¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Contención de ransomware
Illumio Editorial
Illumio Editorial
20de diciembre de 2021
23 min. leer

3 pasos para evitar que el ransomware se propague

In a previous post, we explored the concept of visibility and how it can help you spot potential paths for ransomware and other malware to spread. Next, we outlined how to visualize, quantify and mitigate risk from vulnerabilities.

With those elements in place, you're now well-positioned to stop ransomware in its tracks, using both proactive and reactive measures.

¿Por qué es tan efectivo el ransomware?

A 2020 analysis shows that companies lost $21 billion dollars due to downtime brought on by ransomware attacks. This figure alone demonstrates how effective ransomware tactics are.

¿Qué hace que el ransomware sea tan lucrativo para los delincuentes? La debilidad humana es una vulnerabilidad fácilmente explotable que se puede reforzar con la conciencia sobre las amenazas de seguridad. El hardware y el software obsoletos son otra vulnerabilidad de la que se benefician los delincuentes de ransomware.

Una consideración importante que hace que el ransomware sea tan efectivo es la falta de defensas tecnológicas que enfrentan muchas compañías. Afortunadamente, con las estrategias y la tecnología adecuadas, se puede prevenir la propagación del ransomware.

Mejores prácticas para detener el ransomware

El ransomware causa estragos en compañías grandes y pequeñas en todas las industrias importantes. Pero tiene un talón de Aquiles. Por lo general, se mueve en un patrón muy previsible.

Primero, el malware ingresa al entorno de TI de una organización a través de una vía vulnerable. Luego, si no se controla, se propaga, a menudo durante semanas o meses, a través de redes, dispositivos y servidores. Finalmente, alguien acciona el interruptor para activarlo una vez que está en su lugar, y el ransomware aparece de la nada.

Este proceso puede ocurrir porque es relativamente fácil mover lateralmente a través de la mayoría de los entornos porque los firewalls generalmente se encuentran en la parte superior de los centros de datos y no cerca de los sistemas que protegen.

Detener la propagación de ransomware, malware y otros ciberataques implica un proceso de tres pasos:

1. Cierre los puertos y vectores riesgosos que el ransomware puede usar para obtener esa entrada inicial en sus sistemas.

2. Coloque barreras para evitar que el malware se mueva lateralmente a través de su entorno si ingresa.

3. Mejore su respuesta posterior a la intrusión configurando políticas secundarias para activar la respuesta a incidentes.

1. Elimina las conexiones innecesarias

It all starts with isolating critical assets by eliminating unnecessary communication.

Considere la videoconferencia, por ejemplo. Por lo general, no hay una buena razón para que la computadora portátil de un anfitrión de conferencia se comunique directamente con otro dispositivo conectado a la conferencia a través de puertos RDP o SMB. Por lo tanto, los administradores pueden sentir libres de cerrar esos puertos en ambos dispositivos sin afectar a nada más en el entorno. Como otro ejemplo, en la mayoría de los casos, puede apagar los protocolos FTP y Telnet más antiguos y altamente vulnerables dentro de su entorno.

Allowing only necessary communication and eliminating unnecessary paths between devices and networks lets you tighten workflows and machines down to contain ransomware.

Puede hacerlo bloqueando todas las comunicaciones a través de puertos individuales, como en los ejemplos anteriores, para una sola aplicación, dentro de una ubicación geográfica o en toda una red.

Para obtener los mejores resultados, debe implementar dichos controles de forma proactiva y reactiva:

  • Actuar de manera proactiva significa cerrar los puertos no empleados en su centro de datos u otras áreas antes de que ocurra un ataque, al igual que cerrar la puerta principal cuando se acuesta por la noche.
  • Actuar de forma reactiva significa responder a los incidentes con políticas implementadas que puede activar cuando sepa o incluso sospeche la presencia de malware en cualquier lugar de su entorno.

Comience colocando anillos protectores alrededor de sus aplicaciones o activos de mayor valor. De esa manera, si el malware viola un dispositivo o red en su entorno, permanecerá estrechamente confinado dentro de un área pequeña, dejando el resto intacto.

As we explored in our previous post, some ports present more risk than others and should get the highest priority for closure. These include highly connected ports that perhaps only a handful of servers use to communicate with other systems in a data center.

In most cases, non-management servers should never use vulnerable ports such as RDP and SMB ports that enable peer-to-peer communication. The good news is that such ports make up most of the attack vectors for malware. In other words, if you restrict such entryways as RDP, SMB, and Win RM, you can eliminate most of the malware that pops up in the news.

Además, considere los puertos conocidos empleados por las bases de datos y los servicios principales. Esa lista incluye aplicaciones y servicios comúnmente incluidos en las distribuciones de Linux. Muchos de estos son muy antiguos en su núcleo y tienen vulnerabilidades acumuladas durante muchos años.

Fortunately, simple, risk-based controls and policies working on the inbound side of any machine in a data center can help you get a handle on these well-known vulnerabilities to stop malware.

En cuanto a los puertos de salida, la mayoría de los servidores en el centro de datos no tienen por qué hablar con Internet o quizás solo de formas específicas y claramente definidas.

Al reforzar la comunicación para evitar que los datos no autorizados salgan de la organización, puede evitar que la función de comando y control del ransomware llame a casa para activar bombas de cifrado mortales.

Por supuesto, puede hacer lo mismo con los sistemas en la nube y las licencias de acceso de usuario demasiado amplios. Simplemente limite el tráfico saliente, controlando cuándo y cómo las aplicaciones, los dispositivos y los usuarios se comunican con Internet en general. De esta manera, puede implementar rápidamente estrategias de contención de ransomware.

