Proteja el almacenamiento de datos de sus archivos del ransomware con seguridad integral

Se necesita un enfoque holístico de la seguridad para proteger sus datos del ransomware.

Cuando se trata de ransomware, una onza de prevención vale 3 veces la cura.

Su plan de continuidad empresarial puede verse muy similar cuando se trata de recuperar sus datos, ya sea que la pérdida de datos sea causada por un desastre natural o un ataque de ransomware. A principios de este año, cubrí Qumulo's controles de seguridad incorporados para ayudarlo a proteger sus datos del malware como parte de una postura de seguridad integral.  

En esta serie nos centraremos en el ransomware en el contexto de continuidad del negocio y recuperación ante desastres porque, con la llegada del ransomware como servicio (RaaS) y los enormes rescates que se pagan, los ataques van en aumento. Por ejemplo, la El FBI tiene investigaciones en más de 100 variantes de RaaS, muchas de las cuales se han utilizado en múltiples campañas de ransomware. Tiempo incidentes recientes de ransomware hComo han sido muy publicitados, muchos más se han mantenido en privado para proteger la reputación de las víctimas.

Los datos críticos para el negocio se cifran para obtener un rescate y los delincuentes cibernéticos reciben pagos por el bien de la continuidad del negocio. 

Según Sophos ' 2021 Estado del ransomware, un informe basado en datos de 5,400 tomadores de decisiones que representan a más de 30 países, organizaciones en promedio, solo recuperaron el 65% de sus datos después de pagar el rescate. Pero el costo para la continuidad del negocio, el tiempo de inactividad, es lo que más perjudica a las organizaciones. El informe indica que el rescate promedio pagado por las organizaciones medianas fue de 170,404 dólares. Sin embargo, la factura promedio para rectificar un ataque de ransomware, considerando el tiempo de inactividad, el tiempo de las personas, el costo del dispositivo, el costo de la red, la oportunidad perdida, el rescate pagado, etc. fue de 1.85 millones de dólares.

¿Cómo entra el ransomware? Déjame contar las formas…

Los ciberdelincuentes utilizan tácticas inteligentes para infiltrarse en el entorno de una empresa en múltiples niveles e implementar ransomware. Uno de los más comunes es la ingeniería social, un correo electrónico de phishing en el que se engaña a un miembro de la empresa para que comparta credenciales o descargue malware y deje entrar la amenaza. 

Las unidades USB, las redes de socios, las vulnerabilidades sin parches y las contraseñas fáciles de obtener son vectores de amenazas potenciales para que el malware ingrese. Los nuevos modelos de trabajo híbridos pueden crear más. Por eso es importante adoptar un enfoque holístico de la seguridad para evitar la entrada, detectar ransomware cuando suceda y evitar que se propague a otras partes de la red. Por último, pero no menos importante, un enfoque holístico incluye contar con un plan de continuidad empresarial que incluya datos copia de seguridad y recuperación ante desastres del ransomware.  

Ransomware: la anatomía de un ataque 

El ransomware puede infectar casi cualquier dispositivo con un sistema operativo o conexión digital, incluidos dispositivos de red, dispositivos IoT, computadoras de escritorio, servidores, cámaras digitales, impresoras y unidades zip. El objetivo de la mayoría de los ataques de ransomware es exfiltrar datos y / o cifrarlos para obligar a las organizaciones a pagar por claves para descifrar sus datos. Los ataques suelen ocurrir en fases:

  1. Obtenga acceso a la red y al menos un dispositivo inicial
  2. Infectar tantos dispositivos adicionales como sea posible para recopilar información
  3. Extraer datos
  4. Implemente módulos adicionales que; por ejemplo, cifrar datos
  5. Encriptar datos para extorsión

En la primera fase, los intrusos continúan recopilando más información sobre la infraestructura (usuarios, flujos de datos, topologías de red, dispositivos). Luego, en una etapa posterior, comienzan a filtrar datos y / o cargar malware adicional para iniciar otros subprocesos que pueden acceder a datos y cifrar archivos. 

Es por eso que se necesita una estrategia de gestión de riesgos eficiente que se centre en los vectores de ataque para prevenir infecciones o detectar fases tempranas en el punto de la red y computar dispositivos donde ocurrió la infección. El almacenamiento de datos se encuentra al final del ciclo de infección. Cuanto más tiempo se ejecuta el malware, más se propaga la infección, lo que complica la recuperación ante desastres y la reanudación de las operaciones.

Arquitectura de seguridad holística de Qumulo: descripción general 

Un enfoque de seguridad holístico para detección de ransomware captura datos de tantos dispositivos como sea posible para identificar eventos sospechosos en los puntos de entrada para su análisis y correlación. Tras la detección, se toman medidas para evitar que el ransomware obtenga acceso a las capas posteriores, incluido el almacenamiento de archivos.

Implementar un enfoque de seguridad integral que incluya técnicas de monitoreo de eventos, dispositivos, redes y computación, junto con correlación y análisis de datos, es preferible a las soluciones de seguridad en silos que están integradas en el sistema de almacenamiento. El objetivo es evitar que el ransomware se acerque a los datos de su archivo.

La plataforma de datos de archivos Qumulo está construido con la seguridad en su núcleo e incluye un amplio espectro de tecnologías modernas y servicios de datos diseñados para mantener los datos seguros. La arquitectura de software de Qumulo es un sistema de archivos especialmente diseñado con una pila de protocolos desarrollada de forma nativa. No utiliza código de terceros para los protocolos de acceso a datos de archivos. Las actualizaciones de software quincenales incluyen la imagen de Qumulo y el sistema operativo, y Qumulo integra las actualizaciones y las correcciones, incluidos los problemas comunes de vulnerabilidad y exposición (CVE). 

