Inicio
Seguridad
QRadar
SIEM
El ransomware se ha convertido en uno de los modelos de negocio más importantes de la ciberdelincuencia, costando a las organizaciones miles de millones de dólares al año. En un ataque de ransomware, los ciberdelincuentes roban o cifran datos valiosos y luego exigen un pago para devolverlos a salvo. Estos ataques han pasado de ser una molestia a nivel del consumidor a convertirse en un sofisticado malware con avanzadas capacidades de cifrado, y ningún sector, zona geográfica o tamaño de empresa es inmune.
Proteger a su organización del ransomware y otros tipos de malware requiere una respuesta rápida, porque cada segundo que pasa se cifran más archivos y se infectan más dispositivos, lo que aumenta tanto los daños como los costos. IBM QRadar SIEM le ayuda a detectar estas amenazas rápidamente para que pueda tomar medidas informadas e inmediatas para evitar o minimizar los efectos del ataque.
En la batalla contra el ransomware, la detección y prevención tempranas son fundamentales. QRadar SIEM ofrece análisis de seguridad inteligentes que le proporcionan información procesable contra las amenazas críticas.
de todos los ciberataques son ransomware.¹
El costo promedio de un ataque de ransomware es de 5.13 millones de dólares.¹
Organizaciones con seguridad y automatización de IA identificaron y contuvieron una filtración de datos 108 días antes.¹
El ransomware, como la mayoría del malware, pasa por varias fases. QRadar SIEM puede detectar ransomware conocido y desconocido en todas estas fases. Una detección temprana puede ayudar a prevenir daños en fases posteriores. QRadar proporciona extensiones de contenido que incluyen cientos de casos de uso para generar alertas en estas fases. Las extensiones de contenido se entregan a través de App Exchange y le permiten conseguir los casos de uso más recientes.
La mayoría del malware y ransomware “conocidos” pueden encontrarse en las fases iniciales. Para detectar ransomware desconocido, QRadar SIEM proporciona casos de uso que se enfocan en detectar comportamientos de ransomware. La visibilidad a través de puntos finales, servidores de aplicaciones (en las instalaciones y en la nube) y dispositivos de red (firewalls) permite al Use Case Manager de QRadar SIEM detectar patrones de comportamiento de ransomware que abarcan su infraestructura de TI y OT. El Case Manager puede ayudarle a visualizar si tiene casos de uso, o reglas, que abarquen estas fases utilizando la matriz de MITRE ATT&CK.
El ransomware se parece a otros programas de malware durante esta fase. Utiliza técnicas de phishing para atraer a sus empleados desprevenidos para que hagan clic en un enlace o ejecutable en un correo electrónico, Honeypot, redes sociales o mensaje de texto.
Ejemplos de casos de uso de QRadar SIEM para encontrar comportamientos de distribución y ransomware conocidos:
Este es el momento en que comienza a correr el cronómetro. El ransomware está ahora en su entorno. Si el ransomware utilizó un “dropper” para evitar la detección en la fase de distribución, es en este momento cuando el dropper llama a casa y descarga el “ejecutable real” y lo ejecuta.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de infección:
El ransomware está escaneando la máquina para analizar los derechos administrativos que podría obtener, hacer ejecutar en el arranque, desactivar el modo de recuperación, borrar las copias ocultas y mucho más.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de almacenamiento temporal:
Ahora que el ransomware es dueño de la máquina desde la fase inicial, comenzará una fase de reconocimiento de la red (rutas de ataque), carpetas y archivos con extensiones predefinidas, entre otros.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de reconocimiento:
El verdadero daño comienza ahora. Las acciones típicas incluyen crear una copia de cada archivo, cifrar las copias, colocar los nuevos archivos en la ubicación original. Los archivos originales pueden ser exfiltrados y borrados del sistema, lo que permite a los atacantes extorsionar a la víctima con amenazas de hacer pública su infracción, o incluso filtrar los documentos robados.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de cifrado:
El daño está hecho y el usuario recibe una notificación sobre cómo pagar el rescate para obtener la clave de descifrado. En este punto no hay mucho más que detectar, salvo la creación del archivo de instrucciones de descifrado.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de notificación de rescate:
Los casos de uso para encontrar ransomware están disponibles en las siguientes extensiones de contenido que se encuentran en el App Exchange :
Tras la fase inicial de infección, el tiempo es un factor crítico. Cuanto antes se detecte, más pronto podrá iniciar su plan de respuesta a incidentes (IR). Cuanto mejor sea el plan IR, más rápido podrá impedir que el ransomware pase de una fase a otra.El NIST y el SANS tienen directrices sobre IR que han resistido las pruebas del tiempo. Hay algunos aspectos clave en cualquier plan de IR. Existen algunos aspectos clave en cualquier plan de IR.
