Notorio ransomware El Grupo BianLian se atribuyó la responsabilidad del reciente ciberataque dirigido al Boston Children's Health Physicians (BCHP).
El tamaño de la demanda de rescate o la fecha límite del grupo aún no están claros. BCHP confirmó el 6 de septiembre que había identificado actividad inusual y para el 10 de septiembre, los sistemas se cerraron debido a un acceso no autorizado detectado dentro de la red.
Se dice que la información comprometida contiene información del paciente, empleado y garante, incluidos números de Seguro Social, números de registros médicos, seguro médico e información de facturación, así como… Datos de identificación personal Como nombres completos y fechas de nacimiento.
BianLian cruza la línea
El actor de amenazas afirma tener una cantidad no especificada de datos financieros y de recursos humanos, así como registros médicos, detalles de seguros y correspondencia por correo electrónico relacionada con los niños tratados por la organización.
Aunque los hospitales no están fuera de control, atacar a una organización que se ocupa exclusivamente de niños es muy raro, ya que la mayoría de los grupos de ransomware lo consideran moralmente escandaloso.
De hecho, el año pasado un grupo notorio Lockbit se disculpó formalmente por atacar un hospital infantil En Canadá, admitió que el ataque violaba sus reglas de enfrentamiento. Después del incidente, el grupo dijo en un comunicado que eliminó al miembro y lo prohibió del grupo.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Lockbit ha restablecido la herramienta de descifrado de forma gratuita y ha confirmado que bloquea el cifrado de los afiliados. Puntos finales Sus operaciones son cruciales para salvar la vida de los pacientes.
Los ciberdelincuentes apuntan a las plataformas de nube híbrida con una nueva y preocupante estrategia ransomware Creo, microsoft Revelaron investigadores de seguridad.
Los expertos en inteligencia de amenazas de la empresa han publicado un nuevo informe Publicación de blog Advertencia para Storm-0501, un grupo de ransomware activo desde 2021.
El equipo advirtió que Storm-0501 apunta a varios sectores en los Estados Unidos, desde el gobierno y la manufactura hasta el transporte y las fuerzas del orden.
Ransomware basado en óxido
Los investigadores de Microsoft creen que el grupo tiene una motivación financiera, lo que significa que no es un actor patrocinado por el estado, ya que apunta a empresas con la intención de extorsionar dinero, que luego puede utilizar para financiar actividades adicionales de ciberdelincuencia.
Cuando Storm-0501 ataca, busca cuentas mal protegidas y con demasiados privilegios. Una vez que las cuentas están comprometidas, se utilizan para otorgar acceso a dispositivos locales y, desde allí, a entornos de nube. El siguiente paso es lograr estabilidad y permitir un movimiento lateral implacable en toda la infraestructura.
El último paso es la introducción del ransomware. En el pasado, Storm-0501 utilizó variantes populares, como Hive, BlackCat (ALPHV), Hunters International y LockBit. Sin embargo, en algunos ataques recientes, el grupo utilizó una variante de ransomware llamada Embargo.
Ban es una raza relativamente nueva, desarrollada en la ciudad de Rust. Los investigadores de Microsoft afirmaron que utiliza métodos de cifrado avanzados y opera en un modelo RaaS (lo que significa que otra persona desarrolla y mantiene el software de cifrado y, por lo tanto, obtiene una parte del botín final). Mientras usa Embargo, Storm-0501 sigue la vieja y probada táctica de doble extorsión, donde primero roban los archivos de la víctima y luego cifran el resto, amenazando con filtrarlos en línea a menos que la víctima pague un rescate.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
En los casos analizados por Microsoft, Storm-0501 aprovechó las cuentas de administrador de dominio comprometidas e implementó Embargo mediante tareas programadas. Los nombres de los archivos binarios de ransomware que se utilizaron son PostalScanImporter.exe y win.exe. Las extensiones de archivos cifrados eran .partial, .564ba1 y .embargo.
También vale la pena señalar que Storm-0501 a veces se abstiene de implementar el software de cifrado y solo reserva el acceso a la red.