Por estas y otras razones, Qumulo puede respaldar una estrategia de seguridad integral en tres dominios. La prevención y detección se tratan en este artículo y la recuperación y reanudación en el segundo artículo de esta serie de dos partes:

  1. prevención para reducir su superficie de riesgo 
  2. Detección para descubrir y detener temprano actividades sospechosas. 
  3. recuperación y reanudación para respaldar la continuidad del negocio 

La plataforma de datos de archivos Qumulo

Un enfoque de seguridad integral es la mejor defensa contra el ransomware

Dominio holístico: prevención

Los ataques de malware más comunes ocurren fuera de su sistema de almacenamiento y desea evitar que lleguen allí. El primer objetivo del ransomware es estar detrás de su firewall y entrar en su red, donde el actor malo puede observar, moverse y planificar el ataque. Estas son muchas de las funciones de seguridad fáciles de usar que están integradas en el software del sistema de archivos Qumulo para reducir la superficie de amenaza disponible para el ransomware y otras vulnerabilidades. 

  • Sistema operativo Linux bloqueado: una imagen mínima de Ubuntu para reducir la superficie de riesgo
  • Actualizaciones quincenales de productos, con parches y funciones de seguridad integradas
  • El sistema de archivos se ejecuta completamente en el espacio del usuario (LD / LDAP)
  • Control de acceso basado en roles (RBAC): especifica lo que cada grupo de usuarios puede hacer con roles predefinidos y delega los privilegios mínimos.
  • Restricciones al acceso de archivos SMB y NFS a hosts en la red 
  • Enumeración basada en acceso (ABE): privilegios necesarios
  • La capacidad de ocultar recursos compartidos SMB (se necesita la ruta exacta para montar el recurso compartido)
  • Cifrado de datos (los datos en reposo están cifrados de forma predeterminada)
  • Los datos en el cable se pueden cifrar y configurar por recurso compartido

Prevención de ransomware: limite la accesibilidad a acciones y exportaciones

Dominio holístico: detección

Integración con lo moderno gestión de eventos e información de seguridad (SIEM) Las soluciones capturan datos de dispositivos y ofrecen enfoques holísticos para detectar y detener infecciones de malware. Un aspecto importante para los controles de detectives es la captura y correlación de eventos centrales. La ventaja de un enfoque SIEM centralizado es que proporciona una solución común para todas las instancias y servicios del centro de datos o la nube. Los datos se pueden recopilar fácilmente e indexar, filtrar, analizar, buscar y visualizar. Se pueden activar acciones automatizadas o semiautomatizadas cuando se detectan actividades sospechosas. Este es el enfoque más eficaz porque el ransomware se identifica y detiene antes de que llegue a su sistema de archivos. 

Qumulo envía registros de auditoría a las soluciones SIEM para detectar la actividad de amenazas.

Qumulo envía registros de auditoría en formato syslog estándar de la industria a las soluciones SIEM en el mercado, incluyendo Splunk, Elastic Search, AWS Cloudwatch y Azure Sentinel.

Además, los sistemas de detección de intrusos (IDS) pueden detectar patrones de tráfico de red peligroso; por ejemplo, consultas de servidor de nombres de dominio (DNS) anómalas que se utilizan para extraer paquetes de datos que se correlacionan con una técnica de explotación. Muchas empresas están utilizando sistemas de prevención de intrusiones (IPS) para los controles de detección con funciones avanzadas de protección contra incendios y detección de exploits que bloquean algunas categorías de ataques.

Implementar respuestas automatizadas usando la API de Qumulo

Programas de Plataforma de datos de archivos Qumulo admite todos los principales software de seguridad del mercado a través de su función de auditoría. Además, la API de Qumulo le permite iniciar acciones de mitigación automatizadas desde cualquier superficie de ataque en caso de que se detecte una actividad maliciosa. Hay varias formas de aprovechar la API de Qumulo con llamadas directas a la API y Qumulo proporciona bibliotecas de Python para simplificar el desarrollo de scripts de API y la CLI de Qumulo Core.

En la red, una vez que el sistema IDS ha detectado una actividad sospechosa o incluso maliciosa para un archivo, el sistema puede activar eventos automatizados para mitigar el riesgo. Qumulo proporciona una API REST rica que permite automatizar todo tipo de tareas de administración en el clúster, incluidas las tareas de mitigación de malware en caso de un evento de seguridad:

  • Establezca una cuota para un directorio o establezca el sistema completo en 0. Se evita cualquier nueva actividad de escritura (pero es posible que aún sea posible sobrescribir).
  • Establecer un recurso compartido para direcciones IP restringidas o de solo lectura
  • Eliminar privilegios de un usuario (s)
  • Tomar o restaurar una instantánea
  • Iniciar un análisis antivirus bajo demanda

La historia reciente ha demostrado que incluso los buenos controles de seguridad pueden superarse mediante ransomware; y por lo tanto, se necesita un medio para recuperar y reanudar las operaciones. El sistema de archivos de Qumulo admite estrategias de recuperación de desastres con algunos métodos muy efectivos y fáciles de implementar. servicios de datos que están integrados en Qumulo Core, incluidos codificación de borrado, instantáneas inmutables, copia de seguridad en la nube y replicación de políticas de instantáneas. 

En primera próximo artículo de esta serie, Cubriré el tercer dominio holístico: datos rrecuperación y reanudación de operaciones (reversión) después de un ataque de ransomware. 

Más información

Contáctanos

Comparta este artículo