La regla 3-2-1 para la protección de la empresa contra el ransomware
Rick Vanover, director sénior de estrategia de producto en Veeam
28/07/2020La guerra contra el ransomware es real. En los últimos años, este tipo de ataques se ha convertido en una auténtica amenaza para las empresas. Hemos visto grandes ataques que han dejado a empresas multinacionales, incluso a gobiernos, vulnerables e incapaces de seguir adelante con las operaciones cruciales para el cumplimiento de sus objetivos. En 2017, WannaCry paralizó a los departamentos TI de hospitales en toda Europa con más de 200.000 ordenadores afectados, lo que demuestra el potencial destructivo del ransomware.
Aunque WannaCry y Petya son todavía los ataques de ransomware más notorios, esta forma de ciberataque sigue en aumento, según el informe de 2019 sobre la evaluación de la amenaza de la delincuencia organizada en Internet (IOCTA) de Europol. Las empresas tienen que reconocer esta amenaza y dar los pasos necesarios para prepararse, defenderse y estar listas en caso de que tengan que reparar los daños. Éste es un paso clave para evitar una respuesta no planificada y, probablemente, ineficaz más adelante si se produce un ataque de ransomware. Una defensa fuerte y con diversos niveles para hacerle frente está compuesta por tres elementos fundamentales: formación, implantación y recuperación. Es más, contar con un enfoque de backup y restauración de datos ultra resiliente es vital para proteger la continuidad de las operaciones en el caso de que se produzca un incidente.
Formar a la empresa
Hay dos tipos principales de público objetivo para la formación: el personal TI y los usuarios corporativos. Es importante dirigirse a los dos grupos porque las amenazas pueden entrar por cualquiera de ellos.
Los principales puntos de entrada del ransomware en las empresas son a través del protocolo RDP (Remote Desktop Protocol) u otros mecanismos de acceso remoto, el uso de correos fraudulentos para robar contraseñas y las actualizaciones de software. Dicho de forma sencilla, en la mayoría de los casos, no obligamos a los delincuentes que se dedican a los ciberataques a que se esfuercen tanto como deberían si tenemos en cuenta el premio al que aspiran. Saber que estos son los tres principales mecanismos de acceso es de gran ayuda a la hora de delimitar dónde es necesario invertir más esfuerzo, para ser resiliente desde el punto de vista del vector de ataque.
La mayoría de los administradores TI utiliza RDP en su trabajo diario, con múltiples servidores RDP conectados directamente a Internet. La realidad es que no debemos seguir con el protocolo RDP conectado a Internet. Los administradores TI pueden ser creativos con direcciones IP especiales, redirigiendo los puertos RDP, con contraseñas complejas y mucho más, pero las cifras no mienten y más de la mitad de los ataques de ransomware entran por el RDP. Esto nos avisa de que exponer a los servidores RDP a Internet no es compatible con una estrategia previsora de resiliencia ante el ransomware.
El otro modo frecuente de entrada es a través de correos fraudulentos tipo phishing. Todos hemos recibido correos electrónicos que nos han dado mala espina. En esos casos, lo que se debe hacer es borrar ese correo. No obstante, no todos los usuarios lo gestionan del mismo modo. Existen herramientas populares que ayudan a evaluar el riesgo de phishing que plantea ese correo para la empresa como Gophish y KnowBe4. Si las combinamos con formación que ayude a los empleados a identificar los correos fraudulentos y enlaces tipo phishing, las herramientas de autoevaluación pueden ser un modo eficaz de contar con una primera línea de defensa.
El tercer punto a tener en cuenta es el riesgo de que se aprovechen de las vulnerabilidades. Mantener los sistemas actualizados es una responsabilidad TI que no es algo precisamente nuevo, pero que es ahora más importante que nunca. A pesar de que no se trata de una tarea llena de encanto, puede parecer una buena inversión para prevenir que un ataque de ransomware aproveche una vulnerabilidad conocida y con parche de seguridad. No debemos olvidar que es necesario actualizar las categorías críticas de los activos TI como los sistemas operativos, las aplicaciones, las bases de datos y el firmware de los dispositivos. Una serie de cepas de ransomware, incluyendo el WannaCry y Petya, se han basado en vulnerabilidades descubiertas previamente que se han corregido desde entonces.