Los ataques de ransomware continúan aumentando, lo que significa que si eres una PYME, esto es otra cosa que debes agregar a tu ya creciente lista de verificación de ciberseguridad. Aunque los ataques de ransomware tienden a aparecer en los titulares cuando infectan a empresas más grandes o gobiernos, en realidad son los propietarios de pequeñas empresas los que sufren los ataques con mayor frecuencia.
Hay muchos métodos diversos utilizados por bandas de ransomware, como LockBit, C10p y el infame Black Cat, por nombrar algunos, para infiltrarse en las PYME, y gran parte de esto se debe a que muchas de ellas son objetivos de ataque relativamente fáciles. Las pequeñas y medianas empresas con 200 empleados o menos suelen ser los objetivos principales, normalmente porque operan con presupuestos limitados.
Sin embargo, no se trata sólo de dinero, ya que las pymes también pueden tender a pasar por alto lo obvio, ya que muchos propietarios de empresas no cuentan con una estrategia de ciberseguridad. Esto puede llevar a una falta de conciencia de los riesgos para los empleados, y es precisamente el tipo de entorno laxo que puede permitir que aparezcan ataques de ransomware, como si surgieran de la nada.
¿Qué haces al respecto?
Descubrir las debilidades en la estructura de trabajo diaria de las PYME es una parte vital para identificar cualquier problema potencial. Dado que los presupuestos de seguridad de las PYMES son una fracción de lo que son en las empresas más grandes, y con los departamentos de TI a menudo también sobrecargados, es esencial hacer un balance. Elegir qué acciones y pasos dar para cerrar la empresa de la mejor forma posible es vital.
Por ejemplo, educar a los empleados e instar al personal de TI a implementar el uso de contraseñas seguras es un hecho, además de actualizarlas y cambiarlas periódicamente. Las herramientas de administración de contraseñas pueden resultar útiles si es una empresa con un departamento de TI completamente extendido. Implementar la autenticación de dos factores (2FA) también es relativamente fácil y puede ayudar a proteger aún más su negocio, al igual que garantizar que los parches del sistema se actualicen tan pronto como estén disponibles.
Descubra vulnerabilidades en el software
Los propietarios de PYME suelen estar bajo presión en muchas áreas, por lo que no mantener el software y los sistemas actualizados puede ser un área frecuente de debilidad. Del mismo modo, no contar con una estrategia de respaldo completa puede ser un descuido costoso, lo que también brinda a los piratas informáticos de ransomware más posibilidades para ejecutar sus amenazas. Incluso si su PYME es relativamente modesta, se debe subestimar la amenaza de los ataques de ransomware y los piratas informáticos.
No se trata sólo de software y sistemas. Asegurarse de que sus empleados sean plenamente conscientes de la forma en que funciona el software y de cómo monitorear posibles amenazas de ransomware es otra pieza importante del rompecabezas de la ciberseguridad. Esto tiende a agravarse si las pymes utilizan habitualmente el trabajo remoto o híbrido, además de complementar las cuotas de empleados con contratistas y autónomos.
Mantente alerta
Otro gran problema al que se enfrentan las pymes y la comunidad empresarial en general es hasta qué punto la amenaza de ataques de ransomware sigue creciendo y, al mismo tiempo, también evoluciona. A medida que los grupos de ransomware crecen, las tecnologías también evolucionan y el ransomware se pone a disposición de los ciberdelincuentes como un servicio en la web oscura. Esto proporciona efectivamente una ruta de acceso fácil para que los ciberdelincuentes compren las herramientas y la información que necesitan para comenzar.
Además, es probable que haya una amplia selección reservada para cualquiera que desee explotar las vulnerabilidades en la configuración de seguridad de una PYME no preparada. Los piratas informáticos que hayan logrado proteger los datos corporativos de una empresa más pequeña probablemente podrán obtener un rescate. Muchas pymes se benefician de aplicaciones para compartir archivos y software de contabilidad y nómina que, si no se configuran lo suficientemente bien para proteger los datos, pueden brindar a los piratas informáticos infinitas oportunidades.
