Ransomware: ¿Estado actual o ya demasiado tarde?

Patrik Honegger ha trabajado en el sector de TI desde la década de 1990 y se ha especializado en el campo de la seguridad de TI desde el año 2000. Se unió a Check Point en 2001. Desde que se unió a Check Point, ha estado involucrado con toda la gama de soluciones de la compañía y los sectores de los clientes y mantiene un profundo conocimiento tecnológico de los productos y las necesidades de los clientes. Patrik ha desempeñado con éxito funciones como Ingeniero de Seguridad, Consultor Principal y Jefe de Ingeniería de Seguridad y Sistemas para Alps. Se desempeña como Gerente de Defensa del Cliente para Europa Central, Miembro de la Oficina del CTO y posee varias certificaciones técnicas.

En esta entrevista, Patrik Honegger, Gerente de Defensa del Cliente de Check Point, profundiza en el estado del ransomware y las tendencias recientes. Descubra pasos prácticos para actualizar sus programas de prevención y defensa de ransomware para protegerse contra amenazas graves y en constante evolución. Acceda al conocimiento experto y mejore las medidas de seguridad de su organización.

En general, las empresas de seguridad evolucionan continuamente sus herramientas de prevención de ransomware para mantenerse al día con el cambiante panorama de amenazas. Como resultado, las organizaciones pueden beneficiarse de trabajar con su proveedor de seguridad de confianza para mantenerse a la vanguardia de las últimas amenazas y proteger sus sistemas de los ataques de ransomware.

¿Podría compartir un poco sobre el estado actual del ransomware?

El estado actual del ransomware es una amenaza muy seria para las personas, las empresas y las infraestructuras críticas. Es esencial tomar medidas para protegerse contra el ransomware, como las que discutiremos un poco más adelante en este artículo.

Algunas tendencias dinámicas recientes incluyen:

• Ataques de triple extorsión: Aquí es donde los atacantes no solo cifran los archivos de la víctima, sino que también amenazan con liberar información confidencial, incluidos datos confidenciales que podrían afectar negativamente a terceros, a menos que se pague el rescate. Esta táctica ha sido particularmente efectiva para dirigirse a empresas y organizaciones con datos valiosos o confidenciales.
• Ransomware como servicio (RaaS): Aquí es donde los atacantes alquilan sus herramientas de ransomware a otros ciberdelincuentes, que luego las utilizan para lanzar ataques. Esto ha reducido la barrera de entrada para los ataques de ransomware, lo que facilita la participación de piratas informáticos menos experimentados.
• Ataques dirigidos: Los atacantes se dirigen cada vez más a organizaciones o industrias específicas con ataques bien planificados y ejecutados que utilizan múltiples técnicas que pueden eludir las defensas existentes.

Solo por nombrar algunos.

¿Cómo pueden las organizaciones obtener más seguridad de las herramientas que ya tienen, en todo caso?

El mejor enfoque será optimizar e integrar aún más las herramientas de seguridad existentes en una estrategia de seguridad integral. Deben centrarse en consolidar los esfuerzos de seguridad para protegerse mejor contra los ataques de ransomware.

• Asegúrese de que sus herramientas de seguridad existentes se utilicen a su máximo potencial siguiendo las mejores prácticas y pautas proporcionadas por su proveedor de confianza.
• Integre sus herramientas de seguridad existentes y automatice sus funciones para reducir la intervención manual y mejorar la eficiencia general.
• Muchas herramientas de seguridad ofrecen API que se pueden utilizar para automatizar y organizar flujos de trabajo de seguridad en diferentes productos. Mediante el uso de API, puede integrar las herramientas de seguridad existentes con otras herramientas de seguridad o, mejor aún, alimentar su sistema SIEM existente.
• Realice evaluaciones periódicas de sus productos de seguridad existentes para asegurarse de que satisfacen las necesidades de seguridad de su organización. Identifique cualquier brecha o ineficiencia que deba abordarse. Verifique si el aspecto de prevención está completamente cubierto o si aún depende solo de la detección. Centrarse en las tecnologías de prevención.
• Considere trabajar con un proveedor de servicios de seguridad administrada para optimizar y administrar sus herramientas de seguridad existentes. Un MSSP puede proporcionar orientación y apoyo de expertos, garantizar que las herramientas se utilicen en todo su potencial y ayudar a identificar y abordar cualquier brecha de seguridad en tiempo real.
• Proporcione capacitación en servicios profesionales a sus equipos de seguridad para asegurarse de que estén familiarizados con sus herramientas existentes, versiones actualizadas y sepan cómo usarlas de manera efectiva.

