Un ataque de ransomware golpeó un importante oleoducto de EE. UU. el fin de semana pasado, lo que provocó el cierre de las operaciones durante los últimos tres días. Colonial Pipeline permanecerá cerrado por un tiempo desconocido, ya que la organización está ‘desarrollando un plan de reinicio del sistema’ en tiempo real. Infraestructura crítica y piezas de la cadena de suministro (que ya eran frágiles debido a la pandemia) siguen siendo derribados por ataques de ransomware, ya sea de forma intencionada o inadvertida. Esto tiene una serie de efectos posteriores en la cadena de suministro, que hacen que los tiempos de recuperación crezcan aún más a medida que las muchas empresas en las que confían estos proveedores también intentan recuperarse.
El ransomware se trata, en última instancia, de la interrupción del negocio
Este ataque se produce inmediatamente después de un año paralizante de ataques de ransomware en todo el mundo, especialmente aquellos dirigidos a organizaciones de atención médica. El nombre del juego: interrupción del negocio. Los proveedores de infraestructura crítica están siendo el objetivo de los actores de ransomware porque, cuando se ven afectados por el ransomware, deben elegir entre la suspensión indefinida de los procesos comerciales críticos o pagar el rescate. Cerrar un recurso crucial por un período de tiempo indeterminado simplemente no es una opción sostenible para una empresa, y arrincona a los proveedores afectados donde su única opción es pagar.
La política federal finalmente está sobre la mesa
El oleoducto operado por Colonial Pipeline entrega alrededor del 45% del combustible consumido en la costa este, lo que lo convierte en un proveedor masivo para los Estados Unidos. Esto ha elevado el ataque a una amenaza potencial para la seguridad nacional, con el gobierno de EE. UU. emitiendo un estado de emergencia durante la duración del cierre. Esto demuestra las continuas líneas borrosas entre el sector público y el privado cuando se trata del impacto de un ataque cibernético en los estados nacionales.
La administración de Biden ha hecho de la protección de las defensas federales de seguridad cibernética una prioridad máxima y planeó aprobar una legislación incluso antes de que ocurriera este ataque. A medida que estos ataques se vuelven más frecuentes, existe cierto nivel de expectativa de que eventualmente esta legislación pueda filtrarse en el sector privado, especialmente en sectores críticos como el financiero, farmacéutico, energético y más, que podrían requerir un cierto nivel de madurez en seguridad de la información (como la Certificación del Modelo de Madurez Cibernética del Departamento de Defensa de los Estados Unidos, CMMC, que se requiere para cualquier contratista que utilicen actualmente).
¿Qué puedes hacer al respecto ahora mismo?
Los ciberdelincuentes siguen la navaja de Occam; están buscando la forma más fácil de ganar dinero. Incluso los atacantes en este incidente específico declararon públicamente, «nuestro objetivo es ganar dinero».
Entonces, ¿qué deben hacer los profesionales de la seguridad en este momento para reducir su riesgo frente a futuros ataques de ransomware? Corre más rápido que el chico a tu lado.
Hablando a Los valiosos consejos de Chris Krebs a partir de esta mañana, los profesionales de la seguridad de todas las organizaciones deben implementar estas ventajas rápidas ahora mismo para limitar el impacto de un ataque de ransomware:
-
Aplicar contraseñas seguras. No password12345 tiene ningún negocio en su ser en su organización. Cree una política de contraseñas que aplique contraseñas seguras de forma predeterminada.
-
Revisa tus copias de seguridad. Asegúrese de tener copias de seguridad que funcionen sin las cuales su organización no podría vivir. Pruebe si sus copias de seguridad incluyen lo que le interesa y compruebe si se restauran correctamente. Las copias de seguridad son su última línea de defensa y son fundamentales.
-
Implemente la autenticación multifactor (MFA) que es fácil de usar y está en todas partes. Esto debería enfrentar los puntos de entrada a su infraestructura, ya sea una combinación de su proveedor de identidad (Azure AD, ADFS, Okta, Ping, etc.) y su VPN (Pulse Secure, Cisco AnyConnect, etc.). MFA evita el problema de los inicios de sesión/credenciales robados que se usan fácilmente para desviar datos e infectar su organización.
-
Asegure las cuentas privilegiadas de inmediato. En la mayoría de estos ataques, seguimos viendo que las cuentas de administrador de dominio u otros tipos de cuentas privilegiadas están en casi todos los puntos finales o tienen permiso para aplicaciones críticas, lo que brinda a los atacantes una forma fácil de moverse lateralmente. Haga un inventario de esos tipos de cuentas y elimínelas cuando sea posible. Otorgue a los empleados derechos administrativos locales solo cuando sea necesario, nunca debe ser por defecto.
-
Actualice y pruebe su plan de respuesta a incidentes. Su plan de respuesta debe incluir cuándo inevitablemente se infecta con ransomware y cuál es el plan que incluye tanto a sus departamentos de tecnología como comerciales. También debe incluir a quién contactará para obtener ayuda cuando sea inevitablemente golpeado, que podría ser su MSSP u otra organización de respuesta a incidentes que tenga en retención.
-
Asegúrese de que sus políticas de seguridad y protección de puntos finales en sus puntos finales estén actualizadas, se apliquen y la protección esté activada y funcionando. A menudo vemos organizaciones que tienen cosas como la protección en tiempo real deshabilitada, la última vez que actualizaron sus definiciones de antivirus fue hace semanas, o tienen la protección en la nube activada, pero no funciona porque no puede conectarse a Internet. . Hable con su proveedor de protección de endpoints y pregúntele sobre las comprobaciones de estado adecuadas para asegurarse de que estos productos estén instalados, encendidos y funcionando como se espera.
-
Asegúrese de que sus dispositivos estén siendo parcheados regularmente. Priorice los activos críticos, como los dispositivos externos, como los concentradores de VPN o los servidores que se encuentran en una DMZ. En última instancia, su organización debería reducir el tiempo que lleva parchear el software y los sistemas operativos, ya que los ciclos de parches mensuales no abordan la rapidez con la que se mueven los atacantes y la naturaleza remota del trabajo.
-
Bloquee tipos de archivos adjuntos poco comunes en sus puertas de enlace de correo electrónico. Sus empleados no deberían recibir archivos adjuntos que terminen en .exe, .scr, .ps1, .vbs, etc. De hecho, Microsoft bloquea varios de estos de manera predeterminada en Outlook, pero debe revisar su solución de seguridad de correo electrónico y asegurarse de que Sólo están permitidos por excepción.
A más largo plazo, sabemos que la forma en que hemos estado haciendo las cosas no está funcionando. Concéntrese en pasar de una arquitectura de seguridad basada en el perímetro a una basada en Zero Trust para limitar de manera efectiva el movimiento lateral y contener el radio de explosión de una multitud de tipos de ataques (phishing, malware, cadena de suministro, etc.).
Esta publicación fue escrita por los analistas Allie Mellen y Steve Turner, y apareció originalmente aquí.