Protección continua
Por lo tanto, las pymes deben mantener su estrategia de ciberseguridad para estar preparadas ante posibles ataques, no sólo ahora sino también en el futuro. Se recomienda a cualquiera que no haya revisado recientemente sus procedimientos de seguridad que lo haga lo antes posible. Hay muchas medidas preventivas que se pueden implementar con relativa facilidad y, gracias a la gran cantidad de opciones disponibles, el software de ciberseguridad es relativamente asequible.
Sin embargo, vale la pena gastar lo máximo que su empresa pueda permitirse en una solución de seguridad que combine con una mejor concientización de los empleados sobre las amenazas de ransomware. De hecho, contar con empleados diligentes puede marcar una gran diferencia a la hora de mantener las cosas lo más cerradas posible. En este sentido, es una muy buena idea realizar actualizaciones periódicas de capacitación para educar a los empleados sobre cualquier amenaza nueva o en evolución, especialmente cuando se trata de correos electrónicos de phishing, que infectan muchas, si no todas, las bandejas de entrada de la empresa.
Si ataca el ransomware
Incluso si usted es el propietario de una PYME más diligente del mundo, con todas las salvaguardas implementadas y empleados que hacen un esfuerzo adicional cuando se trata de monitorear amenazas, siempre es posible un ataque. El consejo que dan la mayoría de los insiders si tu PYME se ha visto comprometida por un ataque de ransomware es que no pagues nada. Si bien es posible negociar con el grupo de ransomware, no se recomienda hacerlo.
Sin embargo, si no es inteligente y toma medidas de antemano para mantener los datos de la empresa lo más seguros posible, esta puede ser la única opción. Este es un claro recordatorio de lo importante que es cerrar su empresa y sus datos lo más rápido posible. Gastar dinero en buenas medidas preventivas, como software y sistemas, más temprano que tarde puede ser la mejor inversión que jamás haga una PYME.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Las organizaciones sanitarias siguen siendo objetivos atractivos para ransomware Para los delincuentes, estos ataques no sólo se han vuelto más frecuentes, sino también más costosos: el costo promedio para recuperarse de ellos alcanza los 2,57 millones de dólares, frente a los 2,2 millones de dólares del año anterior, según afirma una nueva investigación.
Un informe de Sophos encontró que más de dos tercios (67%) dijeron haber sido víctimas de un ataque de ransomware en 2024, frente al 60% en 2023.
La sofisticación y sofisticación de los ataques también está aumentando: el 80% de las organizaciones tardan más de una semana en recuperarse, cifra muy superior al 46% reportado en 2022.
Objetivos en riesgo
La industria de la salud siempre ha sido un objetivo lucrativo para los ciberdelincuentes, ya que las organizaciones tienden a tener información altamente confidencial y necesitan acceso constante para garantizar la seguridad del paciente.
Los atacantes utilizaron principalmente vulnerabilidades explotadas y credenciales comprometidas para obtener acceso a las organizaciones, lo que representó el 34 % de los casos cada uno. Los delincuentes no solo buscaban datos: en el 95% de los ataques, los piratas informáticos también buscaban copias de seguridad empresariales. Esto es comprensible, ya que una copia de seguridad comprometida significa que es dos veces más probable que se pague el rescate.
“Desafortunadamente, los ciberdelincuentes han aprendido que pocas organizaciones sanitarias están preparadas para responder a estos ataques, lo que se evidencia en tiempos de recuperación cada vez más largos”. dijo John Shear, director técnico de Sophos.
“Estos ataques pueden tener impactos masivos, como vimos este año con importantes ataques de ransomware que afectaron al sector de la salud y la atención al paciente”.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Sin enormes presupuestos para ciberseguridad y A menudo con sistemas informáticos obsoletoslas instituciones sanitarias están expuestas. Las investigaciones indican que hasta el 50% de los sistemas de TI entran en la categoría “heredado”, lo que los hace vulnerables a vulnerabilidades.