¿Por dónde deberían empezar los CISO en la actualización de los programas de prevención y defensa del ransomware?

Como CISO, inicialmente podría comenzar a actualizar sus programas de prevención y defensa de ransomware al:

• Realizar una evaluación de riesgos detallada: Esto le ayudará a identificar los activos que son más críticos para su organización y el impacto potencial de un ataque de ransomware en esos activos. Esto le ayudará a priorizar sus esfuerzos y asignar recursos de manera efectiva.
• Asegúrese de que su organización tenga una estrategia de copia de seguridad sólida que incluya copias de seguridad periódicas de datos críticos, copias de seguridad sin conexión y pruebas periódicas en vivo del proceso de recuperación para garantizar su efectividad y que funcione según lo esperado. Algunas organizaciones pueden separar sus credenciales de usuario administrador en un dominio diferente para asegurarse de que, si la organización principal se ve comprometida, las copias de seguridad sigan intactas.
• Desarrolle e implemente un programa de capacitación sobre conciencia de seguridad: Eduque a sus empleados sobre la importancia de contraseñas seguras, prácticas de navegación seguras y los peligros de los ataques de phishing. Asegúrese de que estén al tanto de las últimas amenazas de ransomware y de que entiendan cómo informar ellos mismos de actividades sospechosas.
• Implemente un enfoque de seguridad por capas: Implemente múltiples capas de controles de seguridad, como firewalls,software AV/ antimalware, sistemas de prevención de intrusiones, etc., y use la segmentación de red adecuada. Esto ayudará a mitigar el impacto de un ataque de ransomware y evitará el movimiento lateral.
• Supervisar actividades sospechosas: Implemente mecanismos de supervisión y alerta para detectar actividades sospechosas, como patrones de acceso a archivos inusuales o intentos de deshabilitar los controles de seguridad.
• Asegúrese de que sus sistemas y software estén actualizados con los parches y actualizaciones de seguridad más recientes. Los atacantes de ransomware pueden explotar las vulnerabilidades del software para obtener acceso a sus sistemas.
• Desarrolle un plan que describa los pasos a seguir en caso de un ataque de ransomware, incluido a quién contactar y cómo aislar los sistemas infectados. Asegúrese de que el plan se pruebe y actualice con regularidad. En un plan de Respuesta a Incidentes robusto, es crucial validar su efectividad y ejercerla con diferentes partes internas, como equipos de TI y seguridad, dirección ejecutiva e incluso equipos de aplicaciones, para adaptarla a la cultura empresarial de cada departamento.
• Garantice una postura de seguridad de punto final sólida, incluidos los puntos finales, los servidores y otros puntos de entrada de la organización. No solo debe centrarse en los sistemas operativos de Microsoft, sino que también es importante cubrir macOS y Linux.
• Por último, el cumplimiento es clave: Lograr el 100% de cumplimiento es complicado. Un buen método puede ser usar el acceso condicional. Si los puntos finales o los usuarios no cumplen o están en un estado de alto riesgo, entonces no hay más acceso a los activos internos (como dominio, bases de datos, centros de datos, etc.).).

En general, la prevención y la defensa del ransomware requieren un enfoque integral y de múltiples capas que involucre a las personas, los procesos y, finalmente, la tecnología. Como CISO, es esencial mantenerse informado sobre las últimas amenazas y tendencias en ataques de ransomware y tomar medidas proactivas para proteger su organización.

¿Qué están haciendo las empresas de ciberseguridad, como Check Point, para mejorar las herramientas de prevención de ransomware?

Trabajamos continuamente para mejorar nuestras herramientas de prevención para estar a la vanguardia de las últimas amenazas. Entrar en detalles extendería mucho esta entrevista, pero nos concentramos en varios ángulos como:

• Inteligencia de amenazas
• Aprendizaje automático e IA
• Análisis de comportamiento
• Respuestas automatizadas
• Seguridad en la nube
• Caza de amenazas y, por supuesto, centrarse en aspectos de investigación pura

¿Cuáles son los mayores puntos ciegos de la organización cuando se trata de ransomware?

