sea muy baja. A través de estos servicios, los actores de amenazas que no tienen las habilidades o los recursos para crear su propio ransomware pueden simplemente comprar kits de otros actores de amenazas. Esto le da a cualquiera que desee llevar a cabo un ciberataque la oportunidad de obtener fácilmente código malicioso que se sabe que funciona para explotar vulnerabilidades sin parchear.

¿Por qué no solo pagar el rescate?

Aunque los pagos de rescate de hoy son a menudo de millones de dólares, pagar para restaurar datos a veces es aún menos costoso que los impactos operativos de una empresa completa que se desacelera o se detiene (especialmente cuando se trata de infraestructura crítica). Entonces, ¿por qué no pagar el rescate?

Los expertos en seguridad y gobierno desalientan a las empresas a pagar un rescate, ya que simplemente continúa alimentando el ciclo de ataque. Si un atacante recibe el pago de rescate de su objetivo, eso lo motiva aún más para atacar a la organización nuevamente, sabiendo que es probable que si pague. Y, por supuesto, el hecho de que una organización decida pagar un rescate no siempre significa que sus datos se restaurarán o que su información confidencial no se divulgará a personas ajenas.

¿Qué podemos hacer para detener el ransomware?

Dado que el ransomware se ha vuelto tan multifacético, nuestras protecciones también deben hacerlo. Ninguna tecnología o las mejores prácticas por sí solas pueden prevenirlo. Debemos pensar en la defensa contra ransomware como un proceso continuo en capas. Las mejores tecnologías están actualizadas para detectar las amenazas más recientes y están bien integradas para que una solución pueda continuar donde la otra termina.

La educación del usuario final también debe desempeñar un papel clave en la lucha contra el ransomware, de modo que los empleados sepan lo que está en juego cuando navegan y hacen clic sin pensar. Sin embargo, según Wendy Nather, CISO de Cisco, hay una forma correcta y una forma incorrecta de hacerlo.

Wendy compartió que cuando se llevan a cabo ejercicios de phishing dentro de su unidad de negocio, se celebra a los empleados que lo denuncian (en lugar de castigar a los que caen en la trampa). “Es una excelente manera de enfatizar y motivar el tipo de comportamientos que queremos ver”, agregó.

Los mejores consejos para la defensa contra ransomware

Si no está seguro de por dónde empezar con la defensa contra ransomware, comience con la higiene cibernética básica. (Si bien parte de esto puede parecer simplista, a menudo se pasa por alto debido a limitaciones de recursos, un enfoque en proyectos de alto nivel, etc.). Los atacantes son conscientes de esto y, a menudo, aprovechan estas vulnerabilidades y debilidades comunes).

  1. Mantenga los sistemas parcheados y actualizados. La aplicación de parches automatizada, puede ayudar a garantizar que nada se escape y también puede reducir la carga de sus equipos de seguridad y TI. De las 25 mejores prácticas que analizamos en nuestro Estudio de resultados de seguridad de 2021, se encontró que la tecnología de actualización proactiva tuvo el efecto más fuerte en la mejora de las defensas generales.
  2. Realice siempre una copia de seguridad de los datos para poder recuperarlos en caso de emergencia. Almacene las copias de seguridad fuera de línea para que los intrusos cibernéticos no las encuentren. Desarrolle un plan de recuperación de datos que pueda ayudarlo a lograr la restauración a escala y, al mismo tiempo, garantizar la continuidad del negocio.
  3. Mantenga un inventario preciso y actualizado de sus activos. Las máquinas más antiguas y olvidadas a menudo proporcionan una entrada para los atacantes.
  4. Realice evaluaciones de riesgos continuas para descubrir cualquier vulnerabilidad en su infraestructura.
  5. Cifre los datos confidenciales y segmente su red para que los ciberdelincuentes no puedan acceder fácilmente a los sistemas críticos.
  6. Asegúrese de que sus empleados estén familiarizados con la ciberseguridad y el ransomware. Enséñeles la importancia de las contraseñas seguras, cómo detectar un correo electrónico de phishing, qué hacer si reciben una comunicación sospechosa, etc.
  7. Manténgase informado sobre los últimos riesgos y tácticas defensivas, y tenga un plan sólido de respuesta a incidentes para manejar amenazas inesperadas. Organizaciones como Cisco Talos ofrecen servicios de respuesta a incidentes para ayudarlo a prepararse, responder y recuperarse de infracciones.
  8. Preste atención a la guía de ransomware de entidades gubernamentales como CISA y NIST.

Y, por supuesto, asegúrese de implementar una gama completa de soluciones de seguridad para cubrir los muchos vectores de amenazas que los atacantes utilizan para ingresar, que incluyen:

Secure Firewall: evite que los ataques invadan su red con firewall modernizado y tecnología de prevención de intrusiones.

Secure Email: bloquee el ransomware entregado a través de spam y phishing, e identifique automáticamente los archivos adjuntos y las URL maliciosos.

Seguridad web y en la nube: proteja a los usuarios del ransomware y otro malware mientras navegan por Internet o utilizan aplicaciones en la nube.

Secure Edpoints: detecte y repare las amenazas que infectan los distintos endpoints de su entorno.

Secure Access: asegúrese de que solo los usuarios y dispositivos autorizados accedan a sus recursos a través de la autenticación multifactor (MFA) y otras medidas de seguridad.

Defensa contra ransomware de Cisco

Si necesita ayuda con su estrategia de ransomware, Cisco Secure ofrece todas las tecnologías anteriores y más. Están integrados a través de la plataforma Cisco SecureX para una máxima eficacia y están respaldados por la inteligencia de amenazas líder en la industria de Cisco Talos.

Contáctenos para poder ayudarle a defenderse contra el ransomware: https://mcs.com.mx/contacto/