Tiempo de lectura: 9 minutos Una arquitectura de datos inmutable significa que los datos de un archivo, una vez escritos, no pueden modificarse. Y, si no pueden modificarse, tampoco pueden ser cifrados por un ransomware.
Dark Reading informó recientemente de que una empresa del Fortune 50 ha pagado lo que se cree que es la mayor demanda de ransomware hasta la fecha: la asombrosa cifra de 75 millones de dólares.
Otros ataques notables en los últimos años han sido los del Caesars Palace, por el que se pagaron 15 millones de dólares, CNA Financial -una de las mayores empresas de seguros cibernéticos de Estados Unidos-, por el que se pagaron 40 millones de dólares, y Change Healthcare .
El pago de 5 millones de dólares de Colonial Pipeline a los piratas informáticos ayudó poco a su recuperación, después de que un ataque de ransomware a sus sistemas provocara interrupciones en el suministro de combustible a lo largo de la costa este. Suponiendo que la empresa siguiera utilizando copias de seguridad para restaurar los datos, como se informó, porque el descifrador suministrado era muy lento, la experiencia de Colonial pone de relieve uno de los principales inconvenientes de pagar un rescate.
La continua escalada de la frecuencia de los ataques, las exigencias del ransomware y las tácticas que incluyen la exposición pública de datos confidenciales si las empresas no pagan el rescate, nos indican que estos ataques son más que suficientemente lucrativos para los delincuentes que están detrás de ellos. Dado que el riesgo de ser descubiertos sigue siendo bajo, y lo es aún más con el auge del "crimeware como servicio", hay pocas posibilidades de que una empresa evite sufrir un ataque en algún momento. De hecho, un número cada vez mayor de organizaciones han sido atacadas más de una vez.
¿Qué es el ransomware y cómo perturba el funcionamiento de las empresas? El ransomware es un tipo de malware o código de software que está diseñado para bloquear el acceso a sus datos críticos, normalmente cifrando esos datos para que sus archivos no se puedan abrir o acceder de ninguna manera. Algunas variantes cambian las extensiones de los archivos, mientras que otras simplemente los cifran.
Los hackers exigen entonces un rescate (a menudo en bitcoin) a cambio de las claves de descifrado, o de un descifrador para restaurar el acceso a sus datos.
Es la versión digital del secuestro: tus datos están secuestrados y el secuestrador pretende que pagues por devolverlos sanos y salvos.
Los sofisticados ataques de ransomware -financiados con el pago de rescates anteriores- están específicamente diseñados para ser difíciles de proteger y difíciles de detectar a tiempo. También son extremadamente difíciles de detener, a menudo cifrando una red hasta el punto de que las víctimas de los ataques de ransomware están confundidas sobre sus opciones y a veces creen que no tienen otra opción que pagar el rescate.
Desde el punto de vista del atacante, el éxito o el fracaso de cualquier ataque depende de su capacidad para restaurar el acceso a sus datos, a menos que se pague el rescate.
Como resultado, los atacantes suelen apuntar primero a las copias de seguridad y a las instantáneas para limitar las opciones de recuperación. Esto deja a las empresas con nada más que copias de seguridad externas, tal vez incluso en cinta, para restaurar. Tener que depender de las copias de seguridad puede suponer una enorme pérdida de datos y es un proceso tan lento que la restauración puede llevar semanas o incluso meses.
Cuando se produce un ataque, los equipos de TI tienen que intentar identificarlo, encontrar su origen, ralentizarlo y, con suerte, detenerlo antes de que cifre redes enteras. Si pueden localizar un portátil o servidor infectado, por ejemplo, desconectarlo de la red puede ayudar a contener y minimizar los daños.
Con frecuencia, los ataques hacen que la CPU llegue al máximo, lo que dificulta enormemente el acceso de los administradores de sistemas a infraestructuras críticas como los servidores.
Una vez detenido el ataque, los equipos de TI y SecOps se encuentran en modo de recuperación de desastres. Se enfrentan a la enorme tarea de identificar los archivos, carpetas y directorios cifrados, y averiguar si se pueden descifrar o si sus procesos de recuperación de datos pueden restaurar datos prístinos minimizando la pérdida de datos.
