Escribí sobre el ataque del ransomware Wannacrypt hace unos años. También conocido como Wannacry, este ataque involucró una gran vulnerabilidad en Windows, lo que permitió a los atacantes obtener acceso a los sistemas, encriptar datos haciéndolos ilegales y exigir el pago de un rescate para liberar dichos datos.

Desafortunadamente, Wannacry sigue siendo una amenaza importante.

VER: Seguridad de Windows 10: una guía para propietarios de empresas (Premium de TechRepublic)

Hablé con varios expertos en seguridad de la industria, incluidos: Andrew Morrison, Director, Deloitte Cyber ​​​​Risk Services; Dylan Owen, Director Sénior, Servicios Cibernéticos, Raytheon; y Josh Mayfield, director de estrategia de seguridad de Absolute, para determinar el estado actual de Wannacry y orientación sobre cómo protegerse contra él.

Índice

¿Por qué Wannacry sigue siendo una amenaza?

Scott Matteson: ¿Sigue siendo Wannacry una amenaza?

Andrés Morrison: Claramente, WannaCry sigue siendo una amenaza para la gran cantidad de sistemas sin parchear. Los actores maliciosos ahora pueden detectar fácilmente sistemas sin parches y apuntar a WannaCry para que lleven a cabo ataques dirigidos.

Esta historia no es nueva. De hecho, WannaCry utilizó el mismo sistema que NotPetya. Es probable que el conjunto de herramientas real que se usó y se robó de la NSA siga siendo una amenaza para crear variantes de ataque y eludir ataques. Aunque los parches abordan el conjunto de herramientas, usarlo para encontrar nuevas vulnerabilidades sigue siendo una amenaza. Los usuarios creen que están a salvo porque arreglaron lo que vieron, pero la amenaza ha evolucionado utilizando el mismo conjunto de herramientas y pueden verse afectados nuevamente.

Dylan Owen: Hasta cierto punto, este sigue siendo el caso. Según los datos generados por Shodan, hay más de 400 000 dispositivos en los Estados Unidos que aún son vulnerables a Wannacry. Los sistemas de fabricación podrían estar particularmente en riesgo, ya que muchos de estos sistemas se ejecutan en versiones anteriores de Windows o Windows integrado. Las empresas dudan en aplicar parches a estos sistemas más antiguos porque el proceso puede hacer que se detenga la capacidad de producción.

VER: 10 vulnerabilidades de aplicaciones peligrosas a tener en cuenta (PDF gratuito) (descarga de TechRepublic)

Cómo evolucionó la amenaza

Scott Matteson: ¿Cómo ha evolucionado la amenaza?

Andrés Morrison: La amenaza Wannacry se ha convertido en toda la máquina. Lo que comenzó como un ataque a un estado-nación se convirtió en estrategias específicas. Los actores de amenazas ya no solo actúan de manera oportunista. Por el contrario, como lo demostraron WannaCry y NotPetya, pueden tomar kits de herramientas y hacer reconocimiento. A su vez, será más difícil defenderse de estos próximos ataques, lo que hará que la recuperación sea casi imposible.

Dylan Owen: Desde malware hasta código de criptominería y ataques de denegación de servicio distribuido (DDoS), los piratas informáticos son expertos en crear variantes para infectar sistemas vulnerables.

Josh Mayfield: Continúan desarrollándose diferentes cepas de ransomware, pero seamos realistas, WannaCry estaba en pruebas beta. La verdadera amenaza viene en forma de un rescate que ni siquiera exige criptomonedas, sino una conquista real: danos ese recurso o lo destruiremos.

El ciberdelito de tipo ransomware se convierte en una oportunidad mucho más rentable si toma el control de los millones de GPU en todo el mundo que pueden convertirse en su propia gallina de los lingotes de oro. Es por eso que vemos que el “rescate” se parece cada vez más a la esclavitud. Este malware de saqueo de esclavos solo avanzará. ¿Qué es más lucrativo: robar un banco o tener un cajero automático del Departamento del Tesoro?

VER: Política de uso de Internet y correo electrónico (Premium de TechRepublic)

Lo que hay que hacer

Scott Matteson: ¿Qué están haciendo las empresas al respecto?

Andrés Morrison: En un alto nivel, WannaCry destacó la necesidad de un mejor estado de alerta e higiene. En otras palabras, enseñó a las organizaciones qué se debe arreglar y qué tan rápido se debe hacer. Para mantenerse a la vanguardia, las organizaciones deben auditar sus procesos de remediación y luego observar las herramientas y políticas para hacer que la práctica sea más eficiente. Un buen ejemplo de esto es el movimiento actual hacia una mayor automatización de parches.

