Marco de ciberseguridad del NIST como estrategia de prevención de ataques de ransomware

El ser humano ha creado a lo largo de su historia, herramientas y dispositivos de gran valor técnico, pero que no contaron con el favor de la gente, en gran medida por su falta de usabilidad y practicidad. Por ejemplo, durante las décadas de los 70 y los 80, tuvo lugar la guerra de las cintas de video, que enfrentó a los sistemas Betamax y VHS. Aunque la calidad de Beta era superior, acabó derrotado por VHS porque este sistema permitía grabar durante más tiempo. Si uno quería grabar una película de 2 horas en una sola cinta, tenía que optar por VHS. En el terreno de la ciberseguridad, la facilidad de implementación y manejo de las herramientas también es clave. Por eso, el marco de ciberseguridad del NIST puede ser útil para combatir los ataques de ransomware u otro tipo de agresiones preocupantes hoy en día.

Este framework es una herramienta voluble, que se adapta a las diferentes y cambiantes características y necesidades de las compañías. No estamos hablando de un listado cerrado de objetivos, sino de una herramienta abierta, con multitud de resultados que se pueden conseguir. De esta manera, se puede emplear para construir una estrategia de seguridad de corte generalista o, en cambio, es posible diseñar una estrategia centrada en vulnerabilidades, ataques o riesgos en concreto.

Por ello, el NIST ha publicado este mismo año un perfil de su marco de ciberseguridad, focalizado en gestionar el riesgo de ransomware. A continuación, vamos a desentrañar cómo se puede usar este perfil a la hora de ofrecer servicios de ciberseguridad para securizar a una organización. Y proteger a sus sistemas frente a este tipo de programa que sirve para secuestrar los datos de una compañía o institución.

1. Sugerencias básicas para reducir los riesgos de ransomware

Como señala la propia guía NISTIR 8374, no todas las medidas que se proponen en el perfil de ransomware están al alcance de cualquier compañía. Algunas de ellas requieren una inversión de recursos que las hacen inaccesibles para empresas de pequeño o mediano tamaño. Como indicamos al profundizar en el funcionamiento del marco de ciberseguridad, cada organización debe equilibrar los resultados que busca conseguir con los recursos y necesidades que tiene.

Por ello, antes de entrar a analizar el perfil para combatir los ataques de ransomware, la guía del NIST ofrece cinco sugerencias básicas, que cualquier tipo de compañía debe tener en cuenta a la hora de prepararse para detectar, mitigar y combatir los ataques de ransomware.

1.1. Educar a la plantilla

Aunque a menudo no se le presta atención, la formación de toda la plantilla de una organización es fundamental para cerrarle la puerta de acceso al ransomware. Así, se debe concienciar a todos los profesionales de la importancia de la ciberseguridad e instruirlos para que:

• No abran archivos o hagan clic en enlaces de procedencia desconocida.
• Eviten emplear en los dispositivos del trabajo sus aplicaciones personales, como el correo electrónico o las redes sociales.
• No conecten sus dispositivos personales a las redes del trabajo, a no ser que hayan sido autorizados previamente por los responsables de ciberseguridad.

1.2. Evitar vulnerabilidades

Las vulnerabilidades y riesgos se pueden evitar o, por lo menos, reducir al mínimo. Para ello, la compañía debe implementar una estrategia de seguridad que tenga en cuenta, por lo menos, las siguientes medidas básicas:

• Actualizar los sistemas cruciales con parches.
• Aplicar la filosofía Zero Trust en todos los sistemas y redes.
• Instalar y ejecutar exclusivamente aplicaciones autorizadas.

1.3. Optimizar la detección y respuesta frente a los ataques

La detección temprana de los ataques de ransomware es una de las cuestiones cruciales para afrontarlos con éxito. Por ello, las organizaciones deben:

• Contar con software de detección de malware, que automatice el escaneo de los correos y dispositivos.
• Monitorear continuamente los servicios de directorio, de cara a detectar indicadores de compromiso o, incluso, la puesta en marcha de ataques activos.
• Bloquear el acceso a los recursos a servidores, direcciones, puertos y protocolos maliciosos o no confiables.

