Rick Vanover

Opinión

La regla 3,2,1 para la protección de la empresa contra el ransomware

Guardar

Rick Vanover
Rick Vanover

La guerra contra el ransomware es real. En los últimos años este tipo de ataque se ha convertido en una auténtica amenaza para las empresas. Hemos visto grandes ataques que han dejado a empresas multinacionales, incluso a gobiernos, vulnerables e incapaces de seguir adelante con las operaciones cruciales para el cumplimiento de sus objetivos. En 2017, WannaCry paralizó a los departamentos TI de hospitales en toda Europa con más de 200.000 ordenadores afectados, lo que demuestra el potencial destructivo del ransomware.

Aunque WannaCry y Petya son todavía los ataques de ransomware más notorios, esta forma de ciberataque sigue en aumento, según el informe de 2019 sobre la evaluación de la amenaza de la delincuencia organizada en Internet (IOCTA) de Europol. Las empresas tienen que reconocer esta amenaza y dar los pasos necesarios para prepararse, defenderse y estar listas en caso de que tengan que reparar los daños.

Este es un paso clave para evitar una respuesta no planificada y, probablemente, ineficaz más adelante si se produce un ataque de ransomware. Una defensa fuerte y con diversos niveles para hacer frente al ransomware está compuesta por tres elementos fundamentales: formación, implantación y recuperación. Es más, contar con un enfoque de backup y restauración de datos ultraresiliente es vital para proteger la continuidad de las operaciones en el caso de que se produzca un incidente.

Formar a la empresa

Hay dos tipos principales de público objetivo para laformación: El personal TI y los usuarios corporativos. Es importante dirigirsea los dos grupos porque las amenazas pueden entrar por cualquiera de ellos.

Los principales puntos de entrada del ransomware en las empresas son a través del protocolo RDP (Remote Desktop Protocol) u otros mecanismos de acceso remoto, el uso de correos fraudulentos para robar contraseñas y las actualizaciones de software. Dicho de forma sencilla, en la mayoría de los casos, no obligamos a los delincuentes que se dedican a los ciberataques a que se esfuercen tanto como deberían, si tenemos en cuenta el premio al que aspiran. Saber que estos son los tres principales mecanismos de acceso es de gran ayuda a la hora de delimitar dónde es necesario invertir más esfuerzo para ser resiliente desde el punto de vista del vector de ataque.

La mayoría de los administradores TI utiliza RDP en sutrabajo diario, con múltiples servidores RDP conectados directamente aInternet. La realidad es que no debemos seguir con el protocolo RDP conectado aInternet. Los administradores TI pueden ser creativos con direcciones IP especiales,redirigiendo los puertos RDP, con contraseñas complejas y mucho más, pero lascifras no mienten y más de la mitad de los ataques de ransomware entran por elRDP. Esto nos avisa de que exponer a los servidores RDP a Internet no escompatible con una estrategia previsora de resiliencia ante el ransomware.

El otro modo frecuente de entrada es a través de correosfraudulentos tipo phishing. Todos hemos recibido correos electrónicos que noshan dado mala espina. En esos casos, lo que se debe hacer es borrar ese correo.No obstante, no todos los usuarios lo gestionan del mismo modo. Existenherramientas populares que ayudan a evaluar el riesgo de phishing que planteaese correo para la empresa como Gophish y KnowBe4. Si las combinamos conformación que ayude a los empleados a identificar los correos fraudulentos yenlaces tipo phishing, las herramientas de autoevaluación pueden ser un modoeficaz de contar con una primera línea de defensa.

El tercer punto a tener en cuenta es el riesgo de que seaprovechen de las vulnerabilidades. Mantener los sistemas actualizados es unaresponsabilidad TI que no es algo precisamente nuevo, pero que es ahora másimportante que nunca. A pesar de que no se trata de una tarea llena de encanto,puede parecer una buena inversión para prevenir que un ataque de ransomwareaproveche una vulnerabilidad conocida y con parche de seguridad. No debemosolvidar que es necesario actualizar las categorías críticas de los activos TIcomo los sistemas operativos, las aplicaciones, las bases de datos y elfirmware de los dispositivos. Una serie de cepas de ransomware, incluyendo elWannaCry y Petya, se han basado en vulnerabilidades descubiertas previamenteque se han corregido desde entonces.