La segunda pieza es la recuperación. Las organizaciones intentan preparar los sistemas, los datos y los procesos comerciales para resistir los ataques a través de soluciones de recuperación aisladas para que haya un punto de entrada que se desinfecte y limpie. A partir de ahí, se abre la siguiente entrada y se pueden almacenar los activos. Esto garantiza que las vulnerabilidades y el malware no puedan propagarse allí porque se elimina la conexión de red. Además, permite que los datos críticos residan y se utilicen para restaurar sistemas.

La eliminación de activos críticos para el almacenamiento en frío fuera de línea es algo que cada vez más organizaciones están haciendo, y algo que Deloitte Cyber ​​​​alienta a establecer una defensa basada en la inmunidad de recuperación. Este enfoque es mucho más económico que pagar un rescate para recuperar datos porque la organización es propietaria.

Dylan Owen: Podemos esperar ver un aumento en los ataques dirigidos contra sistemas difíciles de parchear, como sistemas de control industriales o aislados. A medida que los ataques se vuelven más sofisticados, también deberían hacerlo nuestros sistemas de defensa.

Las organizaciones deben remediar proactivamente sus sistemas vulnerables. Sin embargo, si no se puede parchear un sistema, las organizaciones deben aislar la vulnerabilidad detrás de un firewall. Dado que ataques como WannaCry utilizan el puerto 445 para identificar vulnerabilidades, las empresas deberían bloquear su visibilidad en Internet. Si el puerto no es enrutable, será difícil para los actores malintencionados saber a quién dirigirse. Finalmente, si bien no es posible para todas las empresas, deben tratar de actualizar y reemplazar los sistemas Windows vulnerables con versiones más nuevas y protegidas.

Josh Mayfield: Las empresas siguen la narrativa estándar: contratar consultores, implementar algunos cambios, comprar un montón de herramientas de seguridad y cruzar los dedos. La complejidad de TI se ha vuelto tan severa que simplemente no podemos ver a través de la densa maraña para identificar las debilidades. Y cuando encontramos debilidades, a menudo confundimos "brecha" con "ningún producto de seguridad". Así que vamos de compras, sin darnos cuenta de que los cambios en nuestras herramientas existentes (por ejemplo, hacerlas resistentes) mejorarían sus posibilidades de éxito contra los delincuentes creativos y motivados.

VER: Lanzamiento de una carrera en ciberseguridad: una guía de información privilegiada (PDF gratuito) (TechRepublic Premium)

Mejores prácticas

Scott Matteson: ¿Qué mejores prácticas deben seguir los departamentos de TI?

Dylan Owen: Ser proactivo. Los departamentos de TI deben monitorear constantemente las vulnerabilidades y desarrollar un programa de gestión de vulnerabilidades para establecer un proceso claro para hacer frente a las amenazas. Específicamente, el equipo de TI debe reemplazar los sistemas Windows obsoletos y realizar copias de seguridad de los sistemas críticos para garantizar que los archivos robados o manipulados puedan recuperarse. Además, el equipo debe realizar pruebas para garantizar que la información pueda recuperarse en caso de un ataque. La prueba de los sistemas de respaldo a menudo es un paso perdido, pero es crucial para determinar la capacidad de una empresa para recuperarse de un ataque.

Josh Mayfield: Es prudente que los departamentos de TI se centren en la resiliencia. Según Gartner, se espera que el gasto mundial en seguridad de la información supere los 124.000 millones de dólares en 2019, pero seguimos viendo fallas significativas en el panorama de seguridad actual, lo que demuestra una vez más que la complejidad es un rival claro y actual de la ciberseguridad. La mayoría de las organizaciones tienen perfiles de riesgo y compromisos con sus proveedores, especialmente aquellas que tratan con PSR como un tercero. Sin embargo, cuando se multiplica el número de conexiones, flujos de datos, EDI y otros intercambios, es inevitable que se pase por alto algo en el nudo gordiano.

Sin saber dónde buscar, es imposible identificar asociaciones más finas (patrones de datos) y, por lo tanto, las relaciones que implican el control de acceso y la autorización/autenticación se convierten en la mejor suposición. La visibilidad es clave. ¿Pero entonces, qué? Es probable que encuentre, con su nueva vista clara, un cementerio de agentes y controles rotos, deshabilitados y defectuosos.

¿Cómo mantenerse resistente cuando la tecnología no admite la más mínima perturbación en el dispositivo? Mantener los controles críticos necesarios para proporcionar un entorno resiliente.

Para luchar por la resiliencia, debemos asegurarnos de que alguien esté observando a los observadores. Debemos elevarnos a un punto de vista olímpico para evaluar la efectividad de cada control y su capacidad para mantenerse con vida. La seguridad está lejos de ser una instantánea de las configuraciones correctas, es la búsqueda maníaca de la resiliencia, de recuperarse de una lesión y estar armado con controles y agentes que se jactan de su inmortalidad. Esto es lo que trae la perseverancia, un camino inconfundible hacia la resiliencia.

Imagen: Getty Images/iStockphoto