#60 Gestión de riesgos frente al ransomware
Subscribe to get the latest
on Wed Aug 04 2021 17:00:00 GMT-0700 (Pacific Daylight Time)
with Darren W Pulsipher, Steve Orrin,
En este episodio, parte uno de dos, Darren discute las tendencias de seguridad con el frecuente invitado Steve Orrin, CTO de Intel, Federal. Durante el último año, ha habido un aumento en el número y sofisticación de los ciberataques. Las tres áreas clave de ataques recurrentes son el ransomware, los ataques a la cadena de suministro y las violaciones de datos.
Keywords
#cybersecurity #ransomware #riskmanagement #process
Durante el último año, ha habido un aumento en el número y sofisticación de los ciberataques. Las tres áreas clave de ataques recurrentes son el ransomware, los ataques a la cadena de suministro y las violaciones de datos.
Los ataques se han vuelto más sofisticados por varias razones. Primero, a medida que la seguridad mejora, el adversario debe continuar mejorando. El crimen organizado, los actores de los estados-nación y otros agentes de amenazas reconocen que se necesita más sofisticación para comprometer y frustrar los controles de seguridad. Al igual que las organizaciones tienen procesos de desarrollo de software, lo mismo ocurre con la comunidad de malware. Ellos tienen herramientas y marcos en los que se basan, y buenos procesos para integrar calidad en sus sistemas. Diferentes actores compran, venden y toman prestado código. Aprenden unos de otros y comparten información en la web oscura. No son solo equipos desorganizados de piratas informáticos; funcionan más como empresas.
Estos agentes de amenazas están en una industria de miles de millones de dólares. El dinero grande impulsa la necesidad de madurez. Ya no podemos simplemente agregar seguridad; debe estar integrada y estar presente en todas partes, no solo en los productos, sino también en la infraestructura y los procesos. Esa fue una de las lecciones de SolarWinds: incluso si construyes un buen producto, la infraestructura que lo respalda puede ser vulnerable.
Los ataques recientes demuestran que nadie está inmune. A menudo, las organizaciones asumen erróneamente que están seguras, ya que no son servicios financieros, gubernamentales u otras industrias de alto valor, pero los ataques recientes a empresas como JBS Foods, McDonald’s y Audi han demostrado que nadie está exento. Las compañías, sin importar su producto, dependen de su infraestructura digital para funcionar correctamente; el ataque a JBS Foods paralizó la industria de empaque de carne más grande del mundo.
Ninguna cosa sirve como una solución milagrosa para prevenir estos ataques. Hay esperanza, pero requiere mucho trabajo. Una organización debe tener la diligencia de aplicar las métricas de riesgo adecuadas para implementar la seguridad correctamente. Si no entiendes tu riesgo, ninguna cantidad de controles de seguridad hará el trabajo porque no sabrás si los estás aplicando en el lugar correcto.
La clave está en comenzar con el conjunto correcto de políticas y riesgos para tu organización. Un paso básico es que, incluso si tu organización aún no ha descubierto cómo implementar una arquitectura de confianza cero, negar todas las solicitudes de acceso hasta que se demuestre que son dignas es un paso en la dirección correcta. Esto significa que hay una puerta en cada entrada, en lugar de una llave maestra para todo lo que está adentro. El denegar por defecto es un principio del enfoque de confianza cero.
Si la fortaleza de una empresa no está en ciberseguridad, o si no hay fondos disponibles para un equipo interno suficiente, hay muchos recursos que pueden ayudar. Los proveedores de seguridad gestionada (MSP) son una buena opción, pero siempre debe haber al menos un experto en el interior: un Director de Seguridad. Esta persona tiene el contexto local de la experiencia en el dominio para trabajar con el MSP y llevar ese conocimiento a través de la organización. El MSP se encarga de gestionar tus herramientas y configuraciones de seguridad, pero necesitas a alguien que transmita sabiduría en seguridad a las unidades de negocio y tecnología de la información. A la luz de los recientes ataques, un equipo de seguridad no es opcional.
Cada empresa debería tener un plan establecido para un ataque de ransomware. No es el momento de descubrirlo una vez que ya ha sucedido. Una medida básica es respaldar regularmente tus datos. Mantén copias impecables de los datos, sistemas, aplicaciones y configuraciones en un entorno de almacenamiento fuera de línea y separado. Seis meses de datos de respaldo limpios son importantes porque a veces el ransomware puede estar presente en los respaldos antes de ser detectado. Además, asegúrate de tener disponibles fuera de línea las plataformas o servidores necesarios para ejecutar tu base de datos, de modo que puedas ponerlos en funcionamiento en un modelo de redunancia o emergencia.
Esto es básicamente planificación de continuidad del negocio. Así como una organización tendría un plan para continuar en caso de un desastre físico como una inundación o un corte de energía, también debería haber un plan para continuar con las aplicaciones empresariales críticas y volver a funcionar al menos parcialmente mientras se resuelve el problema.
Un paso para lograr esta redundancia es ser capaz de hacer un estallido en la nube cuando sea necesario, manteniendo los recursos en la nube en un estado prístino e incluso en un proveedor de servicios en la nube diferente. Otro paso es tener un “canario en la mina”. Esto significa tener sistemas desplegados en toda la empresa que tengan sensores al máximo. Para evitar problemas de rendimiento, almacenamiento y velocidad, puedes desplegarlos en lugares estratégicos en lugar de en todo el sistema para que sirvan como advertencias tempranas.
Crear un plan con anticipación también ayudará con el desafío de decidir qué hacer en el momento de crisis, ya sea pagar el rescate del ransomware o llamar al FBI. El plan debe estar en papel e involucrar no solo a tu equipo técnico, sino también a tus abogados, CEO, CFO, etc., y todos deberían tener acceso a él. Deberías saber cómo comprar bitcoin y tener el número de teléfono de las oficinas locales del FBI y otra información relevante. Ejecuta el plan como un ejercicio para ver si funciona de la misma manera que lo haría un plan de recuperación de desastres o continuidad de negocios.
Algunas industrias pueden pensar que están seguras si mantienen separada su tecnología operativa (OT) y su tecnología de información (IT), pero en realidad no están completamente separadas. Por ejemplo, una línea de producción puede estar funcionando con máquinas informáticas, pero gran parte de lo que impulsa la cadena de suministro, la logística y la organización en general son sistemas de IT. Si esos sistemas se caen, no habrá entrada ni salida. Los sistemas de IT son críticos para la misión y la enseñanza de los ataques recientes es que dependemos de la tecnología digital para todos nuestros negocios.