Why Organizations Are Vulnerable to Ransomware
Summary
TLDREl video destaca las lecciones clave sobre ciberseguridad para los CISOs a partir de ataques recientes como el de SolarWinds, Colonial Pipeline y Cassaya. Se enfatiza la importancia de proteger la infraestructura crítica mediante la segmentación de redes y el aislamiento de sistemas esenciales. Además, se subraya la necesidad de gestionar adecuadamente las claves criptográficas y la seguridad de los proveedores. Un CISO de clase mundial debe ser proactivo, educando a los ejecutivos sobre los riesgos emergentes y asegurando que las estrategias de seguridad estén alineadas con las mejores prácticas para prevenir ataques.
Takeaways
- 😀 Los ataques de cadena de suministro, como el caso de SolarWinds, demuestran la importancia de proteger a los proveedores y gestionar adecuadamente las relaciones de terceros.
- 😀 El ataque de ransomware a Colonial Pipeline mostró cómo los atacantes eligen empresas de infraestructura crítica que no pueden permitirse el lujo de una interrupción prolongada, lo que hace que el pago del rescate sea más atractivo.
- 😀 Las infraestructuras críticas, como las de energía y nuclear, deben estar aisladas físicamente (air-gapped) para evitar que sean accesibles desde Internet y reducir el riesgo de ciberataques.
- 😀 Los sistemas críticos deben estar completamente aislados, sin ninguna posibilidad de conexión con redes externas, incluso si existen medidas como firewalls. No puede haber excepciones en este principio.
- 😀 El manejo adecuado de las claves criptográficas es crucial. Si las claves se almacenan junto con los datos, esto debilita significativamente la seguridad de la encriptación.
- 😀 La comercialización del cibercrimen se está convirtiendo en una tendencia, como lo demostró el ataque a Cassaya, donde los ciberdelincuentes ofrecen descuentos por pagos de rescate masivos.
- 😀 Los CISOs deben ser proactivos en lugar de reactivos, anticipando y abordando vulnerabilidades antes de que se conviertan en amenazas graves.
- 😀 El uso de segmentación de red es clave para limitar el movimiento lateral de los atacantes dentro de las organizaciones, asegurando que un compromiso no afecte a toda la infraestructura.
- 😀 Los CISOs deben educar a los ejecutivos sobre la importancia de comprender las amenazas de cadena de suministro y ransomware, y asegurarse de que la protección de datos esté en primer plano en la agenda empresarial.
- 😀 A medida que las amenazas cibernéticas evolucionan, las empresas deben centrarse en proteger no solo sus sistemas internos, sino también sus relaciones con proveedores y otras partes externas para evitar compromisos masivos.
Q & A
¿Qué cambios fundamentales ha traído el aumento de los ciberataques a la gestión de la seguridad en las empresas?
-El aumento de los ciberataques ha revelado la necesidad de una gestión más rigurosa de la seguridad, enfocándose en proteger no solo las redes internas, sino también las cadenas de suministro y los sistemas críticos. Las empresas deben ser más proactivas y no solo reaccionar a los incidentes, sino anticiparse a las amenazas emergentes.
¿Qué lecciones se pueden aprender del ataque a SolarWinds sobre la gestión de la seguridad en las cadenas de suministro?
-El ataque a SolarWinds destacó la vulnerabilidad de las cadenas de suministro. Los atacantes se infiltraron en una empresa de software confiable, comprometiendo a muchas organizaciones a través de ella. Esto demuestra la importancia de auditar y controlar el acceso de terceros, así como la necesidad de una seguridad más estricta en todos los niveles de la cadena de suministro.
¿Cómo puede un CISO proteger la infraestructura crítica de las empresas contra ataques como el de Colonial Pipeline?
-Un CISO debe asegurar que los sistemas críticos estén completamente aislados de la red pública a través de un 'air gap'. Esto significa desconectar físicamente estos sistemas de cualquier red accesible desde Internet, reduciendo al mínimo la posibilidad de un ataque remoto.
¿Por qué es crucial la gestión de las claves criptográficas en la protección de datos sensibles?
-La gestión de las claves criptográficas es fundamental porque, si estas claves se almacenan junto con los datos cifrados, los atacantes pueden descifrar la información. Las claves deben ser gestionadas y almacenadas de forma segura, separadas de los datos, para garantizar la efectividad de los mecanismos de cifrado.
¿Qué significa que los sistemas críticos deben estar 'air-gapped' y por qué es importante?
-'Air-gapped' significa que los sistemas críticos deben estar completamente aislados de cualquier red conectada a Internet. Esto es crucial porque asegura que, incluso si un atacante compromete otras redes, no podrá acceder a los sistemas críticos sin una violación física.
¿Qué riesgos conlleva la falta de segmentación adecuada en las redes corporativas?
-La falta de segmentación permite que los atacantes se desplacen lateralmente a través de la red una vez que comprometen un sistema, como ocurrió en el ataque a Target. Al segmentar adecuadamente las redes, las organizaciones pueden limitar el acceso a partes sensibles de la infraestructura, lo que reduce las posibilidades de un ataque exitoso.
¿Cómo afecta la sobrecarga de alertas en los equipos de seguridad y qué soluciones propone el Dr. Eric Cole?
-La sobrecarga de alertas puede llevar a la fatiga de los equipos de seguridad, lo que puede resultar en la pérdida de información crítica. Dr. Cole sugiere que las organizaciones deben afinar y priorizar sus sistemas de alertas para centrarse solo en las amenazas más graves, utilizando técnicas de filtrado y priorización.
¿Qué se entiende por 'comercialización de la actividad cibercriminal' en el contexto de los ataques de ransomware?
-La 'comercialización de la actividad cibercriminal' se refiere a cómo los atacantes de ransomware han profesionalizado sus métodos, ofreciendo descuentos por volumen a las empresas afectadas. Por ejemplo, en el caso de Cassaya, los atacantes ofrecieron un 'descuento por grupo' a empresas para pagar una suma única a cambio de una clave universal de descifrado, en lugar de cobrar individualmente a cada víctima.
¿Cómo puede un CISO asegurarse de que la protección de datos en su organización sea efectiva?
-Un CISO debe asegurarse de que los datos estén correctamente cifrados, segmentados y respaldados, además de realizar auditorías regulares de las prácticas de seguridad. También es crucial que todos los sistemas y datos estén protegidos mediante controles de acceso estrictos, y que se eduque continuamente a los empleados sobre las mejores prácticas de seguridad.
¿Por qué los ataques de ransomware, como el de Colonial Pipeline, son especialmente devastadores para las empresas?
-Los ataques de ransomware pueden paralizar operaciones críticas y generar enormes pérdidas económicas. En el caso de Colonial Pipeline, la empresa estaba perdiendo 20 millones de dólares al día debido a la paralización de su infraestructura, lo que hizo que pagar el rescate fuera una opción económica viable frente a las pérdidas operacionales.
Outlines
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowMindmap
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowKeywords
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowHighlights
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowTranscripts
This section is available to paid users only. Please upgrade to access this part.
Upgrade Now
5.0 / 5 (0 votes)
