¿Cuál es la mejor manera de que una pequeña y mediana empresa (PYME) se proteja de los ataques de ransomware? No es una cuestión menor si tenemos en cuenta que el ransomware está afectando a empresas de todo el mundo. Mandiant ha indicado que este tipo de ataques va en aumento y su crecimiento no parece frenar en lo más mínimo. A continuación se indican las actividades en las que deben centrarse las PYME para mitigar el riesgo de ataques de ransomware.
Disponer de un plan de copias de seguridad y un proceso de recuperación probados
Algunas personas piensan que la autenticación multifactor (MFA) es la mejor manera de proteger una empresa, pero tener un proceso de copia de seguridad y recuperación es aún mejor. Con demasiada frecuencia, las empresas se olvidan de tener un proceso de copia de seguridad y recuperación probado. Especialmente para las empresas con servidores locales y controladores de dominio, es necesario tener un proceso en el que alguien de la empresa o un consultor o proveedor de servicios gestionados realice una prueba real de un proceso de recuperación.
Es posible que tenga que tomar posesión de la imagen de recuperación para restaurar completamente un servidor Hyper V o una máquina virtual a una condición de trabajo completa. Asegúrate también de tener un guión o manual de recuperación para que el personal de recuperación sepa los pasos adecuados a seguir. Estos pasos documentados ayudarán a reducir el estrés del evento.
No hay conexiones de escritorio remoto con el público
Nunca exponga los servidores a conexiones de escritorio remoto dirigidas al público. Muchos ataques de ransomware comienzan con atacantes que adivinan contraseñas o encuentran repositorios de contraseñas administrativas dejadas en bases de datos en línea y repositorios de GitHub. A menudo somos nuestros peores enemigos cuando se trata de las credenciales, así que evite utilizar el Protocolo de Escritorio Remoto (RDP) público en las redes de producción.
Limitar las credenciales de administrador y de administrador de dominio
Revise cuidadosamente su red para el uso de credenciales de administrador local y de administrador de dominio. Con demasiada frecuencia, las PYME toman el camino más fácil y permiten a los usuarios ser administradores locales sin restricciones. Peor aún es cuando se configura una red que proporciona a los usuarios derechos de administrador de dominio.
No hay ninguna razón para que un usuario de la red tenga funciones o derechos de administrador de dominio. Durante muchos años, los proveedores solían asignar derechos de administrador de dominio porque era una forma fácil de hacer que una aplicación funcionara correctamente. Los proveedores han pasado de conceder derechos de administrador a exigir la instalación en el perfil del usuario, pero algunos consultores siguen enfrentándose a redes en las que los usuarios son administradores de dominio. Ningún usuario de su organización debe ser administrador del dominio.
Disponer de una política de confirmación de las transacciones financieras
Para asegurarse de que su organización no se vea afectada por los ataques BEC (Business Email Compromise), debe contar con un proceso acordado para gestionar las transacciones financieras, las transferencias y las remesas. Los atacantes suelen saber que tienes proyectos en marcha y te enviarán correos electrónicos para que transfieras fondos a una cuenta de su propiedad. Confirme siempre con la organización receptora que la información de la cuenta es correcta. Si se introducen cambios en el proceso, debe haber un proceso de aprobación documentado para garantizar que el cambio es adecuado.
Aislar los servidores de cara al público
Los servidores web públicos no deberían poder conectarse a los sistemas internos si se trata de una PYME, ya que los recursos necesarios para protegerlos y mantenerlos adecuadamente suelen ser demasiado elevados. Busque soluciones que pongan límites y divisiones entre los recursos web externos y las necesidades del dominio interno.
Revisar el acceso a los asesores
Los atacantes siempre están al acecho de un eslabón débil, y éste suele ser un consultor externo. Así que asegúrate de que sus herramientas de acceso remoto son correctas y están actualizadas; los consultores también tienen que entender que a menudo son el punto de entrada a una empresa, así que tienes que discutir con ellos cuáles son sus procesos.
Centrarse en las vulnerabilidades conocidas y explotadas
Aunque los consultores de seguridad instan a las empresas grandes y pequeñas a activar las actualizaciones automáticas, las pequeñas empresas no tienen muchos recursos para probar los parches y a menudo evitan asegurarse de que las actualizaciones no tengan efectos secundarios.
Implantar o actualizar la detección y respuesta de puntos finales
La detección y respuesta de puntos finales (EDR) es cada vez más asequible para las pymes. Microsoft 365 Business Premium ha habilitado EDR en la forma de Microsoft Defender for Business.