En los últimos días hemos visto noticias sobre el ciberataque mundial que ha «provocado problemas importantes a nivel mundial”. Es cierto que hacía tiempo que no se veía un ataque que fuera tan grave, global y problemático. Se ha hablado de cifras de infección de en torno a 300.000 equipos en 150 países, como una de las más elevadas. Sin embargo parece un número bajo comparado a las infecciones provocadas por malware anteriores, por citar algunos representativos:
Los datos hablan por sí solos y las comparaciones son odiosas, pero en cualquier caso, ¿se aprendió algo de estos otros malware con infecciones masivas? Todo indica que muy poco.
Las conclusiones y lecciones después de cada caso son muy similares. Nada nuevo pero no está demás listarlos.
COMPARATIVA ENTRE RANSOMWARE CONOCIDO Y WANNACRY
Recomendaciones y mejores prácticas
Actualice los sistemas a su última versión o parches según recomiendan las marcas
Respalde sus equipos e información crítica
Asegúrese que las actualizaciones que previenen amenaza, se han desplegado, y se han actualizado en toda su red.
Desconfíe de los documentos no solicitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente.
No abra archivos adjuntos desconocidos o emails con asuntos o remitentes desconocidos.
Segmente su red manteniendo equipos críticos separados de los sistemas que usan navegación web y correo electrónico.
Genere campañas permanentes de concientización de seguridad a sus colaboradores
Siempre confié solo en sitios oficiales para la descarga de parches
Evalúe los niveles de sensibilidad de sus herramientas Antispam y Filtro de correo.
Controle y monitoree el acceso de equipos externos a su red y verifique que cuenten con un nivel mínimo de seguridad.
Fuera de la recomendaciones y buenas prácticas presentadas también puede fortalecer la seguridad de su infraestructura tecnológica con tecnología disponible hoy en el mercado. Entre las recomendaciones queremos recomendar:
1. Next-generation Endpoint Protection: utilizan inteligencia artificial que permite identificar código malicioso sin ejecutar los archivos haciendo un análisis de “ADN” al código en cuestión, identificando patrones sospechosos como encriptación, borrado, ejecución de macros con malware, comportamientos anormales que vienen definidos desde el propio código. No importa si es una variante nueva, si está derivado de algún patrón identificado estos pueden determinar por su comportamiento que se trata de código malicioso.
2. Anti-spam: remueve amenazas en el correo entrante y saliente, bloqueo de spam, detecta amenazas que hayan traspasado las defensas perimetrales. Protege datos críticos utilizando DLP y tecnologías de reputación.
3. Proxy: Un filtro de navegación o contenido web filtra el tráfico entrante a la red de las páginas web para determinar si parte o todo el contenido debería ser desplegado al usuario. El filtro verifica el origen o contenido de una página web contra un conjunto de reglas o políticas definidas por la empresa o persona que instaló el filtro de contenido web. El objetivo principal bloquear acceso a paginas pornográficas, material no apropiado, spyware, virus, etc.
4. Intrusion Prevention System: La prevención de intrusiones es un enfoque preventivo hacia la seguridad de la red usado para identificar amenazas potenciales y responder (tomar acción) de forma rápida. Al igual que un sistema de detección de intrusos (IDS), un IPS monitorea el tráfico desde y hacia la red de una empresa.
5. Vulnerability Manager: La gestión de la vulnerabilidades es un enfoque proactivo para gestionar la seguridad de la red al reducir la probabilidad de que las fallas en el código o el diseño, falta de parches, entre otros, comprometan la seguridad de un endpoint o una red.
6. SIEM (Security Information and Event Management): es un enfoque a la gestión de seguridad que provee una vista holística de la seguridad TI. El principio fundamental de un sistema SIEM es que los datos pertinentes sobre la seguridad de una empresa se produce en múltiples lugares y ser capaz de mirar a todos los datos desde un único punto de vista hace que sea más fácil de detectar tendencias y ver los patrones que están fuera de lo común.
7. Network Access Control: NAC es un método de admisión a la red (alámbrica o inalámbrica) que llega a reforzar la seguridad en una red al restringir la disponibilidad de recursos en la red a solo equipos o dispositivos que cumplen con políticas de seguridad definidas.
8. Sandbox: es un entorno informático aislado en el que se puede ejecutar un programa o un archivo sin afectar a la aplicación en la que se ejecuta. Permiten ejecutar la aplicaciones y observar todos los cambio que este ejecuta en el sistema operativo para determinar si es una aplicación segura o si tiene código o comportamiento que pudiese ser peligroso al ser ejecutado por un usuario o sistema operativo en el ambiente de producción.
¿CONOCES TU GAP EN CIBERSEGURIDAD? Contáctanos AQUÍ!