Blog de WatchGuard

Medidas clave de la guía de NIST contra el ransomware

En los últimos años, los ciberataques de ransomware han incrementado su actividad y virulencia y con ello, han logrado poner en jaque a organizaciones de todo tipo y tamaño: de hecho, generaron unas pérdidas globales de 20.000 millones de dólares solo en 2020, superando a los 11.500 millones del año anterior, de acuerdo con Cybersecurity Ventures.

Wannacry es probablemente el ransomware más popular porque afectó a miles de compañías de todo el mundo en 2017. Sin embargo, también existen ejemplos recientes de instituciones públicas que aparentemente deberían estar mejor protegidas, como fue el caso de Babuk con la policía de Washington D.C., o  Ryuk con el Servicio Público de Empleo Estatal (SEPE) de España. Aunque estos ejemplos son relativamente recientes, en WatchGuard dedicamos una infografía sobre la historia del ransomware que incluye muchos más, lo que demuestra la creciente proliferación de estas amenazas.

Marco de medidas

En este contexto de amenazas cada vez más frecuentes, el Instituto Nacional de Estándares y Tecnología de EEUU (NIST, por sus siglas en inglés) ha publicado el borrador de una guía que contiene un marco para que las organizaciones puedan hacer frente al ransomware. Incluye referencias rápidas con recursos, documentación y enlaces sobre cómo implementarlas. Este marco está reflejado en una tabla que la organización denomina “The ransomware profile”. Dicha tabla está dividida en 5 grandes apartados:

  • Identificar: se trata de poseer una visión completa de la organización, con un inventario de todos los profesionales, activos, datos y capacidades, con el fin de estar mejor preparado para gestionar las amenazas cuando se produzcan.
  • Proteger: planificando medidas preventivas para asegurar la operatividad de los servicios clave de la organización. Deben incluir siempre la capacidad de limitar o contener el impacto de un posible incidente de ciberseguridad.
  • Detectar: realizando actividades destinadas a identificar un incidente de ciberseguridad.
  • Responder: ejecutando las acciones más oportunas cuando el incidente ya se ha producido dentro de la organización
  • Recuperar: desarrollando planes de resiliencia para así poder restaurar cualquier capacidad o servicio que se viera afectado por el incidente. Esto incluye la vuelta a las operaciones con normalidad.

Medidas preventivas

Para complementar al marco, el documento también proporciona una serie de recomendaciones generales de manera resumida para la prevención y mitigación de incidentes relacionados con ransomware. Estas medidas son:

  • Mantener los sistemas actualizados y ejecutar periódicamente revisiones de las actualizaciones.
  • Permitir solo aplicaciones autorizadas previamente por los profesionales de ciberseguridad o de TI.
  • Restringir el uso de dispositivos personales en las redes corporativas.
  • Promover el uso de cuentas de usuario estándar en lugar de cuentas con privilegios administrativos, siempre que sea posible.
  • Evitar el uso de aplicaciones y software no corporativo, como clientes de correo electrónico personal, chat y redes sociales, desde los dispositivos de la empresa.
  • Tener cuidado con las fuentes desconocidas. No abrir archivos ni hacer clic en enlaces de fuentes desconocidas a menos que primero se ejecute un análisis.
  • Bloquear el acceso a sitios de ransomware, mediante soluciones de ciberseguridad que bloqueen el acceso a sitios de ransomware ya identificados como tal.
  • Utilizar software antivirus en todo momento y configurarlo para escanear automáticamente correos electrónicos y unidades flash.

Aunque la mayor parte de estas recomendaciones se circunscriben al ámbito de las buenas prácticas de ciberseguridad, en varias de ellas las herramientas tecnológicas juegan un papel fundamental. Es el caso del bloqueo de sitios de ransomware y el análisis en busca de amenazas, tanto en fuentes externas (links, archivos, etc.), como en el propio sistema.

En este sentido, WatchGuard Endpoint Security ofrece una respuesta a esas necesidades, para que los MSPs puedan implementar en las organizaciones la mejor protección posible ante las amenazas cada vez mayores de ransomware. Con WatchGuard EPDR, podrá reunir funcionalidades de protección para los endpoints (EPP) y de detección y respuesta (EDR) en una sola solución. Además, también incluye el servicio Zero-Trust Application, por el que se desconfía por defecto de cualquier binario antes de su análisis y cuenta con funcionalidades como el filtrado de direcciones URL, control de dispositivos y un firewall gestionado. De esta manera, los ciberatacantes tendrán muchas menos opciones de que su ransomware se infiltre, se ejecute o bloquee los sistemas de la organización.