Proteja y asegure sus datos de los ciberataques
Protección de datos
Seguridad de los datos
Análisis de los datos
Los 5 pasos para la ciberresiliencia
Nube y SaaS
Empresas
Sectores
HOJA DE CONSEJOS
Si bien es posible que tenga un plan de recuperación ante desastres, recuperarse de ciberataques destructivos requiere un enfoque diferente. El motivo: Debe ser capaz de responder rápidamente, investigar eficazmente cómo se produjo el ataque y mitigar las amenazas para recuperarse de forma segura.
Su primer orden de negocio es establecer un equipo de resiliencia de ransomware interfuncional con todas las partes interesadas. Los incidentes de ransomware afectan a toda la organización, por lo que es fundamental que todos conozcan su función durante un ciberataque. Considere realizar un ejercicio realista de sobremesa con todas las partes interesadas, crear una política de ransomware para toda la organización (y mantenerla actualizada) y definir sus estrategias de copia de seguridad cibernética y resiliencia operativa.
Comprenda a los operadores de ransomware y sus herramientas, técnicas y procedimientos (TTP) a través de la recopilación de inteligencia en su sector o geografía. Documente y mantenga la información de contacto de todos los miembros de su equipo de respuesta, idealmente a través de un canal de comunicaciones fuera de banda. Cree un canal para informar sobre comportamientos similares a los del ransomware. Reúna un equipo de respuesta ante crisis cibernéticas y, si es necesario, retenga los servicios de una organización de respuesta ante incidentes.
Identifique y parchee las vulnerabilidades críticas de los activos. Refuerce los sistemas, priorizando los sistemas críticos y los vectores de ataque que utilizan las bandas de ransomware. Asegúrese de que las credenciales y los derechos de acceso en todos los sistemas se gestionen en las líneas de privilegios mínimos. Implemente la segmentación de la red para limitar la propagación del ransomware y aumentar la probabilidad de detectar el movimiento lateral. E identifique repositorios de datos mal protegidos que contengan datos confidenciales dentro de su organización.
Asegúrese de que los sistemas de copia de seguridad estén suficientemente aislados, tengan una separación de tareas y utilicen almacenes de datos inmutables que eviten que los adversarios los corrompan o eliminen. Utilice la autenticación multifactor (MFA) en las cuentas de administrador de copias de seguridad y el control de acceso basado en roles (RBAC). Construya y mantenga maestros de oro de sistemas críticos para acelerar la reconstrucción. Y asegúrese de que su sistema de copia de seguridad pueda admitir las funciones de ciberseguridad necesarias para responder a un incidente de ransomware.
Identifique brechas en su cobertura de control preventivo y de detección existente frente a las técnicas de ATT&CK utilizadas por las bandas de ransomware. Implemente la detección de anomalías del sistema de archivos de endpoints que correspondan a ataques de ransomware y de wiper, como el cifrado o la eliminación de archivos. Implemente filtros de gateway de correo electrónico para bloquear correos electrónicos con indicadores maliciosos conocidos. Utilice aplicaciones que permitan la inclusión en listas blancas de activos críticos para garantizar que solo se pueda ejecutar software autorizado.
Busque proactivamente utilizando datos históricos para encontrar compromisos. Implemente un mecanismo para cambios inusuales en la utilización de CPU y discos. Identifique protocolos de red inusuales, incluidos I2P o TOR, que se sabe que utilizan las bandas de ransomware. E identifique las conexiones de red mediante puertos o destinos conocidos utilizados en ransomware y wiper Command & Control.
Identifique y agrupe alertas similares relacionadas con los activos afectados. Cree una expectativa de pérdida inicial (radio de impacto) del incidente. Encuentre entornos de ensayo utilizados para la exfiltración de datos y aísle hosts infectados de redes cableadas e inalámbricas. Active la sala limpia, restaure la última copia de seguridad de los sistemas afectados y vuelva a implementar herramientas de detección/respuesta fiables en los sistemas dentro de la sala limpia. Busque pruebas de persistencia e identifique vulnerabilidades en los sistemas explotados en el ataque.
Informe a las partes interesadas internas, a la prensa para ayudar a prevenir especulaciones perjudiciales, a los interesados afectados de conformidad con las obligaciones reglamentarias y legales, y a los propios reguladores. Informe a su compañía de seguros, a las fuerzas del orden y al CERT nacional/del sector.
Para obtener más detalles sobre cada uno de estos pasos,
9100083-001-EN
