OpiniónSeguridad

Cómo mitigar el ransomware y que los backups no se conviertan en la puerta trasera

Por Rick Vanover, director sénior de estrategia de producto en Veeam.

El daño que puede provocar el ransomware a las empresas es alarmante. Las empresas que han pensado que su única opción era pagar a los ciberdelincuentes para recuperar sus archivos, no solo han puesto en riesgo su dinero, sino que además han permitido que se ponga en tela de juicio su reputación. De acuerdo con un informe de Cybersecurity Ventures, los costes globales por los daños provocados por ransomware superarán los 20.000 millones de dólares en 2021. 

Si bien es cierto que la prevención es el mejor remedio ante un ataque de ransomware, no siempre es posible en el panorama de amenazas actual. Ese mismo informe de Cybersecurity Ventures, se prevé que en 2021 se producirá un ataque de ransomware cada 11 segundos. Por último, prácticamente ningún sistema informático es infalible por completo. Por ese motivo las empresas deben estar preparadas para la realidad de los ciberataques incesantes y contar con un plan para imprevistos en caso de que suceda lo peor. 

Disponer de backups offsite y offline, así como de sólidas funciones de recuperación en caso de desastre, puede ayudar a que la empresa restaure los datos cifrados por los atacantes. No obstante, los riesgos y posibilidades del ransomware son variados. Por esta razón las empresas necesitan un plan de prevención y garantizar que no se pueden usar los datos del backup en su contra.

El panorama de amenazas evoluciona

Hay una creciente fragmentación de los tipos de ataques de ransomware existentes. Los directores generales de seguridad (CSOs) asocian principalmente el ransomware con el cifrado de datos. Esto sucede cuando agentes maliciosos obtienen acceso a datos confidenciales o fundamentales para la misión de la empresa y los cifran. Lo que puede pasar después es que a la empresa se le pida un rescate (ransom) a cambio de que se descifren y devuelvan los datos a su formato original para que pueda volver a usarlos. Pero esta no es ni de lejos la única amenaza que deben tener en cuenta los CSOs. En otros casos, los ciberdelincuentes trasfieren datos en lugar de cifrarlos. Lo que significa que se pide el rescate para evitar que se produzca una filtración pública de datos potencialmente confidenciales. 

Estos comportamientos y encubrimientos hacen que sea muy complicado ofrecer una protección coherente ante este creciente panorama de amenazas. La regla de oro para las empresas es entender de forma clara lo que es un comportamiento normal dentro de su infraestructura TI. Esto es posible si se lleva a cabo una monitorización continua de los datos y del almacenamiento cloud, además de aprovechar las analíticas sobre redes, sistemas operativos y aplicaciones. Esta mayor conciencia del aspecto que tiene una infraestructura segura hará que resulte más fácil identificar actividad sospechosa o maliciosa, lo que acelerará de manera crucial el tiempo de respuesta.

Aprovechar el cifrado también es clave para las empresas. Si las amenazas maliciosas no pueden ‘ver’ los datos, les cuesta más poder usarlos en contra de la empresa. Tal y como indica el informe de Duo, Privacy in the Internet Trends, un 87 % del tráfico web está cifrado, un porcentaje que no deja de crecer. Sin embargo, no queda tan claro cuál es el porcentaje de datos de las empresas que están cifrados. El informe IoT in the Enterprise de Zscaler indica que el 91,5 % del tráfico en redes IoT de empresas no se encripta mediante SSL. Estas cifras contrapuestas nos sugieren que existe una importante brecha entre el modo en el que las empresas aprovechan en general el cifrado y la manera en la que lo hacen las principales plataformas web y los proveedores de servicios.

¿Son los backups un objetivo muy cotizado para los ciberdelincuentes?