1.4. Dificultar la propagación del ransomware

Tras la detección de los ataques de ransomware, la organización debe afrontar su mitigación, para ello es clave, en primer lugar, evitar que el programa malicioso se propague. ¿Cómo se puede lograr?

• Utilizando cuentas de usuario estándar con autenticación multifactor.
• Introduciendo retrasos de autenticación y configurando el bloqueo de cuentas automático, frente a intentos automatizados de desentrañar contraseñas.
• Gestionando el otorgamiento de credenciales en base a la ley del mínimo privilegio.
• Almacenando datos en un formato inmutable.
• Empleando conexiones seguras de red privada virtual (VPN) para acceder de manera externa a los recursos.

1.5. Facilitar la recuperación de la información

La última de las recomendaciones básicas del NIST para combatir los ataques de ransomware con éxito se centra en la recuperación de los datos secuestrados. En este sentido, la guía establece tres medidas centrales a implementar:

• Diseñar y poner en marcha un plan de recuperación de incidentes.
• Realizar backups de los datos, securizarlas y llevar a cabo pruebas de restauración. Asegurando y aislando los datos más importantes.
• Mantener una lista actualizada de contactos clave para gestionar ataques de ransomware, incluyendo el equipo de asesoramiento legal o las propias fuerzas de seguridad del estado.

2. Identificar

Dejando de lado estas recomendaciones básicas, el perfil del marco de ciberseguridad del NIST centrado en combatir los ataques de ransomware aborda, en primer lugar, la función de identificación.

Identificar implica, ante todo, comprender todos los elementos que entran en juego en la gestión de los riesgos asociados a los ataques de ransomware, como los recursos que apoyan las funciones críticas. Esta función permite a las compañías establecer prioridades y optimizar la gestión de sus recursos, en función de los riesgos y necesidades de la organización.

La guía del NIST la divide en seis categorías centrales que, a su vez, cuentan con subcategorías y recomendaciones para aplicarlas y combatir los ataques de ransomware con éxito.

2.1. Gestión de activos

Esta categoría versa en torno a la gestión de los datos, dispositivos y sistemas de una organización. Y cómo ésta debe conjugar la seguridad con los objetivos empresariales.

Para ello, se debe realizar un inventario de dispositivos físicos y revisarlos para asegurarse de que no son vulnerables frente a ransomware, además gracias a este inventario se puede agilizar la fase de recuperación tras un ataque. Asimismo, es necesario contar con un inventario de software, en el que figure toda la información sobre éste: desde su versión actual hasta los parches instalados o las vulnerabilidades conocidas. Todos estos datos ayudan a subsanar las vulnerabilidades que podrían ser explotadas por un ataque de ransomware.

Por otro lado, también se pueden mapear los flujos de datos y saber cuáles están en riesgo en caso de que los agresores maliciosos consigan moverse lateramente dentro del sistema. Así como catalogar los sistemas de información externos, para gestionar la comunicación con terceros en caso de ataque.

Otra medida que se puede implementar es la priorización de recursos, teniendo en cuenta si es crítico para la empresa y su propio valor comercial. En el caso de ataques de ransomware es fundamental conocer su alcance y establecer mecanismos para dar prioridad a unos u otros recursos.

Finalmente, también es extremadamente útil establecer roles y responsabilidades claros en lo que respecta a la prevención y respuesta a los ataques de ransomware.

2.2. Entorno empresarial

En lo que respecta a esta categoría, la clave radica en la toma de decisiones empresariales en la gestión de riesgos. Para ello, la organización debe:

• Comprender el lugar que ocupa en el entorno de infraestructura crítica.
• Establecer las prioridades para gestionar los recursos a la hora de responder a incidentes.
• Identificar componentes críticos en el apoyo de las funciones empresariales principales. Una cuestión importantísima a la hora de elaborar los planes de contingencia y respuesta para combatir los ataques de ransomware.

