Mejores prácticas contra ataques ransomware

A raíz del reciente ataque del ransomware “DarkSide”, la CISA (“Cybersecurity and Infrastructure Security Agency“) publicó un artículo de alerta AA21-131ª que todo encargado de la red industrial debe leer. Razón por la que publicamos este artículo y mostrarte así las mejores prácticas contra ataques ransonware.

Recomendaciones:

Implementar autenticación multi-factor para redes remotas tanto en IT como en OT.
Habilitar filtros spam eficientes para prevenir correos phishing
Implementar un programa de entrenamiento y simular ataques de spearphishing para desalentar usuarios de visitar sitios maliciosos o abrir adjuntos .
Filtrar el tráfico de red para prohibir comunicaciones de ingreso y egreso de direcciones IP maliciosas. Bloquea URL’s de dudosa reputación.
Actualiza software, incluyendo sistemas operativos, aplicaciones, firmware. Considera implementar un sistema que administre los parches. Utiliza la información de tu análisis de vulnerabilidades para determinar cuales activos de la red OT, así como las zonas deben participar en dichos parches.
Configura los antivirus y antimalware para realizar escaneos regulares. Implementa un plan de prevención de ejecución no autorizada de scripts y macros, reglas para permitir aplicaciones confiables, monitoreo y/o bloqueo de ciertas conexiones, implementar detección de firmas.

Adicionalmente:

Implementa una segmentación de red robusta.
Organiza los activos lógicamente en zonas y conduits.
Identifica las inter dependencias de OT e IT para crear procesos de control.
Implementa procesos de respaldo y pruébalos.
Asegúrate que las cuentas de usuario tengan sólo los privilegios para cumplir sus laboras, restringe los demás accesos.
En caso de infección: Aísla los sistemas infectados Apaga los equipos o cuando menos desconéctalos de la red Asegura tus respaldos tenlos disponibles.