Tres acciones contra WannaCry

Gartner ofrece medidas de acción urgentes para paliar los efectos del malware WannaCry.

Publicado el 16 May 2017

97961_82

Desde su descubrimiento el pasado viernes 12 de mayo, el ataque de ransomware de WannaCry ha seguido propagándose. Según las autoridades europeas, ha afectado a más de 10.000 organizaciones y 200.000 personas en más de 150 países. Aunque se han tomado medidas para frenar la propagación de este malware, nuevas variaciones están surgiendo.

Jonathan Care, director de investigación de Gartner, describe los pasos que los profesionales de la ciberseguridad deben tomar inmediatamente.

En primer lugar, explica que habría que aplicar el parche MS17-010 de Microsoft. En caso de que no estuviera disponible y el puerto TCP 445 estuviera abierto, el problema sería evidente pues el sistema podría ser infectado por el ransomware.

Las medidas serían las siguientes:

1.Stop culpar. Gartner indica que una de las etapas clave de la respuesta a los incidentes consiste en centrarse en las causas fundamentales. Microsoft Windows XP, un sistema operativo que ha sido golpeado duramente por WannaCry, puede ser integrado en sistemas clave como parte de los paquetes de control. En los sistemas embebidos, como terminales de punto de venta, equipos de imágenes médicas, sistemas de telecomunicaciones e incluso sistemas de producción industrial, como la personalización de tarjetas inteligentes y el equipo de producción de documentos, hay que asegurarse de que el proveedor puede proporcionar una ruta de actualización como prioridad. Hay que hacer esto incluso si se utilizan otros sistemas operativos embebidos, como Linux u otras variantes de Unix, ya que es seguro asumir que todo el software complejo es vulnerable al malware.

2.Aislar los sistemas vulnerables. Habrá sistemas que, aunque todavía no están afectados por el malware, siguen siendo vulnerables. Es importante darse cuenta de que los sistemas vulnerables son a menudo los que más dependemos. Una solución útil temporal es limitar la conectividad de red: identificar los servicios que se pueden desactivar, especialmente los servicios vulnerables, como el intercambio de archivos de red.

3. Estancia vigilante. La arquitectura de seguridad adaptativa de Gartner enfatiza la necesidad de detección. Asegurar que la detección de malware está actualizada. Comprobar que los sistemas de detección de intrusos estén operando y examinando el tráfico. Asegurarse de que los sistemas de análisis de comportamiento de los usuarios y de la entidad (UEBA), análisis de tráfico de red (NTA) e información de seguridad y administración de eventos (SIEM) estén marcando un comportamiento inusual, que se estén analizando y que los manejadores de incidentes respondan. Mantener al personal técnico enfocado en resolver asuntos claves y permitir que alguien responda preguntas externas.

En ese momento, las organizaciones deben revisar los planes de gestión de vulnerabilidad; reexaminar enfoques no solo de medidas de protección, sino también de capacidades clave de detección, tales como UEBA, NTA y SIEM avanzado; realizar modelos de amenazas adicionales; y considerar cuidadosamente qué riesgos son tolerables. También es importante evaluar su seguridad en la nube.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Redacción

Artículos relacionados