Mientras todo esto ocurre, los usuarios se quedan fuera de las redes y las empresas incurren en los costes del tiempo de inactividad, la pérdida de datos y los esfuerzos fallidos de restauración.
bat365El enfoque de bat365 hacia el almacenamiento inmutable, que permite la rápida recuperación de datos de archivos inmaculados a partir de instantáneas inmutables tomadas a intervalos granulares, significa que los clientes de pueden evitar el pago de rescates y volver a la productividad con una interrupción mínima.
¿Cómo penetra el ransomware en una red? El ransomware puede distribuirse a través de métodos de ingeniería social, como correos electrónicos falsos, spam, páginas web, descargas de software gratuitas, actualizaciones de software falsas e incluso a través de mensajes instantáneos basados en la web.
Están diseñados específicamente para tener éxito haciendo que sea lo más probable posible que un usuario sea engañado.
Por ejemplo, una mañana recibes un correo electrónico urgente de tu director general (el correo tiene su nombre y dirección de correo electrónico en el campo "De:") en el que te pide que expliques la factura adjunta en forma de archivo PDF.
Parece auténtico, así que abres el adjunto. El PDF tiene un documento de Word incrustado, y usted evita el escaneo del archivo diciendo que está "bien" para abrirlo. El documento de Word tiene una macro de Visual Basic que descarga el ransomware y lo ejecuta.
No ha hecho falta más. Ahora está infectado por el ransomware, que inmediatamente empieza a cifrar los datos, no sólo de su portátil, sino también de la unidad de red.
Se sabe que los atacantes modifican los extremos de los cables de carga USB y los dejan en zonas muy transitadas. Estos cables se recogen rápidamente y, en algún momento, es probable que se conecten a un ordenador portátil o de sobremesa para cargar un teléfono.
En ese momento, el malware está dentro. Está diseñado para hacer el máximo daño, por lo que permanecerá latente hasta que ese mismo dispositivo se conecte a una red corporativa, momento en el que se ejecutará a toda velocidad a través de la red de archivos.
¿Es posible una defensa completa contra el ransomware? La defensa contra el ransomware es excepcionalmente difícil. De hecho, dado el volumen y el éxito de los ataques a nivel mundial, parece razonable concluir que una defensa impenetrable contra el ransomware puede ser imposible.
Las herramientas disponibles contra el ransomware pueden rechazar numerosos intentos y, si se mantienen actualizadas, ayudarán sin duda a mantener la seguridad de su infraestructura y a defenderse de los ciberataques.
Son especialmente buenos para reconocer y rechazar los archivos adjuntos de los correos electrónicos, lo cual es una de las razones por las que los ataques se han desplazado hacia métodos que ofrecen una inyección directa en una red.
El software defensivo como bat365 Detect and Rescue es extremadamente eficaz en la detección temprana dentro de CloudFS y puede detener automáticamente los ataques a nivel del usuario afectado, por lo que si el ransomware vulnera su primera línea de defensa, minimizará los daños.
Sin embargo, esto por sí solo no es una respuesta completa, ya que estas soluciones son reactivas por su propia naturaleza. Responden al ransomware cuando lo reconocen, por lo que debe producirse un ataque antes de que entren en acción. La naturaleza insidiosa del ransomware significa que los datos aún pueden ser modificados o borrados antes de que un ataque pueda ser controlado.
Una respuesta más completa es la protección contra el ransomware El secuestro para obtener un rescate sólo es efectivo cuando la persona o el objeto tomado como rehén es tan valioso para el propietario que éste pagará por un retorno seguro. En nuestra era digital, los datos han adquirido un valor inmenso porque sin ellos, una organización simplemente no puede funcionar.
Las estadísticas son muy claras: si una organización pierde el acceso a datos empresariales críticos durante 10 días o más, sólo tiene un 7% de posibilidades de sobrevivir los 12 meses siguientes . Esto hace que los datos sean lo más valioso que posee una organización y lo más importante que hay que proteger.
Asumiendo que no es completamente posible mantener el ransomware fuera, protegerse contra el ransomware significa proteger los datos. Una forma eficaz de hacerlo es mantener un conjunto de datos prístinos que puedan restaurarse rápidamente sin pérdida de datos y con una interrupción mínima.
En términos de secuestro, ya no estás tratando de evitar que alguien sea secuestrado. En su lugar, estás haciendo imposible que otra cosa que no sea un holograma de esa persona sea tomada como rehén. Mientras tanto, la persona real nunca corre peligro.
