La estrategia m\u00e1s eficaz para detener un ataque de ransomware pasa por evitar que este llegue a entrar en la organizaci\u00f3n. Las empresas cada vez necesitan m\u00e1s aplicaciones y servicios para llevar a cabo su actividad, con lo que se ampl\u00eda la superficie de ataque, que ahora abarca la red, las aplicaciones basadas en SaaS y los endpoints. As\u00ed, las medidas de protecci\u00f3n resultan ineficaces y, conforme los autores de las amenazas mejoran sus capacidades, lanzan ataques nuevos antes de que d\u00e9 tiempo a resolver las vulnerabilidades o instalar parches. En consecuencia, las organizaciones tienen que empezar a pensar en su plataforma de seguridad de forma integral.<\/p>\n
<\/p>\n
PREVENIR EN LUGAR DE DETECTAR<\/strong><\/p>\n Los antiguos sistemas de ciberseguridad se centraban principalmente en la detecci\u00f3n y correcci\u00f3n, pero este enfoque ya no es eficaz. Para evitar un ataque de ransomware, es imprescindible pasar de la detecci\u00f3n a la prevenci\u00f3n, es decir, detenerlo antes de que infecte y perjudique a la organizaci\u00f3n. Para hacer realidad este cambio de enfoque, las organizaciones necesitan contar con la arquitectura de seguridad adecuada, que presenta tres elementos clave:<\/p>\n <\/p>\n Para reducir la superficie de ataque, hay que tener plena visibilidad del tr\u00e1fico de la red, las aplicaciones, las amenazas y el comportamiento de los usuarios. Si no sabe lo que ocurre en su red, es probable que el atacante s\u00ed lo sepa y aproveche esa informaci\u00f3n para infiltrarse. Al clasificar la actividad, podr\u00e1 tomar las decisiones oportunas sobre lo que se deber\u00eda permitir y descubrir\u00e1 eventos desconocidos sobre los que habr\u00e1 que investigar. Esta visibilidad permite tomar medidas, como bloquear el tr\u00e1fico desconocido, identificar los ataques avanzados o simplemente habilitar el acceso \u00fanicamente a las aplicaciones que tengan un fin empresarial v\u00e1lido.<\/p>\n Una vez delimitado el tr\u00e1fico, hay que aplicar pol\u00edticas basadas en los usuarios y en las aplicaciones. Dichas pol\u00edticas se pueden combinar de infinitas formas, para limitar seg\u00fan convenga el acceso a ciertas aplicaciones y ciertos componentes de la red por parte de ciertos grupos de usuarios. Si se dispone de una buena visibilidad y se aplican las pol\u00edticas correctas, muchos de los m\u00e9todos que se utilizan para lanzar ataques de malware resultar\u00e1n infructuosos.<\/p>\n Para reducir a\u00fan m\u00e1s la superficie de ataque, hay que bloquear todos los tipos de archivo peligrosos o potencialmente peligrosos. Aunque no todos los tipos de archivo son maliciosos, conviene bloquear los que tienen una mayor probabilidad de serlo. Una vez bloqueados, hay que aplicar pol\u00edticas acordes con la tolerancia a los riesgos de la empresa e impedir que los usuarios se conecten a los recursos cr\u00edticos de la red con endpoints que no cumplan las pol\u00edticas.<\/p>\n <\/p>\n Despu\u00e9s de reducir la superficie de ataque, el siguiente paso consiste en tomar medidas de prevenci\u00f3n frente a las amenazas conocidas. Es decir, hay que impedir que accedan a la red los exploits, el malware y el tr\u00e1fico de comando y control que se conozcan. De este modo, los ataques resultan m\u00e1s costosos y, en consecuencia, se reduce su probabilidad, pues se obliga a los atacantes a crear nuevos tipos de malware y lanzar nuevos exploits contra vulnerabilidades menos conocidas.<\/p>\n Asimismo, para evitar que los usuarios descarguen de forma involuntaria una carga maliciosa o que les roben las credenciales, hay que impedirles el acceso a las URL maliciosas y de phishing conocidas. Al bloquear las amenazas mencionadas, estas desaparecen de la ecuaci\u00f3n. A continuaci\u00f3n, es preciso buscar el malware conocido en las aplicaciones basadas en SaaS, que cada vez con m\u00e1s frecuencia son blanco de ataques, y bloquear el malware y los exploits que se detecten, tanto en dichas aplicaciones como en los endpoints.<\/p>\n <\/p>\n Una vez bloqueadas las amenazas conocidas, es imprescindible detectar y bloquear tambi\u00e9n las desconocidas, pues los atacantes no dejan de implementar exploits de d\u00eda cero ni de crear nuevos tipos de ransomware. El primer paso es detectar y analizar las amenazas desconocidas contenidas en archivos y URL. Conforme se env\u00eden nuevos archivos, es fundamental detonar, analizar y buscar comportamiento malicioso en lo que no se haya visto nunca hasta entonces. Adem\u00e1s, hay que implantar autom\u00e1ticamente medidas de protecci\u00f3n en distintas partes de la infraestructura de seguridad con la mayor rapidez posible para evitar que las amenazas consigan sus objetivos. Es importante tener en cuenta el contexto para conocer mejor a los atacantes, el malware, la campa\u00f1a de ataque y los indicadores de compromiso. Una vez que haya detectado y bloqueado las amenazas desconocidas o el comportamiento sospechoso, bloquee el malware y los exploits desconocidos en el endpoint para garantizar la seguridad en todos los puntos de acceso.<\/p>\n El objetivo final de este proceso es convertir lo desconocido en conocido y mejorar la seguridad de todo el ciclo de vida de los ataques con nuevas medidas de protecci\u00f3n, que se deber\u00e1n implantar en menos tiempo del que necesitan los atacantes para crear nuevos exploits y ataques de malware.<\/p>\n","protected":false},"excerpt":{"rendered":" La estrategia m\u00e1s eficaz para detener un ataque de ransomware pasa por evitar que este llegue a entrar en la organizaci\u00f3n. Las empresas cada vez necesitan m\u00e1s aplicaciones y servicios para llevar …<\/p>\n","protected":false},"author":40,"featured_media":94617,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5040],"tags":[],"coauthors":[716],"class_list":["post-94615","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categorizar"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/04\/Cyberpedia-social-ad-linkedin-520x320.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/94615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=94615"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/94615\/revisions"}],"predecessor-version":[{"id":94616,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/94615\/revisions\/94616"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/94617"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=94615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=94615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=94615"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=94615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n