Las organizaciones responsables deben tomar medidas decisivas tras un ataque de ransomware

Este post también se publicó en LinkedIn.

La reciente oleada de ataques de ransomware y la publicación de la nueva orden ejecutiva sobre ciberseguridad auguran un mayor escrutinio para las empresas que gestionan infraestructuras críticas y datos personales.

Los ataques de ransomware son cada vez más frecuentes: además del ataque a Colonial Pipeline, la semana pasada se interrumpieron los sistemas de salud de Irlanda y los atacantes pusieron en peligro a AXA Partners después de su anuncio de que sus pólizas de seguro dejarían de cubrir las demandas de ransomware. 

Los ataques como el de Colonial Pipeline tienen profundas implicaciones en el mundo real: millones de personas sin servicios, pérdidas millonarias en ingresos, reputaciones empañadas, caos y disfunción social general, y unos atacantes que reciben un pago y son libres de atacar otros objetivos. Los ataques de ransomware son la norma desde hace más de siete años. Muchas organizaciones, privadas y públicas, pequeñas y grandes, han sido víctimas de estos ataques. 

Y, sin embargo, las empresas siguen subestimando el riesgo de los ciberataques, especialmente del ransomware. Entonces, ¿por qué el ransomware no es una prioridad para todos?  Una auditoría previa de Colonial Pipeline mostró graves fallos en la estrategia de seguridad, y un investigador dijo que "un niño de trece años podría haber hackeado ese sistema". 

La reciente orden ejecutiva para mejorar la ciberseguridad de la nación y las leyes de privacidad más estrictas, como el RGPD y la CPRA, harán que las ramificaciones del robo de datos sean interesantes. 

La respuesta de Norsk Hydro a un ataque de ransomware en 2019 fue un modelo de cambio que mostró un profundo deseo de aprender, mejorar y (lo más importante) proteger los datos confiados a la empresa. Utilizaron el ataque para reconstruir la seguridad de su red desde cero utilizando arquitecturas de confianza cero que conectan a los usuarios con las aplicaciones directamente y limitan el movimiento lateral a través de los sistemas mediante la supervisión de los flujos de trabajo en diferentes implementaciones en la nube. 

¿Seguirá Colonial Pipeline su ejemplo?
 

¿Qué hemos aprendido del ataque a Colonial?

• No fue un ataque dirigido a los sistemas de control industrial (ICS) o de tecnología operativa (OT). A diferencia del ataque a Saudi Aramco de 2017, este ataque no presenta indicios de haber causado daños físicos en los oleoductos o de haber herido al personal de operaciones de la planta. Lo más probable es que se trate de un ataque que bloqueó los sistemas informáticos que gestionaban el inventario operativo y la logística. 
• Pagar el rescate no restaurará sus operaciones a tiempo. Una estrategia de respaldo y restauración bien planificada y probada puede evitar lo peor. Pagar el rescate solo fomenta más ataques. Un grupo de trabajo público-privado entregó un  plan de acción urgente de 81 páginas a la Casa Blanca en abril de 2021 que señalaba que enriquecer a los delincuentes de ransomware solo alimenta más delitos globales, incluido el terrorismo. 
• Las compañías de seguros están empezando a rechazar el pago de rescates. En lo que parece ser el primer caso del sector, la compañía mundial de seguros AXA dijo el pasado jueves que dejaría de suscribir pólizas de ciberseguro en Francia que reembolsen a los clientes los pagos de extorsión realizados a los delincuentes de ransomware (y luego se vio afectada por un ataque de ransomware).
• El gobierno de Estados Unidos por fin se da por enterado. La nueva orden ejecutiva de la Administración Biden exige a las organizaciones que vayan más allá del enfoque basado en el cumplimiento. "En un plazo de 60 días a partir de la fecha de esta orden, el jefe de cada agencia federal deberá... desarrollar un plan para implementar la arquitectura de confianza cero".
• La prevención es mucho menos costosa que la mitigación de las secuelas de los ataques. Es fácil ver que la pérdida de ingresos por el tiempo de inactividad no planificado supera con creces cualquier inversión en la defensa contra estos ataques.

