El ransomware no está fuera de control; los equipos de seguridad son

El ransomware no está fuera de control;  los equipos de seguridad son
Los titulares recientes parecerían que ha habido un aumento en la cantidad de ataques de ransomware últimamente, pero si bien ha habido un aumento en la cantidad de campañas exitosas, eso solo subraya el hecho de que los equipos de seguridad han sido laxos al tomar las medidas adecuadas para asegurar sus activos de red. Esta es la convicción de Optiv Security, que llega a sugerir que la gran mayoría de empresas que ceden a su ciber-torturador son víctimas de su propia fabricación. La compañía cree que la mayoría de las empresas se encuentran en una posición de "pagar o morir" debido a las prácticas de ciberseguridad maliciosas generalizadas que las hacen propensas a los ataques de ransomware. James Turgal, ex subdirector ejecutivo de la Rama de Tecnología e Información (CIO) del FBI y actual vicepresidente de Riesgo Cibernético, Estrategia y Transformación en Optiv, ha ayudado personalmente a muchas empresas a responder y recuperarse de los ataques de ransomware. Hablamos con él para comprender la naturaleza evolutiva de las campañas de ransomware y los pasos que deben seguir las empresas para protegerse.

¿Cuáles son los errores más comunes que ha encontrado que podrían haber protegido a las empresas de los ataques de ransomware?

Cada negocio es diferente. Algunas organizaciones más antiguas y establecidas tienen redes e infraestructura que han evolucionado a lo largo de los años sin que la seguridad sea una prioridad, y las tiendas de TI tradicionalmente se han contentado con obtener nueva tecnología sin configurarla adecuadamente y / o desmantelar la tecnología anterior. Incluso las nuevas empresas que comienzan su vida en la nube todavía tienen servidores locales o infraestructura tecnológica que requieren atención y energía constantes. Algunos de los temas que veo y los errores más comunes que cometen las empresas son:
  1. Sin estrategia de parcheo o impulsada más por preocupaciones sobre el tiempo de inactividad de la red y menos por la garantía real de la información y la postura de seguridad.

  2. No entiendo cómo se ve el tráfico normal en sus redes y / o depender de herramientas de software. Por lo general, muchos de ellos se superponen y están mal configurados. La arquitectura de red es el camino de la empresa hacia la seguridad o la vulnerabilidad con herramientas mal configuradas.

  3. Depender demasiado de las copias de seguridad y creer que una copia de seguridad es suficiente para protegerlo. Las copias de seguridad que no estaban segmentadas en la red, solo se diseñaron para proporcionar un método de recuperación en un momento determinado y nunca se diseñaron para protegerse de un atacante. Las copias de seguridad deben probarse con regularidad para asegurarse de que los datos estén completos y no estén dañados.

A menudo escuchamos que las copias de seguridad corporativas incluso fueron encriptadas por ransomware porque estaban alojadas en la misma red que los datos principales. ¿Qué otros pecados capitales ha encontrado en sus evaluaciones?

He trabajado en una serie de investigaciones cibernéticas durante mi carrera con el FBI, donde la compañía se ha centrado tanto en promover la próxima idea de transformación digital y no ha logrado asegurar su infraestructura actual en el transcurso del proceso. Por ejemplo, he visto a muchas empresas al migrar a un entorno de nube enfocarse tan intensamente en migrar a la nube que descuidan servidores e infraestructura que están en un armario que se han olvidado, acumulando polvo, sin ser corregidos y aún conectados a la red. . Todo lo que se necesita es un puerto abierto o una vulnerabilidad sin parche para que los actores de amenazas la aprovechen. La computación en la sombra y los repositorios de datos en la sombra son una gran vulnerabilidad, y son exactamente lo que buscan los actores de amenazas cuando sondean los puntos finales de su red.

Optiv trabaja con cientos de grandes empresas para desarrollar sus estrategias de respuesta al ransomware. ¿Qué estrategias de respuesta comunes sugiere que todas las empresas deberían seguir?

Por supuesto, la preparación es clave y no convertirse en víctima siempre es mejor que ser víctima de ransomware. Sin embargo, las mejores estrategias de respuesta se pueden encontrar en estas áreas:
  1. Conozca lo suficiente sobre sus redes e infraestructura, o si está utilizando un servicio administrado por terceros para esta experiencia, para poder evaluar el daño lo más rápido posible. Comprender el alcance del compromiso, tener la capacidad de realizar un análisis de la causa raíz, recuperar el control de su entorno y determinar si es posible que se hayan robado datos y qué datos es fundamental.

