Con la aparición de nuevas variantes de ransomware como WannaCry y Petya,  han incrementado los riesgos de perder  información crítica debido al cifrado casi que irreversible realizado por amenazas emergentes.

Hemos escuchado acerca de  varios casos de empresas que aún teniendo sus plataformas en proveedores de servicios en la nube, específicamente Infraestructura como Servicio (IaaS)  se han visto perjudicados por las amenazas del pasado 12 de mayo de 2017 (WannaCry) y 27 de junio de 2017 (Petya), estas empresas han perdido cantidades considerables de información, incluso algunos de ellos pagaron por el rescate, acción que no sirvió de nada.

Debemos tener en cuenta que contratar servicios en la nube no quiere decir que nuestro proveedor se encargue de todo el aseguramiento, existen modelos de servicio diferentes los cuales segmentan las responsabilidades entre el cliente y el proveedor de servicio.

Como vemos en la gráfica, en el caso de IaaS el proveedor de servicio no se responsabilizará por un evento relacionado con ransomware ya que el cliente es el responsable de la seguridad de la instancia virtual y las demás capas superiores.

A continuación  daremos una serie de recomendaciones para minimizar el riesgo ante posibles infecciones de ransomware, si bien estas recomendaciones las damos para soluciones IaaS, aplicarían casi que para cualquier esquema incluso si los servicios están en las premisas del cliente.

Nota:  El ransomware no solamente afecta a sistemas basados en Microsoft Windows, instancias en linux también pueden ser comprometidas.

  1. Mantenga actualizado el sistema operativo, aplique los parches de seguridad que publican los fabricantes. En ambientes en la nube es muy sencillo generar un snapshot o un clon como mecanismo de recuperación en caso de que un parche cause el mal funcionamiento de las aplicaciones.
  2. Deshabilite los servicios que no sean esenciales para sus operaciones como por ejemplo samba, ftp, rdp, smtp, snmp entre otros y garantice que publica los servicios a internet que son extrictamente requeridos, realice un escaneo de puertos sobre sus instancias o direcciones ip públicas asignadas, puede utilizar la herramienta de software libre nmap, la cual se puede ejecutar en Windows, Linux y MAC.
    Si tiene publicados los puertos 445/TCP, 135/TCP, 137/TCP, 138/TCP, y 139/TCP cierrelos de forma inmediata ya que son algunos de los puertos que utilizan las variantes de ransomware para progarse.
  3. Realice copias de seguridad al menos una vez al día y no las almacene en el mismo servidor, utilice un servicio en la nube que le permita generar copias automáticas y las respalde de forma segura.
  4. Evite utilizar las cuentas de administrador o root del sistema operativo, utilice usuarios con privilegios limitados.
  5. Bloqueé la salida a internet de sus servidores, habilite la salida a internet solo a sitios de confianza o cuando realmente sea necesario, el ransomware cifra los datos después de que se conecta con el panel de control del desarrollador que programó el ransomware, allí es cuando se intercambia la llave de cifrado.

Los antivirus son una buena opción pero los atacantes saben como evadirlos y durante la primera etapa de distribución son casi que un simple espectador. Esto no quiere decir que no deba tener un antivirus instalado en cada servidor, horas después de que se ha conocido la amenaza, los fabricantes de antivirus desarrollan las firmas para la detección de este y otros tipos de malware.

La seguridad hoy es un deber, y es un proceso cíclico, aún no existen tecnologías antí-ransomware, lo que se debe hacer es aplicar buenas prácticas una y otra vez. Si requiere nuestra ayuda no dude en consultarnos.

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like