El miedo de la población y el caos alimentan las amenazas en la red. Recientemente, están surgiendo algunos riesgos para la seguridad, tales como la parálisis del sistema, la pérdida de datos o interrupciones del negocio causadas por ataques de phishing y malware.
En opinión de Rick Vanover, director senior de estrategia de producto de Veeam Software, hay que ser conscientes, en primer lugar, de la gran variedad de amenazas que se dan hoy en día. Desde su experiencia, Rick explica en esta entrevista cómo pueden protegerse las empresas, y sus equipos, ahora que han tenido que optar por el teletrabajo, así como las medidas más recomendables para hacer frente al virus blackmail.
¿Existe una regla concreta a seguir cuando se producen casos de ransomware a gran escala?
Hoy nos encontramos con una increíble fragmentación de los tipos de amenazas existentes. Las amenazas pueden darse de distintas maneras, comportarse y hasta complicarse de forma diferente. Un ejemplo es que ahora algunas de las amenazas de ransomware suben datos en lugar de cifrarlos. Lo que significa que se pide el rescate (“ransom”) para evitar que se produzca una filtración pública de datos potencialmente confidenciales. Estos comportamientos y encubrimientos hacen que sea muy complicado ofrecer una protección coherente ante este panorama de amenazas. La norma a seguir es la de tener mayor conciencia de lo que está sucediendo en el entorno de TI, mediante monitorización y el uso de analíticas, para así poder identificar cuál es el comportamiento normal de la infraestructura TI.
La mayoría del software de ransomware usa los datos parachantajear. ¿Qué medidas de precaución en la gestión de datos habría queimplantar las empresas?
Soy consciente de esta amenaza. He aconsejado a las empresasque usen más el cifrado de datos para estar mejor protegidas contra este tipode ataques. Por ejemplo, pensemos en los datos de backup. Imaginemos el riesgoque corremos de ser víctimas de un chantaje, si consiguen acceder a todo elbackup de la empresa.
Recomiendo a nuestros clientes que implanten un cifrado de datos más “nearline”. Es decir, que cifren los backups en cada uno de los pasos del proceso, incluyendo el primer recurso en disco on-premises. Tradicionalmente, se considera que cifrar los backups es una buena idea, si las cintas salen de las instalaciones TI o si se trasmiten los datos por internet; pero ahora con estas amenazas la necesidad de cifrar los datos es también para los que se quedan dentro de las propias instalaciones TI.
¿Qué medidas deben tomar las empresas para recuperar losdatos una vez que son víctimas de este tipo de virus?
Lo ideal es que la implantación de resiliencia sea capaz de prevenir esta situación y con esto quiero ir más allá de la recomendación anterior sobre el cifrado. Tenemos que pararnos a pensar en aquello que ha permitido ese comportamiento: ¿cómo ha logrado entrar la amenaza? ¿Cómo se filtraron los datos? ¿Había algún tipo de sistema de monitorización y análisis para identificar la amenaza? Recomiendo que se utilice más el cifrado en toda la empresa,puesto que los backups y datos que ya están cifrados no se pueden aprovecharfuera del entorno de gestión en el que se utilizan.
“La comunidad de seguridad TI recomienda no pagar rescates, pero una de las mejores maneras de actuar es trabajar con un equipo especializado”
Algunas empresas compran herramientas de descifrado alponerse en contacto con los hackers a través de terceras personas para asípagar el rescate. ¿Qué pueden hacer si no quieren ceder ante el chantaje de losdelincuentes?
En general la comunidad de seguridad TI recomienda de manera coherente no pagar nunca el rescate. Una de las mejores maneras de actuar es trabajar con un equipo especializado en este tipo de ataques. Existen empresas de seguridad TI que se dedican al análisis de lo sucedido y que pueden hacer las recomendaciones necesarias para evitar que algo así vuelva a suceder.
Sobre todo, los responsables de la toma de decisiones TItienen que plantearse la siguiente pregunta: ¿quieren llegar a estar en estasituación? No, por lo tanto, deben actuar ahora. Tienen que implantaralmacenamiento de backup ultra resiliente, medidas generales de seguridad másestrictas en toda la empresa, asegurar las partes fundamentales de lainfraestructura para el negocio y mucho más.
¿La única forma de proteger la seguridad de los datos escontar con la solución del backup, junto con una estrategia en cloud?
En función de mi experiencia profesional en Veeam, aconsejoa los clientes que implanten de manera concreta lo que yo defino comoalmacenamiento de backup ultra resiliente. Es el modo más eficaz de disponer dealmacenamiento resiliente ante la amenaza del ransomware. A las empresas lesrecomiendo cuatro opciones para tener almacenamiento de backup ultra resiliente:
- Cinta: Aunque no lo parezcan, las cintas offline son unmedio de backup muy eficaz y físicamente aislado de la red("air-gappped"). Además, es imposible mejorar el coste de adquisicióny portabilidad que ofrecen.
- Unidades extraíbles: Del mismo modo que pasa con lascintas, cuentan con el elemento offline, dado que no están online exceptocuando las están leyendo o cuando se escribe en ellas.
- Backups inmutables en cloud: Veeam es compatible con elmodo de cumplimiento para bloqueo de objetos del servicio de almacenamiento deAWS S3. Lo que supone que los datos de backup almacenados en cloud *no* puedenser borrados por ransomware, administradores maliciosos ni tampoco por error.
- Desde hace años, Veeam da soporte a una capacidad quecuenta con una copia de los datos del backup en segundo plano, fuera de banda,para los clientes. Es un proveedor de servicios el que proporciona esta funcióny protege contra el ransomware, las amenazas internas y los errores que puedenborrar datos de manera accidental.
“La batalla contra el ransomware es una batalla constante en la que ganas y pierdes terreno todo el tiempo”
¿Qué sectores han sufrido más este tipo de ataques? ¿Cuáles su nivel de concienciación respecto a la seguridad?
Los que dirigen estas amenazas no tienen alma. No existe portanto discriminación o preferencia alguna con relación a un sector u otro. Conesto quiero decir que todos nos enfrentamos a esta amenaza.
El ransomware está cambiando al ritmo que aparecen nuevasopciones de software de protección. ¿Cómo podemos mejorar el nivel de seguridadde Internet?
Esta es una batalla constante en la que ganas y pierdes terreno todo el tiempo. Todos debemos mejorar de manera continua la resiliencia de nuestra infraestructura TI. Tenemos que evaluar constantemente los riesgos y oportunidades para ser resilientes al implantar tecnología.
En Veeam trabajo todo el tiempo para mejorar lasrecomendaciones técnicas basándome en el panorama de amenazas. Recomiendo a losdepartamentos TI de las empresas que hagan lo mismo.