Recientemente hablé con Ryan Chapman del Instituto SANS, autor del próximo curso SANS FOR528: Ransomware for Incident Responders, sobre cómo prepararse mejor para el ransomware. Esta preparación tiene dos vertientes: la planificación de la respuesta a un ataque de ransomware con éxito y la superación de las barreras para reforzar la red.
Planificación de un ataque de ransomware
Restaurar desde un ransomware no debería ser más que restaurar una copia de seguridad, pero la realidad es que a menudo no se tiene ni idea de lo que se necesita restaurar hasta que se afronta el proceso de restauración. En una mesa redonda de SANS se debatió recientemente sobre la conveniencia de pagar un rescate. En un mundo perfecto no pagaríamos a los atacantes. En efecto, el pago alimenta la industria del ransomware, pero no es tan evidente. La restauración a partir de las copias de seguridad también lleva tiempo y es posible que te des cuenta en caliente de que te falta el controlador de una máquina clave o de que una clave de producto que creías almacenada en algún sitio no está ahí. La mejor práctica es realizar pruebas de recuperación y seguir los procesos planificados, pero con los departamentos de TI al límite, estas mejores prácticas a menudo se quedan en el camino.
Las empresas deben decidir si tomar la línea dura y no pagar o pagar el rescate y posiblemente volver al negocio más rápido. Chapman señala que las herramientas de descifrado no suelen estar bien codificadas, y descifrar una red puede ser tan lento como restaurar desde una copia de seguridad.
También es aconsejable identificar de antemano qué activos digitales son críticos para garantizar la continuidad de la empresa. Haga un inventario de los recursos críticos y determine qué procesos son necesarios para restaurarlos completamente sin los procesos normales de recuperación. Chapman recomienda prepararse mentalmente para no recuperar todos los datos. Hay que priorizar absolutamente.
Con demasiada frecuencia, en Active Directory no hacemos copias de seguridad de los sistemas clave; nos limitamos a replicar y distribuir. Imagina una situación en la que la replicación no es un método de recuperación apropiado. Es una cuestión de lo que se necesita para recuperar potencialmente toda la red. No tendrá procesos ni personal para ocuparse de ello. Es posible que no disponga de un Directorio Activo en funcionamiento para una recuperación normal. Es posible que no tenga scripts, ni políticas de grupo, ni ninguna de las herramientas que usted da por sentadas. Es posible que ni siquiera disponga de su sistema de correo electrónico habitual para comunicarse dentro de su organización.
Chapman recomienda tanto identificar consultores y recursos externos para ayudar en el proceso, como identificar metodologías de comunicación alternativas que pueda necesitar que no incluyan cuentas de correo electrónico personales.
Refuerce su red contra el ransomware
La mayoría de las organizaciones con las que interactúa Chapman son las más perjudicadas por los ataques de ransomware porque se les impide aplicar rápidamente los parches y actualizar a plataformas compatibles y más seguras. Chapman ve dos tipos de bloqueos: internos y externos.
El bloqueo interno se debe a menudo a la dependencia de la empresa de soluciones autocodificadas que se han ido construyendo a lo largo del tiempo y que pueden no ser revisadas por código externo o no ser entendidas lo suficientemente bien como para conocer el impacto cuando se realizan cambios. Especialmente en el caso de las implantaciones en entornos a gran escala, el impacto de una nueva configuración de seguridad o de un nuevo nivel de características en el bosque de Active Directory no se conoce hasta que se produce la implantación real. Las empresas pueden hacer pruebas, pero a menudo sólo se ve un impacto más real cuando la solución se despliega en la red.
El bloqueo externo, que se produce cuando los proveedores de la empresa no certifican una plataforma para un nuevo ajuste de seguridad o plataforma, impide la implementación de un ajuste que podría proporcionar mayor seguridad.
¿Qué se puede hacer para superar estos bloqueos? En primer lugar, identifique los recursos clave que necesita restaurar rápidamente y asegúrese de que entiende cómo restaurar utilizando medios alternativos. A continuación, averigüe qué software de su organización está causando los bloqueos y por qué. Si el proveedor resulta estar bloqueado para sus necesidades de implantación, vea si puede añadir requisitos y ajustes contractuales y presione a sus proveedores para que lo hagan mejor. Si las implementaciones internas de software están causando los bloqueos, compruebe si la parálisis es real. ¿Ha experimentado la empresa errores reales de software debido a la implementación de nuevas configuraciones y software, o la parálisis se debe a la falta de recursos para las pruebas? Insta a los distintos equipos de la empresa a trabajar juntos.
La importancia de Windows Server 2016
Demasiados de nosotros seguimos confiando en plataformas de servidor antiguas que dificultan la implementación de soluciones de seguridad a través de Active Directory. Podemos tener servidores con Windows Server 2016 y Server 2019 a bordo en nuestra red, pero no estamos aprovechando las características de seguridad de ese nivel funcional del dominio. Demasiados de nosotros estamos todavía en niveles anteriores de funcionalidad de bosques y dominios porque tenemos servidores o aplicaciones más antiguos y una falta de pruebas que nos impide implementar estas nuevas características. O tenemos proveedores que no certifican las nuevas plataformas y la funcionalidad de Active Directory.
El aumento del nivel de bosque a Windows Server 2016 proporciona muchas características que protegen mejor la red, como la gestión de acceso privilegiado y la transferencia automática de secretos NTLM a una cuenta de usuario. Si su capa funcional sigue estancada en Windows Server 2008 R2, no tiene una interfaz de usuario para la papelera de reciclaje de Active Directory (lo que facilita la restauración). Además, no puede deshacerse de un antiguo defecto de seguridad de las contraseñas inmutables en sus cuentas de servicio si todavía está utilizando el nivel funcional 2008 R2.
Aumentar el nivel de su dominio significa que puede implementar características como Windows Defender Credential Guard, que protege las credenciales NTLM y Kerberos en Active Directory para que no sean recogidas por los atacantes. Necesitará las licencias adecuadas de Windows 10 Enterprise o Microsoft 365 para implementar esta funcionalidad en sus estaciones de trabajo.
El gran costo del ransomware es la interrupción del negocio. Tenemos que situar la protección y la detección en lo más alto de nuestras listas de prioridades, junto con la transparencia y el intercambio de información. Tenemos que hacerlo mejor, porque ahora mismo los atacantes son mejores que nosotros.
CambioDigital OnLine