El ransomware se ha convertido en una amenaza engañosa, altamente coordinada y peligrosamente sofisticada capaz de paralizar organizaciones de cualquier tamaño. Los cibercriminales ahora explotan incluso las herramientas de TI legítimas para infiltrarse en redes y lanzar ataques de ransomware. En un ejemplo escalofriante, Microsoft reveló recientemente cómo los actores de amenaza usaron mal su herramienta de asistencia remota de asistencia rápida para implementar la destructiva tensión de ransomware negro Basta. ¿Y qué es peor? Innovaciones como ransomware como servicio (RAAS) están bajando la barra para la entrada, lo que hace que los ataques de ransomware sean más frecuentes y de gran alcance que nunca. Según CyberseCurity Ventures, para 2031, se espera un nuevo ataque de ransomware cada 2 segundos, con daños proyectados que alcanzan los $ 275 mil millones astronómicos anuales.
Ninguna organización es inmune al ransomware, y construir una estrategia de recuperación sólida es igualmente, si no más, importante que intentar evitar todos los ataques en primer lugar. Una sólida estrategia de continuidad comercial y recuperación de desastres (BCDR) puede ser su última y más crítica línea de defensa cuando se rompe el ransomware, lo que le permite recuperarse rápidamente del ataque, reanudar las operaciones y evitar pagar el rescate. En particular, el costo de invertir en BCDR es insignificante en comparación con la devastación que puede causar tiempo de inactividad prolongado o pérdida de datos.
En este artículo, desglosaremos las cinco capacidades esenciales de BCDR que debe tener para recuperarse de manera efectiva del ransomware. Estas estrategias pueden significar la diferencia entre la recuperación rápida y el fracaso comercial después de un ataque. Exploremos qué debe hacer cada organización antes de que sea demasiado tarde.
Sigue la regla de respaldo 3-2-1 (¡y luego algo!)
La regla de copia de seguridad 3-2-1 ha sido durante mucho tiempo el estándar de oro: mantenga tres copias de sus datos, guárdelos en dos medios diferentes y mantenga una copia fuera del sitio. Pero en la era del ransomware, eso ya no es suficiente.
Los expertos ahora recomiendan la estrategia 3-2-1-1-0. El adicional 1 significa una copia inmutable, una copia de seguridad que no se puede cambiar o eliminar. El 0 representa cero duda en su capacidad para recuperarse, con puntos de recuperación probados verificados.
¿Por qué la actualización? El ransomware ya no solo se dirige a los sistemas de producción. También busca activamente las copias de seguridad también. Es por eso que el aislamiento, la inmutabilidad y la verificación son clave. El almacenamiento de copia de seguridad basado en la nube y con el aire proporciona capas esenciales de protección, manteniendo las respaldas fuera del alcance de las amenazas que incluso usan credenciales de administración robadas.
Tener tales copias de seguridad inmutables asegura que los puntos de recuperación permanezcan sin modificar, sin importar qué. Son su red de seguridad cuando todo lo demás está comprometido. Además, este nivel de protección de datos ayuda a cumplir con las normas de seguros cibernéticos y obligaciones de cumplimiento.
Consejo de bonificación: Busque soluciones que ofrezcan una arquitectura de Linux endurecida para camuflar y aislar copias de seguridad fuera de la superficie de ataque de Windows común.
Automatizar y monitorear las copias de seguridad continuamente
La automatización es poderosa, pero sin monitoreo activo, puede convertirse en su punto ciego más grande. Si bien programar copias de seguridad y automatizar la verificación ahorra tiempo, es igual de importante garantizar que esas copias de seguridad estén realmente ocurriendo y que sean utilizables.
Use herramientas incorporadas o secuencias de comandos personalizados para monitorear los trabajos de copia de seguridad, activar alertas sobre fallas y verificar la integridad de sus puntos de recuperación. Es simple: supervise continuamente o arriesgue a descubrirlo demasiado tarde que sus copias de seguridad nunca le dieron la espalda. Probar y validar regularmente los puntos de recuperación es la única forma de confiar en su plan de recuperación.
Consejo de bonificación: Elija soluciones que se integren con los sistemas de boletos de automatización de servicios profesionales (PSA) para aumentar automáticamente alertas y boletos para cualquier hipo de copia de seguridad.
Proteja su infraestructura de respaldo de ransomware y amenazas internas
Su infraestructura de respaldo debe estar aislada, endurecida y estrechamente controlada para evitar el acceso o manipulación no autorizada. Usted debe:
- Bloquee su entorno de red de respaldo.
- Aloje su servidor de copia de seguridad en un segmento de red de área local segura (LAN) sin acceso a Internet entrante.
- Permita la comunicación saliente del servidor de respaldo solo a las redes de proveedores aprobadas. Bloquee todo el tráfico de salida no aprobado utilizando estrictas reglas de firewall.
- Permitir la comunicación solo entre los sistemas protegidos y el servidor de respaldo.
- Use firewalls y listas de control de acceso basadas en puertos (ACL) en los interruptores de red para hacer cumplir el control de acceso granular.
- Aplicar el cifrado a nivel de agente para que los datos estén protegidos en reposo, utilizando claves generadas a partir de una frase segura solo que controle.
- Haga cumplir los controles de acceso estrictos y la autenticación.
- Implemente el control de acceso basado en roles (RBAC) con roles de menos privilegios para los técnicos de nivel 1.
- Asegure la autenticación multifactor (MFA) para todo el acceso a la consola de gestión de copia de seguridad.
- Monitoree los registros de auditoría continuamente para obtener escaladas de privilegios o cambios de roles no autorizados.
- Asegúrese de que los registros de auditoría sean inmutables.
Revise regularmente para:
- Eventos relacionados con la seguridad como inicios de sesión fallidos, escaladas de privilegios, eliminación de copias de seguridad y eliminación de dispositivos.
