Los titulares recientes parecerían que ha habido un aumento en la cantidad de ataques de ransomware últimamente, pero si bien ha habido un aumento en la cantidad de campañas exitosas, eso solo subraya el hecho de que los equipos de seguridad han sido laxos al tomar las medidas adecuadas para asegurar sus activos de red. Esta es la convicción de Optiv Security, que llega a sugerir que la gran mayoría de empresas que ceden a su ciber-torturador son víctimas de su propia fabricación. La compañía cree que la mayoría de las empresas se encuentran en una posición de "pagar o morir" debido a las prácticas de ciberseguridad maliciosas generalizadas que las hacen propensas a los ataques de ransomware. James Turgal, ex subdirector ejecutivo de la Rama de Tecnología e Información (CIO) del FBI y actual vicepresidente de Riesgo Cibernético, Estrategia y Transformación en Optiv, ha ayudado personalmente a muchas empresas a responder y recuperarse de los ataques de ransomware. Hablamos con él para comprender la naturaleza evolutiva de las campañas de ransomware y los pasos que deben seguir las empresas para protegerse.
¿Cuáles son los errores más comunes que ha encontrado que podrían haber protegido a las empresas de los ataques de ransomware?
Cada negocio es diferente. Algunas organizaciones más antiguas y establecidas tienen redes e infraestructura que han evolucionado a lo largo de los años sin que la seguridad sea una prioridad, y las tiendas de TI tradicionalmente se han contentado con obtener nueva tecnología sin configurarla adecuadamente y / o desmantelar la tecnología anterior. Incluso las nuevas empresas que comienzan su vida en la nube todavía tienen servidores locales o infraestructura tecnológica que requieren atención y energía constantes. Algunos de los temas que veo y los errores más comunes que cometen las empresas son:- Sin estrategia de parcheo o impulsada más por preocupaciones sobre el tiempo de inactividad de la red y menos por la garantía real de la información y la postura de seguridad.
No entiendo cómo se ve el tráfico normal en sus redes y / o depender de herramientas de software. Por lo general, muchos de ellos se superponen y están mal configurados. La arquitectura de red es el camino de la empresa hacia la seguridad o la vulnerabilidad con herramientas mal configuradas.
Depender demasiado de las copias de seguridad y creer que una copia de seguridad es suficiente para protegerlo. Las copias de seguridad que no estaban segmentadas en la red, solo se diseñaron para proporcionar un método de recuperación en un momento determinado y nunca se diseñaron para protegerse de un atacante. Las copias de seguridad deben probarse con regularidad para asegurarse de que los datos estén completos y no estén dañados.
A menudo escuchamos que las copias de seguridad corporativas incluso fueron encriptadas por ransomware porque estaban alojadas en la misma red que los datos principales. ¿Qué otros pecados capitales ha encontrado en sus evaluaciones?
He trabajado en una serie de investigaciones cibernéticas durante mi carrera con el FBI, donde la compañía se ha centrado tanto en promover la próxima idea de transformación digital y no ha logrado asegurar su infraestructura actual en el transcurso del proceso. Por ejemplo, he visto a muchas empresas al migrar a un entorno de nube enfocarse tan intensamente en migrar a la nube que descuidan servidores e infraestructura que están en un armario que se han olvidado, acumulando polvo, sin ser corregidos y aún conectados a la red. . Todo lo que se necesita es un puerto abierto o una vulnerabilidad sin parche para que los actores de amenazas la aprovechen. La computación en la sombra y los repositorios de datos en la sombra son una gran vulnerabilidad, y son exactamente lo que buscan los actores de amenazas cuando sondean los puntos finales de su red.
Optiv trabaja con cientos de grandes empresas para desarrollar sus estrategias de respuesta al ransomware. ¿Qué estrategias de respuesta comunes sugiere que todas las empresas deberían seguir?
Por supuesto, la preparación es clave y no convertirse en víctima siempre es mejor que ser víctima de ransomware. Sin embargo, las mejores estrategias de respuesta se pueden encontrar en estas áreas:- Conozca lo suficiente sobre sus redes e infraestructura, o si está utilizando un servicio administrado por terceros para esta experiencia, para poder evaluar el daño lo más rápido posible. Comprender el alcance del compromiso, tener la capacidad de realizar un análisis de la causa raíz, recuperar el control de su entorno y determinar si es posible que se hayan robado datos y qué datos es fundamental.
Sepa dónde están sus datos, especialmente para las “joyas de la corona” de la organización. Si estos están correctamente segmentados y tiene repositorios de respaldo de datos adecuados (limpios), responder a un ataque es mucho menos que un simulacro de incendio.
Asegúrese de tener un manual de respuesta a incidentes (RI) sólido que se ocupe específicamente del ransomware y practique, practique y practique hasta el nivel de la junta.
Asegúrese de contar con la experiencia de un tercero (abogado externo, forense, expertos en relaciones públicas y comunicaciones) en nombre de su mandato.
Además del endurecimiento técnico, ¿deberían las empresas invertir también en mejorar su capital humano, dado que la mayoría de ransomware / malware explota el comportamiento humano?
Siempre he dicho que la ciberseguridad se trata más de las personas detrás de los teclados que de la tecnología en sí. A medida que la tecnología evoluciona, con la evolución de la inteligencia artificial (IA), el aprendizaje automático (ML) y la migración a la nube, es necesario llevar nuevas habilidades al campo. Independientemente del tamaño de las organizaciones, las empresas que buscan innovar más rápido que sus competidores luchan por el mismo talento calificado. Quiero centrarme en los "capacitados" porque no solo hay escasez de personas para hacer el trabajo, sino también una creciente brecha de habilidades entre los capacitados para comprender las complejidades de las redes modernas. Las brechas en las habilidades tecnológicas pueden evitar que una empresa logre más éxito, y pueden surgir impactos comerciales mucho más negativos si tiene un CIO. o un RSSI que está mal equipado para asegurar la organización, pero le finge a la alta dirección que el negocio es seguro.