A medida que los ciberdelincuentes se vuelven más exitosos y más destructivos, Shire pide un enfoque más proactivo y “dirigido por humanos” para detectar amenazas, y pide un monitoreo constante para adelantarse a los ciberdelincuentes.
Tempestad de vainilla, A ransomware Se vio por primera vez a un grupo de piratas informáticos, también conocido como Vice Society, propagando la cepa de ransomware INC para apuntar al sector sanitario de EE. UU.
Esto es según investigadores de ciberseguridad de microsoftquienes recientemente detallaron sus últimos hallazgos en su serie X.
En el hilo, la compañía dijo que Vanilla Tempest primero recibe una infección de Gootloader por Storm-0494, antes de propagar diferentes virus. malware Y software, incluidos Supper, AnyDesk, MEGA y otros.
Vicio comunitario
El grupo utiliza el Protocolo de escritorio remoto (RDP) para el movimiento lateral y el host del proveedor de administración de Windows para difundir el ransomware INC.
Desafortunadamente, Microsoft no dijo a qué organizaciones se dirigió Vanilla Tempest ni qué tan exitoso fue. Los ataques de ransomware contra empresas de atención médica generalmente resultan en la filtración de datos médicos altamente confidenciales, así como en pagos potencialmente exorbitantes.
Vanilla Tempest, o Vice Society, es un actor de amenazas que ha estado activo desde mediados de 2022. Por lo general, se dirige a los sectores de educación, atención médica, TI y manufactura, y se sabe que cambia con frecuencia entre diferentes ubicaciones. codificadoresSi bien los socios suelen utilizar uno o dos codificadores, se ha observado que Vanilla Tempest utiliza BlackCat, Quantum Locker, Zeppelin, Rhysida y otros.
En octubre de 2022, Microsoft advirtió sobre el grupo Vanilla Tempest, diciendo que era conocido por desviar cargas útiles de ransomware mientras apuntaba a escuelas en los Estados Unidos. Microsoft agregó que en algunos casos, el grupo omite por completo la parte de cifrado y simplemente roba datos.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
Las víctimas de estos ataques incluyen al gigante sueco de muebles IKEA, así como al Distrito Escolar Unificado de Los Ángeles (LAUSD). IKEA fue víctima de estos ataques a finales de noviembre de 2022, cuando sus tiendas en Marruecos y Kuwait se vieron obligadas a cerrar partes de su infraestructura. Hace unos meses, el Distrito Escolar Unificado de Los Ángeles intentó negociar con el grupo para mantener la privacidad de los datos confidenciales robados, pero las negociaciones fracasaron.
“Desafortunadamente, como era de esperar, recientemente una organización criminal emitió declaraciones”, dijo poco después el Distrito Escolar Unificado de Los Ángeles. “En asociación con las autoridades, nuestros expertos están analizando el alcance completo de esta divulgación de datos”.
Hasta el día de hoy se desconoce la identidad de los piratas.
el ransomware El ataque a Patelco Credit Union parece haber provocado que la empresa pierda datos confidenciales de cientos de miles de clientes.
La empresa confirmó la noticia a través de un nuevo expediente que presentó a la Fiscalía General de Maine, señalando que a 726.000 de sus clientes les robaron los datos.
Los datos robados incluían nombres completos de los usuarios, números de Seguro Social (SSN), números de licencia de conducir, fechas de nacimiento, direcciones de correo electrónico, suficientes para más que eso. Intel Para instalación robo de identidadO phishing o fraude electrónico.
Nombres y números de Seguro Social
La institución financiera estadounidense sin fines de lucro anunció que fue afectada por un ataque de ransomware en mayo de 2024, lo que la obligó a cerrar partes de su infraestructura de TI para contener el incidente. La empresa tardó aproximadamente dos semanas en volver a trabajar y reanudar sus operaciones.
En ese momento, no se sabía quiénes eran los piratas informáticos ni si habían obtenido información confidencial de los puntos finales de la empresa, como suele ocurrir en los ataques de ransomware.
Poco después, RansomHub, un grupo surgido del desaparecido grupo ALPHV, se atribuyó la responsabilidad del ataque y publicó todos los datos robados en su portal de extorsión.