2.3. Gobernanza

¿Cómo se gestionan los requerimientos legales, de riesgo u operativos? Esta categoría contempla tres acciones centrales:

• Establecer políticas para evitar o mitigar incidentes de ransomware.
• Gestionar eficazmente los requerimientos regulatorios y legales y tenerlos en cuenta en la planificación de la respuesta frente a ataques.
• Los mecanismos de gobernanza deben tener en cuenta la gestión de riesgos de ransomware.

2.4. Evaluación de riesgos

No basta con identificar los riesgos, sino que hay que proceder a evaluarlos, teniendo en cuenta su posible impacto en la organización. Por ello, es preciso identificar y documentar las vulnerabilidades ante ataques de ransomware existentes en los activos empresariales, de cara a priorizar las acciones a llevar a cabo para eliminar o limitar dichas vulnerabilidades.

Esta tarea requiere, también, emplear datos sobre las amenazas que proceda del exterior, recurriendo a fuentes de intercambio de información.

La evaluación de riesgos sirve para estudiar los efectos de los ataques, así como la probabilidad de que se produzcan, de cara a realizar un análisis de coste-beneficio que nos indique qué medidas son rentables y cuáles no.

Además de identificar las vulnerabilidades, también es necesario precisar las posibles respuestas para combatir los ataques de ransomware. Si el plan de respuesta no es eficaz, los gastos generados por la agresión serán mayores.

2.5. Estrategia de gestión de riesgo

Una vez que los riesgos han sido evaluados, es el momento de diseñar una estrategia para gestionarlos con éxito. Dicha estrategia incluye el establecimiento de políticas, roles y responsabilidades entre los actores implicados, teniendo en cuenta el riesgo de que tenga lugar un ataque de ransomware.

2.6. Gestión de riesgo de la cadena de suministro

Igualmente, es importante tener en cuenta la cadena de suministros. Es decir, la planificación de contingencia de ransomware debe coordinarse con los proveedores y terceros proveedores, de cara a estar preparados en caso de que todos se vean afectados por el ransomware.

3. Proteger

Habida cuenta de que en la función anterior de han identificado y evaluado los riesgos, en esta segunda función se deben planificar e implementar mecanismos de protección para securizar los servicios críticos y, así, facilitar las tareas de contención de un posible ataque.

3.1. Gestión de identidad, autenticación y control de acceso

El acceso a los activos es una de las claves de bóveda de cualquiera estrategia de seguridad. Desde el NIST señalan que gran parte de los ataques de ransomware se ejecutan a través de las conexiones de red y se inician gracias a credenciales comprometidas. De ahí que la gestión de las credenciales sea una cuestión crucial.

También es importante gestionar el acceso remoto, puesto que la mayoría de los ataques de ransomware se efectúan remotamente. De ahí que la autenticación multifactor sea una medida relevante a implementar. Además, se debe aplicar la ley del mínimo privilegio a la hora de gestionar los permisos. Puesto que muchos ataques de ransomware tiene lugar cuando se comprometen credenciales de usuarios que, además, tienen un nivel de permiso superior al que deberían, comprometiendo de manera innecesaria los sistemas.

En la misma línea, nos encontramos con la segmentación de redes para evitar que el ransomware se extienda entre los diferentes sistemas. Por ello, el NIST recomienda separar las redes de tecnología informática (IT), de las de tecnología operativa (OT). Puesto que de esta manera las operaciones críticas pueden continuar funcionando mientras se recuperan los sistemas IT tras el ataque.

Finalmente, es importante validar las identidades y vincularlas a credenciales, de cara a reducir la posibilidad de que éstas sean comprometidas. Más teniendo en cuenta que las credenciales comprometidas son un importantísimo vector de ataque de ransomware.

3.2. Concientización y capacitación

Como ya indicamos anteriormente, la formación y capacitación son de gran importancia. Si se conciencia a todos los usuarios sobre la importancia de la ciberseguridad, se lograrán reducir prácticas y desarrollos inseguros.

