3 Claves para prevenir el Ransomware.La estrategia más efectiva para detener los ataques de ransomware se basa en evitar que entren en su organización. La cantidad de aplicaciones y servicios que requieren las empresas para operar continúa aumentando. El resultado es una mayor superficie de ataque con medidas de protección ineficaces, que incluyen la red, las aplicaciones basadas en SaaS y los puntos finales. A medida que los actores de amenazas se vuelven más hábiles, los nuevos ataques se implementan más rápido de lo que las vulnerabilidades se pueden remediar o implementar parches. En consecuencia, las organizaciones deben comenzar a pensar de manera integral sobre su plataforma de seguridad.
Cambio de la detección a la prevención
Los enfoques de ciberseguridad heredados se han centrado principalmente en la detección y la remediación, pero esto ya no es efectivo. Para prevenir un ataque de ransomware, es esencial un cambio en la práctica de detección a prevención. Detenga los ataques antes de que puedan infectar a las organizaciones y causar daño. Las organizaciones deben tener implementada la arquitectura de seguridad adecuada para habilitar este cambio, que tiene tres elementos clave:
1. Reducir la superficie de ataque
2. Prevenir amenazas conocidas
3. Identificar y prevenir amenazas desconocidas
Reducir la superficie de ataque.
Para reducir la superficie de ataque, debe obtener una visibilidad completa del tráfico en su red, a través de las aplicaciones, las amenazas y el comportamiento del usuario. Es probable que si no sabe lo que está sucediendo en su red, un atacante lo haga y lo usará como una forma de ingresar. La actividad de clasificación le permite tomar las decisiones correctas sobre lo que debería permitirse, y se destaca lo desconocido Eventos que requieren mayor investigación. Con esta visibilidad, puede tomar medidas, como bloquear el tráfico desconocido, identificar ataques avanzados o simplemente habilitar solo las aplicaciones que tienen un propósito comercial válido.
Una vez que el tráfico se ha delimitado, se deben aplicar políticas basadas en la aplicación y en el usuario. Hay un número infinito de permutaciones para estas políticas que limitan el acceso a ciertas aplicaciones para ciertos grupos de usuarios y para ciertas partes de la red. Con una alta visibilidad y las políticas correctas, se puede eliminar una gran mayoría de los métodos que usan los atacantes para lanzar ataques de malware en su red.
Para reducir aún más la superficie de ataque, debe bloquear todos los tipos de archivos peligrosos y potencialmente peligrosos. Aunque no todos los tipos de archivos son maliciosos, se deben bloquear aquellos que tienen una mayor probabilidad de ser maliciosos. Después de que se hayan bloqueado los tipos de archivos peligrosos, se deben implementar políticas alineadas con su tolerancia al riesgo. Se debe evitar que los usuarios conecten puntos finales no compatibles con recursos de red críticos.
Prevenir amenazas conocidas
Una vez que haya reducido su superficie de ataque, el siguiente paso sería prevenir las amenazas conocidas. Para hacer esto, debe evitar que las explotaciones conocidas, el malware y el tráfico de comando y control ingresen a su red. Una vez que se han detenido, el costo de ejecutar un ataque aumenta y, posteriormente, reduce su probabilidad al obligar a los atacantes a crear nuevas variantes de malware y lanzar nuevas vulnerabilidades contra vulnerabilidades menos conocidas.
También debe evitar que los usuarios descarguen inadvertidamente una carga útil malintencionada o que les roben sus credenciales impidiendo el acceso a direcciones URL maliciosas y de suplantación de identidad conocidas. El bloqueo de estas amenazas las elimina de la ecuación por completo. Una vez que se han bloqueado estas amenazas conocidas, debe buscar malware conocido en sus aplicaciones basadas en SaaS, ya que se aprovechan cada vez más para entregar amenazas. Cualquier malware identificado y exploits del escaneo deben ser bloqueados. Lo mismo debe hacerse para el malware conocido y las vulnerabilidades en el punto final.
Identificar y prevenir amenazas desconocidas.
Una vez que se han bloqueado las amenazas conocidas, es imperativo identificar y bloquear cualquier amenaza desconocida, ya que los atacantes continúan implementando nuevos ataques de día cero y desarrollando nuevas variantes de ransomware. El primer paso consistiría en detectar y analizar amenazas desconocidas en archivos y URL. A medida que se envían nuevos archivos, es esencial detonar, analizar y buscar comportamientos maliciosos en algo que nunca se ha visto. Además, debe aplicar automáticamente las protecciones a diferentes partes de la infraestructura de seguridad lo más rápido posible para evitar que las amenazas tengan éxito. Esto debe incluir el contexto para comprender al atacante, malware, campaña e indicadores de compromiso asociados con el ataque. Una vez identificadas y bloqueadas amenazas desconocidas o tendencias de comportamiento sospechoso,
El objetivo final de este proceso es convertir lo desconocido en conocido y mejorar la postura de seguridad con nuevas protecciones a un ritmo más rápido del que los atacantes pueden desarrollar su malware y sus ataques, a lo largo de todo el ciclo de vida del ataque.
Consultar también en nuestro blog de seguridad web: ¿Porque aumentan los ataques de Ransomware?; Porque los creadores de Ransomware se dirigen a los usuarios domésticos, personas naturales