¿Por qué la respuesta de Norsk Hydro a un ataque de ransomware se volvió el estándar de oro?

Los ataques de ransomware pueden mitigarse y prevenirse. Empresas como Norsk Hydro se han enfrentado a este tipo de ataques en el pasado y han compartido su experiencia con el mundo. ¿Qué hicieron?

• Norsk Hydro no pagó el rescate.
• La empresa hizo pública la noticia del ataque y fue transparente en su plan de respuesta.
• La empresa informó del ataque a las autoridades y colaboró estrechamente con el sector de seguridad para evitar ataques a otras empresas.
• Norsk Hydro aprovechó la oportunidad para reconstruir, rediseñar y reforzar su seguridad e infraestructura. 
• La empresa no niega la probabilidad de futuros ataques. 

Incluso con la mejor planificación, en la práctica un ataque exitoso es una realidad mucho más dura. Por ejemplo, Norsk Hydro no pudo utilizar ninguna de las impresoras para imprimir los procedimientos de seguridad para el personal de la planta. 

“Si Hydro no hubiera trasladado ya las comunicaciones a un servicio gestionado en la nube como O365, la situación habría sido más grave”. - Director Financiero (CFO), Eivind Kallevik. 
 

¿Qué debe hacer su organización de cara a planificar y prevenir los ataques de ransomware?

Evalúe el riesgo empresarial de su arquitectura de TI y OT y reduzca su superficie de ataque:

• No pase directamente a supervisar las amenazas de ICS sin analizar toda la superficie de ataque. 
• Haga las preguntas correctas al evaluar su situación de seguridad. ¿Tiene una red plana? ¿Sus redes de TI y OT comparten los mismos recursos (por ejemplo, controladores de dominio)? ¿Sus soluciones de seguridad de TI de diferentes proveedores trabajan juntas de forma nativa (como la integración de su secure web gateway con su solución de seguridad de puntos finales y SIEM) para romper la cadena de muerte? 
• Considere la posibilidad de ampliar la confianza cero a sus entornos de OT. Los atacantes no pueden llegar a los sistemas que no pueden ver en la Internet abierta. 

Las redes OT aisladas físicamente no responden a las necesidades del negocio:

• Permita el acceso a Internet de las estaciones de trabajo de ICS mediante el aislamiento del navegador. Un empleado de ICS con dos ordenadores portátiles puede crear una complejidad que produzca problemas de seguridad. 
• Sustituya las VPN por accesos de red de confianza cero (ZTNA) utilizando un enfoque de perímetro definido por software para el  acceso remoto de sus sistemas de OT.

Aplique la segmentación: 

• Segmente las redes de control, gestión y sensores de IIoT en los entornos de OT. 
• La meta no es la microsegmentación completa, ya que no hay suficiente tiempo de inactividad en la red de OT para implementarla. El mayor beneficio lo obtendrá protegiendo la intersección entre OT e IT.

Use la nube en su beneficio:

• Aprenda de la experiencia de Norsk Hydro y traslade el mayor número de funciones a la nube. Esto permite una recuperación más rápida y una mejor protección de los sistemas críticos.  
• La implementación del perímetro de servicio de acceso seguro (SASE)es una forma sencilla de reducir la superficie de ataque y la complejidad de su red ICS. 

En el ataque de SolarWinds, la débil contraseña interna que usó un becario para el software privilegiado condujo a la filtración masiva de miles de empresas y organizaciones gubernamentales, poniendo en peligro la seguridad nacional. Las contraseñas compartidas utilizadas en la planta de procesamiento de agua de Oldsmar pusieron en riesgo la vida de toda una ciudad. 

La reciente orden ejecutiva manifiesta el compromiso de mejorar la seguridad de las infraestructuras críticas de Estados Unidos. Dado que las empresas privadas gestionan gran parte de ellas, cabe esperar que la orden se extienda también a ellas.

Las acciones de las empresas que manejan la infraestructura crítica afectan a millones de personas. Las empresas responsables de las infraestructuras críticas deben utilizar las mejores prácticas de seguridad para garantizar la seguridad y el bienestar público.