Gran peligro al accesar por escritorio remoto (RDP) a tus servidores y equipos. Ransomware
El sector de servicios financieros se vuelve vulnerable al ransomware
Por Rick Vanover,
Director Senior de Estrategia de Producto de Veeam
En la actualidad, la industria de servicios financieros es un blanco atractivo para los ciberdelincuentes. Podría decirse que la información financiera, bancaria, comercial y de jubilación de los consumidores es uno de los datos más importantes que poseen las organizaciones, de forma que los negocios del rubro financiero tienen mucho en juego cuando de proteger y asegurar esos datos de forma adecuada se trata. El fracaso en este frente resultaría en daños increíbles a la reputación de la empresa y en enormes costos financieros.
En el Reporte de Tendencias de Protección de Datos 2020 de Veeam es de destacar que, entre los retos que los administradores de TI de las diferentes industrias en general consideran más preocupantes para este año, los ciberataques (liderados por el ransomware) ocupan la primera posición, tanto a nivel mundial como en la región que comprende a México, con 32% y 37% de las respuestas, respectivamente.
Si bien el ransomware es increíblemente complejo y representa una gran responsabilidad para las compañías, hay pasos que se pueden tomar para mitigar el riesgo desde el principio.
Entendiendo la amenaza
Los principales puntos de entrada para el ransomware en cualquier negocio son a través del Protocolo de Escritorio Remoto (RDP) u otros mecanismos de acceso remoto, phishing por e-mail y vulnerabilidades de software. Saber que estos son los 3 mecanismos principales es de gran ayuda para enfocar el alcance de dónde invertir el mayor esfuerzo para ser resilientes desde la perspectiva del vector de ataque. He aquí cada uno a detalle:
- RDP. La mayoría de los administradores de TI usan este protocolo para su trabajo diario, con muchos servidores RDP conectados directamente a Internet, cuando la realidad es que esto debe detenerse. Los administradores de TI pueden ser creativos en direcciones IP especiales, redireccionar puertos RDP, tener contraseñas complejas y más, pero es sabido que la mayoría del ransomware llega a través de RDP. Esto nos dice que exponer servidores RDP a Internet no se alinea con una estrategia de resiliencia de ransomware con visión de futuro.
- Phishing vía e-mail. Todos hemos visto correos electrónicos que no lucen bien; lo correcto sería eliminarlos. En combinación con capacitación para ayudar a los empleados a identificar e-mails o enlaces de phishing, las herramientas de auto-evaluación pueden ser un modo eficaz de defensa de primera línea.
- Riesgo de explotar vulnerabilidades. Mantener los sistemas actualizados es una antigua responsabilidad de TI que es más importante que nunca. Si bien no se trata de una tarea glamorosa, fácilmente puede parecer una buena inversión si un incidente de ransomware explota una vulnerabilidad conocida y parchada.
Los datos del respaldo
Con tanto en juego, las empresas de la industria de servicios financieros también deben prepararse para el peor de los casos, a través de un almacenamiento de respaldo ultra-resistente.
La Regla 3-2-1 es un buen punto de partida para una estrategia general de gestión de datos. Ésta recomienda que haya al menos 3 copias de datos importantes, en al menos 2 tipos diferentes de medios, con al menos 1 de ellas fuera. La mejor parte es que dicha regla no exige ningún tipo de hardware en particular, y es lo suficientemente versátil como para abordar casi cualquier escenario de falla.
Con todo, aun con estas prácticas las organizaciones deben estar preparadas para remediar alguna amenaza si se les presenta. Nuestro enfoque es simple: no pagar el rescate. La única opción viable es restaurar los datos. Adicionalmente, los negocios deben planificar su respuesta cuando se descubre un riesgo.
En cualquier tipo de desastre, la comunicación es uno de los primeros desafíos a superar. Es preciso contar con un plan sobre cómo comunicarse con las personas adecuadas, incluyendo listas grupales de mensajes de texto, números telefónicos u otros mecanismos que puedan ayudar a alinear las interacciones en un equipo extendido. Esta agenda de contactos también requiere expertos internos y externos en seguridad, gestión de identidades y respuesta a incidentes.
De igual forma, son importantes las conversaciones sobre quiénes serán las autoridades para la toma de decisiones, en el sentido de quién hará la llamada para restaurar u optar por provocar la caída de los sistemas antes de que ocurra el incidente. Una vez que se ha decidido restaurar, la empresa debe implementar controles de seguridad adicionales antes de volver a poner los sistemas en línea. De igual forma, hay que elegir si la recuperación de una máquina virtual (VM) completa es el mejor curso de acción, o si una recuperación a nivel de archivo tiene más sentido. Y finalmente, el proceso de restauración en sí ha de ser seguro: ejecutar análisis antivirus y anti-malware completos en todos los sistemas y obligar a los usuarios a cambiar sus contraseñas posteriormente a la recuperación es esencial.
Es cierto que el ransomware se está convirtiendo en una amenaza inefablemente dominante en la industria de los servicios financieros, pero en definitiva hay pasos que se pueden dar para mitigar los riesgos y prepararse para el peor de los escenarios. Para todas las empresas de la actualidad, contar con un plan de respaldo de prueba completo es increíblemente vital para garantizar que la empresa sobreviva y prospere ante posibles delitos cibernéticos.
FABIOLA GONZÁLEZ
PORTER NOVELLI
T +5255 5010 3200