Como comentamos en el post anterior el ramnsonware es inevitable, esta guerra existe y todo el mundo debe estar preparado para un ataque de este tipo. La buena noticia es que si se prepara con antelación con una estrategia de seguridad y recuperación de datos existirán opciones de supervivencia cuando llegue el momento de responder. Te damos las 5 mejores prácticas contra ramsonware construyendo una infraestructura con mayor resiliencia y recuperación de los datos críticos.
Las 5 mejores prácticas contra ramsonware
El NIST CFS (National Institute of Standards and Technology) ha creado un marco de ciberseguridad con las 5 mejores prácticas contra el ramsonware, un estándar que puede ser útil para cualquier empresa, tanto si se están comenzando a ejecutar estrategias de ciberseguridad como si ya se cuenta con un programa maduro.
IDENTIFICAR
Esta práctica sienta las bases para las acciones de ciberseguridad que se realizarán. Determina que entornos existen, sus riesgos y como afecta a los objetivos de negocio, es la base del éxito de este marco. Hay que conocer al enemigo pensando como ellos, pensar en cuáles son sus objetivos y como planean hacerlo. Para ello es necesario tener una visión de lo que tenemos, dónde lo tenemos e identificar y cualificar el valor de cada recurso.
Entre las mejores prácticas para la función identificación están:
- Cortafuegos humano: esto significa que todos los empleados deben ser conscientes de estos ataques, de sus vectores e identificarlos a tiempo para informar de cualquier cosa sospechosa.
- Plan de continuidad actualizado y disponible: es fundamental asegurar que el plan de continuidad se almacena de manera separada, es inmutable y se encuentra disponible 24/7/365 y que se renueva y revisa de manera periódica.
- Etiquetar los activos: detectar los activos más críticos para la organización y protegerlos de manera segura y eficaz es vital para un plan exitoso.
PROTEGER
Esta función ayuda al desarrollo y aplicación de medidas que aseguren la prestación de servicios en infraestructuras críticas en caso de ataque, limita y contiene el impacto de este.
Entre las mejores prácticas para la función protección están:
- Formación del personal en ciberseguridad: esta es una de las maneras más eficaces de subir el nivel de protección contra los ataques de ramsonware. La formación debe ser continua y actualizarse.
- Implantar la regla 3-2-1 de protección de datos: esta regla estándar de protección de datos dice que se deben mantener al menos tres copias de cada dato importante, con dos copias de seguridad almacenadas en dos tipos de medios diferentes diferentes y replicar una de ellas fuera de las instalaciones.
- Proteger por diseño: añadir seguridad a una infraestructura existente es mucho más difícil y costoso, una infraestructura virtual es una buena práctica para construir un entorno seguro desde el principio. Agregar los vectores de ataque conocidos y sólo abrir el acceso cuando los componentes se añaden y necesitan aperturas específicas o software adicional para funcionar correctamente. De esta manera, todas las compilaciones son consistentes y se mantienen actualizadas, lo que crea una línea de base segura.
Estas son solo algunas, ya que existen muchas más.
DETECTAR
Esta función permite detectar de manera rápida y eficaz un ataque, esto permite mitigar las repercusiones de este. La pregunta que debe hacerse es: ¿qué mecanismos son apropiados para implementar para garantizar una rápida identificación y detección de incidentes de ciberseguridad?
Para saber cuándo un entorno es atacado o comprometido, es fundamental comprender el flujo de datos de extremo a extremo de su información. Saber diferenciar qué es un comportamiento normal y qué no lo es. Por ello es importante monitorizar la infraestructura en busca de actividad sospechosa.
Entre las mejores prácticas para la función detección están:
- Sistemas de detección: contar con sistemas de detección de intrusos puede alertarnos de comportamientos sospechosos y anticiparnos a ataques de malware o ramsonware. Uno de los mayores riesgos de estos ataques es su propagación, por ello tener visibilidad es clave.
- Tripwires: se trata de colocar cables trampa virtuales, como una cuenta de administrador sin uso y con alarmas vinculadas. En el momento que se observa una actividad en dicha cuenta está hará saltar la alarme roja.
RESPONDER
Las capacidades de respuesta ayudan a los usuarios a desarrollar técnicas para contener el impacto de los incidentes de ciberseguridad, asegurando el desarrollo e implementación de las medidas adecuadas para responder a los incidentes de ciberseguridad detectados. «La pregunta que debe hacerse es: ¿Cómo puedo mitigar un incidente de ciberseguridad y garantizar que el impacto se contenga lo más rápido posible?»
Entre las mejores prácticas para la función respuesta están:
- Contar con un plan de respuesta: la creación de un plan de respuestas definido permite dibujar los procedimientos a seguir para detectar, comunicar, controlar y poner solución a cualquier incidente. Así los empleados también sabrán como responder ante una situación así.
- Mantener la calma: la clave está en reunir a las personas adecuadas para activar el plan de respuesta a incidentes lo antes posible y no buscar culpables, esto hará perder el tiempo e incluso cometer errores.