Seguridad
Defensa contra el malware
Tener una sólida estrategia de defensa contra el malware es fundamental para cualquier empresa que quiera evitar el tiempo de inactividad.
admin
febrero 7, 2023
Hacer copias de seguridad de los servidores, estaciones de trabajo y otros dispositivos es una buena práctica y un imperativo empresarial, a pesar de eso las copias de seguridad por sí solas no garantizan la continuidad del negocio ni la protección de los datos.
Ciertamente la creación de una copia de seguridad, ya sea esta imágenes de disco o copias de archivos, es el inicio de un plan de recuperación de desastres, no es garantía de que una empresa pueda recuperarse si la copia de seguridad se daña. Sin embargo, una preocupación aún mayor podría ser el robo de los datos confidenciales si la propia copia de seguridad es robada o puesta en peligro por un atacante.
Los ciberdelincuentes de hoy en día son mucho más astutos y eficaces que los de generaciones pasadas. No obstante, a principios de la década de 2000, un ciberataque solía consistir en daños a los datos o en el robo de archivos. Nadie puede ignorar que, los atacantes pueden robar datos sin que las víctimas sepan que se ha producido el robo.
Es indudable que con tantos datos almacenados hoy en día en la nube, los atacantes sofisticados pueden redirigir las copias de seguridad o el almacenamiento de datos tradicional de las propias cuentas en la nube de la víctima a las de los atacantes.
Esencialmente, hoy tenemos organizaciones que guardan sus datos en las cuentas web de los atacantes, aunque a la víctima le parezca que sus datos están alojados de forma segura en su propio entorno de nube.
En particular, el caso de las organizaciones que guardan sus copias de seguridad en la nube, su equipo de ciberseguridad debe asegurarse periódicamente que realmente están guardando las copias en sus propias cuentas, y no en una cuenta redirigida.
De cualquier manera, utilizando credenciales de administrador de sistemas comprometidas y eludiendo la autenticación de segundo factor de manera similar a la de los ciberatacantes estatales rusos, en consecuencia pueden secuestrar una o varias cuentas de un servidor en la nube y acceder a los archivos corporativos, incluidas las copias de seguridad.
Es cierto que las copias de seguridad que no estén cifradas podrían verse comprometidas, por esto, los atacantes tienen la capacidad de leer los datos de la copia de seguridad y/o inyectar malware en la copia de seguridad, de modo que si los servidores de la organización se ven comprometidos más tarde, la copia de seguridad volvería a infectar los servidores cuando se restaurara la copia de seguridad.
En consecuencia, disponer de copias de seguridad cifradas no sólo es una de las mejores prácticas en materia de ciberseguridad, sino que es una de las 12 medidas de seguridad clave que la empresa de ciberseguros Marsh McLennan Agency incluye en su lista de los cinco principales controles de seguridad necesarios para obtener un ciberseguro.
Las copias de seguridad cifradas ocupan el primer puesto de la lista de controles esenciales, junto con la autenticación multifactor, la detección y respuesta de endpoints, la gestión de accesos privilegiados y el filtrado de correo electrónico y la seguridad web.
En particular los productos de copia de seguridad que supervisan las anomalías en los patrones de acceso y datos pueden utilizarse para identificar posibles programas maliciosos en el sistema, incluidos los ataques de ransomware.
Hasta cierto punto la integración de las copias de seguridad del servidor con el software de gestión de información y eventos de seguridad (SIEM) existente o con las aplicaciones de orquestación, automatización y respuesta de seguridad (SOAR) podría ayudar al equipo de seguridad de IT a identificar las anomalías del sistema que podrían alertar al equipo de un posible compromiso.
La creación de una estrategia de copia de seguridad que se anticipe a un ataque puede proporcionar una ventaja a la organización que realiza la copia de seguridad de sus datos.
Supongamos que los servidores de los que se hace la copia de seguridad ejecutan una versión de Windows, ya sea para estaciones de trabajo (Windows 10 u 11, por ejemplo) o una versión de Windows Server.
Si la organización es principalmente una empresa centrada en Windows, entonces un sistema de copia de seguridad adecuado sería ejecutar Linux y almacenar la copia de seguridad resultante en un sistema Linux no conectado a la red corporativa.
Aunque este enfoque no es infalible, eliminará un porcentaje considerable de los ataques diseñados para redes basadas en Windows.
En este sentido, si decides tener un sitio activo como copia de seguridad, un sitio que refleja exactamente la red existente, de modo que si la red principal falla, hay un duplicado listo para ocupar su lugar, considera poner cierta distancia entre los dos sitios.
Después de que un gran huracán azotara Florida a principios de la década de 2000, una empresa se vio obligada a desconectarse durante varias semanas porque su sitio activo estaba situado a pocos kilómetros de distancia.
Las inundaciones no sólo dañaron el centro de datos principal de la empresa, sino también el de respaldo. Sucesos similares ocurrieron tras el derribo de las dos torres del World Trade Center.
Un importante centro de datos estaba situado debajo de una de las torres.
Las empresas de las torres que utilizaban el centro de datos como su copia de seguridad en caliente no sólo perdieron todo lo que había en sus oficinas, sino también todas sus copias de seguridad cuando el centro de datos quedó enterrado bajo toneladas de escombros.
Una mejor opción es seleccionar una ubicación a cien o más kilómetros de distancia.
Si bien habrá un lapso de tiempo entre la escritura de los datos en un disco local y la escritura de esos mismos datos en la copia de seguridad en caliente, la separación física elimina cualquier efecto potencial de arrastre de un desastre natural como las inundaciones de un huracán o los daños causados por un incendio forestal masivo.
Rara vez una catástrofe natural afecta a instalaciones situadas a cien o más kilómetros de distancia, aunque podría ocurrir si las instalaciones se encuentran en largas líneas de catástrofes naturales, como las rutas habituales de los huracanes en la costa este.
De cualquier manera, proteger las copias de seguridad para que no se vean comprometidas, interceptadas o dañadas es una tarea esencial del equipo de ciberseguridad de una organización.
En general, los equipos de seguridad deberían redoblar sus esfuerzos para asegurarse de que todas las copias de seguridad están a salvo, son seguras, están cifradas y se almacenan en múltiples ubicaciones, incluyendo al menos una ubicación alejada de los servidores de origen.
Tener una sólida estrategia de defensa contra el malware es fundamental para cualquier empresa que quiera evitar el tiempo de inactividad.
El malware es un tipo de software diseñado para dañar gravemente o deshabilitar los sistemas informáticos, puede provocar el robo de datos.