- La seguridad de DNS sigue siendo la primera línea de defensa, ya que el ransomware y la mayoría del malware utilizan DNS en una o más etapas de la cadena de eliminación cibernética.
Infoblox comparte las mejores prácticas para ayudar a las empresas a protegerse contra los ataques de ransomware. Los ataques de ransomware se han intensificado y se ha convertido en una de las amenazas más dañinas en la actualidad. Los ataques de ransomware están siendo llevados a cabo con mayor frecuencia por los estados-nación y el crimen organizado y causando millones de dólares en daños a la reputación, gastos de recuperación, pagos de rescate extorsionados, pérdida de ingresos, incapacidad para usar infraestructura crítica y mucho más. Se están utilizando nuevas estrategias como el ransomware como servicio para llevar la capacidad de ataque de los ciberdelincuentes al siguiente nivel.
Dada la creciente ola de ataques de ransomware y la amenaza de una creciente inversión por parte de los actores de amenazas en plataformas de ransomware como servicio, las organizaciones están cada vez más preocupadas por proteger sus activos de TI mediante la adopción e implementación de las mejores prácticas en la gestión de la ciberseguridad a escala organizacional. Infoblox, en la base de su experiencia en ayudar a las empresas a proteger sus servicios de TI centrales y orquestar su postura de ciberseguridad, recomienda:
· Realice copias de seguridad de los datos, las imágenes del sistema y las configuraciones, pruebe regularmente y mantenga las copias de seguridad sin conexión. Asegúrese de que las copias de seguridad se prueben regularmente y que no estén conectadas a la red empresarial, ya que muchas variantes de ransomware intentan encontrar y cifrar o eliminar copias de seguridad accesibles. Mantener las copias de seguridad actuales fuera de línea es fundamental porque si los datos de red se cifran con ransomware, los sistemas no podrán restaurarse.
· Actualizar y parchear los sistemas con prontitud: Esto incluye mantener la seguridad de los sistemas operativos, las aplicaciones y el firmware, de manera oportuna. La orquestación es un punto clave. Es muy recomendable utilizar un sistema centralizado de administración de parches; use una estrategia de evaluación basada en el riesgo para impulsar su programa de administración de parches.
· Aproveche el DNS como primera línea de defensa. La seguridad DNS también debe ser una parte crítica de la defensa contra el ransomware de cualquier organización. El ransomware y la mayoría del malware utilizan DNS en una o más etapas de la cadena de muerte cibernética. DNS se puede utilizar durante la fase de reconocimiento cuando se trata de un ataque dirigido. DNS también se utiliza en la fase de entrega, ya que las víctimas potenciales, sin saberlo, realizan consultas DNS para las direcciones IP involucradas en el ataque. DNS también se utilizará en el proceso de entrega de correo electrónico cuando el ransomware se propague a través de campañas de spam. La fase de explotación puede implicar consultas DNS cuando el sistema de la víctima está comprometido e infectado. DNS también se usa con frecuencia cuando un sistema infectado se registra con la infraestructura de comando y control (C&C). El uso de inteligencia y análisis de amenazas en su DNS interno puede detectar y bloquear dicha actividad nefasta antes de que el ransomware se propague o descargue el software de cifrado.
· Segmentación de la red: Ha habido un cambio reciente en los ataques de ransomware, desde el robo de datos hasta la interrupción de las operaciones. Es de vital importancia que las funciones comerciales corporativas y las operaciones de fabricación / producción estén separadas y que filtre y limite cuidadosamente el acceso a Internet a las redes operativas, identifique los enlaces entre estas redes y desarrolle soluciones alternativas o controles manuales para garantizar que las redes ICS puedan aislarse y continuar operando si su red corporativa se ve comprometida. Pruebe regularmente los planes de contingencia, como los controles manuales, para que las funciones críticas para la seguridad se puedan mantener durante un incidente cibernético.
· Plan de respuesta a incidentes de la organización de pruebas: No hay nada que muestre las brechas en los planes más que probarlos. Revise algunas preguntas básicas y utilícelas para crear un plan de respuesta a incidentes: ¿Puede mantener las operaciones comerciales sin acceso a ciertos sistemas? ¿Por cuánto tiempo? ¿Apagaría sus operaciones de fabricación si los sistemas comerciales, como la facturación, estuvieran fuera de línea?
· Verifique el trabajo de su equipo de seguridad: Use un probador de plumas de 3ª parte para probar la seguridad de sus sistemas y su capacidad para defenderse contra un ataque sofisticado. Muchos delincuentes de ransomware son agresivos y sofisticados y encontrarán el equivalente a las puertas desbloqueadas.
Las organizaciones tienen la responsabilidad de protegerse y mantener seguros sus recursos organizacionales, empleados y socios. Depende de nosotros construir una postura de seguridad sólida, a través de la orquestación y el uso de la inteligencia de seguridad, pero también mediante la adopción de una serie de mejores prácticas que involucren a toda la organización. En el camino para lograr eso, no se pierda el papel crítico que una administración segura de DNS tiene en el proceso», señaló Ivan Sánchez, Director de Ventas de Latinoamérica de Infoblox.
Redacción Excélsior 