.png)
Cómo cumplir con la guía de ransomware Phobos de CISA con Illumio
Recently, the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the Multi-State Information Sharing and Analysis Center (MS-ISAC) released a new cybersecurity advisory aimed at informing government and critical infrastructure organizations on how to protect against Phobos ransomware.
En esta publicación de blog, aprenda qué es el ransomware Phobos, cómo los funcionarios gubernamentales recomiendan preparar para Phobos y cómo el panel de protección contra ransomware de Illumio puede ayudar a lograr estas recomendaciones.
¿Qué es el ransomware Phobos?
Phobos ransomware is related to multiple ransomware variants, including Elking, Eight, Devos, Backmydata, and Faust ransomware. The Backmydata variant was used in a February 2024 attack in Romania that resulted in systems being taken offline at around 100 healthcare facilities.
El aviso comparte tácticas, técnicas y procedimientos (TTP) e indicadores de compromiso (IOC) conocidos asociados con las variantes del ransomware Phobos observadas en febrero de 2024. Phobos opera como un modelo de ransomware como servicio (RaaS) y se dirigió a varios sectores desde mayo de 2019, incluidos el gobierno, los servicios de emergencia, la atención médica y la educación.
Cómo proteger contra el ransomware Phobos
El aviso proporciona tres conclusiones clave para mitigar la actividad del ransomware Phobos:
- Puertos RDP seguros para evitar que los actores de amenazas abusen y aprovechen las herramientas RDP.
- Priorice la corrección de vulnerabilidades explotadas conocidas.
- Implemente soluciones EDR para interrumpir las técnicas de asignación de memoria de los actores de amenazas.
The Illumio Zero Trust Segmentation Platform can help you tackle all three of these recommendations.
1. Emplee el panel de protección contra ransomware de Illumio para proteger los puertos RDP
Con solo unos pocos pasos rápidos, su organización puede realizar mejoras importantes para frustrar a los malos actores y evitar el movimiento lateral dentro de su entorno. Si puede evitar el movimiento lateral, se cerciora de que, incluso si los atacantes ingresan, no lleguen muy lejos ni accedan a aplicaciones de misión crítica.
Let’s walk through the three steps to securing RDP ports using the Ransomware Protection Dashboard:
- Identify where there is RDP traffic in your environment
- Siga las acciones recomendadas en el panel de protección contra ransomware de Illumio
- Medir la mejora en el puntaje de protección contra ransomware
Identificación del tráfico RDP en su entorno
El panel de protección contra ransomware de Illumio rastrea fácilmente los servicios de mayor riesgo en su entorno. Uno de estos servicios es RDP. Si se expone en su entorno sin que la directiva lo controle, es posible que lo vea en el reporte de los 5 servicios de riesgo principales. Alternativamente, también puede dirigir al mapa para buscar específicamente el tráfico RDP.
En la imagen de arriba, puede ver que RDP figura entre los cinco servicios de mayor riesgo, pero tampoco existe una política que controle este servicio.
Aquí es donde puede hacer análisis comerciales para comprender el impacto. Por ejemplo, hay ciertas personas en la organización que necesitan la capacidad de usar RDP. Esto es muy útil para TI que puede estar ayudando a los empleados que no están en el sitio a solucionar un problema. Sin embargo, no es algo que la carga de trabajo promedio deba tener disponible.
Aquí es donde entran en juego las acciones recomendadas del panel.
Siga las acciones recomendadas del panel de protección contra ransomware
One of the recommended actions on the dashboard is to build a deny rule. This is an easy way to rapidly build protection as you progress along what may be a larger Zero Trust journey.
En este caso, dado que CISA recomienda proteger los puertos RDP, el siguiente paso es crear una regla de denegación para bloquear este tráfico. Se pueden agregar excepciones según sea necesario, pero generalmente esto se bloqueará. Esto proporciona protección proactiva contra cualquier ataque de ransomware Phobos.
Cuando aplica reglas de denegación con Illumio, su nueva política se implementa en toda su organización en minutos, sin importar la escala.
Mida la mejora de la seguridad en el puntaje de protección contra ransomware
Una excelente manera de medir su progreso en la protección de su entorno es con el puntaje de protección contra ransomware del panel. A medida que implementa la directiva y realiza cambios importantes, como el bloqueo del tráfico RDP, puede ver que ese puntaje aumenta.
Illumio no solo proporciona su puntaje actual, sino también este puntaje a lo largo del tiempo. Esta es una excelente manera de medir cómo está protegiendo su organización contra amenazas en constante evolución.
2. Corrija las vulnerabilidades explotadas conocidas con la segmentación de confianza cero
Zero Trust Segmentation (ZTS) can help you reduce the impact of ransomware attacks like Phobos by seeing and addressing where vulnerabilities in your network have been exploited.
Ver y corregir brechas de seguridad
The Illumio Map helps reveal systems or applications with excessive, unnecessary, or non-compliant communication. It can even combine this information with data from vulnerability scanners.
Con esta información, los equipos de seguridad pueden establecer políticas de segmentación granulares y flexibles para reducir la exposición a vulnerabilidades y detener la propagación de infracciones inevitables. Al comprender el contexto y la exposición, las cargas de trabajo se pueden proteger rápidamente antes de que se implemente un parche.
Cuantifique el riesgo con información basada en datos sobre vulnerabilidades
Frente a amenazas como el ransomware Phobos, es crucial no solo identificar sino también cuantificar las vulnerabilidades potenciales dentro de su red. Illumio muestra los puntos débiles de la red para que los equipos puedan implementar medidas proactivas precisamente donde más se necesitan.
Esta información proporciona a los equipos multifuncionales información procesable para abordar las brechas de seguridad, fomentar la toma de decisiones basada en datos y mejorar las estrategias de mitigación de riesgos en todo el entorno.
Cree de forma proactiva defensas contra vulnerabilidades
Modele, pruebe e implemente la segmentación granular de activos de alto riesgo como control de compensación, protegiendo los sistemas críticos cuando la aplicación de parches no sea factible o introduzca una complejidad operativa inaceptable.
La conciencia es clave. Si el tráfico se conecta a un puerto con una vulnerabilidad conocida, el centro de operaciones de seguridad (SOC) recibe una alerta de la infracción, incluido el contexto de vulnerabilidad y gravedad con los datos proporcionados por Illumio.
3. Combine EDR y segmentación de confianza cero para detectar y proteger automáticamente contra el movimiento lateral
Illumio complements EDR by reducing the attack surface with Zero Trust Segmentation policies that leave attackers little room to maneuver. Illumio fills the gap between incident and detection, agnostic from attack pattern.
Según el aviso de ciberseguridad, EDR es una pieza importante de protección contra ataques de ransomware como Phobos. Pero cuando un ataque finalmente viola un punto final, EDR no tiene forma de evitar que esa violación continúe mover lateralmente a través de la red de su organización. Por eso es esencial combinar EDR con ZTS. Cuando el sistema EDR detecta una infracción, ZTS puede apagar y poner en cuarentena automáticamente cualquier carga de trabajo infectada.
Combining proactive technology like ZTS with reactive technology like EDR on every endpoint lessens the dwell time weakness while also significantly increasing response capabilities. In fact, according to testing by Bishop Fox, combining EDR with Illumio radically reduced an attacker from spreading while detecting 4 times faster.
Get in touch with us to learn how Zero Trust Segmentation can help you meet CISA’s guidance and stop ransomware attacks like Phobos today.
