sophos-endpoint-protect-best-practices-wpes.pdf
- 1. Monográficos de Sophos Julio de 2020 MEJORES PRÁCTICAS DE PROTECCIÓN PARA ENDPOINTS PARA BLOQUEAR EL RANSOMWARE
- 2. Mejores prácticas de protección para endpoints para bloquear el ransomware 1 Monográficos de Sophos Julio de 2020 Mejores prácticas de protección para endpoints para bloquear el ransomware En nuestra encuesta a 5000 directores de TI de 26 países, el 51 % de los encuestados revelaron que se habían visto afectados por el ransomware en el último año. En el 73 % de esos incidentes, los atacantes lograron cifrar los datos. Además, el coste global medio para remediar estos ataques ascendía a la desorbitada cifra de 761 106 USD. Uno de los métodos más eficaces para protegerse contra los ataques de ransomware es contar con una solución de protección para endpoints debidamente configurada. En este monográfico explicamos cómo funcionan los ataques de ransomware, cómo pueden detenerse y las prácticas recomendadas para configurar su solución para endpoints a fin de contar con la mejor protección posible. Cómo se despliegan los ataques de ransomware En los últimos años, el ransomware ha ido abandonando los ataques por fuerza bruta a gran escala para pasarse a los ataques dirigidos, planificados y ejecutados manualmente, que son mucho más difíciles de detectar y bloquear. Veamos cómo actúan las distintas formas de ransomware y qué debe hacer su empresa para minimizar su vulnerabilidad frente a un ataque. Ataques de ransomware dirigido Los ataques de ransomware dirigido tienen un marcado carácter manual, normalmente se centran en una sola víctima cada la vez y a menudo exigen rescates muy elevados. Los delincuentes acceden a la red y se desplazan lateralmente, identificando en el proceso sistemas de alto valor. En su intento de afectar al máximo número de sistemas posible a la vez, estos ataques suelen lanzarse en los peores momentos posibles para los encargados de la seguridad: noches, fines de semana y días festivos. También se sirven de varias técnicas de ataque para eludir las funciones de protección por capas, lo que los hace particularmente eficaces. Este es un ejemplo del ataque de ransomware dirigido típico: 6. ESPERA QUE LA VÍCTIMA SE PONGA EN CONTACTO CON EL ATACANTE A TRAVÉS DEL CORREO ELECTRÓNICO O UN SITIO DE LA WEB OSCURA 5. DEJA UNA NOTA DE RESCATE QUE EXIGE UN PAGO POR DESCIFRAR LOS ARCHIVOS 4. DESPLIEGA RANSOMWARE QUE CIFRA LOS ARCHIVOS DE LA VÍCTIMA Los hackers explotan vulnerabilidades de la red y el host o protocolos básicos de uso compartido de archivos para infiltrarse en otros sistemas de la red. También se sirven de herramientas que las empresas ya utilizan en sus redes, como PsExec y PowerShell. 2. AUMENTA LOS PRIVILEGIOS HASTA LLEGAR A ADMINISTRADOR El atacante explota vulnerabilidades del sistema para obtener niveles de privilegios que le permiten eludir el software de seguridad. 1. OBTIENE ACCESO a. Funciones remotas de gestión/uso compartido de archivos como el RDP Malware como el Emotet y Trickbot 3. INTENTA DESACTIVAR O ELUDIR EL SOFTWARE DE SEGURIDAD USANDO ARCHIVOS ALTAMENTE PERSONALIZADOS De no conseguirlo, trata de infiltrarse en la consola de gestión de seguridad y desactivar los sistemas de seguridad. Las consecuencias de sucumbir a estos ataques pueden ser graves. Los hackers son cada vez más audaces, pidiendo a veces rescates de seis cifras. Además, nuestra encuesta reveló que pagar el rescate duplica en realidad el coste de lidiar con un ataque: de media, se paga una demoledora cifra de más de 1,4 millones USD a escala mundial.