Implantar y reparar
Incluso las empresas que cumplen con las mejores prácticas para evitar quedar expuestas al ransomware corren peligro. Aunque la formación es un paso crucial, las empresas deben prepararse por si pasase lo peor. Si hay un mensaje claro para los líderes empresariales y de los departamentos TI es que hay que tener algún tipo de almacenamiento de backup ultra resiliente.
En Veeam abogamos por la regla 3-2-1 como estrategia general de gestión de datos. Con esta recomendación se consigue que haya al menos tres copias de los datos importantes en dos tipos diferentes de medios y al menos una de esas copias desde estar off-site. Lo mejor de esta regla es que no exige un tipo concreto de hardware y es suficientemente versátil como para hacer frente a casi todo caso de fallo.
La copia ‘uno’ de la estrategia 3-2-1 tiene que ser ultra resiliente. Y con esto, lo que quiero decir es que debe ser una copia de datos inmutable, offline y en sistemas separados físicamente de la red (‘air-gapped’). Existen diferentes formas de medios en los que podemos almacenar esta copia de datos de un modo ultra resiliente. Estos medios incluyen las cintas, los backups inmutables en almacenamiento de objetos S3 o compatible con S3, medios offline y sistemas separados físicamente de la red o software como servicio para el backup y la recuperación en caso de desastre (DR).
A pesar de las técnicas de formación e implantación mencionadas, las empresas deben estar igualmente preparadas para reparar los datos que pueda provocar una amenaza. En Veeam nuestro enfoque es sencillo. No pagar el rescate. La única opción es restaurar los datos. Además, las empresas tienen que planificar su respuesta cuando se descubre una amenaza. Lo primero es ponerse en contacto con el soporte técnico. Los clientes de Veeam tienen acceso a un equipo especial con operaciones específicas que les guiarán durante todo el proceso de restauración de datos en caso de ataque por ransomware. No debemos poner los backups en riesgo, ya que son fundamentales para la recuperación.
En cualquier tipo de desastre, la comunicación se convierte en uno de los primeros retos a superar. Conviene tener un plan sobre cómo contactar con las personas correctas fuera de banda. Para eso se necesitan listas de mensajes de texto en grupo, números de teléfono y otros mecanismos que se suelen usar para unificar las comunicaciones en un equipo amplio. En esta lista de contactos también debemos incluir a expertos, internos y externos, en seguridad, para que den una respuesta en caso de incidentes y gestión de identidad.
También hay que hablar y debatir quién va a tener la autoridad para tomar decisiones. Las empresas deben elegir antes de que se produzca un incidente a la persona responsable de decidir si se restauran o migran los datos. Una vez que se ha tomado la decisión de restaurar los datos, las empresas deben implantar comprobaciones de seguridad adicionales antes de volver a poner los sistemas online. También hay que decidir si la mejor opción es recuperar toda una máquina virtual (VM) o si tiene más sentido una recuperación a nivel de archivos. Finalmente, el propio proceso de restauración debe ser seguro, ejecutando un escáner completo antivirus y antimalware en todos los sistemas además de obligando a los usuarios a cambiar las contraseñas tras la recuperación.
Aunque la amenaza del ransomware es real, con la preparación adecuada las empresas pueden incrementar su resiliencia ante estos ataques y así minimizar el riesgo de pérdida económica, pérdida de datos y el daño a la reputación de marca. La clave es un enfoque a múltiples niveles. Formar a los equipos TI y al personal minimiza los riesgos y maximiza la prevención. No obstante, es necesario implantar soluciones para garantizar que los datos están seguros y que se lleva a cabo el backup. Por último, conviene estar preparados para reparar los sistemas de datos mediante un backup completo y funciones de recuperación en caso de desastre si no bastasen las medidas de protección antes expuestas.