Amigos de Encora TV, os queremos presentar un nuevo capítulo de Encora Webinars realizado en mayo de 2021. En esta ocasión nuestro CTO, David Marquina, nos explica las claves para recuperarnos rápida y eficientemente de un ataque de Ransomware.
TENER UN PLAN
En ocasiones, por muchas medidas de protección que tengamos, es inevitable ser víctimas de un ataque de estas características que puede llegar a paralizar el negocio de nuestra organización.
Es por ello por lo que, minimizar esos riesgos y tener claro un plan de actuación concreto, será nuestro mejor aliado.
El motivo de este webinar, que es bastante breve y directo, es focalizarnos en esas claves que necesitamos todos cuando suframos un ataque de Ransomware.
No se trata de preguntarse si vamos a sufrir un ataque de ransomware o no, sino que se trata de preguntarse cuándo lo vamos a sufrir y qué vamos a hacer entonces.
¿Cómo podemos recuperarnos de una forma ágil de un ataque de ransomware, qué cosas debemos tener en cuenta y qué cosas debemos tener preparadas para recuperarnos lo antes posible?
No es un webinar especialmente técnico, es decir, no vamos a entrar en la profundidad técnica ni en conceptos técnicos, sino más bien en los conceptos de gestión y administrativos que debemos tener en cuenta.
Creo que es muy importante poner en contexto el significado del ataque de ransomware y conocer cuál es realmente la afección que suelen llegar a tener las compañías.
Podemos ver en las estadísticas que, prácticamente la mitad de las empresas ya han sufrido un ataque de ransomware.
El porcentaje restante, no quiere decir que no lo vaya a sufrir, quiere decir que todavía no lo ha sufrido.
Pero si nos fijamos un poco en el otro gráfico, que creo, personalmente da un poco más de miedo. Vemos que sobre este 53% de empresas que ya han sido atacadas, realmente, lo que es abrumador es ver el porcentaje que llega a tener éxito. Es decir, un 73% de empresas que han sufrido ataques de Ransomware, tienen sus datos cifrados y tan solo un 24%, son capaces de parar los ataques.
Las posibilidades que tenemos de sufrir un ataque de ransomware son muy altas y, además, las posibilidades de que ese ataque nos afecten son importantísimas.
¿QUÉ ES UN RANSOMWARE?
Es un ataque cibernético cuyo objetivo es secuestrar nuestros datos, es decir, no es parar nuestra producción, no es afectarnos durante un período de tiempo o impactar en nuestra marca negativamente. El objetico principal es secuestrar nuestros datos.
¿Cómo los secuestran? Cifrándolos. Esto es muy importante de cara a trasladarlo organizativamente y de cara a la compañía.
Lo que provoca es que la información, los datos de nuestra compañía, dejan de estar bajo nuestro control. Pierdo el control de la información.
Perder el control de la información, no solo supone la parada operativa de nuestra compañía, sino que, además, puede o no, existir una filtración de nuestra información.
Las últimas generaciones de ransomware, no solo van destinadas a cifrar los datos, a bloquear el acceso de la compañía, a nivel de negocio, a los datos, sino a filtrar, a provocar esa fuga de datos.
También hay que tener en cuenta que este ataque puede ser o no dirigido, es decir, puede ser que estés en el objetivo de alguien y que busque afectarte. Este factor será muy importante en la fase de auditoría que tenemos que hacer posteriormente.
Eso es lo que podemos encontrar en la estructura de un ataque ransomware.
¿CÓMO ACTUAR FRENTE A UN ATAQUE DE RANSOMWARE?
Antes de entrar en como recuperarnos de un ataque de ransomware, es muy importante el pensar cómo vamos a actuar.
En Encora recomendamos tener una metodología y una filosofía de trabajo en ciberseguridad que se llama MDR (Manage, Detect and Response).
Es decir, debo tener unas muy buenas prácticas de administración y de operación de mi solución, así como unas grandes capacidades de detección, que sabemos que nunca vamos a llegar al 100%, y sobretodo, unas grandes capacidades de respuesta y de recuperación frente a un incidente.
Si yo no soy capaz, como compañía, internamente, de preverlo, tendré que buscar a alguien externo que me lo haga.
Estos cuatro pilares, son básicos en el mundo de la ciberseguridad y es la filosofía troncal de MDR que deberíamos tener dentro de nuestra filosofía de ciberseguridad y dentro de nuestras políticas de ciberseguridad interna de, vale, bien, puedo dotar a mi compañía de ciberseguridad.