Como cooperativa de crédito, Patelco ofrece muchos de los mismos servicios financieros que un banco tradicional, incluidas cuentas corrientes y de ahorro, préstamos, hipotecas, tarjetas de crédito y servicios de inversión. Sin embargo, a diferencia de los bancos, las cooperativas de crédito como Patelco son propiedad de sus miembros y están operadas por ellos, lo que significa que las ganancias regresan a los miembros en forma de tarifas más bajas, mejores tasas de interés y dividendos.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
Patelco es una de las cooperativas de crédito más grandes de Estados Unidos, atiende a cientos de miles de miembros y administra miles de millones de dólares en activos. De acuerdo a Computadora sangranteSus activos superan los 9 mil millones de dólares.
Patelco ofrece dos años de servicios gratuitos de monitoreo de identidad y crédito, a través de Experian, para minimizar el daño.
alcalino ransomware Fue visto extrayendo con éxito datos confidenciales almacenados. Google cromo.
en escribiendoInvestigadores de Sophos han revelado cómo un grupo criminal utilizó credenciales previamente comprometidas para obtener acceso a la infraestructura de TI de una organización anónima.
el Navegador Las credenciales eran para una red privada virtual (red privada virtual) portal que carecía de autenticación multifactor (MFA) y, por lo tanto, era relativamente fácil de acceder.
Robo de credenciales en masa
Sophos dice que no se sabe si la infracción inicial fue realizada por un intermediario de acceso inicial (IAB) y luego entregada a los operadores de ransomware, o si fue llevada a cabo en su totalidad por una sola organización.
Sin embargo, el clúster permaneció inactivo durante más de dos semanas (18 días) antes de pasar horizontalmente a un controlador de dominio con las credenciales comprometidas. Si bien los piratas fueron detectados en un único controlador de dominio dentro del dominio Active Directory de su objetivo, los investigadores concluyeron que otros controladores de dominio en ese dominio AD estaban infectados. Sin embargo, me afectó de manera diferente.
Qilin es una operación clásica de ransomware basada en el habitual ataque de doble extorsión: primero roba la mayor cantidad de información posible, antes de cifrar el dispositivo comprometido y exigir el pago de la clave de descifrado. Sin embargo, los investigadores afirman que lo que hace que este proceso sea relativamente único es la forma en que se dirige a Google Chrome.
“Durante una investigación reciente sobre la violación del ransomware Qilin, el original de Sophos”, explicaron los investigadores. “Esta es una táctica inusual y podría agravar aún más el caos ya inherente a las situaciones de ransomware”.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
En otras palabras, Qilin recopila credenciales guardadas en los navegadores Chrome en dispositivos conectados a la misma red que el dispositivo inicialmente comprometido.
Sophos concluyó diciendo que los ciberdelincuentes continúan desarrollando sus tácticas y enfatizó que las organizaciones deben confiar en… Administradores de contraseñas Más y asegúrese de habilitar MFA siempre que sea posible, para reducir las posibilidades de ser víctima.
Un nuevo estudio de investigación sugiere que los operadores de ransomware están en camino de batir otro récord este año, si las entradas de criptomonedas son un indicio.
Un informe de Chainalysis dice que en la primera mitad de 2024, los flujos de criptomonedas alcanzaron los 460 millones de dólares, frente a los 449 millones de dólares de hace 12 meses, lo que representa un aumento interanual del 2%.
Según los informes de Chainalysis, el mayor pago jamás registrado se produjo este año, cuando una empresa pagó 75 millones de dólares a Dark Angels. ransomware Los pagos promedio de rescate por las cepas de ransomware más graves aumentaron de menos de 200.000 dólares a principios de 2023 a 1,5 millones de dólares a mediados de junio de 2024.
Los ángeles oscuros roban millones
En total, los grupos de ransomware generaron más de mil millones de dólares el año pasado y es probable que repitan ese éxito también este año.
