Apenas llevamos un mes de año, pero el wiperware vuelve a ser noticia. DevPro Journal señala un "aumento drástico" a partir del año pasado, probablemente impulsado por los conflictos geopolíticos. ¿Qué es el wiperware y cómo puede proteger a su organización?
¿Qué es el wiperware?
El wiperware se utiliza a menudo como parte de un ataque de amenaza persistente avanzada (APT) contra infraestructuras críticas. A diferencia de los ataques destinados a obtener beneficios económicos mediante la extorsión o el robo de datos, el propósito del wiperware es puramente destruir o causar estragos. Esta táctica es popular entre los agentes de los Estados-nación o los terroristas, por lo que este tipo de ataques suele aumentar durante los periodos de conflicto geopolítico.
¿Cómo se puede luchar contra el wiperware?
Piense en una buena Detección y Respuesta ante Amenazas contra la Identidad (ITDR) como en una cebolla, que proporciona múltiples capas de protección. Las capas externas incluyen estrategias como la formación de los usuarios para detectar correos electrónicos de phishing y el despliegue de la detección y respuesta en puntos finales (EDR).
Pero los ciberatacantes son cada vez más expertos en encontrar formas de traspasar esas capas externas. Y cuando los atacantes consiguen entrar en su red, su siguiente objetivo suele ser la infraestructura de identidad. Para el 90% de las organizaciones actuales, eso significa Active Directory (AD) y Azure AD.
El acceso a su infraestructura de identidad híbrida puede permitir a los atacantes apoderarse de activos aún más críticos en su entorno. Por eso la seguridad de la infraestructura de identidades debe ser el núcleo de su estrategia de ciberresiliencia.
Con este concepto en mente, he aquí tres cosas que puede hacer hoy mismo para reforzar la seguridad basada en la identidad y defenderse del wiperware y otras formas de ciberataque.
Paso 1: Implementar una defensa por capas
Los sistemas de identidad son objetivos prioritarios para los atacantes, y el uso indebido de credenciales es la vía más popular para las brechas de seguridad. Gartner señala la necesidad de una "defensa en profundidad" centrada en la identidad.
EDR es una herramienta de seguridad importante, pero no puede utilizarse como única defensa. La mejor defensa es una defensa en capas.
Por muy atractiva que pueda parecer la consolidación de proveedores, poner todos los huevos en la misma cesta de la seguridad tiene importantes inconvenientes. La ciberresiliencia requiere un cierto nivel de redundancia para evitar un único punto de fallo, especialmente cuando se trata de ITDR.
Gartner señala: "Un enfoque por capas que incluya la ITDR es la mejor manera de optimizar la preparación frente a los ciberataques... Llene las lagunas de la ITDR evaluando toda la gama de vectores de ataque y telemetría cubiertos. Planifique el uso de un mosaico de herramientas que se complementen entre sí, y puedan superponerse, para cumplir los requisitos de una iniciativa de ITDR integral."
¿La mejor manera de proteger el sistema de identidad? Busque una solución ITDR que se centre específicamente en proteger el sistema de identidad. Para el 90 % de las organizaciones empresariales, eso significa Active Directory (AD) y Azure AD.
Segundo paso. Supervise su AD híbrido
Cuando se trata de supervisar su infraestructura de identidad local o híbrida, la supervisión periódica de la superficie de ataque de la identidad es vital. La supervisión puede ayudarle a identificar posibles vulnerabilidades antes de que lo hagan los atacantes.
Una estrategia de supervisión eficaz debe ser específica para AD. Los atacantes son cada vez más expertos en encontrar formas de eludir la autenticación multifactor (MFA), la EDR e incluso las soluciones de gestión de eventos e información de seguridad (SIEM) y de orquestación, automatización y respuesta de seguridad (SOAR). Por lo tanto, la seguridad basada en la identidad requiere una solución de supervisión que proporcione información en tiempo real y orientación práctica.
Una forma fácil de empezar es explorar herramientas comunitarias gratuitas, como Purple Knight y Forest Druid. Purple Knight examina los indicadores de seguridad, tanto los indicadores de compromiso (IOC) como los indicadores de exposición (IOE). Forest Druid proporciona un mapeo y gestión de rutas de ataque de nivel 0. Las soluciones de pago, como Semperis Directory Services Protector (DSP), ofrecen la supervisión de IOC e IOE, además de la reversión automática de cambios sospechosos y una respuesta ampliada a incidentes.
Paso 3. Prepárese para la recuperación
Ser blanco de ciberataques ya no es una cuestión de "si", sino de "cuándo". Las copias de seguridad probadas y libres de malware de sus sistemas de identidad principales son imprescindibles. Desafortunadamente, nuestra reciente encuesta a más de 50 organizaciones muestra que el 77% de los encuestados experimentaría un impacto grave o catastrófico en caso de un ciberataque que derribara AD.
¿Cómo puede mejorar sus posibilidades de recuperarse con éxito de un ataque de este tipo?
- Implemente una copia de seguridad centrada en AD. Las copias de seguridad del estado del sistema y de recuperación completa (BMR) no son suficientes para defender AD. Una copia de seguridad específica de AD permite una recuperación más rápida del entorno y ocupa menos espacio. Por ejemplo, Semperis Active Directory Forest Recovery (ADFR) protege contra la reintroducción de malware y puede automatizarse para evitar errores humanos y reducir el tiempo de inactividad de horas, días o semanas a sólo minutos.
- Incluya pasos específicos para implementar y probar las copias de seguridad, la recuperación y el mantenimiento crítico de AD en su plan de recuperación ante desastres.
- Pruebe sus copias de seguridad y practique los procesos de recuperación del bosque de AD con regularidad para estar totalmente preparado en caso de que necesite restaurar AD.
Elimine las amenazas de wiperware
Una estrategia de ciberseguridad que proteja tanto los puntos finales como su base de identidad principal, evitando al mismo tiempo los puntos únicos de fallo, es su mejor defensa contra todo lo que le lancen los ciberatacantes, incluido el wiperware. Ponga la seguridad basada en la identidad en su lista de prioridades para 2023 y tendrá una cosa menos de la que preocuparse.
