El ransomware es una forma de malware que apunta a tus datos y sistemas para extorsionarte. En pocas palabras, es un software malicioso que llega a sus víctimas a través de correos electrónicos, sitios web infectados o redes fraudulentas. Después de llegar a su destino, comienza a cifrar los archivos y exige el pago de un rescate a cambio de la clave de descifrado. Cuando se trata de ransomware en la nube, este es un tipo de ransomware que se dirige a los sistemas basados en la nube, como el almacenamiento en la nube, los servicios para compartir archivos y otras aplicaciones basadas en la nube. Mientras que el ransomware común es un tipo de malware que encripta archivos en la computadora de la víctima, el ransomware en la nube aplica este concepto a la nube, infectando sistemas basados en la nube en lugar de computadoras personales, pero teniendo en común la demanda de un pago de rescate a cambio del descifrado. Ahora que tienes una comprensión básica de lo que es el ransomware en la nube, veamos qué podemos hacer para estar preparados. Por mucho, quizás la medida más importante que puedes tomar es hacer una copia de seguridad de tus datos. Cuando se trata de AWS, los dos lugares más comunes donde puedes almacenar tus datos son Amazon Relational Database Service (RDS) y Amazon Simple Storage Service (S3). Para estar preparado, debes determinar la frecuencia y el tipo de copias de seguridad necesarias para tu base de datos de AWS, la ubicación de almacenamiento de la copia de seguridad y el período de retención. Debes tener una comprensión detallada y planificar cuidadosamente porque necesitas saber los pasos exactos que debes seguir en caso de que necesites recuperarte de un ataque de ransomware. No seas perezoso y cifra las copias de seguridad de tu base de datos para protegerlas del acceso no autorizado. Los servicios de AWS, como Amazon RDS y Amazon S3, ofrecen funciones de cifrado que se pueden utilizar para proteger las copias de seguridad. No hace falta decir que pruebes regularmente tus copias de seguridad para asegurarte de que puedan usarse para restaurar la base de datos en caso de un ataque de ransomware. Restringe el acceso a las copias de seguridad de tu base de datos solo a los usuarios autorizados de tu equipo, aunque confíes en tus colegas. Implementa medidas de seguridad de la red, como firewalls y listas de control de acceso (ACL) para restringir el acceso a tu base de datos y evitar el tráfico de red no autorizado, y no olvides mantener actualizado el software de tu base de datos con los últimos parches y actualizaciones de seguridad. Cuando se trata de Azure, echa un vistazo a los servicios de respaldo de Azure: Azure Backup y Azure Site Recovery que se pueden usar para respaldar tu base de datos. Estos servicios son seguros, confiables y ofrecen funciones integradas de encriptación y control de versiones.
Diseñando el llamado "Procedimiento de respuesta a incidentes de ransomware".
Ahora que sabes qué es el ransomware en la nube y qué servicios pueden ayudarte para poder responder en caso de un incidente de este tipo, aquí hay algunas pautas que pueden ayudarte a idear un plan en caso de tal desastre:
1. Informa el incidente: notifica de inmediato a tu departamento de IT o a su equipo de ciberseguridad designado. Proporciona tantos detalles como sea posible, incluso cuándo ocurrió el incidente, qué tipo de incidente es y qué datos o sistemas se han visto afectados. A continuación, se muestran los datos de contacto: Email: security.latam@visma.com 2. Ten un equipo interno de respuesta a incidentes (antes del incidente), que sea responsable de atender los incidentes, independientemente de su naturaleza, ya sean incidentes de seguridad o incidentes que no tengan implicaciones de seguridad. 3. Identifica los datos y sistemas críticos en tus entornos de nube (antes del incidente). Tu equipo debe conocer la arquitectura de los productos que está desarrollando. Por ejemplo, ten una lista de los lugares donde sabes que almacenas los datos importantes que pueden ser atacados en caso de un ataque de ransomware. 4. Asegúrate de tener habilitado los logs en esos sistemas (antes del incidente). Es muy importante poder rastrear qué y guardar los eventos que suceden en los componentes críticos de tu sistema. 5. Asegúrate de saber cómo aislar los servicios en caso de ataque (antes del incidente). Digamos que tienes una máquina virtual que se ejecuta en la nube. Te das cuenta que el servidor está contaminado con algunos archivos de ransomware. No apagues la máquina virtual. Tienes que intentar aislarla. 6. Ensaya los procedimientos de copia de seguridad y restauración (antes del incidente). Esto puede sonar como una tarea desalentadora, pero debe hacerse. No solo necesita ensayarse, también es importante medir cuánto tiempo te toma a ti y a tu equipo recuperarse en caso de que tu base de datos se haya visto comprometida. Y no solo eso: ten en cuenta el tiempo que te lleva hacer que la aplicación utilice la base de datos recién restaurada. Tienes que ensayar eso también.
Ver artículo completo