Unas sencillas recomendaciones
A nadie se le escapa que el concepto de ransomware ha adquirido un protagonismo nunca antes conocido. Se trata de un tipo de malware diseñado para denegar el acceso a un ordenador o a sus datos hasta que la víctima se ve obligada a pagar el rescate solicitado. Un chantaje que desde hace unos años está generando importantes estragos entre particulares, empresas y organismos públicos.
Por eso, desde All4sec queremos recopilar un conjunto de sencillas recomendaciones encaminadas a implementar medidas, herramientas y recursos que puedan servir para mitigar el efecto de esta amenaza. No son medidas infalibles. Sin embargo, pueden contribuir a impedir o reducir su impacto.
Preparación ante un ransomware
Lo primero y más importante que una organización debe hacer para mantener su operatividad frente a un ransomware es disponer de una copia de seguridad, cifrada y offline, de sus elementos más críticos. Esta es una tarea fundamental, sea cual sea, la amenaza que se presente. Las copias han de ser “selectivas” incluyendo datos críticos y configuraciones de sistemas operativos y aplicaciones.
Resulta asimismo importante identificar y disponer de HW de respaldo para la recuperación de los sistemas, teniendo en cuenta que los equipos afectados puedan quedar temporalmente inhábiles y que las configuraciones puedan variar cuando no se disponga de equipos similares.
No debemos tampoco olvidarnos de definir, desarrollar y evaluar planes de recuperación que contemplen la comunicación o la notificación de la incidencia a los organismos correspondientes. Y, sobre todo, registrar los logs de los eventos que ocurren en los sistemas para su posterior análisis y seguimiento.
Análisis de configuraciones y vulnerabilidades
Un primer paso indispensable para ser capaz de combatir un ataque de ransomware es inventariar todos los activos de la organización, así como los flujos de información entre ellos.
Periódicamente debemos escanear manual o automáticamente los sistemas y redes en busca de posibles de vulnerabilidades. Asimismo, debemos actualizar de forma periódica las aplicaciones y sistemas operativos.
Los dispositivos deben estar configurados de forma que implementen opciones básicas de seguridad como la desactivación de puertos y protocolos que no son necesarios para su uso habitual.
En particular, los servicios RDP u otros servicios de acceso remoto requieren una atención especial. Por ejemplo, estos deben configurarse con la desactivación de puertos, bloqueo de cuentas tras un número de intentos de accesos fallidos o con mecanismos de doble autenticación. También se debe revisar la (des)activación del protocolo SMB para evitar la propagación del malware.
Conocimiento de los vectores de ataque
Otra recomendación fundamental reside en la concienciación de los usuarios. El ransomware suele propagarse a través del phishing. Por tanto, es indispensable que los usuarios sean capaces de identificar y bloquear las técnicas de phishing más habituales.
En muchos casos, los ataques de ransomware provienen de comunicaciones a través de correos electrónicos y resulta clave distinguir aquellos mensajes que puedan ser maliciosos. Por eso es necesario desplegar soluciones de filtrado de correos y habilitar mecanismos DMARC en los servidores de correo. Asimismo, conviene instalar soluciones para el bloqueo de direcciones IP sospechosas a través de DNS y firewalls. Y por supuesto, y no menos importante, desactivar el servicio de macros cuando se utilicen herramientas de Microsoft Office.
Mecanismos de protección
Ahora bien, las organizaciones también necesitan herramientas que aporten protección a sus infraestructuras. Han de disponer de IDS para detectar actividad de C&C de posibles malwares o tener instaladas plataformas de antivirus y anti-malware (preferiblemente centralizadas) en los puestos de trabajo.
Se deben utilizar listas de aplicaciones autorizadas y mecanismos de doble autenticación allí donde sea posible, principalmente en servicios de webmail, accesos remotos o conexión a aplicaciones críticas. Y en general, deben aplicar el principio del “menor privilegio posible” que solo permita a los usuarios acceder a aquello que realmente necesitan. Un caso particular responde al uso de herramientas como Powershell que solo deben estar habilitadas en condiciones muy controladas.
Resumen
La siguiente tabla recoge las recomendaciones que hemos ido mencionado a lo largo del artículo. Ahora le toca al lector identificar cuántas de ellas está dispuesto a seguir.
RECOMENDACIÓN | SI/NO |
Disponer de una copia de seguridad, cifrada y offline, de sus elementos más críticos | |
HW de respaldo para la recuperación de los sistemas | |
Definir, desarrollar y evaluar planes de recuperación | |
Inventariar todos los activos de información de la organización | |
Actualizar de forma periódica las aplicaciones y sistemas operativos | |
Desactivación de puertos y protocolos que no son necesarios (RDP, SMB…) | |
Bloqueo de cuentas de usuarios tras un número de intentos de acceso fallidos | |
Concienciación de los usuarios | |
Filtrado de correos maliciosos y protección de puestos de trabajo | |
Desactivar el servicio de macros en herramientas de Microsoft Office | |
Implantar sistemas IDS, FW, filtrado en DNS… | |
Evitar la instalación de software no autorizado | |
Implantar mecanismos de doble autenticación | |
Habilitar Powershell solo en condiciones muy controladas |