Implantar y reparar

Incluso las empresas que cumplen con las mejores prácticaspara evitar quedar expuestas al ransomware corren peligro. Aunque la formaciónes un paso crucial, las empresas deben prepararse por si pasase lo peor. Si hayun mensaje claro para los líderes empresariales y de los departamentos TI esque hay que tener algún tipo de almacenamiento de backup ultraresiliente.

En Veeam abogamos por la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1 recomienda que haya al menos tres copias de los datos importantes en dos tipos diferentes de medios y al menos una de esas copias desde estar off-site. Lo mejor de esta regla es que no exige un tipo concreto de hardware y es suficientemente versátil como para hacer frente a casi todo caso de fallo.

La copia ‘uno’ de la estrategia 3-2-1 tiene que serultraresiliente. Y con esto, lo que quiero decir es que debe ser una copia dedatos inmutable, offline y en sistemas separados físicamente de la red("air-gapped"). Existen diferentes formas de medios en los quepodemos almacenar esta copia de datos de un modo ultraresiliente. Estos mediosincluyen las cintas, los backups inmutables en almacenamiento de objetos S3 ocompatible con S3, medios offline y sistemas separados físicamente de la red osoftware como servicio para el backup y la recuperación en caso de desastre(DR).

A pesar de las técnicas de formación e implantación mencionadas, las empresas deben estar igualmente preparadas para reparar los datos que pueda provocar una amenaza. En Veeam, nuestro enfoque es sencillo. No pagar el rescate. La única opción es restaurar los datos. Además, las empresas tienen que planificar su respuesta cuando se descubre una amenaza. Lo primero es ponerse en contacto con el soporte técnico.

Los clientes de Veeam tienen acceso a un equipo especial con operaciones específicas que les guiarán durante todo el proceso de restauración de datos en caso de ataque por ransomware. No debemos poner los backups en riesgo puesto que son fundamentales para la recuperación.

En cualquier tipo de desastre, la comunicación se convierteen uno de los primeros retos a superar. Conviene tener un plan sobre cómocontactar con las personas correctas fuera de banda. Para eso se necesitanlistas de mensajes de texto en grupo, números de teléfono y otros mecanismosque se suelen usar para unificar las comunicaciones en un equipo amplio. Enesta lista de contactos también debemos incluir a expertos, internos yexternos, en seguridad, respuesta en caso de incidentes y gestión de identidad.

También hay que hablar y debatir sobre quién va a tener la autoridad para tomar decisiones. Las empresas deben elegir antes de que se produzca un incidente a la persona responsable de decidir si se restauran o migran los datos. Una vez que se ha tomado la decisión de restaurar los datos, las empresas deben implantar comprobaciones de seguridad adicionales antes de volver a poner los sistemas online.

También hay que decidir si la mejor opción es recuperar toda una máquina virtual (VM) o si tiene más sentido una recuperación a nivel de archivos. Finalmente, el propio proceso de restauración debe ser seguro, ejecutando un escáner completo antivirus y antimalware en todos los sistemas además de obligando a los usuarios a cambiar las contraseñas tras la recuperación.       

Aunque la amenaza del ransomware es real, con la preparación adecuada las empresas pueden incrementar su resiliencia ante estos ataques y así minimizar el riesgo de pérdida económica, pérdida de datos y el daño a la reputación de marca. La clave es un enfoque a múltiples niveles. Formar a los equipos TI y al personal minimiza los riesgos y maximiza la prevención.

No obstante, es necesario implantar soluciones para garantizar que los datos están seguros y que se lleva a cabo el backup. Por último, conviene estar preparados para reparar los sistemas de datos mediante un backup completo y funciones de recuperación en caso de desastre si no bastasen las medidas de protección antes expuestas.

  • Rick Vanover es director sénior de estrategia de producto en Veeam