3.3. Seguridad de los datos

Esta cuestión es crítica a la hora de combatir ataques de ransomware: es necesario gestionar los datos para salvaguardar la integridad y confidencialidad de la información, y garantizar su disponibilidad. Para ello se debe:

• Tener la capacidad de mantener respaldos de datos fuera del sitio y fuera de línea, así como testear los tiempos de recuperación y redundancia de sistemas.
• Implementar protecciones para evitar fugas de datos.
• Contar con mecanismos de verificación de la integridad de la información, que sean capaces de detectar actualizaciones alteradas a través de las que se puede introducir el ransomware.
• Separar los entornos de desarrollo de los de producción, de cara a evitar que el ransomware pueda circular de unos a otros.

3.4. Procedimientos y procesos de protección de la información

La organización debe contar con políticas de seguridad y procedimientos para gestionar de manera eficaz la protección de sus activos. Esto implica contar con:

• Configuraciones de sistemas de control y bases de referencia para ser capaz de evaluar las desviaciones que se puedan producir, así como su riesgo. Los cambios de la configuración no autorizados pueden ser un indicador de la puesta en marcha de un ataque de ransomware.
• Procesos de control de cambios de configuración, que contribuyan a mantener los valores de configuración de seguridad y reducir las posibilidades de que se efectúe un ataque cambiando el código a través de un ransomware.
• Respaldos plenamente securizados, que faciliten la recuperación tras un ataque.
• Planes de respuesta y recuperación, diseñados, implementados y testeados, que tengan en cuenta los incidentes de ransomware y las prioridades para limitar su impacto.

3.5. Mantenimiento

Dentro de la función de protección, es importante prestar atención al mantenimiento remoto de los activos de la compañía. Puesto que éste es un canal de acceso a los sistemas y hardware de una organización. Si la gestión no es óptima y no se tienen en cuenta los riesgos de seguridad, los atacantes pueden modificar configuraciones para abrir la puerta al ransomware.

3.6. Tecnología de protección

En lo que respecta a las tecnologías de seguridad, es fundamental:

• Revisar los registros y realizar una auditoría de logs para detectar actuaciones imprevistas.
• Tener en cuenta el principio de la menor funcionalidad para reducir la posibilidad de que se realice la migración entre sistemas.

4. Detectar

Las estrategias de seguridad deben de contar con mecanismos de detección de ataques de ransomware, con la mayor rapidez posible.

4.1. Eventos y anomalías

Los sistemas de seguridad detectan actividad anómala y recolectan información sobre el incidente, recurriendo, también, a múltiples fuentes. El objetivo es doble. Por un lado, conseguir la detección temprana de ransomware. Por otro, ser capaces de entender su funcionamiento y su capacidad de propagarse a través de la red.

Además, es preciso determinar el efecto de los eventos, puesto que de esta manera se puede obtener información valiosa para establecer las prioridades de las dos últimas funciones: respuesta y recuperación.

4.2. Monitoreo continuo de la seguridad

Un buen sistema de detección pasa por supervisar los activos de manera permanente, de cara a:

• Monitorear las redes. Para poder detectar intrusiones e implementar acciones de protección. Antes de que el ransomware se introduzca en el sistema o que los datos sean exfiltrados.
• Monitorear la actividad de los profesionales. Pudiendo detectar tanto amenazas internas, prácticas inseguras y credenciales comprometidas y, así, evitar la puesta en marcha de un ataque de ransomware.
• Detectar código malicioso. Esto es importante porque, a menudo, el código malicioso no se ejecuta inmediatamente, lo que deja abierta una franja de tiempo para detectarlo antes de que el ataque se ponga en marcha.
• Detectar recursos no autorizados: personas, conexiones, dispositivos, software… que pueden ser empleados para ejecutar un ataque de ransomware.
• Escanear las vulnerabilidades, de cara a mitigarlas antes de que sean explotadas por un ataque de ransomware.

4.3. Procesos de detección

En lo que respecta a los ataques de ransomware, es fundamental realizar una supervisión permanente de los procedimientos de detección y distribuir de manera óptima los roles y responsabilidades de cada persona o equipo.

Para ello, es necesario realizar, de manera periódica, pruebas que verifiquen que los procesos de detección son los adecuados para captar ataques basados en ransomware. Estas pruebas sirven, además, para capacitar a las personas que tienen que implementar dichos procedimientos.