- 3. Mejores prácticas de protección para endpoints para bloquear el ransomware 2 Monográficos de Sophos Julio de 2020 ¿Protocolo de escritorio remoto o protocolo de despliegue de ransomware? El Protocolo de escritorio remoto (RDP) y otras herramientas de uso compartido del escritorio como Computación virtual en red (VNC) son funciones legítimas y sumamente útiles que permiten a los administradores acceder y gestionar sistemas de forma remota. Desafortunadamente, sin las medidas de protección adecuadas, tales herramientas son también puertas de entrada ideales para los atacantes y suelen ser explotadas por el ransomware dirigido. Si no protege el protocolo RDP y otros protocolos de gestión remota similares con una red privada virtual (VPN) o por lo menos limita las direcciones IP que pueden conectarse mediante el RDP, puede estar dejando la puerta abierta de par en par a los ataques. Los atacantes a menudo usan herramientas de hacking por fuerza bruta que prueban cientos de miles de combinaciones de nombres de usuario y contraseñas hasta que dan con la correcta y comprometen su red. Prácticas recomendadas generales para protegerse del ransomware Protegerse contra el ransomware no solo consiste en contar con las últimas soluciones de seguridad. Las prácticas recomendadas de seguridad TI, incluida la formación periódica de los empleados, son componentes esenciales de todas y cada una de las estrategias de seguridad. Asegúrese de seguir estas 10 prácticas recomendadas: 1. Aplique los parches con prontitud y frecuencia El malware suele aprovechar los errores de seguridad de aplicaciones populares. Cuanto antes aplique las revisiones de software en sus endpoints, servidores, dispositivos móviles y aplicaciones, menos agujeros existirán para explotarse. 2. Realice copias de seguridad periódicamente y guarde una copia de seguridad reciente fuera de la red y sin conexión En nuestra encuesta, el 56 % de los directores de TI cuyos datos se cifraron lograron restaurarlos mediante copias de seguridad. Cifre las copias de seguridad y manténgalas fuera de la red para no tener que preocuparse por si las copias de seguridad en la nube o los dispositivos de almacenamiento acaban en las manos equivocadas. Asimismo, implemente un plan de recuperación de desastres que cubra la restauración de datos. 3. Habilite las extensiones de archivo La opción predeterminada de Windows es ocultar las extensiones de archivo, lo que significa que dependemos de las miniaturas de los archivos para identificarlos. Al habilitar las extensiones resulta mucho más fácil detectar los tipos de archivo que usted o sus usuarios no suelen recibir habitualmente, como archivos JavaScript. 4. Abra los archivos JavaScript (.JS) con el Bloc de notas Abrir un archivo JavaScript con el Bloc de notas impide que ejecute código malicioso y le permite examinar su contenido. 5. No habilite las macros de los documentos adjuntos recibidos por correo electrónico Microsoft desactivó la ejecución automática predeterminada de las macros deliberadamente hace muchos años como medida de seguridad. Muchas infecciones dependen de que usted vuelva a activar las macros, así que no se deje convencer.
- 4. Mejores prácticas de protección para endpoints para bloquear el ransomware 3 Monográficos de Sophos Julio de 2020 6. Tenga cuidado con los archivos adjuntos no solicitados Los atacantes suelen aprovecharse de un viejo dilema: sabemos que no deberíamos abrir un documento sin estar seguros de que es legítimo, pero no podemos saber si es malicioso hasta que lo abrimos. Si tiene dudas, no los abra. 7. Supervise los derechos de administrador Revise constantemente los derechos de administrador local y de dominio. Sepa quiénes disponen de ellos y quiénes no los necesitan. No permanezca conectado como administrador más tiempo del que sea necesario, y evite explorar y abrir documentos u otras actividades de trabajo comunes mientras tenga derechos de administrador. 8. Manténgase al día de las nuevas funciones de seguridad de sus aplicaciones empresariales Por ejemplo, ahora Office 2016 incluye el control «Bloquear la ejecución de macros en archivos de Office procedentes de Internet», que le ayuda a protegerse contra contenido malicioso externo sin dejar de utilizar macros internamente. 9. Regule el acceso externo a la red No deje puertos expuestos al exterior. Bloquee el acceso RDP de su empresa y otros protocolos de gestión remota. Además, utilice la autenticación de doble factor y asegúrese de que los usuarios remotos se autentican en una VPN. 10. Utilice contraseñas seguras Parece irrelevante, pero no lo es en absoluto. Una contraseña poco segura y predecible puede dar a los hackers acceso a toda su red en cuestión de segundos. Recomendamos que evite los datos personales, que tengan al menos 12 caracteres, que utilice una combinación de mayúsculas y minúsculas y que añada signos de puntuación aleatoriamente dE.e5taMANera! Prácticas recomendadas para su solución de protección para endpoints Junto con un firewall next-gen, uno de los métodos más eficaces para protegerse de los ataques de ransomware es utilizar una solución de protección para endpoints. Sin embargo, debe estar debidamente configurada para ofrecer una protección óptima. Siga estas prácticas recomendadas para proteger sus dispositivos endpoint contra el ransomware: 1. Active todas las políticas y asegúrese de que todas las funciones estén habilitadas Parece obvio, pero es una manera segura de beneficiarse de la mejor protección de su solución para endpoints. Las políticas están diseñadas para detener amenazas específicas, y comprobar periódicamente que todas están activadas garantizará que los endpoints están protegidos, especialmente contra nuevas variantes de ransomware. Además, habilitar funciones que detectan el comportamiento del ransomware y las técnicas usadas en los ataques sin archivos es fundamental para evitar que los delincuentes se infiltren en sus endpoints y desplieguen variantes de ransomware dañinas. También le permiten remediar más fácilmente los ataques en caso de que de alguna manera consigan penetrar en su entorno.