En otras palabras, los operadores de ransomware están ganando más dinero con sus actividades, pero la cifra no es tan simple. Con LockBit desactivado y ALPHV prácticamente inexistente, muchos grupos afiliados activos se han visto obligados a cambiar a diferentes cepas, que a menudo son ineficaces. Al mismo tiempo, muchos grupos están optando por “cazar caza mayor”, optando por empresas más grandes y pagando sumas mayores. Esto también significa que hubo menos víctimas.
Pero robar una gran cantidad de dinero a través de blockchain no le está haciendo un mal servicio a la industria, como señaló Chainalysis en otra parte del informe. La actividad ilícita total en la cadena ha disminuido en aproximadamente cinco años, lo que significa que la actividad legítima está creciendo rápidamente. Desafortunadamente, el robo de criptomonedas también está creciendo, y los flujos de dinero robados casi se duplican, de 857 millones de dólares el año pasado a 1.580 millones de dólares este año.
Finalmente, la cantidad promedio de criptomonedas robadas en cada atraco ha aumentado aproximadamente un 80%, principalmente debido al aumento masivo que ha experimentado Bitcoin este año. A principios de 2024, en la primera semana de enero, Bitcoin se cotizaba a unos 43.906 dólares, mientras que hoy ronda los 59.000 dólares, lo que representa un aumento del 33%. En noviembre de 2022, Bitcoin estaba por debajo de los 16.000 dólares, después de lo cual subió a casi 74.000 dólares esta primavera.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
Los investigadores de ciberseguridad del equipo de respuesta a incidentes de Sophos X-Ops observaron que los piratas informáticos están implementando una táctica de ingeniería social inusual para obtener acceso a los sistemas de las víctimas y robar datos confidenciales.
El equipo explicó cómo ransomware Un juego en línea llamado Mad Liberator apareció a mediados de julio de 2024 y se centra principalmente en la extracción de datos (en lugar del cifrado del sistema), pero a veces también participa en una doble extorsión (cifrado + robo de datos). También tiene un sitio web de filtración de datos donde amenaza con publicar datos robados a menos que las víctimas paguen.
Lo que distingue a Mad Liberator de otros actores de amenazas es el vector de acceso inicial. Los grupos de hackers suelen recurrir al phishing para entrar, normalmente utilizando correos electrónicos de phishing o servicios de mensajería instantánea. Pero en este caso, parece que “adivinaron” la identificación única de Anydesk.
Abuso de software legítimo
Anydesk es un proyecto Aplicación de escritorio remoto Es utilizado por miles de empresas en todo el mundo. Cada dispositivo en el que está instalado Anydesk obtiene un identificador único, un número de 10 dígitos, al que otros puntos finales pueden “llamar” y así acceder. Curiosamente, un día los atacantes se conectaron a una de las computadoras de la organización víctima, aparentemente sin ninguna interacción previa. Además, la computadora objetivo no pertenece a ningún empleado o gerente de alto nivel.
La víctima asumió que el departamento de TI estaba realizando un mantenimiento de rutina, por lo que aceptó la llamada telefónica sin hacer preguntas.
Esto les dio a los atacantes acceso ininterrumpido, que utilizaron para implementar un archivo binario que a primera vista parecía ser una actualización de Windows. También desactivaron la entrada del teclado por parte de la víctima, para asegurarse de que no descubran el truco al presionar accidentalmente el botón Esc y reducir el volumen del programa en ejecución.
Después de unas horas, los delincuentes pudieron extraer datos confidenciales del dispositivo, conectar servicios en la nube y escanear a qué otros dispositivos conectados podrían cambiar.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
Una vez más, “no dar por sentado nada, cuestionarlo todo” demuestra ser la mentalidad adecuada para mantenerse seguro en el lugar de trabajo.
El mundo de la regulación avanza notablemente con lentitud y, por lo general, se necesitan años de propuestas, revisiones y reformulaciones antes de que las nuevas regulaciones se conviertan en ley. Esto tiene sentido: cuando se trata de leyes que podrían afectar a millones de personas y remodelar aspectos de nuestras vidas, el más alto nivel de escrutinio es esencial.
