Los expertos en ciberseguridad instan a los gobiernos y las empresas a considerar los ataques de ransomware como una amenaza grave. Corporaciones como Amazon, Google y Microsoft han instado al gobierno de Estados Unidos a designar los ataques de ransomware como una amenaza a la seguridad nacional e introducir cambios radicales en las políticas para combatirlos. Durante la pandemia, el número de ataques de ransomware aumentó significativamente. Según KPMG, hay evidencia de que las posibilidades de que un ataque de ransomware tenga éxito son significativamente mayores cuando se trabaja de forma remota. Esto se debe en parte a las consolas más débiles en la TI del hogar, así como al hecho de que los atacantes están utilizando señuelos con temática de Covid-19 para alentar a los usuarios a hacer clic en enlaces y aprovechar los mayores niveles de ansiedad durante la pandemia, algunos de estos señuelos incluyen información sobre vacunas, mascarillas y desinfectantes para manos. No basta con que las empresas eduquen a sus empleados para que se protejan contra este tipo de ataques, la creciente sofisticación de los ataques de ransomware ha hecho que sea esencial que las empresas construyan un SOC (centro de operaciones de seguridad) de última generación.
Ataques de ransomware importantes recientes
1. El hackeo del oleoducto Colonial
Considerado como el mayor ataque a la infraestructura energética de Estados Unidos, el ataque de ransomware a Colonial Pipeline es el más significativo de 2021 hasta ahora. Sirve como una llamada de atención para los gobiernos de todo el mundo sobre los peligros de este tipo de ataques y las consecuencias reales que pueden tener. El oleoducto Colonial entrega el 40% del combustible a la costa este y al sur de Estados Unidos. Los piratas informáticos comprometieron los sistemas de Colonial Pipelines, lo que provocó el cierre del oleoducto durante 5 días. Según los informes, la empresa Colonial Pipeline pagó a los piratas informáticos 5 millones de dólares. El ataque fue llevado a cabo por el grupo conocido como DarkSide, que operaba con un modelo de ransomware como servicio. El ataque ha dejado muy claro que la infraestructura clave puede verse comprometida por estos ataques.
Ver también: Se crea un 'grupo de trabajo sobre ransomware' para abordar el aumento de ataques
2. Ataque al Canal Nueve
En marzo de este año, el Canal 9 de Australia sufrió un ciberataque que le impidió transmitir su boletín informativo dominical junto con otros programas. La sede del canal en Sídney no pudo acceder a Internet, lo que provocó interrupciones en el negocio editorial de la cadena. Inicialmente, el canal afirmó que los problemas se debían a dificultades técnicas, pero luego admitió que se trataba de un ciberataque.
3. Acer y el rescate de 50 millones de dólares
El fabricante mundial de ordenadores Acer fue víctima de un ataque de ransomware a principios de este año. Los piratas informáticos exigieron un rescate de 50 millones de dólares, el más alto conocido hasta la fecha. El grupo cibercriminal REvil es considerado responsable del ataque. Los piratas informáticos no solo anunciaron la violación de datos en su sitio web, sino que también compartieron algunas imágenes de los datos que habían robado.
4. Fabricante de aviones Bombardier
Bombardier es un conocido fabricante de aviones canadiense. En febrero de 2021, la empresa sufrió una filtración de datos. Se vieron comprometidos los datos confidenciales de clientes, proveedores y 130 empleados que trabajaban en Costa Rica. Los actores maliciosos pudieron acceder a los datos a través de una vulnerabilidad en una aplicación de transferencia de archivos de terceros que utiliza la empresa. Los datos comprometidos se filtraron en el sitio que opera la banda de ransomware conocida como Clop. No hay información disponible sobre si se exigió un rescate.
