La cadena del Ransomware

La cadena del Ransomware

PARTE 1: MITIGACIÓN Y PREVENCIÓN DE RIESGOS

Debido a que el ransomware es un ataque multifacético, la implementación de múltiples capas de defensa puede ayudar a prevenir daños generalizados, pérdida de datos y tiempo de inactividad. Es inevitable que una red sea violada en algún momento. Esto podría ser causado por cosas como spear phishing, error humano o un servidor que ejecuta un servicio vulnerable que no se mitigó adecuadamente. Es por eso que es fundamental contar con estrategias adecuadas de mitigación de riesgos. Existen 3 maneras para limitar la propagación dentro de su red:


Segmentación y aplicación Ring-Fencing

Separe la red en segmentos operativos, por aplicación, uso o entorno y no permitir conexiones innecesarias entre y dentro de esos segmentos.


Bloquee cualquier comunicación entre computadoras portátiles / estaciones de trabajo

Bloquee la comunicación de los procesos que se ejecutan con privilegios de usuario de dominio "potentes", como los administradores de dominio.


Limite los usuarios que pueden ejecutar procesos en sus servidores.

Limite el acceso desde portátiles/estaciones de trabajo a servidores de centros de datos e instancias en la nube.


Existen pautas generales para protocolos y comportamientos específicos. Debido al uso inherente de algunos protocolos en las operaciones diarias normales, algunos de estos protocolos deben restringirse con cuidado.

Por ejemplo, si bien SSH es útil para la administración remota y también sirve para hacer que otros protocolos sean seguros (como sFTP), también es una herramienta utilizada por los atacantes para violar las máquinas y propagar la red. Querrá restringir el SSH en toda la red tanto como sea posible mediante la creación de cuadros de acceso para usuarios autorizados.



PARTE 2: DETECCIÓN Y RESPUESTA DE RANSOMWARE

Cuando se trata de lidiar con amenazas cibernéticas, como el ransomware, la planificación avanzada y la vigilancia son críticas. Al reaccionar rápidamente a una violación, puede minimizar el daño a su red.

Los incidentes pueden incluir:

Engaño:

los incidentes de engaño son de alta fidelidad, ya que proporcionan datos detallados sobre la actividad maliciosa y la próxima fase de ataque del ciberdelincuente.

Escaneos de red:

los ciberdelincuentes recopilan inteligencia una vez dentro de una red y utilizan escaneos de red como método de reconocimiento para detectar puertos abiertos o servicios que otros servidores están escuchando.

Detección basada en políticas: las políticas de seguridad a nivel de red y proceso permiten el reconocimiento instantáneo de comunicaciones no autorizadas y tráfico no conforme.



PARTE 3: DESINFECCIÓN Y RECUPERACIÓN

Una vez que tenga una lista de todas las máquinas e IoC infectadas, puede comenzar a desinfectar. Divida sus máquinas en tres grupos de etiquetas: Aislado, Monitoreado y Limpio.


Después de establecer los tres grupos de etiquetas, puede comenzar a agregar directivas para segmentar la red creando cuatro niveles de comunicación:

1. Bloquee todas las comunicaciones entrantes y salientes de máquinas aisladas.

2. Bloquee la comunicación del protocolo de administración remota hacia y desde las máquinas monitoreadas.

3. Alerta sobre cualquier comunicación de protocolo de gestión remota con máquinas limpias.

4. Bloquee todas las comunicaciones entre los grupos de etiquetas.

En conclusión, las infracciones son inevitables y debe estar preparado. Si aún confía en los firewalls heredados o en la defensa solo perimetral, no puede evitar que el ransomware se propague por su red y bloquee las aplicaciones y la infraestructura críticas.