Pero este enfoque se ve desafiado por el ritmo implacable de la evolución de las ciberamenazas. A medida que los grupos de ciberdelincuentes continúan mejorando sus ataques para maximizar los ingresos e infligir mayores daños, los gobiernos están bajo presión para responder e impulsar el cambio a través de nuevos marcos y orientaciones que obligarán a las organizaciones a implementar estándares de ciberseguridad más altos. proteccion.
Las regulaciones desempeñan un papel influyente en la configuración de las estrategias de seguridad y el aumento del nivel de seguridad, y dada la escala y el costo de las perturbaciones que causan, Secuestro de datos Los ataques cibernéticos preocupan especialmente a las autoridades de todo el mundo. Las leyes que establecen cómo las organizaciones protegen, responden y reportan ataques de ransomware tienen como objetivo fortalecer nuestras defensas cibernéticas nacionales y disuadir a los atacantes.
Esto es bienvenido; Sin embargo, el cambio lleva tiempo y el cumplimiento de las regulaciones no es un fin en sí mismo. Las organizaciones también deben asumir la responsabilidad de mantenerse a la vanguardia cuando se trata de mitigar amenazas de manera proactiva en lugar de esperar a cumplir con el requisito mínimo.
Dr. Darren William
CEO y fundador de BlackFog.
El cambiante panorama regulatorio
A fines del año pasado, el gobierno británico publicó un informe calificando al ransomware como una amenaza nacional, indicando que existía un alto riesgo de un ataque “catastrófico”. Dada la magnitud de las amenazas que enfrenta ahora el Reino Unido, el gobierno anunció en mayo propuestas para informar obligatoriamente sobre el ransomware y un posible acuerdo de licencia antes de que las víctimas paguen cualquier rescate.
A medida que los ataques de ransomware se convierten en un problema de seguridad nacional, las amenazas contra la infraestructura crítica tienden a provocar las reacciones más rápidas de los gobiernos. Tras el ataque de ransomware al Colonial Pipeline, por ejemplo, el gobierno de EE. UU. emitió una guía exigiendo a los operadores de oleoductos que mejoraran los requisitos de seguridad, sentando un precedente para otros sectores.
La interrupción causada por los sistemas cifrados es sólo una parte de la historia, y en qué se centran principalmente los atacantes Datos Con la filtración de datos, millones de personas se enfrentan a la posibilidad de que bandas criminales compren y vendan sus datos privados en la web oscura.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
En consecuencia, las regulaciones recientes se han centrado cada vez más en la protección de datos. Más recientemente, la propuesta Ley de Derechos de Privacidad de EE. UU. se ha centrado en la notificación de violaciones de datos, los derechos del consumidor y mecanismos estrictos de aplicación. La Ley de Derechos de Privacidad de EE. UU. tiene como objetivo unificar varias leyes estatales en un estándar federal integral, que afecta en gran medida la forma en que las empresas manejan y protegen los datos.
APRA propone una gama de datos de consumidores Privacidad Estas medidas son similares a las del RGPD, junto con responsabilidades más estrictas de las empresas para mantener la integridad de los datos. Esto incluye requisitos relacionados con la identificación de vulnerabilidades, la prueba de sistemas y la mejora de la capacitación de los empleados sobre protocolos de seguridad.
A medida que aumentan los riesgos para las empresas que no protegen adecuadamente los sistemas y los datos, el cambio regulatorio también está poniendo las acciones de los altos ejecutivos en el centro de atención. Este enfoque en la responsabilidad individual es una tendencia creciente, ya que los directores de seguridad de la información y otros tomadores de decisiones enfrentan la amenaza de responsabilidad personal en caso de violaciones graves. La nueva posición de la SEC sobre divulgación de seguridad exige que los incidentes se informen en un plazo de cuatro días y asigna a los funcionarios de seguridad de la información la responsabilidad de garantizar que esto suceda. En un caso histórico, la Comisión de Bolsa y Valores acusó al director de seguridad de la información de SolarWinds de fraude y falla de control interno sobre la notoria violación de la cadena de suministro de software de la compañía.