¿QUÉ ESQUEMA DE TRABAJO TENGO QUE SEGUIR?
Es muy fácil decir: «quiero invertir en ciberseguridad, quiero tener la máxima seguridad, quiero que los ataques de ransomware causen a mi organización el mínimo impacto posible» etc. pero para esto, debo tener una estructura y una filosofía de cómo vas a abordar la ciberseguridad.
Pues, la metodología de MDR (Manage, Detect and Response), que yo creo que es la más avanzada y la más aplicada hoy en día, el tener una estructura de operar bien, detectar bien y responder bien, es lo que más nos va a ayudar.
CLAVES PARA UNA RECUPERACIÓN RÁPIDA DE UN ATAQUE DE RANSOMWARE
Bien, hemos sufrido el ataque de ransomware, ¿cómo me puedo recuperar lo más rápido posible?
La recuperación, no se tiene que prever solo después del ataque de ransomware. Para yo poder llegar a tener una capacidad de recuperación rápida, de resiliencia y de volver a arrancar con mi negocio rápidamente, debo tener un plan que viene desde haber diseñado cómo puedo tener la amenaza.
Es decir, es una estructura en la cual primero debo tener un plan de cómo voy a actuar, un plan de cómo voy a trabajar, qué voy a hacer en cada momento, evidentemente, con un cierto ámbito de flexibilidad porque es imposible definir cómo va a ser al 100%.
En ese plan, debo tener cosas definidas como:
- ¿Qué tengo que hacer?
- ¿Cómo voy a detectar esta amenaza?
- ¿Cómo voy a aislar esta amenaza?
- Tener claro el vector de ataque. Importantísimo. Saber cómo ha entrado y hasta donde ha llegado este vector de ataque será básico para poder recuperarnos rápidamente.
- ¿Cómo comunico el ataque?
- ¿Cómo soy capaz de volver a dotar a los ficheros que han secuestrado de un acceso de información rápido?
- ¿Cómo puedo restablecer los servicios?
PLAN DE RESPUESTA
Tener un plan de respuesta es el primer paso para recuperarnos de un ataque de ransomware.
Evidentemente, es imposible, no todos podemos tener un NIST que es un framework de cómo trabajo el mundo de la ciberseguridad y de cómo tengo este marco de ciberseguridad en la empresa.
En compañías grandes, con un departamento de ciberseguridad de una cierta estructura, es posible, pero en empresas mas pequeñas en las que no hay alguien específico para ciberseguridad, es muy complicado.
A pesar de eso si que, como mínimo, os voy a recomendar que tengáis un plan de respuesta frente a incidentes de ciberseguridad. Un plan que contemple qué va a pasar, cómo voy a actuar en el caso de tener una amenaza y, además, muy concreto si esta amenaza ha tenido una fuga de datos. Sino sabéis hacerlo contad con nosotros, por supuesto.
Es muy importante porque de esta manera, ya voy a tener un guión de compañía y voy a saber cómo actuar y los pasos a seguir.
El mayor problema que existe es que cuando sufrimos una infección masiva, normalmente primamos más la velocidad y el hacer las cosas pensando en que lo estamos haciendo bien y volver a restaurar el acceso a los datos sin seguir un guión, sin determinar por dónde ha entrado la amenaza, sin comunicar bien, etc. esto es un problema.
Hay que tener como mínimo, un plan de respuesta, redactado, por escrito y validado por la dirección. Si puede ser, que me lo homologue y me de el visto bueno el proveedor de ciberseguridad. Es algo básico.
DETECCIÓN DE AMENAZAS: FILOSOFÍA ZERO TRUST
Para detectar las amenazas, no voy a entrar en soluciones porque miles, todo tipo de protecciones de Endpoint, que es básico, no solo del Endpoint Protection, sino de la gestión y de la identidad, de la protección en global, si tengo soluciones Cloud pues CASB, proxys de accesos, doble factor, etc.
Es importante que todas las soluciones de protección, desde la A a la Z, que yo despliego en mi compañía, tengan una filosofía Zero Trust.
La filosofía Zero Trust es que no me fío de nadie y, por defecto, cualquier cosa que no conozco es una amenaza. Esta filosofía es la que siguen las soluciones Endpoint Protection, las basadas en procesos o las soluciones de gestión de la identidad más modernas.
Básico, tengo que implantar una filosofía de Zero Trust.