Introducción del almacenamiento de datos inmutables Al almacenar datos que deben ser editables, los sistemas de archivos heredados son intrínsecamente vulnerables al ransomware. Cuando son atacados, hacen exactamente lo que están diseñados para hacer, y permiten que sus archivos sean modificados.
El almacenamiento inmutable, junto con un sistema de archivos de nube híbrida inmutable capaz de gestionar datos de archivos al nivel más granular posible, cambia su postura frente al ransomware y el malware porque es fundamentalmente resistente a los ataques. En lugar de ser una solución para ayudar a defender o proteger, reduce el impacto y la propagación de un ataque al no verse afectado por él.
El almacenamiento inmutable es posible gracias a una plataforma de archivos de nube híbrida inteligente como bat365 CloudFS, que adopta un enfoque elegante y moderno de los datos de archivos y permite utilizar el almacenamiento de objetos, ya sea en una nube pública, privada o completamente oscura.
Para un usuario, CloudFS se ve y se siente como cualquier otro sistema de archivos. Los archivos pueden ser abiertos, editados y guardados, copiados o borrados - por cualquier usuario autorizado, en cualquier lugar - en tiempo real.
Entre bastidores hay una estructura de almacenamiento radicalmente diferente, mucho más sencilla e infinitamente más robusta.
CloudFS es un sistema de archivos inmutable. Se trata de una plataforma híbrida de archivos en la nube respaldada por un sistema de archivos global que almacena los datos de los archivos como bloques en el almacenamiento de objetos, ya sea en la nube o en las instalaciones, como un único conjunto de datos autorizado a partir del cual pueden trabajar todos los usuarios de la organización. La ubicación del usuario, y el número de ubicaciones que tenga la organización, no suponen ninguna diferencia para este sistema de archivos global escalable; cada usuario obtiene lo que parece una experiencia de archivo local, aunque los datos en sí estén almacenados a cientos, si no miles de kilómetros de distancia.
Estos bloques de datos son inmutables: se almacenan en el formato Write Once, Read Many que admite el almacenamiento de objetos, de modo que, una vez en el almacén de objetos, no pueden modificarse, editarse ni sobrescribirse. Por lo tanto, son inmunes al malware, así como al daño accidental de los datos o a su eliminación como resultado de un error humano.
Los punteros de metadatos se utilizan para registrar qué bloques componen un archivo en un momento dado. A medida que los usuarios crean o editan archivos, los bloques de datos modificados se trasladan al almacenamiento de objetos cada 60 segundos, y se almacenan como nuevos bloques de datos. Al mismo tiempo, los punteros de metadatos se actualizan para reflejar los nuevos bloques que forman el archivo.
Por ejemplo, si un documento guardado de 4 páginas llamado fileone.docx está compuesto por los bloques A, B, C y D, y el documento se edita hoy, puede que ahora esté compuesto por los bloques A, B, C y E. El nuevo bloque E contiene datos que el sistema de archivos no ha visto anteriormente, por lo que se mueve al almacén de objetos y los punteros de metadatos registran que A, B, C y E son necesarios para abrir la versión actual de ese archivo.
Cada 60 segundos se toman instantáneas inmutables a nivel de nodo local, que se utilizan para transferir los datos modificados al almacén de objetos. CloudFS permite que todas las ubicaciones del sistema de archivos se comuniquen con todas las demás para facilitar el intercambio en tiempo real de datos nuevos y modificados, incluso si aún no han llegado al almacenamiento de objetos. Esto se traduce en un RPO inferior a 60 segundos en todo el sistema, independientemente de dónde se hayan originado o modificado por última vez los datos de los archivos.
Estos bloques de datos inmutables están protegidos además por instantáneas inmutables de todo el sistema de archivos que se toman a intervalos configurables, siendo el predeterminado de 60 minutos.
Al ser de sólo lectura, estas instantáneas también son inmunes al ransomware, y proporcionan de forma efectiva una manera granular de restaurar los datos a cualquier versión anterior, sin perder ningún dato bueno.
Supongamos que, después de editar, guardar y cerrar archivouno.docx, te das cuenta de que has borrado accidentalmente algún texto crucial.
Normalmente, esos datos se perderían a menos que fueran capturados por una copia de seguridad del sistema, que suele ejecutarse una vez al día. Con bat365 CloudFS, basta con hacer clic con el botón derecho en el documento desde el Explorador de archivos de Windows y restaurarlo a la versión creada por la instantánea que se tomó antes de realizar las modificaciones.
