La firma de seguridad ofensiva Bishop Fox dio a conocer una hoja de ruta para que las empresas estén alineadas y preparadas ante un probable ataque cibernético, compartiendo sus cinco principales consejos de simulación de ransomware.
En su “Guía de seguridad ofensiva para la preparación ante el ransomware”, Bishop Fox explicó cómo los programas de seguridad más maduros son los que incluyen un sano equilibrio de tácticas de seguridad defensivas y ofensivas. A pesar del trillado estereotipo de misterio del que la seguridad ofensiva parece incapaz de desprenderse, estas prácticas pueden realmente iluminar la oscuridad.
Al utilizar los conocimientos obtenidos de un programa de seguridad ofensivo, las organizaciones pueden perfeccionar sus defensas al basarse en datos del mundo real. Un programa de seguridad ofensivo identificará los puntos en los que una empresa es vulnerable a un ataque de ransomware, demostrará y documentará cómo es posible que un atacante ejecute uno, y hará recomendaciones puntuales sobre cómo abordar las brechas encontradas. Los ejercicios de simulación de ransomware son una parte clave de esto.
Los cinco mejores consejos de simulación de ransomware
1 – Aclare sus objetivos. Antes de contratar a una empresa externa, reúna primero a su equipo para discutir las siguientes preguntas críticas. Documente sus respuestas una vez que llegue a un consenso.
● ¿Por qué estamos haciendo un programa de simulación de ransomware?
● ¿Qué es lo que más nos preocupa en nuestro entorno?
● ¿Cuáles son los peores escenarios cuando se trata de ransomware?
● ¿Cómo pensamos utilizar los resultados de estos programas?
● ¿Tenemos la capacidad de aplicar los cambios necesarios para subsanar las deficiencias que encontremos? Si no es así, ¿dónde encontraremos los recursos y cuáles son los siguientes pasos?
2 – Determine si pagará el rescate en caso de un ataque real.
Esta es la pregunta más importante a la que debe responder la dirección de la empresa, en consulta con su departamento legal. Las fuerzas del orden y los expertos del sector de la ciberseguridad alrededor del mundo coinciden en que la mejor opción es NO pagar el rescate.
Al mismo tiempo, si una organización decide que le conviene pagar –a pesar del riesgo de que los datos sean irrecuperables– es importante establecer acuerdos legales y de pago con antelación. Sea cual sea la decisión, lo mejor es que los equipos hagan este tipo de preparación ahora y no después.
Además, evalúe la probable contratación de un seguro de ciberseguridad. A fin de cuentas, el ransomware puede considerarse una amenaza monetaria para su empresa, al igual que un incendio o una inundación. Aunque hay que prestar cierta atención a la prevención, también puede ser prudente contratar un seguro contra esta amenaza. Se trata de un complicado análisis de costo-beneficio que sólo la empresa puede realizar.
3 – Establezca antes las reglas del juego.
Debe haber reglas del juego claras –ya sea una prueba de penetración o un equipo rojo – sobre cuándo, cómo y si se involucran en el ejercicio de simulación. Conozca cuáles son sus objetivos internamente, y luego aclare estos objetivos y negocie el plan con su equipo de pruebas de penetración antes de que comience el simulacro.
Por ejemplo, suponga que decide separar su entorno de producción de un entorno de pruebas (o, mejor aún, que ya cuenta con esta configuración). La ejecución de la simulación en su entorno de pruebas evitará cualquier riesgo de inactividad. Dicho esto, lo que se gana al evitar riesgos, se pierde en la visibilidad de estos a los que se enfrentan las operaciones de su empresa en el mundo real.
4 – Considere la ruta de escalada: dónde empieza y dónde termina.
Los programas de simulación de ransomware están diseñados para escalar y probablemente se ramificarán en dominios y direcciones inesperadas. Para prepararse para esto, decida hasta dónde dejará que el ejercicio se intensifique. ¿Cuáles son los disparadores? Su equipo de evaluación también puede orientarle sobre los mejores procedimientos de escalamiento para el tamaño de su organización, su geografía y su sector.
5 – Establezca líneas de comunicación claras y documentadas: antes, durante y después del ejercicio.
Aparte de los miembros del equipo que puedan no estar “metidos” en el programa, es esencial la comunicación frecuente sobre las funciones, las responsabilidades y las reglas del juego. La falta de comunicación durante la realización de las actividades habituales puede ser costosa, pero durante un simulacro de ransomware puede exponer a las empresas a un riesgo legal y financiero innecesario. Su programa debe tener una base sólida, si todos los miembros del equipo:
● Entienden lo que se espera de ellos.
● Saben cuándo, dónde y cómo ejecutar la misión, incluyendo a quién preguntar cuando tengan preguntas urgentes.
Herramientas y marcos de trabajo de código abierto.
Hay muchas herramientas y marcos de seguridad valiosos disponibles en la comunidad de código abierto. Ya sea si decide crear su propio equipo de seguridad ofensiva dentro de la empresa o subcontrata a un proveedor de servicios de seguridad ofensiva, revise estas referencias para ampliar su comprensión de los casos de uso, las capacidades y las consideraciones de despliegue que implica la creación de un simulacro de ransomware. Lo más probable es que el proveedor que decida utilizar sea colaborador de una o varias de las siguientes herramientas y marcos.