• Falta de conciencia y capacitación de los empleados: Los empleados suelen ser el eslabón más débil en la prevención de ataques de ransomware. Muchas organizaciones no brindan capacitación adecuada a sus empleados sobre cómo detectar, prevenir o denunciar ataques de ransomware.
• Higiene deficiente de la ciberseguridad: Las organizaciones a menudo no implementan medidas básicas de seguridad cibernética, como actualizaciones periódicas de software, contraseñas seguras y autenticación multifactor, por nombrar algunas, lo que deja a sus sistemas vulnerables a los ataques de ransomware.
• Dependencia excesiva de los sistemas heredados: Muchas organizaciones continúan confiando en tecnología obsoleta y sistemas heredados que son más vulnerables a los ataques de ransomware; especialmente sin implementar las medidas de seguridad adecuadas para protegerlos.
• Sistemas inadecuados de respaldo y recuperación de datos: Las organizaciones a menudo no realizan copias de seguridad periódicas de sus datos o prueban sus sistemas de copia de seguridad y recuperación, lo que dificulta la recuperación total de un ataque de ransomware o de ningún tipo.
• Falta de realización de evaluaciones de riesgos periódicas: Es importante realizar evaluaciones de riesgos periódicas para identificar vulnerabilidades y priorizar las medidas de seguridad cibernética y estar preparado para un ataque de ransomware.
• Planes de respuesta a incidentes insuficientes: Las organizaciones a menudo no tienen un plan claro para responder a un ataque de ransomware, lo que puede resultar en una respuesta más lenta y menos efectiva.
• Falta de colaboración y comunicación: Los departamentos de una organización a menudo siguen trabajando en sus propios silos, lo que puede provocar una falta de colaboración y comunicación, lo que dificulta la prevención y respuesta efectivas a los ataques de ransomware.

La comunicación también es clave aquí. Es importante abordar estos puntos ciegos mediante la implementación de políticas integrales de ciberseguridad, la capacitación periódica de los empleados sobre las mejores prácticas de seguridad, la evaluación y actualización de las medidas de seguridad y el desarrollo de planes claros de respuesta a incidentes.

¿Qué tipo de preguntas hacen los clientes sobre el ransomware en este momento?

Las preguntas suelen variar un poco según la industria, el tamaño de la organización y su nivel de conocimientos de seguridad cibernética en general. Las preguntas que generalmente recibo incluyen:

• ¿Qué es el ransomware y cómo funciona?
• ¿Cuáles son las señales de que mi organización puede estar infectada con ransomware?
• ¿Cuáles son las cadenas de infección típicas de ransomware?
• ¿Cómo puedo prevenir y no solo detectar ataques de ransomware en tiempo real?
• ¿Cómo puedo proteger a mi organización de un ataque de ransomware?

Es crucial que las organizaciones se mantengan actualizadas sobre las últimas amenazas y tendencias de ransomware desde una perspectiva tecnológica e informativa, y que tengan un enfoque proactivo para prevenir y responder a los ataques.

¿Hay algo más que le gustaría compartir con el CyberTalk.org ¿audiencia?

Primero, muchas gracias por darme nuevamente la oportunidad de compartir mis pensamientos con ustedes. La ciberseguridad, especialmente en el campo del ransomware, es un desafío constante. Personalmente, he sido parte del viaje de prevención de ciberseguridad de Check Point durante 22 años. Si está interesado en este sector específico, le sugiero que visite la página de información especializada sobre ransomware de Check Point: https://www.checkpoint.com/ransomware-hub/

Además, como mencioné en el pasado en otros artículos, la seguridad de la información es un viaje sin fin. Su punto de partida puede estar bien definido, pero su llegada se retrasa, lo que significa que necesita reevaluar y mejorar constantemente sus medidas de seguridad, y esto es especialmente cierto cuando se trata de contramedidas de ransomware.

Para obtener más información destacada de Patrik Honegger, consulte CyberTalk.org cobertura pasada. ¿Quieres estar al día de las tendencias en tecnología? Echa un vistazo a la CyberTalk.org boletín de noticias. Regístrese hoy para recibir artículos de noticias de primer nivel, mejores prácticas y análisis de expertos; entregado directamente a su bandeja de entrada.

El puesto Ransomware: ¿Estado actual o ya demasiado tarde? apareció primero en Charla cibernética.