Por defecto, si no lo conozco y no lo tengo certificado, es una amenaza. Esto es lo que me va a ayudar a prevenirme de soluciones, de infecciones, de amenazas, de ciberataques que no conozco.
Esto debe ser el eje de mi compañía y de cualquier solución de detección de amenazas.
APLICACIONES SAAS
Dentro del mundo de detección de amenazas, existe un factor muy importante, las aplicaciones SaaS.
Vemos en esta estadística las aplicaciones de software que han sido atacadas por secuestro de datos, que las SaaS como Salesforce, Box, Dropbox, etc.
Recordad que en una aplicación SaaS, los responsables de la identidad y de los permisos del dato y de acceso, sois vosotros como clientes.
Siempre el cliente. No es el proveedor.
El proveedor te da la disponibilidad del dato, pero no te da la seguridad. Es tu responsabilidad.
Nosotros estamos detectando que el mayor vector de acceso a los datos de las compañías y el mayor vector para entrar a inyectar Malware o inyectar Ransomware, es la obtención de credenciales a través de aplicaciones SaaS que no están protegidas o fortificadas con doble factor.
Esto es un agujero enorme que tienen muchísimas compañías. Van contratando herramientas SaaS en contabilidad, nóminas, ERP, etc. y nadie se preocupa de dar una visión global de protección 360º de la identidad.
Obtienen las credenciales de estas aplicaciones, que normalmente están sincronizadas y con esto consiguen entrar a otros recursos.
Importante, no perdáis el foco del Zero Trust también en las aplicaciones SaaS.
EDR
Ya nos han atacado.
Es importante tener una solución de EDR.
Dentro de EDR hay un factor fundamental que es la capacidad que tienen para hacer análisis forense.
El análisis forense es muy importante para saber cómo entra una amenaza o cómo ha entrado un Ransomware a mi red, por dónde se ha difundido, cómo de ha duplicado y hasta dónde ha llegado.
De esta manera, si yo he sufrido un ataque de ransomware y he sido capaz de pararlo, pueda ver hasta dónde ha llegado.
Tener una solución que me permita hacer este forense, es básico.
Hemos puesto una captura de pantalla de ejemplo con una de las soluciones que utilizamos que es Sophos.
Una de las cosas muy buenas que tiene Sophos, es que además de ser una solución de análisis basada en procesos, tiene una capacidad de análisis forense automatizada potentísima.
Esta es una de las Tools que debéis tener en cuenta en vuestra solución de Endpoint Protection. No solo la protección sino también la capacidad de análisis forense.
También debéis tener un SIEM, es decir, analizar los logs para ver las amenazas.
DATA LEAK
Un factor importantísimo que no podemos olvidar, la fuga de datos. Hemos sufrido un ataque Ransomware y nos han robado datos.
Si el ataque de ransomware lo detectamos a través de nuestro análisis forense, hay que tener en cuenta la política de comunicación con los clientes y con las autoridades.
Hay mucha gente que no lo mira. Hace poco, tengo el dato de un cliente de Galicia que sufrió este ataque y que le robaron datos que, por fortuna, no tenían valor pero que puede llegar a hacer mucho daño y mucho impacto.
GESTIÓN COMUNICATIVA
Uno de los factores principales para recuperarnos de estos ataques, es la capacidad de comunicación que hay que tener.
Debemos tener pensado cómo vamos a comunicar una fuga de datos, si procede y la hemos sufrido, a los clientes o proveedores porque pueden perder acceso a sus sistemas.
Por último, si procede, a las autoridades.
Todo esto, debemos tenerlo contemplado dentro de nuestro plan.
Igualmente, a nivel de compañía, debemos tener muy claro quién va a comunicar a quién, cómo lo va a hacer y hasta dónde va a entrar. Es posible incluso que no sepamos hasta semanas después que tenemos una afectación por fuga de datos.
La experiencia nos dice que la transparencia en estos casos siempre juega a favor de la empresa afectada. Cuanto más opaco eres, normalmente el resultado es peor.
EL ERROR DE PAGAR
Dentro de esta política, no debemos olvidar que un error en el que se suele caer frecuentemente es el de pagar.
Todos somos muy proclives a pensar que pagando con Bitcoins no tendremos solucionado. Error.
Vemos en el gráfico siguiente este análisis del Cyberthreat Defense Report de 2018, como prácticamente la mitad de los que decidieron pagar, perdieron los datos.
Solo un 19 % de las empresas que han pagado los datos, los han recuperado. Pagar no es la solución.