La colaboración es la clave para una regulación eficaz
Los ejecutivos del Reino Unido pueden ver este desarrollo con preocupación, y la naturaleza global de las tendencias de seguridad significa que debemos prestar atención a los cambios regulatorios importantes en ambos lados del Atlántico. El hilo común es que para que las regulaciones sean efectivas, deben ser realistas y aplicables por parte de las empresas. Los gobiernos y los organismos reguladores pueden crear regulaciones más efectivas contactando a expertos de la industria para comprender las limitaciones y capacidades prácticas. Simplificar los procesos de cumplimiento y brindar orientación clara y práctica ayudará a garantizar que las regulaciones mejoren la seguridad en lugar de obstaculizarla.
Para este fin, la consulta con expertos de la industria es esencial al formular ciberseguridad Reglamentos. Es más probable que las regulaciones se cumplan mejor si se basan en conocimientos prácticos de los profesionales de la industria. cooperación Colaborar con profesionales de seguridad también garantiza que las políticas no solo sean ejecutables, sino también efectivas para abordar las amenazas actuales.
La colaboración entre diversas industrias es crucial para que se intercambien mejores prácticas y soluciones innovadoras entre los tomadores de decisiones en diversos campos, así como entre los sectores público y privado. Esto es especialmente importante ya que los grupos de amenazas utilizan las mismas tácticas en múltiples sectores. Al trabajar juntos, los gobiernos y las industrias pueden priorizar la protección de datos y aumentar la resiliencia ante ataques disruptivos.
Estrategias para mejorar la resiliencia
Las empresas deben evaluar cuidadosamente sus medidas de seguridad de datos frente a las regulaciones gubernamentales y de la industria; sin embargo, el cumplimiento debe verse como un estándar mínimo y no como el objetivo final.
Las empresas deberían buscar activamente implementar estrategias para mejorar la resiliencia, en lugar de esperar a que estas estrategias se vuelvan obligatorias. Esto incluye implementar autenticación multifactor, realizar auditorías de seguridad periódicas para identificar vulnerabilidades y proporcionar las capacidades necesarias para identificar comportamientos maliciosos y prevenir fugas de datos. También es fundamental capacitar a los empleados sobre las mejores prácticas de ciberseguridad.
Con los atacantes apuntando a extraer datos, Mirando Regular el tráfico saliente para poder detener el robo de datos antes de que algo salga del sistema es una de las capas más importantes de cualquier estrategia de ciberseguridad.
Sin embargo, a menudo encontramos que las empresas están tan preocupadas por monitorear las señales de amenazas externas entrantes que ignoran lo que surge de ellas. Debido a que no cuentan con un sistema de monitoreo efectivo, no saben lo suficiente como para saber si están experimentando un problema de fuga de datos.
Esto es similar a lo que vimos en el apogeo de la pandemia de Covid-19, donde los países anunciaron que sus tasas de infección eran bajas porque no estaban realizando pruebas activamente. Hay muchas empresas que confían en sus estrategias porque no miran en el lugar adecuado para darse cuenta de que pueden tener un problema.
Al evitar que los sistemas se vean comprometidos con estrictos controles de acceso y evitar que datos confidenciales abandonen la red mediante medidas como la prevención de fuga de datos (ADX), las organizaciones pueden evitar tener que negociar con atacantes o que sus datos accedan a la Dark Web. Mientras tanto, los grupos amenazantes se moverán en busca de objetivos más fáciles y menos preparados.
A medida que los gobiernos y reguladores de todo el mundo comienzan a centrarse más en la presentación de informes y la protección de datos, las organizaciones deben prepararse para satisfacer más necesidades de cumplimiento en el futuro cercano. Dar prioridad a la visibilidad y el control sobre el acceso al sistema y los datos críticos reducirá el impacto de los ataques disruptivos y preparará a las empresas para cumplir con las demandas de los reguladores a medida que los legisladores tomen más medidas para fortalecer nuestras defensas colectivas.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no reflejan necesariamente los puntos de vista de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