- 5. Mejores prácticas de protección para endpoints para bloquear el ransomware 4 Monográficos de Sophos Julio de 2020 2. Revise periódicamente sus exclusiones Las exclusiones (que impiden que los directorios y tipos de archivo fiables se analicen en busca de malware) se usan a veces para mitigar las quejas de los usuarios que piensan que la solución de protección ralentiza sus sistemas. Las exclusiones también pueden utilizarse para reducir los riesgos de posibles falsos positivos. Con el tiempo, una lista creciente de directorios y tipos de archivo excluidos puede terminar afectando a más y más personas en la red. Y el malware que consigue entrar en los directorios excluidos (tal vez movidos por error por un usuario) probablemente logrará su objetivo porque está excluido de las comprobaciones. Asegúrese de revisar periódicamente su lista de exclusiones en la configuración de la protección contra amenazas y mantenga el número de exclusiones lo más cerca posible de cero. 3. Active la autenticación multifactor (AMF) en su consola de seguridad La autenticación multifactor, o AMF, ofrece una capa adicional de seguridad después del primer factor, que suele ser una contraseña. Habilitar la AMF en todas sus aplicaciones es, por lo general, una buena práctica de seguridad TI, y es fundamental activarla para todos los usuarios que tienen acceso a su consola de seguridad. De este modo, garantiza que el acceso a su solución de protección para endpoints es seguro y no propenso a intentos accidentales o deliberados de cambiar su configuración, lo que podría dejar sus dispositivos endpoint expuestos a los ataques. La AMF también es crítica para proteger el RDP. 4. Asegúrese de que cada endpoint esté protegido y actualizado Revisar sus dispositivos regularmente para saber si están protegidos y actualizados es una forma rápida de garantizar una protección óptima. Un dispositivo que no funcione correctamente puede que no esté protegido y podría ser vulnerable a un ataque de ransomware. Las herramientas de seguridad para endpoints a menudo proporcionan esta telemetría, y un programa de mantenimiento de la higiene de TI también es útil para comprobar periódicamente cualquier posible problema de TI. 5. Mantenga la higiene de TI Una higiene de TI regular garantiza que sus endpoints y el software que tienen instalado funcionen con la máxima eficiencia. No solo mitiga sus riesgos de ciberseguridad, sino que puede ahorrarle mucho tiempo a la hora de remediar posibles incidentes en el futuro. La implementación de un programa para mantener la higiene de TI es especialmente crítica para la protección contra los ataques de ransomware y otras amenazas de ciberseguridad. Por ejemplo: garantizar que el RDP se ejecuta solo donde se necesita y se espera, comprobar periódicamente si hay problemas de configuración, supervisar el rendimiento de los dispositivos y eliminar los programas no deseados o innecesarios. Un control de higiene de TI puede poner de manifiesto la necesidad de actualizar las aplicaciones de software, incluido el software de seguridad. También es una forma segura de garantizar que se realizan copias de seguridad de sus valiosos datos regularmente. 6. Busque adversarios activos en la red En el panorama de amenazas actual, los ciberdelincuentes son más astutos que nunca y despliegan técnicas sigilosas para perpetrar ataques de ransomware dañinos. Las empresas necesitan herramientas que les permitan formular preguntas detalladas para poder identificar amenazas avanzadas y adversarios activos. Una vez detectados, las empresas también necesitan herramientas que puedan utilizar para tomar rápidamente las medidas adecuadas a fin de detener esas amenazas. Las tecnologías de su solución para endpoints, como la detección y respuesta para endpoints (EDR), ofrecen esta funcionalidad, así que asegúrese de habilitar y utilizar las funciones de EDR si dispone de ellas.
