santiago silver - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

La protección contra ransomware es fútil, pero no toda esperanza está perdida

Es solo cuestión de tiempo antes de que un hacker se infiltre a su sistema y retenga como rehenes a sus archivos. Pero hay formas de amortiguar un asalto de ransomware a Windows.

Como si mantenerse al día con los parches y los dolores de cabeza del día a día de la gestión de los sistemas Windows no fuera suficiente desafío, llega Cryptolocker, Locker y una serie de otras variantes que han empujado la protección contra ransomware a la parte superior de la lista de prioridades para muchos administradores de sistemas.

Hace algunos años, los laboriosos hackers descubrieron que podían ganar decentemente mediante la infiltración de sistemas a través de diversas lagunas y encriptar cualquier cosa a su alcance. Con sus archivos tomados como rehenes, la mayoría de las víctimas eran obligadas a entregar una cierta cantidad de bitcoins a los atacantes, o perder sus datos de forma permanente.

Tener un sistema de respaldo hermético –y tal vez uno aislado de la red– es crucial. ¿Cuáles son algunas otras maneras en que los administradores pueden prevenir que estos invasores se arrastren a través de su red y causen estragos? Le preguntamos a los miembros de la junta consultiva de SearchWindowsServer por su consejo sobre las formas para fortalecer los sistemas Windows y poner bloqueos para hacer menos peligrosos los ataques de ransomware.

TREVOR POTT

El ransomware es una pandemia absoluta. Los actores de amenazas están aumentando la complejidad y la tortuosidad de su malware cada día que pasa, y los proveedores de antimalware están esencialmente esperando parados.

En el caso del ransomware para Windows, la clave para derrotarlo es aceptar que no puede hacerlo. Eventualmente, alguien se infectará. En la plenitud del tiempo, una gran cantidad de personas se infectarán.

¿Su opción? Haga lo que cualquier comandante de un castillo sitiado hace cuando saben que la batalla está perdida: dividir la población en grupos pequeños y evacuarlos al amparo de la oscuridad, mientras se hostiga a los atacantes el tiempo suficiente para escapar. Reconstruya, reabastézcase y ponga en marcha un movimiento de resistencia.

Comience por ponerse en el contexto del virus. Si el virus infecta la computadora de un usuario, ¿en qué contexto se puede ejecutar? La cuenta de dominio del usuario, la cuenta del administrador local, la cuenta del sistema y la cuenta de la red.

El último –la cuenta de red– es particularmente malo. Cuando algo no funciona con una aplicación de Windows, Windows Server e incluso el cliente de Windows, la solución es a menudo "vamos a darle superpoderes a la cuenta de red". Si el ransomware se da cuenta de cómo ejecutarse en el contexto de la cuenta de red, puede hacer mucho daño rápidamente.

Usted no es inmune a PEBCAK. Si se trata de su computadora que es pwned, ¿cómo quién está usted conectado? ¿Está utilizando una cuenta con privilegios elevados? ¿Le ha, en cualquier punto, dado a su cuenta acceso a archivos compartidos confidenciales en cualquier lugar en la red?

Cualquier cosa a la que pueda acceder, el ransomware puede acceder. Puede ser que incluso tenga algunos exploits de día cero para elevar privilegios, para que su cuenta sin privilegios sea ahora un superusuario en el sistema remoto.

Oh oh.

Las copias de seguridad deben estar en un sistema que pueda leer todos los nodos relevantes de la red, pero con un esquema de autenticación diferente. Si usted puede acceder a él desde su sistema, también puede el ransomware. Por lo que su servidor de respaldo no puede ser directamente accesible desde cualquier lugar de su red.

La nube tampoco es una solución a todos los males. Recientemente me he encontrado con ransomware que sabe cómo lucen las claves para Amazon y Azure y alegremente se conecta a la API y borra todo. ¿Quiere apostar que hay cosas por ahí que pueden bombardear sus cuentas de Dropbox, Box y así sucesivamente?

La mejor protección contra el ransomware es un respaldo que esté desconectado físicamente del resto de la red. Lo más próximo es algo que pueda leer su red, pero no pueda escribirse o ser controlado por la red.

La diversidad es la clave. Si usted administra una red de Windows, intente utilizar una estación de trabajo Linux o Mac. Puede ejecutar esas herramientas de administración de Windows que solo están disponibles desde un sistema operativo Windows desde dentro de una máquina virtual de Windows limpia. Esta máquina virtual no debería tener nada en ella, salvo las herramientas de administración.

De esta manera, si las cosas salen mal, su estación de trabajo tiene una mayor probabilidad de no verse afectada por un ransomware basado ​​en Windows que se ejecuta a través de su red. Puede seguir revertiendo su VM Windows a una instantánea buena conocida si se infecta, y reanudar la extinción de incendios.

Ejecutar un sistema operativo diferente –preferiblemente como parte de una estructura de autenticación diferente que el resto de la red– también significa que la persona con los superpoderes administrativos es mucho menos probable que infecte al resto de la red si son comprometidos.

Todo se trata de compartimentación. Céntrese en asegurarse de que, una vez infectados, el daño que cualquier sistema o cuenta de usuario comprometido puede hacer es mínimo. Trate de segmentar sus sistemas de autenticación y dominios y construya límites estrictos sobre quién puede acceder a qué y cuándo.

Usted será infectado. Es inevitable. Acepte esto y planifíquelo. Tal vez, si tiene suerte, cuando los muros del castillo se rompan finalmente, las hordas que pasan encontrarán que ya ha evacuado, y que no hay nada que saquear.