Además, cuando pagas, les das alas y recursos para poder seguir extorsionando a otras empresas.
LA ÚLTIMA DEFENSA: EL BACKUP
Si hemos sufrido un ataque y no lo hemos podido parar, tenemos una última defensa de la que nunca nos podemos olvidar, nuestra solución de backup.
La solución de backup tiene que pivotar sobre dos pilares:
- Tiene que ser inmutable frente a ataques de Ransomware. Es decir, es muy frecuente que el propio cifrado de datos, cifre los backups, con lo cual, esto puede ser un desastre porque perdemos nuestros backups más cercanos y tenemos que tirar de unos backups más lejanos, probablemente externalizados a un dispositivo con la lentitud y pérdida de datos (RPO) que conlleva.
- Una solución pensada para restaurar ficheros o restores normales, no nos vale en caso de un ataque de Ransomware.
Es decir, el 99% de las soluciones del mercado, son fantásticas para restaurar un fichero, pero no para hacer un restore masivo de teras de información. Es inviable.
Existe el caso de una agencia pública gubernamental que hace poco ha tenido que restaurar y ha estado tres semanas para recuperar la normalidad. No es porque no obtuviese los datos, es porque la solución restore masiva no estaba preparada y no fue capaz de restaurar tantos datos.
Tendremos que contestarnos dos preguntas muy importantes: ¿la solución de backup que yo tengo en mi compañía me garantiza que estoy protegido ante ataques de Ransomware?, ¿si tengo que restaurar masivamente 10 o 5 teras de ficheros y 100 máquinas virtuales, soy capaz? Porque igual eso de que tu plan de contingencia contemplaba un RTO de 4 horas, es mentira. Hay que volver a reevaluar los RTOs y los RPOs.
Hoy en día, la mayor catástrofe que puede sufrir un Datacenter, ya no solo son los desastres naturales, sino las infecciones masivas de Ransomware que nos dejan a 0. Tengo el Hardware, pero tengo que empezar desde 0.
Cohesity, que es una de las soluciones que trabajamos en Encora, hace las dos cosas que he comentado anteriormente. Es inmutable frente a ataques de Ransomware y está preparado para hacer restores masivos.
RETORNO A LA NORMALIDAD
El retorno a la normalidad no es tan sencillo como parece.
Un ejemplo claro es el que os he mencionado anteriormente de la empresa Mapfre. Hace poco sacó a través de la Agencia Española de la Protección de Datos, un análisis pormenorizado de lo que pasó.
Me gustaría destacar dos fechas, Mapfre sufrió el ataque el 15 de agosto, pero dos semanas antes ya detectaron que podría haber habido intentos de intrusión. Además, no recuperaron la normalidad hasta pasado el 20 de septiembre. Es decir, prácticamente un mes durante el cual, su prestación de negocio se vio afectada.
Esto hay que trasladarlo a las direcciones de negocio de nuestras compañías. Un ataque de Ransomware no se soluciona en un día, ni en dos, ni en tres.
Si no tengo las herramientas adecuadas, lo que voy a hacer es dilatar mi capacidad de respuesta y hacer que sea muchísimo mas lento.
En esta diapositiva encontraréis a tres compañías que han sufrido ataques de Ransomware recientes y muy largos: Mapfre, SEPE, Segur Caixa – Adeslas.
Cuanto menos invirtamos, cuanto menos tengamos planificado que vamos a sufrir el ataque, nuestra compañía mas va a tardar en recuperarse.
ANÁLISIS POSTERIOR
Una vez que todo esto nos haya pasado y aunque hayamos reaccionado y hayamos sido capaces de reaccionar rápido, es muy importante, después de sufrir un ciberataque, hacer un análisis, no con el ámbito ni el fin de buscar culpables, sino ver cómo hemos reaccionado y hacer un análisis forense a nuestra operativa, para mejorar.
No se trata de que hemos aplacado y hemos restaurado los datos, por tanto, nos olvidamos, no.
Una vez que hayamos recuperado la normalidad, sentémonos en nuestro departamento IT a analizar lo que ha pasado y a buscar puntos de mejora.
Más Encora Webinars
Esperamos que os haya gustado este webinar.
Recordad que podéis consultar todos los webinars y que os podéis suscribir a la Encora Newsletter para estar al día de todas nuestras novedades.
Gracias por compartirlo en redes sociales. Esperamos vuestros comentarios.
¡Hasta pronto!
