En materia de ransomware muchos saben qué hay que hacer, pero es común que se tome la decisión de esperar que la empresa de confianza, el producto o el blog favorito brinde las pautas concretas.

En esta nota intentaremos dar una serie de consejos básicos y concretos de como resguardarnos del ransomware:

1. Backup de los datos en formato 3,2,1.
2. Backup de imágenes maestras: Es importante tener copias de los sistemas críticos (el controlador de dominio, servidor de aplicaciones, servidor de base de datos, etc) independiente de los datos. Imaginemos la situación en la que nuestras copias de seguridad se hacen cada día con una retención de 1 mes; ahora imaginemos que el ransomware llevaba en ese sistema 4 meses sin "dar la cara".
3. Actualización de software: Es imprescindible tener un plan de actualizaciones.
4. Fortifica aquellos servidores que no podemos actualizar: Hay veces que se da el caso inevitable de tener servidores antiguos o versiones desactualizadas. De ser ese el caso, es necesario fortificarlo al máximo (establece un firewall de por medio para los publicar solo el servicio necesario, configurar ACL's fuertes y monitoriza su uso)
5. Segmentar la red con VLANs, LANs o DMZ y usa ACLs entre VLANs; las VLANs no son de mucha utilidad si puedes si no existe restricción de tráfico entre ellas.
6. Evitar accesos remotos sin seguridad básicas: Cuando hablamos de accesos remotos, no nos referimos solamente a VPN sino también a SSH, correo, aplicativos, etc. Una de las primeras cosas que hacen los piratas informáticos es comprometer un sistema para luego poder moverse por el resto con credenciales robadas. Hace unos años tener MFA en nuestra compañía era inviable, situación que cambió al día de hoy volviéndose accesible y económico.
7. Seguridad en el puesto de trabajo: El 90 % de los ataques vienen desde el usuario final (navegación, correo, mala praxis, etc). Es necesario tener equipos fortificados, mínimos privilegios al usuario final (y tener en "el radar" los endpoints de los directivos), denegar/autorizar un pool de aplicaciones, VDI creando escenarios "homogéneos", etc.
8. Formación al usuario: No es justo querer digitalizar la empresa y que los usuarios trabajen de manera segura, pero sin formación. Podríamos hacer una analogía de entrar a un nuevo empleo, pero sin que se nos capacite de cómo trabaja la máquina que debemos operar.
9. Mínimos privilegios: ¿Por qué tener que ser administrador del dominio en una laptop que usamos para ver páginas de viajes? ¿Para ser administrador del dominio para administrar un SQL Server en un servidor Miembro? ¿Para usar nuestro usuario administrador del dominio para conectarnos por VPN? Es una buena práctica tener un usuario "básico" para conectarnos desde el hotel con Wifi o 4G para luego elevarnos a usuario "administrador"; de esa forma no exponemos usuarios privilegiados a redes no confiables.
10. Crea redes confiables: Hace 10 años Internet no era confiable y la LAN sí; ahora la situación ha cambiado. Montar un "Host Seguro" en el caso anterior, conectarte con un usuario básico para luego elevarse de manera segura, bajo unas condiciones, debería ser un paso a tener en cuenta; un MFA distinto para conectarte a ese Host Seguro, usa todo tipo de tecnologías orientadas a la gestión de identidades y accesos (lo que se denomina ZERO TRUST).
11. Relaciones con tercero: El acceso remoto de usuarios externos o consultores ¿Lo necesitan 24/7? ¿Deben ser administradores del dominio? Todos nos lo pedirán, pero se necesita evaluar cuidadosamente la necesidad en cada caso.
12. Documentación: Tener un diagrama de flujo de datos de los principales procesos de la organización y actualizarlo, por ejemplo, cada 6 meses. Hacer este ejercicio nos permite detectar fallos en el diseño y, sobre todo en caso de incidente, nos ayudará mucho a tener claro el entorno.
13. nventario: Es importante saber lo que tenemos que proteger, direcciones MAC, IPs, nombres de equipo, credenciales, etc.
14. Tener un plan de respuesta: Por ejemplo: en caso de infección, "aislar" los elementos. Apagar switches, cortar comunicaciones, apagar Wifi, etc. De no ser posible cumplir con el punto anterior, desconectar los equipos. En última instancia apagar los equipos. Tener un procedimiento de restauración de los elementos críticos en la misma red donde tenemos la infección. Tener un procedimiento de prueba de backups de la red, la nube, etc. Almacenamiento de logs, muestras de memoria, trazas de red, etc. Tener un procedimiento de bloquear accesos a terceros para evitar contagiar a clientes, usuarios o partners. Tener un procedimiento para actual legalmente.
15. Monitorización: La respuesta a incidentes se realiza mirando las evidencias, eventos o logs. Es necesario tener un sistema centralizado de logs de cada servidor.