- Acciones administrativas como cambios en los horarios de respaldo, cambios en la configuración de retención, la creación de nuevos usuarios y los cambios en los roles de los usuarios.
- Copia de respaldo y copia de seguridad (replicación) Tasas de éxito/falla y tasas de éxito de verificación/falla de verificación de respaldo.
- Mantente alerta a los riesgos graves.
- Configure alertas automáticas sobre violaciones de políticas y eventos de seguridad de alta severidad, como un cambio no autorizado a las políticas de retención de copia de seguridad.
Prueba de restauraciones regularmente e incluya en su plan DR
Las copias de seguridad no significan nada si no puede restaurarlos de manera rápida y completa, y es por eso que las pruebas regulares son esenciales. Los simulacros de recuperación deben programarse e integrarse en su plan de recuperación de desastres (DR). El objetivo es desarrollar la memoria muscular, revelar debilidades y confirmar que su plan de recuperación realmente funciona bajo presión.
Comience definiendo el objetivo de tiempo de recuperación (RTO) y el objetivo del punto de recuperación (RPO) para cada sistema. Estos determinan qué tan rápido y recientes deben ser sus datos recuperables. Las pruebas contra esos objetivos ayudan a garantizar que su estrategia se alinee con las expectativas comerciales.
Es importante destacar que no limite las pruebas a un tipo de restauración. Simule las recuperaciones a nivel de archivo, las restauraciones completas de metal desnudo y las fallas de nubes a gran escala. Cada escenario descubre diferentes vulnerabilidades, como retrasos en el tiempo, problemas de compatibilidad o brechas de infraestructura.
Además, la recuperación es más que una tarea técnica. Involucre a las partes interesadas en todos los departamentos para probar los protocolos de comunicación, las responsabilidades de roles y los impactos orientados al cliente. ¿Quién habla con los clientes? ¿Quién desencadena la cadena de mando interna? Todos deben conocer su papel cuando cada segundo cuenta.
Detectar amenazas temprano con la visibilidad de nivel de respaldo
Cuando se trata de ransomware, la velocidad de detección lo es todo. Si bien las herramientas de punto final y de red a menudo se destacan, su capa de respaldo también es una línea de defensa poderosa, a menudo pasada por alto. El monitoreo de los datos de copia de seguridad para anomalías puede revelar signos tempranos de actividad de ransomware, lo que le brinda un comienzo crítico antes de que ocurra un daño generalizado.
La visibilidad a nivel de copia de seguridad le permite detectar signos reveladores como cifrado repentino, deleciones masivas o modificaciones anormales de archivos. Por ejemplo, si un proceso comienza a sobrescribir el contenido del archivo con datos aleatorios mientras deja todas las marcas de tiempo modificadas intactas, esa es una bandera roja importante. Ningún programa legítimo se comporta de esa manera. Con una detección inteligente en la capa de respaldo, puede atrapar estos comportamientos y ser alertado de inmediato.
Esta capacidad no reemplaza las soluciones de detección y respuesta de punto final (EDR) o antivirus (AV); Los sobrealimenta. Acelera el triaje, ayuda a aislar sistemas comprometidos más rápido y reduce el radio de explosión general de un ataque.
Para obtener el máximo impacto, elija soluciones de respaldo que ofrezcan detección de anomalías en tiempo real y soporte de integración con su información de seguridad y gestión de eventos (SIEM) o sistemas de registro centralizados. Cuanto más rápido vea la amenaza, más rápido podrá actuar, y esa puede ser la diferencia entre una interrupción menor y un desastre importante.
Consejo de bonificación: entrenar a los usuarios finales para reconocer e informar actividades sospechosas temprano
Si BCDR es su última línea de defensa, sus usuarios finales son los primeros. Los ciberdelincuentes se dirigen cada vez más a los usuarios finales hoy en día. Según Microsoft Digital Defense Report 2024, los actores de amenaza están tratando de acceder a las credenciales de los usuarios a través de varios métodos, como los ataques de phishing, malware y fuerza bruta/contraseña. Durante el último año, alrededor de 7,000 ataques de contraseña se bloquearon por segundo solo en ID de Entra.
De hecho, los ataques de ransomware a menudo comienzan con un solo clic, generalmente a través de correos electrónicos de phishing o credenciales comprometidas. La capacitación de seguridad regular, especialmente los ejercicios de phishing simulados, ayuda a crear conciencia sobre las banderas rojas y los comportamientos riesgosos. Equipe a su equipo con el conocimiento para detectar señales de advertencia de ransomware, reconocer prácticas de datos inseguras y responder adecuadamente.
Fomentar los informes inmediatos de cualquier cosa que parezca mal. Fomentar una cultura de habilitación, no culpa. Cuando las personas se sienten seguras para hablar, es más probable que tomen medidas. Incluso puede llevarlo más lejos lanzando programas internos que recompensan la vigilancia, como una iniciativa de héroe de seguridad cibernética para reconocer y celebrar a los primeros reporteros de posibles amenazas.
Pensamientos finales
El ransomware no tiene que ser temido; tiene que ser planeado para. Las cinco capacidades BCDR que discutimos anteriormente lo equiparán para soportar incluso las amenazas de ransomware más avanzadas y garantizar que su organización pueda recuperarse de manera rápida, total y con confianza.
Para implementar sin problemas estas estrategias, considere Datto BCDR, una plataforma unificada que integra todas estas capacidades. Está construido para ayudarlo a mantenerse resistente, pase lo que pase. No espere una nota de rescate para descubrir que sus copias de seguridad no fueron suficientes. Explore cómo el datto puede fortalecer su resiliencia de ransomware. Obtenga el precio personalizado de Datto BCDR hoy.