  2. Sepa dónde están sus datos, especialmente para las “joyas de la corona” de la organización. Si estos están correctamente segmentados y tiene repositorios de respaldo de datos adecuados (limpios), responder a un ataque es mucho menos que un simulacro de incendio.

  3. Asegúrese de tener un manual de respuesta a incidentes (RI) sólido que se ocupe específicamente del ransomware y practique, practique y practique hasta el nivel de la junta.

  4. Asegúrese de contar con la experiencia de un tercero (abogado externo, forense, expertos en relaciones públicas y comunicaciones) en nombre de su mandato.

Además del endurecimiento técnico, ¿deberían las empresas invertir también en mejorar su capital humano, dado que la mayoría de ransomware / malware explota el comportamiento humano?

Siempre he dicho que la ciberseguridad se trata más de las personas detrás de los teclados que de la tecnología en sí. A medida que la tecnología evoluciona, con la evolución de la inteligencia artificial (IA), el aprendizaje automático (ML) y la migración a la nube, es necesario llevar nuevas habilidades al campo. Independientemente del tamaño de las organizaciones, las empresas que buscan innovar más rápido que sus competidores luchan por el mismo talento calificado. Quiero centrarme en los "capacitados" porque no solo hay escasez de personas para hacer el trabajo, sino también una creciente brecha de habilidades entre los capacitados para comprender las complejidades de las redes modernas. Las brechas en las habilidades tecnológicas pueden evitar que una empresa logre más éxito, y pueden surgir impactos comerciales mucho más negativos si tiene un CIO. o un RSSI que está mal equipado para asegurar la organización, pero le finge a la alta dirección que el negocio es seguro.

Durante mucho tiempo ha estado involucrado en negociaciones con actores maliciosos detrás de una campaña de ransomware. ¿Cómo han evolucionado las interacciones a lo largo de los años? ¿Conoce a un actor amenazador que implemente su estrategia de doble extorsión y revele datos confidenciales a un rival?

Una de las cosas que extraño de las empresas es que tienden a pensar que estos grupos de actores de amenazas criminales son independientes y compiten entre sí. Estas organizaciones a veces comparten datos e información sobre las víctimas. Una vez que los datos se extraen de una empresa y se publican o venden en un foro de la web oscura, otros actores de amenazas criminales utilizan estos datos del ataque anterior de otro actor para dar un paso adelante, otras víctimas y otras vulnerabilidades. Con la llegada de los sitios de compra de malware Ransomware-as-a-Service y Dark-Web, como Silk Road y AlphaBay, la doble amenaza de extorsión es real, y las amenazas no solo provienen de organizaciones individuales, sino a veces de delincuentes. grupos que trabajan juntos ofreciendo un servicio de malware y redes de bots para implementar el malware.

Hablando de doble extorsión, ¿cómo lidias con eso? Quiero decir, incluso si la empresa tiene los medios para restaurar a partir de copias de seguridad y puede recuperar el control de su red, ¿cómo se asegura de que los actores de amenazas no revelen los datos que han extraído?

La amenaza de la doble extorsión es real, pero con los ataques de ransomware siempre ha existido la amenaza. Los atacantes ciberdelincuentes revelarán los datos extraídos de la víctima, por lo que no considero que esta amenaza sea realmente nueva. Atrás quedaron los días en los que podía ser víctima de un ciberataque, pagar el rescate o restaurar sus sistemas y no revelar el ataque. Los requisitos de información y la legislación futura dictarán transparencia y divulgación.

¿Cómo ve el reciente anuncio de AXA de eliminar la cobertura de ransomware para sus clientes franceses? ¿Cree que esta es una estrategia eficaz para disuadir los ataques de ransomware?

Creo que la decisión de AXA se basó en su visión de los desafíos del actual mercado de seguros cibernéticos, vinculado a la presión competitiva en el entorno regulatorio y de aplicación de la ley. Hay casos en los que he trabajado en los que los actores de amenazas buscan intencionalmente la infraestructura y los datos de una víctima para ver si la víctima tiene un seguro cibernético. Algunos actores malintencionados están utilizando datos del propio sistema de la víctima en el aviso de ransomware que indica que no hay razón para no pagar porque están asegurados. Se podría argumentar que el seguro cibernético envalentona a los atacantes, por lo que limitar los pagos y la cobertura podría disuadir futuros ataques. Creo que la tendencia y la respuesta más probable será limitar los montos de pago por el ransomware cibernético y, sin duda, exigir que los asegurados tengan y mantengan un nivel más alto de madurez cibernética, realicen evaluaciones de riesgos, sean mejores y más consistentes y alineen la cobertura más estrechamente con las amenazas. , que en mi opinión es la mejor manera de responder a la extorsión cibernética que simplemente suspender los pagos.