El NIST recomienda soluciones complementarias, como un equipo de superhéroes de la seguridad
Para proteger con éxito los datos de su empresa contra el ransomware, debe proceder como si como si un equipo de superhéroes. Cada miembro del equipo tiene un poder singular que individualmente parece limitado. Pero juntos, pueden vencer al mal.
A medida que sigue aumentando el número de ciberataques, ay atacantes atacantes se vuelven más sofisticadas e innovadoras, es comprensible que las empresas se sientan superadas en esta batalla. Cada semana, más ejemplos de brechas de seguridad aparecen en los titulares mundiales, convirtiendo marcas como SolarWinds en en nombres muy conocidos, pero por razones equivocadas.
El coste económico de estas violaciones es asombroso. El Instituto Ponemon informa de que una de cada cuatro organizaciones sufrirá una filtración de datos en el próximo año y que el coste medio de estas filtraciones es de 3,92 millones de dólares cada una. Además, se tarda una media de 206 días en identificar una violación y 73 días en contenerla.
La avalancha de informes sobre ciberataques es desalentadora, pero existen recursos para ayudar a las empresas a hacer frente sistemáticamente a las amenazas.
Acerca de las Guías Prácticas de Integridad de Datos SP 1800-25 y SP 1800-26 del NIST
A conjunto de guías prácticas publicadas por el Instituto Nacional de Normas y Tecnología (NIST) destaca la eficacia de utilizar tecnologías complementarias para hacer frente a las amenazas-en otras palabras, utilizar un equipo de superhéroes para ayudarle a combatir al enemigo. Estas guías abordan la identificación y protección de activos frente al ransomware y la detección y respuesta a los ciberataques:
- SP 1800-25: Identificación y protección de activos contra ransomware y otros eventos destructivos
- SP 1800-26: Detección y respuesta al ransomware y otros eventos destructivos
Para demostrar un ejemplo de solución que ayudaría a las empresas a proteger sus activos de datos críticos frente al ransomware -una forma de posibles ataques contra la integridad de los datos-.NIST reunió las capacidades de un puñado de proveedores de seguridad, como Cisco, Symantec y Semperis.
He aquí algunos ejemplos de cómo el proyecto del NIST banillos la experiencia de los proveedores para abordar diferentes aspectos de la detección y respuesta a las amenazas de ransomware (una de las dos áreas en las que se centra la guía práctica). Tripwire y Semperis proporcionan supervisión de la integridad. Cisco, Glasswally Semperis contribuyen a la detección de eventos, incluida la capacidad de supervisar las anomalías de los usuarios, analizar los archivos adjuntos al correo electrónico en busca de desviaciones y detectar software malicioso de forma estática o dinámica. Micro Focus y Tripwire aportan capacidades de registro. Cisco, Symantec y Micro Focus proporcionan análisis forenses y analíticos sobre, por ejemplo, los efectos del malware, el tráfico de red y las anomalías en la actividad de la empresa.
En otras palabras, reunir a estos vendedores es como reunir a los Vengadores.
Superpoderes en mano, el NIST se embarcó en una ambiciosa misión para guiar a las organizaciones en métodos prácticos de protección de la integridad de los datos frente al ransomware.
Ejemplo del NIST caso de uso: Archivos adjuntos maliciosos en el correo electrónico
Para ilustrar cómo NIST reunió soluciones relevantes para hacer frente al ransomware, vamos a un ejemplo de una de las guías prácticas: detectar y responder al ransomware. Un escenario NIST identificas is "la creación de puertas traseras a través de vectores de correo electrónico." En este escenario un usuario abre un archivo adjunto malicioso en un correo electrónico (no es infrecuente)y tEl archivo adjunto obtiene archivos de un servidor web externo. Estos archivos crean cuentas en el servidor de autenticación. La solución a este problema, tal y como se define en el NIST incluyes una combinación de actividades:
- Registro e informes (para que el equipo de seguridad pueda actuar sobre las alertas)
- Detección de eventos en dos momentos: antes de que el archivo adjunto llegue a la bandeja de entrada del usuario y después de que se descargue en el sistema. sistema
- Mitigación y contención
- Análisis y análisis forenses, definidos en este caso de uso como la capacidad de ver el tráfico de red mientras el archivo adjunto obtiene archivos maliciosos del servidor web. servidor
Para este caso de uso, varios proveedores de proveedores (incluido Semperis) desempeñaban funciones de supervisión de la integridad, como proporcionar hashes de archivos y comprobaciones de integridad de archivos y software, supervisión de la integridad de los datos y supervisión de la integridad de Active Directory.
El NIST advierte: cuidado con la "naturaleza sensible del AD"
Al describir la resolución de este caso de uso, la guía señalas la importancia de realizar un seguimiento de los cambios en Active Directory como parte de la supervisión de la integridad, y no de una forma que dependa de una única fuente de información, sino de múltiples aspectos de AD.
Citando la "naturaleza sensible de AD", la guía del NIST recomiendas rastrear tanto la descarga maliciosa como los cambios que ésta haya realizado en la estructura de la cuenta. Este enfoque multifacético captura cualquier cambio en los permisos o credenciales privilegiadas, así como cualquier cambio que los hackers traten de ocultar eludiendo la auditoría de seguridad.
La solución de ejemplo del NIST proporcionassegún el informe, "varias capas de defensa" contra varios casos de uso de ransomware.
Conclusión clave del proyecto del NIST: Se necesita un conjunto de enfoques y soluciones que aborden cada uno un aspecto diferente del escudo de seguridad. Ningún producto por sí solo puede ofrecer todas las piezas del rompecabezas de la seguridad. Pero si comprende cómo encajan estas piezas, podrá proteger los datos de su empresa de ataques malintencionados.
Pruebe su escudo de seguridad
Así como Loki pone a prueba constantemente al colectivo Vengadoresusted debe poner a prueba su defensa contra los ataques de ransomware a la integridad de los datos de su organización.
Pero muchas empresas no llevan a cabo planes de prueba. En una encuesta de Semperis a profesionales de la seguridad informática, líderes de IAM y ejecutivos de nivel C, muchos encuestados afirmaron que "tienen un plan de recuperación ante ciberdesastres de AD pero nunca lo han puesto a prueba".
No dejes deje que le ocurra a usted. La solución de ejemplo del NIST ofrece orientación práctica sobre escenarios comunes y las capacidades que necesita para hacer frente a la amenaza del ransomware. Puede utilizar las instrucciones de la guía del NIST para reproducir la solución práctica y probarla en su propio entorno.
Y aunque el NIST no respalda explícitamente los productos utilizados en la compilación, la guía muestra cómo los investigadores unieron las soluciones para formar una defensa cohesiva contra los casos de uso de ransomware de ejemplo. En NIST investigadores del NIST recomiendan utilizar la guía como plataforma de lanzamiento para formular un plan que funcione en su entorno, elaborado a partir de un conjunto de productos que satisfagan las necesidades de su organización.
¿Ha estado posponiendo la realización de una prueba exhaustiva de sus defensas contra el ransomware? Esa falta de preparación no le va a permitir superar el tipo de batalla épica a la que se enfrentan las empresas que han sido víctimas del ransomware.
Como Thor, tienes que reunir un equipo de superhéroes para salvar a tu empresa del ataque de los ciberdelincuentes.