Una de las áreas en las que el cifrado resulta vital para reforzar las defensas de las empresas frente a las amenazas internas y el ransomware es a la hora de implantar el cifrado ‘nearline’ en backups de datos. El Informe 2019 de Veeam sobre gestión de datos en cloud descubrió que más de dos tercios de las empresas producen backups de sus datos. Aunque esto es, lógicamente, algo bueno, imaginemos lo que supone acceder a un backup que contenga toda la infraestructura digital de una empresa para un ciberdelincuente que está dispuesto a chantajear a dicha empresa.

Puesto que los ciberdelincuentes que chantajean a las empresas mediante el ransomware buscan datos, en teoría pueden encontrar lo que necesitan en los archivos de backup de la empresa. Estos archivos pueden crearse de diversas formas: desde usar discos de sistema y unidades extraíbles de disco duro, a dispositivos de cinta offline y backups en cloud. Independientemente de la opción elegida por la empresa, el repositorio de backup debe contar con una protección ultraresiliente contra ataques. De lo contrario, existe la posibilidad de que al intentar proteger la continuidad de las operaciones, las empresas estén creando un conjunto de datos poco protegidos que los ciberdelincuentes podrían usar en su contra. 

Es posible mitigar algunos comportamientos que pueden suponer una amenaza al cifrar los backups en cada paso del proceso, desde el primer recurso en disco on-premises. Tradicionalmente, se considera que cifrar los backups es una buena idea si las cintas salen de las instalaciones TI o si se trasmiten los datos por internet. Dada la prevalencia de las ciberamenazas modernas, el cifrado debe realizarse a cada paso del proceso de backup. La técnica más eficaz es la resiliencia en los datos de backup.

Proteger los backups de datos

Lo que nos lleva a hablar sobre el almacenamiento ultraresiliente del backup, la forma más eficaz de almacenamiento resiliente contra el ransomware. Las empresas pueden conseguir este nivel de protección de distintas maneras para así asegurar que los backups de datos no se convierten en una puerta trasera para los ciberdelincuentes.

La primera es utilizar cintas offline, que son un medio de backup muy eficaz y físicamente aislado de la red ("air-gappped"). Es cierto que a menudo se considera que la cinta es una tecnología de almacenamiento anticuada e ineficaz, pero no tiene competencia a la hora de ofrecer backups fiables, seguros y con alta portabilidad a un bajo coste. Del mismo modo que pasa con las cintas, las unidades extraíbles cuentan con el elemento offline, dado que no están online excepto cuando las están leyendo o cuando se escribe en ellas. Esto hace que sean una opción más conveniente si queremos reducir la visibilidad de los archivos de backup como medida de protección contra agentes maliciosos.

Los backups inmutables en cloud, como el modo de cumplimiento para bloqueo de objetos del servicio de almacenamiento de AWS S3, compatible con Veeam, suponen que los datos de backup almacenados en cloud no pueden ser borrados por ransomware, administradores maliciosos ni tampoco por error. Está disponible en la oferta pública de AWS S3 así como en una serie de sistemas de almacenamiento compatibles con S3 (tanto on-premises como en su oferta pública). Es más, Veeam Cloud Connect ofrece protección a través de una función en la que se pueden mantener copias de los datos del backup completamente fuera del alcance de los clientes. Es un proveedor de servicios el que proporciona esta función, ayuda a los usuarios finales y protege contra el ransomware, las amenazas internas y los errores que pueden borrar datos de manera accidental. 

Los directores generales de seguridad (CSOs) se enfrentan constantemente a la necesidad de encontrar un equilibrio entre comodidad y seguridad. Aunque las empresas que están en plena trasformación digital tienen múltiples áreas en las que necesitan invertir, la protección contra el ransomware es fundamental para garantizar la continuidad de las operaciones. Los backups offsite y offline pueden mitigar los efectos del ransomware. Combinado con las soluciones de seguridad adecuadas, el backup for Cloud Data Management ultraresiliente puede aportar a las empresas la tranquilidad de saber que cuentan con la máxima protección posible incluso ante un panorama de amenazas cambiante. 

Computing 793