10 áreas de control para mitigar contra los ataques de malware

El ataque de ransomware de WannaCry a principios de mayo de 2017 ha sacado a colación a muchas organizaciones lo vulnerables que son al malware.

De acuerdo con el estudio Estado Global de Ciberseguridad 2017 de Isaca, solo la mitad (53%) de las organizaciones tienen un proceso en marcha para hacer frente a los ataques de ransomware.

Pero a pesar del uso del exploit EternalBlue de la NSA en este caso (filtrado por los Shadow Brokers a principios de este año), la cuestión central que permitió que el ataque fuera tan exitoso como lo fue se reduce a la higiene de seguridad cibernética básica.

El problema es que la seguridad siempre ha sido vista como un centro de costos, y cualquier retorno de la inversión (ROI) en lo cibernético es muy difícil de articular.

Los consejos de administración y altos dirigentes deben ser conscientes de los riesgos y los costos asociados. La seguridad cibernética debe ser vista como un área estratégica para la supervivencia de una empresa, no solo como algo que es "agradable tener".

La mayoría de las organizaciones con una función de seguridad madura tienen fuertes controles técnicos de perímetro –como firewalls y antivirus–, lo que significa que la ruta preferida para los atacantes desde hace algún tiempo ha sido apuntar al ser humano.

Persuadir a un miembro del personal para que haga clic en un enlace permite al atacante desarrollar una presencia en la red, omitiendo todos los controles del perímetro. Combinado con las redes internas generalmente abiertas, esto permite a los atacantes o al malware buscar a través de la organización, encontrar datos interesantes y exfiltrarlos –o traer el ataque de WannaCry– para causar daño.

Desafortunadamente, no hay bala de plata, por lo que los controles deben ser puestos en capas para ser eficaces.

He desarrollado esta lista de 10 áreas de control que cualquier organización debe considerar, ya que todas ellas proporcionan una reducción mensurable en la probabilidad o el impacto de un intento de ataque:

1. Los protocolos de autenticación de correo electrónico como Dmarc ayudan a prevenir correos electrónicos con direcciones falsas, eliminando una de las técnicas de ataque más grandes en el perímetro. Luego pueden usarse las herramientas de puntaje de riesgo de correo electrónico para identificar correos electrónicos sospechosos y ponerlos en cuarentena para su análisis.
2. El entrenamiento de toma de conciencia contra el phishing muestra una rápida mejora en la identificación de los correos electrónicos de phishing, especialmente combinado con capacitación en escalada para aquellos que fallan. Poner un botón en el cliente de correo electrónico para informar sobre sospechas de phishing/malware permite al usuario ser parte de la estructura de defensa.
3. El cambio de cultura organizacional puede tener un efecto dramático. Alejarse de avergonzar a las personas que caen en la trampa de un phishing hacia un modelo que fomenta la divulgación ha demostrado que fortalece a todo el equipo y la organización.
4. Otro cambio de cultura es que la organización sea el ejemplo que quieren dar. Las organizaciones suelen incluir enlaces en sus correos electrónicos, por lo que es difícil persuadir al personal y a los clientes de dejar de hacer clic en los enlaces. Pasar a un sistema de comunicación impulsado por la información, donde se le dice al cliente que inicie sesión en su portal habitual para ver nuevos mensajes, reduce drásticamente el éxito del ataque de phishing.
5. La clasificación y el marcado de todos los datos de una organización, junto con los registros de activos de información completos, permiten un control proactivo del flujo de datos, una mayor eficacia del costo en función de los controles de protección, y un tiempo rápido para el descubrimiento completo en caso de brecha, que será un beneficio financiero directo en virtud del Reglamento General de Protección de Datos (GDPR).
6. Antivirus en la puerta de enlace y en el escritorio identifican el malware conocido, pero, para hacer frente al problema cada vez mayor del malware de día cero o nuevo, el uso de herramientas de alerta de comportamiento para identificar nuevos malware basados ​​en su actividad, buscando conexiones salientes o accesos anómalos es un paso esencial.
7. La segregación de red impide que el malware se mueva en la organización, limitando cualquier impacto al punto de entrada inmediato y a la red local. Combinado con la detección de intrusos o agentes de prevención en las joyas de la corona y un fuerte control de acceso basado en roles, se puede evitar de manera efectiva el acceso de los atacantes a datos sensibles.
8. El parchado debe ser un proceso automático y regular, pero muchas organizaciones posponen los parches para evitar el tiempo de inactividad, minimizar el costo o porque las aplicaciones requerirán ser rehechas. Combinado con los procesos de final de vida excesivamente largos, esto puede conducir a una propiedad de servidor y escritorio significativa que es vulnerable.
9. Se debe implementar herramientas de prevención de pérdida de datos en todos los puntos de salida, con reglas que van desde la coincidencia de firmas y la marca de agua o la detección de clasificación, hasta el análisis heurístico.
10. Los servicios de monitoreo de marca también deben ser empleados para escanear sitios de la web oscura para identificar archivos que han sido filtrados, para que la organización pueda mitigar el impacto.