Una tendencia preocupante de los ataques de ransomware en 2021 es la divulgación de información confidencial de organizaciones que se niegan a pagar el rescate. Este tipo de ataques pueden ser muy lucrativos y, por lo tanto, los ciberdelincuentes tienen muchos incentivos para participar en ellos. Un ataque exitoso puede hacer que los grupos de ransomware ganen millones de dólares. Estos ataques dejan claro que no son específicos de una industria, desde infraestructuras críticas hasta fabricantes de computadoras. Los atacantes de ransomware atacarán a todas y cada una de las empresas. Pagar un rescate no garantiza que se devuelvan los datos y que no se filtren. La postura oficial del FBI es disuadir a las empresas de pagar el rescate, ya que también puede alentar a los delincuentes a seguir atacando a otros. Sin embargo, pagar el rescate no es ilegal y muchas empresas consideran que es la mejor solución para salir de su apuro.
Por lo tanto, la mejor solución para las empresas es evitar que se produzcan ataques. Las organizaciones necesitan contar con un Centro de Operaciones de Seguridad (SOC) moderno que sea capaz de defenderse de este tipo de ataques.
¿Qué es un centro de operaciones de seguridad de próxima generación?
Un centro de operaciones de seguridad está formado por analistas, ingenieros y gerentes de seguridad que supervisan las operaciones de seguridad de una organización. El objetivo del equipo SOC es identificar, analizar y responder a cualquier amenaza e incidente de ciberseguridad. Para ello, el equipo utiliza una combinación de procesos de seguridad, protocolos y soluciones tecnológicas, como software de seguridad. El SOC es responsable de supervisar y analizar la ciberseguridad de una organización de forma continua. Si se detecta un incidente de seguridad, es tarea del SOC abordar la situación y determinar la mejor respuesta. Estos equipos supervisan la actividad que se lleva a cabo en las redes, servidores, bases de datos, aplicaciones, puntos finales, sitios web y cualquier otro sistema que se utilice en una empresa.
En un SOC de próxima generación, el equipo implementará una metodología que se integre de forma nativa con los sistemas de información de una organización. Se basarán en puntos de aplicación de la seguridad y herramientas de investigación de amenazas para monitorear, evaluar y defenderse de los ciberataques. El objetivo es ser lo más proactivo posible en lo que respecta a la detección de amenazas y garantizar la seguridad de todos los puntos finales.
Consejos para construir un SOC de próxima generación
Hay ciertas cosas que las organizaciones deben tener en cuenta cuando se trata de construir un centro de operaciones de seguridad de próxima generación.
Búsqueda de amenazas mejorada
Los SOC deben ser capaces de encontrar e identificar amenazas rápidamente. Existen soluciones disponibles en el mercado que facilitan esta tarea. Digamos, por ejemplo, que se ha identificado una nueva amenaza y está en las noticias. Sin las herramientas adecuadas, los analistas de seguridad pueden tardar mucho tiempo en examinar los sistemas de información de la organización y determinar si la misma amenaza ha afectado a la organización. A menudo, los analistas tampoco saben exactamente qué deberían buscar cuando se trata de amenazas nuevas. Por lo tanto, invertir en herramientas como AutoFocus o Active Track puede facilitar la detección de amenazas.
Informes y registros robustos
Los informes y registros adecuados pueden ayudar a su SOC a identificar patrones y detectar amenazas en una etapa temprana. Un SOC de última generación debe tener una política integral para que se informen y registren todas las anomalías e incidentes.
La mejor gente y tecnología.
Las empresas a veces cometen el error de centrarse únicamente en un aspecto de la seguridad: la tecnología o las personas. Sin embargo, un centro de operaciones de seguridad de última generación contará con personal calificado y la mejor tecnología. Los SOC deben contar con la inteligencia, las herramientas y las soluciones más recientes para defenderse de los ataques cibernéticos. El componente humano también es igualmente importante: incluso las mejores herramientas que brindan la mejor información fallarán si no están presentes los expertos en seguridad adecuados para actuar en función de la información.
Con el aumento de la cantidad de actores maliciosos y ataques de ransomware, ahora es el momento de que las empresas inviertan en tecnología y personal para garantizar su seguridad operativa. Suscríbase a whitepapers.online y obtenga más información sobre cómo crear un SOC de próxima generación junto con otras actualizaciones tecnológicas.
Imagen destacada: Fotografía empresarial creada por rawpixel.com - www.freepik.com