zephyr_p - stock.adobe.com
Prevención, la mejor arma contra los ataques de ransomware
Quest ofrece algunos consejos para romper una cadena de exterminio de la ciberseguridad o Cyber Kill Chain (CKC).
Cyber Kill Chain (CKC) es un concepto militar aplicado a la ciberseguridad donde se enumeran las etapas de un ataque. El modelo describe cómo los atacantes utilizan un ciclo común de métodos para comprometer una organización. Los líderes de seguridad de TI pueden utilizar este método para alinear los programas de seguridad con los de los adversarios y mejorar su capacidad para predecir, prevenir, detectar y responder a las amenazas avanzadas.
De acuerdo con el estudio «2021 Ransomware» de IDC, aproximadamente 37 % de las organizaciones a nivel global comentan haber sido víctimas de alguna forma de ataque de ransomware en 2021. El centro de quejas de delitos cibernéticos del FBI reportó 2.084 informes de ransomware desde enero hasta el 31 de julio de 2021, lo que representa un aumento del 62 % año con año. De acuerdo con Gartner, de ahora en adelante los gobiernos estarán más involucrados. Según la consultora, es probable que las naciones promulguen leyes sobre pagos de ransomware. Este año, la consultora estimó que solo el 1 % de los gobiernos globales tienen reglas sobre este tipo de ataque, con un aumento esperado del 30 % para 2025.
Los ataques de ransomware tienen un ciclo de actuación, lo que genera una serie de datos que ayudan a las organizaciones a comprender las amenazas en general. Al agregar análisis, contexto, relevancia, prioridad y oportunidad, esta información se convierte en inteligencia. Con inteligencia, las empresas entienden cómo prevenir, crear estrategias y preparar a sus equipos de TI ante las amenazas. El resultado son operaciones de seguridad más eficientes y efectivas, además de una mayor seguridad.
La prevención es la única forma de «romper» esta cadena. Con una política de seguridad de la información concisa es posible tener éxito ante ciertos ataques, así como con el uso de tecnologías y soluciones de protocolo. Es importante tener en cuenta que la CKC es cíclica; es decir, es un movimiento circular, no lineal. Si bien la metodología utilizada es la misma, los delincuentes utilizarán diferentes métodos dentro de la cadena, entre los que destacan los siguientes:
- Reconocimiento: ¿Qué métodos funcionarán con el mayor grado de éxito? Y de ellos, ¿cuáles son los más fáciles de ejecutar en cuanto a inversión de recursos? Cómo combatirlo: con seguimiento y control de identidad con soluciones IGA (administración de identidades y gobernanza).
- Armamento: ¿Dónde está la oportunidad de que la amenaza tenga éxito? Ya sean aplicaciones web, malware estándar o personalizado, descargas, compras, archivos vulnerables (imágenes, juegos, PDF, etc.). Cómo combatirlo: con protección de terminales y reducción de privilegios de acceso con soluciones PAM (Privileged Access Management).
- Entrega: ¿Cuál es el objetivo del ataque y en qué puerto ingresará a la empresa? ¿Cómo se transmitirá la amenaza? Cómo combatirlo: con soluciones de protección de terminales.
- Explotación: Una vez entregada al usuario, computadora o dispositivo, la carga útil maliciosa comprometerá el activo y dominará una posición en el ecosistema. Esto se debe a que aprovecha alguna vulnerabilidad conocida o disponible anteriormente. Cómo combatirlo: con seguimiento.
- Instalación: La amenaza suele ser sigilosa en su funcionamiento, lo que permite lograr la persistencia o «tiempo de vida». Los delincuentes pueden entonces tomar el control del ecosistema sin alertar a la organización. Cómo combatirlo: con soluciones de monitorización y protección de terminales.
- Control: Fase decisiva en la que los delincuentes tienen el control de los activos dentro de la organización a través de métodos de control, por lo general remotos. Aquí es donde el atacante pone sus cartas sobre la mesa y se comunica con la víctima. A menudo, se identifica un host en el que se copian todos los datos internos, luego se comprimen o cifran y están listos para su exfiltración. Cómo combatirlo: con monitorización y soluciones PAM.
- Acciones y objetivo: Fase final que cubre cómo los delincuentes extraen datos o dañan los activos de TI al mismo tiempo que estudian detenidamente una organización. A continuación, se toman medidas para identificar más objetivos, expandir su dominio dentro de la empresa y extraer más datos. Cómo combatirlo: con un plan de recuperación ante desastres.
Sobre el autor: Rogério Soares es director de servicios profesionales y preventa en Quest Software para Latinoamérica. Es doctor en Gestión Estratégica por la Universidade Nove de Julho, con una extensión en Innovación Estratégica por la Grenoble Ecole de Management de Francia, y tiene un Máster en Gestión de Proyectos por la Universidade Nove de Julho, con una extensión en Gestión de Megaproyectos por la Bentley University de Estados Unidos.