3 claves para prevenir el ransomware



Category: Sin categorizar
 

This post is also available in: Deutsch (Alemán) Nederlands (Holandés) Türkçe (Turco) Italiano (Italiano)

La estrategia más eficaz para detener un ataque de ransomware pasa por evitar que este llegue a entrar en la organización. Las empresas cada vez necesitan más aplicaciones y servicios para llevar a cabo su actividad, con lo que se amplía la superficie de ataque, que ahora abarca la red, las aplicaciones basadas en SaaS y los endpoints. Así, las medidas de protección resultan ineficaces y, conforme los autores de las amenazas mejoran sus capacidades, lanzan ataques nuevos antes de que dé tiempo a resolver las vulnerabilidades o instalar parches. En consecuencia, las organizaciones tienen que empezar a pensar en su plataforma de seguridad de forma integral.

 

PREVENIR EN LUGAR DE DETECTAR

Los antiguos sistemas de ciberseguridad se centraban principalmente en la detección y corrección, pero este enfoque ya no es eficaz. Para evitar un ataque de ransomware, es imprescindible pasar de la detección a la prevención, es decir, detenerlo antes de que infecte y perjudique a la organización. Para hacer realidad este cambio de enfoque, las organizaciones necesitan contar con la arquitectura de seguridad adecuada, que presenta tres elementos clave:

  1. Reducción de la superficie de ataque
  2. Prevención frente a las amenazas conocidas
  3. Detección de las amenazas desconocidas para neutralizarlas

 

  1. Reducción de la superficie de ataque

Para reducir la superficie de ataque, hay que tener plena visibilidad del tráfico de la red, las aplicaciones, las amenazas y el comportamiento de los usuarios. Si no sabe lo que ocurre en su red, es probable que el atacante sí lo sepa y aproveche esa información para infiltrarse. Al clasificar la actividad, podrá tomar las decisiones oportunas sobre lo que se debería permitir y descubrirá eventos desconocidos sobre los que habrá que investigar. Esta visibilidad permite tomar medidas, como bloquear el tráfico desconocido, identificar los ataques avanzados o simplemente habilitar el acceso únicamente a las aplicaciones que tengan un fin empresarial válido.

Una vez delimitado el tráfico, hay que aplicar políticas basadas en los usuarios y en las aplicaciones. Dichas políticas se pueden combinar de infinitas formas, para limitar según convenga el acceso a ciertas aplicaciones y ciertos componentes de la red por parte de ciertos grupos de usuarios. Si se dispone de una buena visibilidad y se aplican las políticas correctas, muchos de los métodos que se utilizan para lanzar ataques de malware resultarán infructuosos.

Para reducir aún más la superficie de ataque, hay que bloquear todos los tipos de archivo peligrosos o potencialmente peligrosos. Aunque no todos los tipos de archivo son maliciosos, conviene bloquear los que tienen una mayor probabilidad de serlo. Una vez bloqueados, hay que aplicar políticas acordes con la tolerancia a los riesgos de la empresa e impedir que los usuarios se conecten a los recursos críticos de la red con endpoints que no cumplan las políticas.

 

  1. Prevención frente a las amenazas conocidas

Después de reducir la superficie de ataque, el siguiente paso consiste en tomar medidas de prevención frente a las amenazas conocidas. Es decir, hay que impedir que accedan a la red los exploits, el malware y el tráfico de comando y control que se conozcan. De este modo, los ataques resultan más costosos y, en consecuencia, se reduce su probabilidad, pues se obliga a los atacantes a crear nuevos tipos de malware y lanzar nuevos exploits contra vulnerabilidades menos conocidas.

Asimismo, para evitar que los usuarios descarguen de forma involuntaria una carga maliciosa o que les roben las credenciales, hay que impedirles el acceso a las URL maliciosas y de phishing conocidas. Al bloquear las amenazas mencionadas, estas desaparecen de la ecuación. A continuación, es preciso buscar el malware conocido en las aplicaciones basadas en SaaS, que cada vez con más frecuencia son blanco de ataques, y bloquear el malware y los exploits que se detecten, tanto en dichas aplicaciones como en los endpoints.

 

  1. Detección de las amenazas desconocidas para neutralizarlas

Una vez bloqueadas las amenazas conocidas, es imprescindible detectar y bloquear también las desconocidas, pues los atacantes no dejan de implementar exploits de día cero ni de crear nuevos tipos de ransomware. El primer paso es detectar y analizar las amenazas desconocidas contenidas en archivos y URL. Conforme se envíen nuevos archivos, es fundamental detonar, analizar y buscar comportamiento malicioso en lo que no se haya visto nunca hasta entonces. Además, hay que implantar automáticamente medidas de protección en distintas partes de la infraestructura de seguridad con la mayor rapidez posible para evitar que las amenazas consigan sus objetivos. Es importante tener en cuenta el contexto para conocer mejor a los atacantes, el malware, la campaña de ataque y los indicadores de compromiso. Una vez que haya detectado y bloqueado las amenazas desconocidas o el comportamiento sospechoso, bloquee el malware y los exploits desconocidos en el endpoint para garantizar la seguridad en todos los puntos de acceso.

El objetivo final de este proceso es convertir lo desconocido en conocido y mejorar la seguridad de todo el ciclo de vida de los ataques con nuevas medidas de protección, que se deberán implantar en menos tiempo del que necesitan los atacantes para crear nuevos exploits y ataques de malware.

Got something to say?

Get updates: Unit 42

Sign up to receive the latest news, cyber threat intelligence and research from Unit42

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.


© 2018 Palo Alto Networks, Inc. All rights reserved.