Se trata de aislar los activos infectados y proteger el resto de su entorno. Y una buena visibilidad de su entorno puede llevarlo aún más lejos al revelar patrones a lo largo del tiempo.

2. Emplee la visibilidad para la protección contra ransomware

In our previous post, we show how Illumio takes in connection data and flow information from routers, switches and other on-premises infrastructure along with clouds and end-user systems.

Illumio emplea esa información para crear mapas de dependencia de aplicaciones para profesionales de TI e interfaces API para la automatización de la seguridad.

Esta información permite a los administradores tomar decisiones de alta calidad y bajo arrepentimiento sobre qué activos deben comunicar con qué otros activos. Luego pueden desarrollar políticas proactivas, esencialmente creando barreras y conteniendo activos y sistemas críticos, que funcionan en máquinas, firewalls nativos de la nube, conmutadores de red y más para proteger contra amenazas.

En pocas palabras, una brecha entre dos usuarios no debería afectar a otros usuarios o activos en la nube o el centro de datos, y una buena visibilidad puede resaltar esa vulnerabilidad potencial antes de un ataque.

3. Mejorar la respuesta posterior a la intrusión

Illumio también ayuda con la respuesta posterior a la intrusión.

For example, suppose you spot suspicious activity moving through your environment. In that case, you might want to put in barriers to protect your core databases, PCI payment systems, medical records, trading information and other sensitive assets.

Lo que se necesita en este caso es una capacidad de contención que podría ser más restrictiva de lo que desea ejecutar en las operaciones diarias. Su propósito es detener la propagación del malware en la fuente.

Antes de cualquier ataque, es posible que los administradores de TI deseen crear directivas secundarias para activarlas como parte de su runbook de respuesta a incidentes. La idea es aislar y proteger los sistemas eliminando la conectividad que podría resultar en compromiso. En cambio, la política de contención congela la propagación de malware, por ejemplo, restringiendo las comunicaciones RDP no esenciales.

Illumio respalda esto al permitir que los administradores detecten el tráfico que fluye de formas inesperadas e implementen rápidamente políticas que corten las conexiones no deseadas.

Ir más allá de los firewalls con Illumio Zero Trust Segmentation

Con Illumio, puede ver las cargas de trabajo que se ejecutan en su entorno, ya sea en un centro de datos, en la nube o entre estos entornos, por ejemplo, entre cargas de trabajo sitio web y de bases de datos.

Con este mapa visual, puede cerrar rápidamente la puerta al tráfico inseguro. Usando RDP como ejemplo de una forma común para que el ransomware se mueva entre cargas de trabajo, puede crear una regla que bloquee solo ese tráfico. También puede definir barreras basadas en metadatos, como etiquetas para diferentes tipos de cargas de trabajo y ubicaciones físicas.

Puede pensar en estas barreras como una especie de firewall inverso. Esto se debe a que, en los firewalls, normalmente se crean reglas que definen el tráfico deseado, con todo lo demás no permitido de forma predeterminada. Illumio le permite revertir ese flujo de trabajo para definir primero el tráfico denegado. A continuación, se hacen excepciones para habilitar las comunicaciones para casos individuales.

Y todo está automatizado, lo que le permite crear políticas de emergencia que puede lanzar en cualquier momento para proteger su entorno de cualquier ataque con solo unos pocos clics.

En resumen, Illumio proporciona la visibilidad que necesita para detectar cargas de trabajo y máquinas vulnerables, cerrar puertos innecesarios antes de un ataque y aislar las infecciones de malware antes de que puedan propagar. Este doble golpe de controles proactivos y reactivos lo ayuda a evitar rápidamente que los ataques se conviertan en desastres cibernéticos.

Contact us today to learn how to contain ransomware attacks with Illumio.

Temas relacionados

Contención de ransomware

Artículos relacionados

Cómo cumplir con la guía de ransomware Phobos de CISA con Illumio
Contención de ransomware

Cómo cumplir con la guía de ransomware Phobos de CISA con Illumio

Descubra la guía de CISA para proteger contra el ransomware Phobos y cómo la plataforma de segmentación Illumio Zero Trust ayuda a cumplir con estos estándares.

Lee más
Qué hacer en un incidente cibernético, Parte 2: Respuesta no técnica
Contención de ransomware

Qué hacer en un incidente cibernético, Parte 2: Respuesta no técnica

Comprenda el aspecto no técnico crucial de la respuesta a incidentes cibernéticos: evaluación de incidentes, reportes, presentaciones regulatorias, divulgación pública y aplicación de procesos.

Lee más
Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya
Contención de ransomware

Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya

Cómo la microsegmentación podría reducir la superficie de ataque y mitigado las consecuencias del ataque de Kaseya.

Lee más
Contenga el ransomware en su origen con segmentación de confianza cero
Contención de ransomware

Contenga el ransomware en su origen con segmentación de confianza cero

Descubra por qué la amenaza del ransomware es tan crítica y cómo lograr la contención del ransomware con la segmentación de confianza cero.

Lee más
Preguntas frecuentes de expertos: ¿Por qué las compañías siguen pagando ransomware?
Contención de ransomware

Preguntas frecuentes de expertos: ¿Por qué las compañías siguen pagando ransomware?

Obtenga la perspectiva de un experto sobre los factores que llevan a las organizaciones a pagar rescates a pesar de sus riesgos de reputación, financieros y de seguridad.

Lee más
4 principios básicos para proteger contra el ransomware
Contención de ransomware

4 principios básicos para proteger contra el ransomware

Observar e implementar estos 4 principios básicos lo ayudará a proteger su organización cuando se trata de cómo defender contra el ransomware. Leer más.

Lee más

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más