Respaldos en su sitio. Los respaldos fuera de línea son fundamentales durante un ataque de ransomware. Asegúrese de saber dónde están esos respaldos y cómo restaurar sus sistemas. Incluya en su proceso de IR los pasos sobre a quién contactar para cada uno de sus activos informáticos críticos.
Equipos, herramientas y roles identificados. A medida que el ransonware avanza por sus distintas fases, desde la infección inicial hasta el cifrado, la composición del equipo de respuesta cambia. Esto suele significar que más personas de toda la organización deben implicarse. A menudo, eso puede incluir el uso de servicios de terceros para ayudar o, en el caso de una infracción, puede significar ponerse en contacto con el departamento legal, los reguladores externos y los clientes. Saber con quién ponerse en contacto y cuándo es fundamental. Mantener una lista de contactos actualizada es importante, pero integrar esas funciones de contacto en su proceso es vital para una respuesta eficaz. El papel y los PDF son adecuados, pero es clave disponer de las herramientas adecuadas y de una automatización que proporcione a todo el equipo acceso al proceso de respuesta al ransomware, a las acciones y a la documentación histórica.
Un proceso bien definido y automatización. Un proceso de IR puede contener muchas tareas y puede incluir múltiples puntos de decisión. Es una buena práctica alinear su proceso con las fases descritas por el NIST y SANS. Por ejemplo, puede organizar su proceso de IR según las siguientes fases:
QRadar SOAR proporciona playbooks para definir su proceso de IR y automatizar las numerosas acciones que un analista puede necesitar ejecutar para avanzar rápidamente por las fases. La respuesta ante filtraciones de QRadar SOAR puede crear las tareas de elaboración de informes necesarias para el ente regulador en función de la PI expuesta.
Inventario de activos de TI, propietarios, PI. Cuando se infecta un sistema, un analista de seguridad necesita conocer al propietario del sistema y las aplicaciones y datos. Las soluciones de gestión de activos, como ServiceNow o SAP, pueden ayudar a gestionar los contactos de los sistemas. IBM Guardium Discover and Classify puede ayudar a encontrar fuentes de datos y PI en cada fuente. Así, en caso de que se produzca una filtración de datos, los analistas sabrán si hay alguna normativa implicada.
La ciudad de Los Ángeles, LA Cyber Lab e IBM unieron fuerzas para ofrecer inteligencia sobre amenazas y reforzar a las empresas locales más vulnerables.
Integrar los datos, analizar los registros y priorizar los incidentes ayuda a la empresa de inversión y desarrollo inmobiliario de Vietnam a detectar y responder a las amenazas.
Al alojar una solución QRadar SIEM en el almacenamiento de alto rendimiento IBM FlashSystem®, Data Action (DA) ofrece una seguridad mejorada a los bancos alternativos.
La detección de amenazas desde el centro hasta el punto final con QRadar SIEM protege a su organización de varias maneras.
Incorpore las soluciones de búsqueda de amenazas cibernéticas de IBM Security en su estrategia de seguridad para combatir y mitigar las amenazas más rápidamente.
Integre paquetes de cumplimiento normativo en QRadar SIEM para garantizar el cumplimiento normativo y automatizar la generación de informes.
Detenga los ciberataques rápidamente con la detección de amenazas casi en tiempo real de QRadar SIEM.
Descubra cómo QRadar ayuda a defenderse de las crecientes amenazas a la vez que moderniza y escala las operaciones de seguridad a través de la visibilidad, detección, investigación y respuesta integradas.
Vea cómo QRadar SIEM ayuda a un analista a investigar una transgresión, identificarla como amenaza y enviarla a SOAR para corregirla.
Un método eficaz de caza de amenazas para reducir el tiempo desde la intrusión hasta la detección, disminuyendo así la cantidad de daño que los atacantes pueden ocasionar.