MICHAEL STUMP

El ransomware encarna la creciente amenaza que representa el malware para el mundo de TI empresarial. Atrás han quedado los días de los virus altamente contagiosos, pero en gran parte impotentes. Ahora nos enfrentamos a un ataque híbrido que se basa en la suplantación de identidad y el ransomware para atraer a los usuarios a hacer clic en enlaces maliciosos.

Una vez más, el principio de seguridad cibernética sobre la defensa en profundidad está al frente y al centro cuando se trata de ransomware. Debido a que mucho antes de que un mensaje malicioso llegue a la bandeja de entrada de un usuario, una serie de medidas de seguridad debería haber analizado y puesto en cuarentena las amenazas conocidas o sospechosas. En muchos casos, estas medidas de seguridad incluyen antivirus y antispam. Sin embargo, un número cada vez mayor de departamentos de TI también utilizan el escaneado de DNS, el filtrado de URL y productos de modelado de amenazas para completar las medidas de seguridad tradicionales.

Por supuesto, la defensa en profundidad puede comenzar en el perímetro, pero siempre termina en el escritorio. Entonces, ¿qué se puede hacer en el mundo de Windows para evitar el cifrado malicioso de los datos del usuario? Vamos a hablar acerca de dos prácticas operacionales que pueden ayudar: el principio de privilegio mínimo y la importancia de las buenas copias de seguridad.

Principio de privilegio mínimo

Es bastante malo que un usuario reciba un ataque de ransomware y pierda el acceso a los archivos personales en una estación de trabajo local. Pero el daño puede ser significativamente peor cuando el usuario tiene muchas unidades de red asignadas con acceso a datos pertenecientes a otros trabajadores. Para limitar el daño causado por una infección de ransomware, gestione el nivel de acceso y solo permita a los usuarios acceder a los datos que necesitan. En muchos casos, los usuarios solo requieren acceso de lectura a los documentos compartidos en una unidad asignada.

Si un usuario con acceso de solo lectura a los archivos se infecta con ransomware, el malware no será capaz de cifrar esos archivos. Recuerde que las infecciones de malware, en general, se ejecutan bajo el contexto del usuario, por lo que si el usuario no puede modificar un archivo, probablemente se evitará que una infección de malware que se ejecuta en el escritorio del usuario lo cifre. Sí, el proceso de gestionar los archivos y los permisos para compartir toman mucho tiempo y son repetitivos. ¿Pero preferiría lidiar con el trastorno general de tener que aislar sistemas y tratar de recuperar archivos de un ataque?

¿Otra línea de defensa? Buenos respaldos

¿Qué pasa si sus capacidades defensivas no lograron evitar una infección ransomware? Sucede. Desde una perspectiva de respaldo y recuperación, estos incidentes son menos acerca de la causa de la pérdida de archivos y mucho más acerca de cómo restaurar los archivos. Un plan de respaldo sólido no es nada sin un plan de recuperación igualmente sólido. Y en aras de la claridad, lo que yo calificaría como "sólido" es un respaldo que no es un recurso compartido de archivos accesible desde la red con una copia de sus datos en el interior. Estas copias también se pueden cifrar y perderse si un ransomware pasa entre sus defensas.

Una copia de seguridad sólida es una que se toma al menos una vez al día y se almacena en una ubicación de red segura, sin acceso directo del usuario. Dése puntos de bonificación si mantiene varios respaldos durante una semana o más, ya que algunas infecciones de ransomware pueden pasar desapercibidas durante varios días. Usted no quiere aprender, de la manera más difícil, que ha estado respaldando exitosamente datos cifrados durante más tiempo que su período de conservación.

El ransomware es un malware que explota más que las deficiencias de ciberseguridad de su red; también deja al descubierto sus fallos operativos. Bloquee el acceso innecesario de usuarios y establezca procedimientos más robustos de respaldo para poner un foso virtual alrededor de los datos valiosos y evitar que los atacantes secuestren la empresa.

TIMOTHY WARNER

La última tendencia en ransomware implica la entrega de un documento de Microsoft Word habilitado para macros a una víctima, con la esperanza de que abra el archivo, habilite la macro incluida y le permite ejecutarse. Tras la ejecución, el procedimiento para macros de Visual Basic for Applications normalmente invoca una consola oculta de Windows PowerShell, no pasa por su política de ejecución de scripts y descarga/ejecuta un script de PowerShell malicioso. Este es un mal negocio, porque PowerShell puede realizar tareas administrativas de alto nivel, incluyendo la encriptación de los contenidos de los discos duros de la víctima.

En términos de remediar esta amenaza, espero que las empresas tengan las instalaciones de Microsoft Office establecidas con la política de ejecución de macros por defecto. De forma predeterminada, un usuario tiene que permitir explícitamente a los macros ejecutarse al abrir documentos de productividad de Office.

Por supuesto, la clave de esta política es fuerte educación de los usuarios. Los usuarios corporativos deben resistir la tentación de eludir ciegamente los controles de seguridad; después de todo, Microsoft Word le permitirá a los usuarios ejecutar macros con un solo clic del mouse.

El mismo consejo –la educación del usuario y la habilitación de controles de seguridad– se aplica al entorno de Windows PowerShell corporativa. Todas las computadoras con Windows tienen hoy en día Powershell; por defecto, la ejecución de scripts PowerShell está deshabilitado en los equipos cliente de Windows. Además, la extensión de archivo de script .ps1 de PowerShell se asocia con el Bloc de notas de Windows; esto significa que hacer doble clic en un archivo de script de PowerShell abre el archivo para su edición en lugar de ejecutar código.

No obstante, es fácil pasar por alto la política de ejecución de scripts de PowerShell, por lo que debemos recurrir a la importancia crítica de exigir a nuestros usuarios discriminar cuando ellos reciben archivos de fuentes no fiables.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close