¿Qué lecciones se pueden aprender de la última serie de ataques de Ransomware? [cerrado]

Creo que una de las principales lecciones aprendidas es que los servicios de seguridad no deberían estar acumulando cero días y herramientas para explotarlos, (especialmente) si no pueden asegurarlos adecuadamente.

Lo que hay que recordar, sin embargo, es que WannaCrypt y Petya tenían parches disponibles antes de que golpearan y ambos también aprovecharon la mala configuración.

Además, muchas organizaciones que fueron golpeadas con fuerza podrían haber evitado un poco de dolor (posiblemente todo) si hubieran implementado prácticas de seguridad de correas y correas estándar.

La lección principal que las organizaciones deben aprender es que deben obtener los conceptos básicos a la derecha.

Por ejemplo:

Gestión de vulnerabilidades

Realice exploraciones periódicas de vulnerabilidades, comprenda la postura de seguridad de todos los activos y qué vulnerabilidades están presentes, qué amenazas están relacionadas con estas vulnerabilidades y qué riesgos representan para el estado de TI y el negocio al que atienden.

Esto incluye tanto los parches faltantes (es decir, MS17-010) como la configuración deficiente (es decir, tener SMBv1 habilitado).

Todo esto debe estar respaldado por procesos adecuados que permitan el descubrimiento continuo, la remediación de vulnerabilidades (ya sea mediante la acción o la aceptación del riesgo) y la confirmación de la remediación.

Lo ideal es que se conozcan y gestionen todos los riesgos en todo el patrimonio de TI.

Además, deben asignarse roles y responsabilidades para garantizar que todo lo anterior se realice correctamente. Esto incluye a los administradores de seguridad, analistas de seguridad, técnicos de TI de los administradores de vulnerabilidades, etc.

Gestión de parches

Asegúrese de que los parches se implementen de manera oportuna. Esto no solo significa presionar los últimos parches de Patch Tuesday. Esto también incluye comprender qué software tiene en su estado de TI y tener un inventario completo de activos para asegurarse de que todo esté parchado.

Controles de medios extraíbles

Asegúrese de que los medios extraíbles estén limitados a los dispositivos que solo están autorizados. Lo ideal sería que incluyera en la lista negra todos los medios extraíbles y la lista blanca de todo lo que usted apruebe. (Sin embargo, esto es solo mi opinión)

Prevención de malware

Asegúrese de tener algún tipo de AV en todos los puntos finales, al menos la heurística clásica y el AV basado en definición. (aunque hay soluciones más avanzadas disponibles) Asegúrese de que esté actualizado y funcione.

Recuperación de desastres

Asegúrese de tener copias de seguridad, incluidas las copias de seguridad de datos críticos fuera del sitio y fuera de línea.

Gestión de incidentes

Asegúrese de tener un plan para reaccionar ante un incidente de seguridad importante; asegúrese de contar con las personas adecuadas en los lugares adecuados y con los procesos adecuados.

Privilegio de usuario de control

Esto no hace falta decirlo realmente: asegúrese de que todos los usuarios tengan la menor cantidad de privilegios. Esto debería respaldarse para garantizar que se audite con regularidad.

Educación y compromiso del usuario

Asegúrese de que todo el personal entienda la política de seguridad de su organización. Realice ejercicios como campañas de phishing para probar a sus usuarios y brindarles capacitación para que puedan comprender los riesgos involucrados y estén mejor preparados para detectar correos electrónicos, sitios web, engendramiento social, etc. (Una vez más, esto es solo una vista, algunas personas pueden sugerir) esa seguridad no debería ser un problema del usuario, debería ser un problema de TI)

Buena higiene de seguridad de la red

Tenga los controles de acceso correctos en su perímetro, asegúrese de haber configurado correctamente los firewalls en todos los lugares apropiados de su red (con auditorías y revisiones de reglas regulares), y asegúrese de que los VLANS estén configurados correctamente con la segmentación necesaria. Asegúrese de que todos los usuarios remotos puedan conectarse de forma segura y que todos los dispositivos a los que se conecten tengan al menos niveles de parches 1 a 1 como dispositivos que ya están en la red. Además, asegúrese de tener controles robustos de BYOD.

Una lección que surgió antes es que las autoridades no deberían estar acaparando vulnerabilidades para sus propios fines. A través de la no divulgación extendida, pusieron en riesgo a las empresas y personas en lugar de hacerlas más seguras. Incluso si WannaCry y Petya no hubieran filtrado y utilizado el exploit de EternalBlue, sería un riesgo que los proveedores no corrigieran la vulnerabilidad en caso de que otras personas u organizaciones lo encontraran pero no lo divulgaran.

También instalando parches, enseñando a los usuarios los peligros del spam y la segregación de la red para sistemas críticos.

Si se refiere a los brotes de WannaCry y Petya.A, entonces las instrucciones son simples: siga las mejores prácticas de seguridad básicas, que son:

1) Instalar parches de seguridad a tiempo

2) No permita que los usuarios trabajen bajo privilegios administrativos (dominio y administradores locales)

3) No instale aplicaciones sospechosas de fuentes desconocidas

Con solo seguir estas 3 reglas simples, podrá proteger su sistema contra este tipo de ataques.

Estos son ataques masivos básicos, no los dirigidos.

1- Mantén tus sistemas operativos actualizados.
2- Almacene sus archivos en una nube o en un disco (sin conexión).
3- Mantenga segura la red de su negocio.