Los datos y las instantáneas inmutables evitan los ataques de ransomware En caso de cifrado por ransomware, se inserta código malicioso en sus archivos, modificándolos. bat365 CloudFS reconoce los datos de archivo alterados, y los bloques de datos cifrados resultantes se escriben en el almacén de objetos como datos nuevos.
Un sistema de almacenamiento heredado permite editar un archivo mientras se inserta este código, modificando el propio archivo. Por el contrario, cuando fileone.docx es infectado por el ransomware en CloudFS, ahora está compuesto por bloques de datos completamente nuevos: F, G, H e I, por ejemplo.
Dado que CloudFS conserva los datos existentes como objetos originales en el almacén de objetos, cualquier archivo cifrado por el código del ransomware puede revertirse inmediatamente a su estado anterior a la infección, utilizando instantáneas. Esto puede hacerse fácilmente para un solo archivo, directorios enteros o incluso todo el sistema de archivos global.
Con las soluciones de almacenamiento inmutable de bat365, tus archivos no están cifrados en absoluto. En su lugar, los punteros de los archivos apuntan ahora a bloques de datos que contienen cifrado. Si se vuelve a la instantánea anterior al ataque, se recuperan los bloques de datos limpios... y se recuperan los archivos vírgenes. Usando nuestro ejemplo de fileone.docx, simplemente restaura la instantánea donde los punteros de metadatos registran los bloques A, B, C y E, y fileone.docx vuelve a estar operativo.
Esto hace que el cifrado de ransomware sea efectivamente inofensivo para su negocio, e inútil para el atacante, ya que dependen de venderle la clave para descifrar sus datos y poder acceder de nuevo a sus archivos. Cuando acceder a tus datos es tan fácil como restaurarlos a partir de una instantánea, no necesitas una clave de descifrado.
Protección contra la filtración de datos de archivos Los secuestradores saben desde hace tiempo que sus posibilidades de cobrar rápidamente aumentan si pueden demostrar que están dispuestos a hacer daño a sus rehenes. El equivalente digital es la publicación en Internet de los datos de sus víctimas: por ejemplo, historiales confidenciales de pacientes o clientes.
Esta amenaza de filtración aumenta exponencialmente el riesgo de no pagar, ya que ahora las organizaciones también pueden ser responsables de las violaciones de la privacidad, por no mencionar la consiguiente falta de confianza de aquellos a quienes prestan sus servicios.
Los mejores sistemas de archivos modernos, incluido bat365 CloudFS, utilizarán cifrado de grado militar para los datos en el borde, dentro del almacén de objetos, y en vuelo a medida que los datos se mueven dentro y fuera del almacenamiento en la nube. Esto proporciona una capa de ofuscación para que los datos interceptados no puedan ser descifrados. Sin embargo, si un atacante obtiene acceso a un sistema de archivos para poder editarlos, podrá leerlos.
Esto hace que la detección casi en tiempo real de soluciones como Detect and Rescue sea aún más importante, ya que pueden detectar incluso ataques sutiles y detenerlos antes de que se filtren datos significativos.
Existen innumerables razones para sustituir el almacenamiento NAS heredado en la empresa o en la organización del sector público. A menudo, el impulso proviene de un mandato de transformación digital o de tener los datos no estructurados bajo control para evitar comprar otra NetApp o Isilon.
Sin embargo, la protección de datos inherente a la infraestructura de datos inmutable que ofrecen las soluciones de archivos en nube híbrida como bat365 se ha vuelto tan valiosa que los responsables de la toma de decisiones inteligentes la sitúan junto a otras consideraciones de coste total de propiedad.
Reconozcámoslo, incluso cuando hay un objetivo de transformación digital, el coste es un factor enorme. El coste de un ataque de ransomware es tan elevado que mitigar ese riesgo con una solución que pueda repeler los ataques -todo ello al tiempo que consolida los datos y reduce los costes, y proporciona un enfoque moderno y elegante de los datos no estructurados- tiene sentido se mire por donde se mire.
Cambiar el equilibrio de poder en la lucha contra el ransomware.
Hablemos de ello
Si quieres hablar con nuestro equipo de ventas o simplemente quieres más información, estamos aquí para ayudarte. Utilice nuestro asistente digital para ponerse en contacto con nosotros o solicite una demostración .