No basta con probar su eficiencia, sino que también hay que supervisar que los canales de comunicación de eventos anómalos están plenamente operativos y, sobre todo, es crucial perfeccionar las tácticas empleadas para gestionar los ataques de ransomware y, así, mantenerlas permanentemente actualizadas frente a nuevas técnicas maliciosas que puedan surgir.

5. Responder

La organización debe tener herramientas y mecanismos para combatir los ataques de ransomware de manera efectiva y reducir el impacto de estos en el funcionamiento de la compañía y sus datos.

5.1. Planificación de respuesta

La organización debe contar con un plan de respuesta e implementarlo de manera inmediata al detectarse un ataque de ransomware. De esta manera se puede minimizar su impacto, parando la exfiltración de datos y restringiendo su propagación a otros sistemas, redes o equipos.

Dicho plan de respuesta no solo debe ser técnico, sino que tiene que tener en cuenta la dimensión comunicativa, reputacional y legal de cualquier ataque de ransomware. No hay que proteger solo a los sistemas empresariales, sino también su imagen pública y su responsabilidad legal en el caso de que se vulneren datos privados.

5.2. Comunicaciones

Precisamente, el NIST hace hincapié en la importancia de articular tanto respuestas técnicas como empresariales, ante los ataques de ransomware. La clave radica en que todas las personas conozcan el rol que juegan y que los mecanismos y acciones comunicativos estén previamente definidos.

Asimismo, el intercambio de información debe ser fluido, tanto para reducir el impacto del ataque y su propagación, como para evitar que se genere desinformación. A mayores, debe tenerse en cuenta la necesidad de intercambiar información con agentes externos a la organización, puesto que el mismo puede ayudar a la compañía a limitar el éxito del ataque.

5.3. Análisis

El análisis de todos los datos disponibles sobre el ataque de ransomware es de capital importancia. De esta manera, se optimizan las acciones de respuesta y las actividades de recuperación. De ahí que sea necesario:

• Estudiar las notificaciones generadas por los sistemas de detección de forma ágil e integral y, así, combatir los ataques de ransomware en fases tempranas.
• Entender los efectos del ataque, tanto en lo que respecta a las cuestiones técnicas (qué sistemas no se encuentran disponibles), como en lo relativo al impacto sobre el negocio y sus actividades. Así, se podrán priorizar los recursos, centrándose en recuperar los servicios críticos e implementando el plan para garantizar la continuidad del negocio, mientras se llevan a cabo las labores de recuperación.
• Desenvolver actividades forenses para identificar la causa del ataque y, así, poder ponerle punto y final. Restableciendo los servicios y funciones atacados y eliminando el programa y los mecanismos empleados por el agresor.
• Implementar mecanismos para recibir y analizar vulnerabilidades divulgadas a la organización, tanto desde fuentes internas como externas. El análisis es fundamental para prevenir y combatir ataques de ransomware que se puedan dar en el futuro. Así como para mejorar la capacidad de respuesta y reducir la posibilidad de que expandan a otros sistemas y redes.

5.4. Mitigación

Precisamente, en esta categoría se pone el foco en la capacidad que tiene una organización para limitar la expansión de un ataque, reducir sus efectos y resolver con éxito el incidente. En primer lugar, es imprescindible poner en marcha acciones de forma inmediata para evitar la propagación del ransomware. Y, finalmente, terminar con el ataque.

En segundo lugar, hay que implementar acciones con la máxima celeridad. De cara a aislar al programa malicioso y minimizar su impacto sobre los datos de la compañía.

En último lugar, es preciso mitigar las vulnerabilidades detectadas y, en el caso de que no sea posible, recopilar toda la información para que el riesgo se tenga en cuenta en la toma de decisiones y en los futuros incidentes.

5.5. Mejoras

La última fase de la función de respuesta se centra en el análisis de la información generada durante el ataque y las lecciones que se han aprendido. Con todos estos datos, la organización puede actualizar su estrategia de seguridad y sus planes de respuesta, optimizándolos para reducir la posibilidad de que se produzcan nuevos ataques.