- 6. Mejores prácticas de protección para endpoints para bloquear el ransomware 5 Monográficos de Sophos Julio de 2020 7. Cierre la brecha con intervención humana: el ransomware no es más que el desenlace El ransomware es tan solo el desenlace para los hackers. Para desplegarlo, los ciberdelincuentes ya habrán abierto una brecha en su red y posiblemente exfiltrado datos sin su conocimiento, a veces meses antes de que se produzca un ataque. La tecnología no suele ser suficiente por sí sola para detener estas intrusiones. Veámoslo en un ejemplo de la vida real: una cámara de seguridad le permite ver cómo los ladrones entran en su propiedad, pero solo puede evitar el robo con guardias de seguridad in situ. Lo mismo puede aplicarse a la ciberseguridad. La mejor manera de protegerse realmente contra este tipo de intrusiones es añadir la experiencia humana como parte de una estrategia de seguridad por capas. Los servicios de detección y respuesta gestionadas (MDR) son fundamentales en este sentido. Juntar sus equipos internos de TI y seguridad con un equipo externo de élite de cazadores de amenazas y expertos en respuesta ayuda a obtener asesoramiento práctico para abordar la causa raíz de los incidentes recurrentes. Sophos Intercept X Advanced with EDR Sophos Intercept X Advanced with EDR incluye todas las funciones que necesita para ayudar a proteger su empresa de ataques de ransomware como el Ryuk, Sodinokibi, Maze y Ragnar Locker. Intercept X incluye tecnología antiransomware que detecta procesos de cifrado malicioso y los neutraliza antes de que puedan propagarse por la red. La tecnología antiexploits detiene la distribución e instalación de ransomware, el Deep Learning bloquea el ransomware antes de que se ejecute y CryptoGuard previene el cifrado malicioso de archivos y los revierte a su estado seguro. Además, Sophos EDR ayuda a que la búsqueda de amenazas y la higiene de las operaciones de TI funcionen sin problemas en toda la infraestructura. Sophos EDR permite a su equipo formular preguntas detalladas para identificar amenazas avanzadas, adversarios activos y posibles vulnerabilidades de TI, y luego tomar rápidamente las medidas adecuadas para detenerlas. Le permite detectar adversarios que acechan en su red a la espera de poder desplegar ransomware que pueden haber pasado desapercibidos. Sophos Managed Threat Response (MTR) El servicio Sophos MTR añade la experiencia humana a su estrategia de seguridad por capas. Un equipo de élite de cazadores de amenazas busca y valida de forma proactiva las amenazas potenciales en su nombre. Si se les autoriza, adoptan medidas para interrumpir, contener y neutralizar amenazas, además de brindar asesoramiento práctico para abordar la causa raíz de los incidentes recurrentes.
- 7. © Copyright 2020. Sophos Ltd. Todos los derechos reservados. Constituida en Inglaterra y Gales N.º 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios. 200702 WPES (NP) Pruebe Sophos Intercept X gratis en sophos.com/es-es/endpoint Más información sobre Sophos MTR en sophos.com/es-es/MTR Conclusión A pesar de ser una ciberamenaza perenne, el ransomware no hará más que seguir evolucionando. Si bien es posible que nunca podamos erradicar completamente el ransomware, si seguimos las prácticas recomendadas de protección para endpoints descritas en este documento, su empresa tendrá más probabilidades de mantenerse protegida contra las amenazas más recientes. En resumen: 1. Active todas las políticas y asegúrese de que todas las funciones estén habilitadas 2. Revise periódicamente sus exclusiones 3. Active la AMF en su consola de seguridad 4. Asegúrese de que cada endpoint esté protegido y actualizado 5. Mantenga la higiene de TI 6. Busque adversarios activos en la red 7. Cierre la brecha con intervención humana; recuerde: el ransomware no es más que el desenlace Ventas en España: Tel.: (+34) 913 756 756 Email: comercialES@sophos.com Ventas en América Latina: Email: Latamsales@sophos.com