El ransomware es el flagelo del equipo de seguridad de TI moderno. Si se llegara a propagar en su entorno de TI, podría sacar del mercado a su organización, negando el acceso a datos de misión crítica durante días, o incluso indefinidamente. ¿El resultado? La interrupción en la entrega de servicios, la pérdida de productividad y un serio golpe a la reputación e ingresos. Algunos creen que la mejor respuesta es detenerlo en el gateway de correo/web y capacitar al personal para que pueda identificar mejor los correos electrónicos sospechosos. Si bien esto es de suma importancia, no lo es todo. Los criminales cibernéticos también buscan seguir otro vector de ataque, dirigiéndose directamente a sus servidores – explotando vulnerabilidades que no se han parchado y sistemas que ya no reciben soporte.
Es por eso que la seguridad para los servidores es una parte esencial de la defensa en diferentes niveles que las organizaciones necesitan implementar para mitigar efectivamente el riesgo de un ataque de ransomware.
Aplicación oportuna de parches
Los servidores son el lugar donde reside gran parte de los datos valiosos, así que es natural que los criminales vayan directamente a esta parte de la infraestructura de TI. Puede verse en las nuevas amenazas como SAMSAM, que en lugar de llegar en la forma de un URL malicioso o como un archivo adjunto de un mensaje de correo electrónico, explotan las vulnerabilidades de los servidores a las que no se les han aplicado parches. Este ransomware ya ha obligado al cierre temporal de 10 hospitales de Maryland, que eran parte de la red MedStar, y ha estado provocando problemas similares en el sector educativo.
Ningún profesional de la seguridad de TI puede negar la importancia de la aplicación de parches. Pero no siempre es algo fácil de hacer. Los entornos de TI modernos son sistemas heterogéneos complejos que requieren que los departamentos de TI se encarguen de manejar múltiples mecanismos de parcheo. Para los sistemas de misión crítica, algunas veces los parches se retrasan debido a que las organizaciones simplemente no pueden darse el lujo de apagar sus sistemas para resolver los errores recientemente descubiertos. Se estima que las firmas tardan entre 100 y 120 días en promedio aplicar los parches a las vulnerabilidades recientemente descubiertas. Y basta con que una sola explotación penetre a su organización para que ésta ocupe los titulares de los medios como la nueva víctima del ranssomware. Además, por razones operativas o financieras, los sistemas de muchas organizaciones ya no reciben soporte de sus proveedores, como es el caso de Windows 2003, para el cual ya no existen parches de seguridad, y por lo tanto están aún más expuestos a una infección.
Actualmente, son más las compañías que están operando una combinación de entornos físicos, virtuales y de nube, lo que añade mayor complejidad al marco de seguridad. Esta complejidad puede dejar brechas que los criminales están prestos para explotar. Probablemente usted haya implementado la seguridad perimetral, por ejemplo, pero ¿y si un endpoint comprometido tiene acceso a un servidor de archivos vulnerable? Entonces usted tiene un ataque que comienza dentro de la red, evadiendo los controles de seguridad tradicionales. Y por supuesto, no hay un perímetro en la nube… ¿entonces qué puede hacer?
Ampliar su fortaleza
La respuesta radica en soluciones avanzadas de seguridad para servidores como Trend Micro Deep Security, que se diseñó para proteger a los servidores en los entornos físicos, virtuales y de nube con seguridad basada en el host para proteger a los servidores contra una amplia variedad de amenaza, incluyendo al ransomware. Tener un producto con múltiples controles es una excelente manera de aumentar la seguridad y reducir los costos de la gestión de TI. Deep Security incluye múltiples controles que pueden evitar que el ransomware llegue a su centro de datos:
• Análisis anti-malware y reputación web, que aprovecha los datos de la Smart Protection Network para evitar que el software malicioso ataque a un servidor y bloquear la comunicación saliente para conocer los dominios malos
• Seguridad para la red, que integra la prevención de intrusiones (IPS) que evita que las vulnerabilidades sean explotadas – incluyendo a los sistemas que ya no reciben soporte como Windows 2003 – y la instalación potencial resultante de software malicioso (incluyendo ransomware). También puede detectar y prevenir el movimiento lateral cuando el ransomware intenta propagarse a otros servidores
• Seguridad del sistema, que incluye el monitoreo de la integridad que puede ofrecer visibilidad de los cambios que experimenta el sistema en los archivos, los puertos, y más, que presentan una actividad de software malicioso
Deep Security también ofrece protección adicional específicamente para el ransomware:
• Detección y alerta de la comunicación de Comando y Control (C&C), lo que le brinda a su organización la posibilidad de ver si hay ransomware en su red
• Detección y Prevención de Actividades Sospechosas: Deep Security identificará, detendrá y alertará sobre ransomware que esté intentando infiltrarse en el centro de datos a través de un usuario comprometido que se conecta a un servidor de archivos Windows o Linux.
Los creadores de ransomware han descubierto una excelente manera de ganar dinero fácil, Pero seguirán adaptando sus ataques para evitar las defensas corporativas. Así que debemos ser más inteligentes y adaptar nuestra propia postura de seguridad para reducir los riesgos en todos los posibles puntos de infección. Trend Micro recomienda la seguridad de los servidores como la pieza final de una estrategia de defensa de diferentes niveles, que integre la protección en el gateway de correo electrónico y web, el endpoint y la red.
En Trend Micro, ¡le decimos NO al ransomware! La clave está en detener al malware antes de que llegue a su organización – a través de una seguridad de capas, incluyendo al gateway de correo y web, los endpoints, la red y los servidores.
Leave a Reply