6. Recuperar

La última función que recoge el marco de ciberseguridad del NIST es la recuperación. Sea cual sea el impacto del ataque de ransomware, la compañía debe de tener planes de resiliencia y restablecimiento de los activos que hayan sido atacados. Cuanto más óptimos sean los planes de recuperación, antes se recobrará la actividad normal de la compañía y se reducirán las consecuencias de los incidentes.

6.1. Planificación de recuperación

En esta fase se ejecuta el plan de recuperación previamente diseñado. El NIST sostiene que, si se inicia el plan de recuperación una vez que se haya identificado con precisión la causa del ataque, se pueden reducir las pérdidas de datos y el impacto negativo en la compañía.

6.2. Mejoras

El análisis de los datos recopilados, sirve para extraer lecciones a tener en cuenta e incorporarlas al plan de recuperación para optimizarlo y reducir la posibilidad de que se produzcan ataques en el futuro.

6.3. Comunicaciones

La comunicación es una pieza de gran valor dentro del diseño e implementación de las estrategias de seguridad. Por ello, es preciso prestarle atención y sacarle el máximo partido. Las comunicaciones en caso de ataque con ransomware incluyen:

• La gestión de las relaciones públicas. Para evitar que la confianza de los socios y los clientes se vea deteriorada.
• La reparación de la reputación. En caso de que ésta se haya visto afectada por el ataque y sus consecuencias.
• Se informa a todas las partes interesadas sobre las actividades de recuperación que se han llevado a cabo.

7. Adaptar el perfil a las necesidades y recursos de la compañía

Todas las medidas que hemos ido apuntando a lo largo del artículo, sirven como base para diseñar una estrategia de seguridad integral, en la que los ataques de ransomware sean tenidos en cuenta a la hora de planificar todas las fases de un incidente.

Si las recomendaciones básicas presentadas por el NIST suponen un programa de mínimos, para garantizar una protección esencial, el perfil del marco de ciberseguridad incluye un amplio abanico de medidas y resultados que una organización puede obtener para securizar sus activos.

La ventaja del marco de ciberseguridad del NIST radica en que este conjunto de medidas se puede adaptar en función de las necesidades de la organización, los objetivos empresariales y los recursos humanos y económicos con los que cuente.

Por ello, a lo largo del perfil se incide en la importancia de priorizar los recursos en todas las fases, desde la identificación, hasta la recuperación. Así como establecer qué medidas son rentables, teniendo en cuenta sus costes y los beneficios que producen.

8. Medidas y referencias informativas: qué se debe hacer, no cómo hacerlo

La ingente documentación generada por el NIST, desde las guías hasta el marco de ciberseguridad, pasando por los perfiles de éste, sirven como base metodológica para diseñar e implementar estrategias y servicios de ciberseguridad.

Estos documentos no indican a los analistas y a las organizaciones cómo deben realizar las acciones. Sino que ponen el foco en qué medidas y aspectos hay que tener en cuenta a la hora de determinar las acciones a llevar a cabo.

Así, la información del perfil del marco de ciberseguridad centrado en combatir los ataques de ransomware, no cuenta con especificaciones técnicas que se pueden ejecutar de manera automática, sino que presenta una multiplicidad de medidas relevantes a la hora de securizar una organización frente a este tipo de programas maliciosos. Así como referencias informativas que pueden ser de gran ayuda en dicha tarea.

Estas acciones son un conjunto de buenas prácticas que mejoran la protección de las compañías y limitan el impacto de los ataques. Y, como hemos podido ver, no incluyen solo aspectos técnicos, sino también cuestiones comerciales y reputacionales. Esta vocación generalista es la que ha permitido al NIST convertirse en una fuente de referencia y en un estándar a nivel mundial en materia de ciberseguridad.

En esencia, el perfil del marco de ciberseguridad del NIST nos muestra de manera práctica cómo se puede emplear este framework para sentar las bases de una estrategia de seguridad integral. Una estrategia capaz de combatir con eficacia los ataques de ransomware, unos de los más relevantes en el mundo hoy en día y que ponen en la picota los datos de las compañías. Amenazando, así, los resultados empresariales y la propia pervivencia del negocio.