Site icon Sophos News

Protege las copias de seguridad de ataques malintencionados y robos

Hacer copias de seguridad de los servidores, estaciones de trabajo y otros dispositivos es una buena práctica y un imperativo empresarial, pero las copias de seguridad por sí solas no garantizan la continuidad del negocio ni la protección de los datos. Aunque la creación de una copia de seguridad, ya sea esta imágenes de disco o copias de archivos, es el inicio de un plan de recuperación de desastres, no es garantía de que una empresa pueda recuperarse si la copia de seguridad se daña. Sin embargo, una preocupación aún mayor podría ser el robo de los datos confidenciales si la propia copia de seguridad es robada o puesta en peligro por un atacante.

Los ciberdelincuentes de hoy en día son mucho más astutos y eficaces que los de generaciones pasadas. A principios de la década de 2000, un ciberataque solía consistir en daños a los datos o en el robo de archivos. Hoy en día, los atacantes pueden robar datos sin que las víctimas sepan  que se ha producido el robo.

Cuentas fantasma en la nube

Con tantos datos almacenados hoy en día en la nube, los atacantes sofisticados pueden redirigir las copias de seguridad o el almacenamiento de datos tradicional de las propias cuentas en la nube de la víctima a las de los atacantes. Esencialmente, hoy tenemos organizaciones que guardan sus datos en las cuentas web de los atacantes, aunque a la víctima le parezca que sus datos están alojados de forma segura en su propio entorno de nube.

En el caso de las organizaciones que guardan sus copias de seguridad en la nube, su equipo de ciberseguridad debe asegurarse periódicamente  que realmente están guardando las copias en sus propias cuentas, y no en una cuenta redirigida. Utilizando credenciales de administrador de sistemas comprometidas y eludiendo la autenticación de segundo factor de manera similar a la de los ciberatacantes estatales rusos descritos en el artículo de Sophos Naked Security CISO warning: “Russian actions bypassed 2FA” – what happened and how to avoid it, los ciberdelincuentes pueden secuestrar una o varias cuentas de un servidor en la nube y acceder a los archivos corporativos, incluidas las copias de seguridad.

Protege tus copias de seguridad

Las copias de seguridad que no estén cifradas podrían verse comprometidas, permitiendo a los atacantes la capacidad de leer los datos de la copia de seguridad y/o inyectar malware en la copia de seguridad, de modo que si los servidores de la organización se ven comprometidos más tarde, la copia de seguridad volvería a infectar los servidores cuando se restaurara la copia de seguridad.

Disponer de copias de seguridad cifradas no sólo es una de las mejores prácticas en materia de ciberseguridad, sino que es una de las 12 medidas de seguridad clave que la empresa de ciberseguros Marsh McLennan Agency incluye en su lista de los cinco principales controles de seguridad necesarios para obtener un ciberseguro. Las copias de seguridad cifradas ocupan el primer puesto de la lista de controles esenciales, junto con la autenticación multifactor, la detección y respuesta de endpoints, la gestión de accesos privilegiados y el filtrado de correo electrónico y la seguridad web.

Los productos de copia de seguridad que supervisan las anomalías en los patrones de acceso y datos pueden utilizarse para identificar posibles programas maliciosos en el sistema, incluidos los ataques de ransomware. La integración de las copias de seguridad del servidor con el software de gestión de información y eventos de seguridad (SIEM) existente o con las aplicaciones de orquestación, automatización y respuesta de seguridad (SOAR) podría ayudar al equipo de seguridad de IT a identificar las anomalías del sistema que podrían alertar al equipo de un posible compromiso.

Plan para un ataque

La creación de una estrategia de copia de seguridad que se anticipe a un ataque puede proporcionar una ventaja a la organización que realiza la copia de seguridad de sus datos. Supongamos que los servidores de los que se hace la copia de seguridad ejecutan una versión de Windows, ya sea para estaciones de trabajo (Windows 10 u 11, por ejemplo) o una versión de Windows Server. Si la organización es principalmente una empresa centrada en Windows, entonces un sistema de copia de seguridad adecuado sería ejecutar Linux y almacenar la copia de seguridad resultante en un sistema Linux no conectado a la red corporativa.

Aunque este enfoque no es infalible, eliminará un porcentaje considerable de los ataques diseñados para redes basadas en Windows.

La selección del entorno de almacenamiento externo adecuado puede tener un impacto significativo en el tiempo de restauración requerido para una copia de seguridad. Si decides tener un sitio activo como copia de seguridad, un sitio que refleja exactamente la red existente, de modo que si la red principal falla, hay un duplicado listo para ocupar su lugar, considera poner cierta distancia entre los dos sitios.

Después de que un gran huracán azotara Florida a principios de la década de 2000, una empresa se vio obligada a desconectarse durante varias semanas porque su sitio activo estaba situado a pocos kilómetros de distancia. Las inundaciones no sólo dañaron el centro de datos principal de la empresa, sino también el de respaldo. Sucesos similares ocurrieron tras el derribo de las dos torres del World Trade Center. Un importante centro de datos estaba situado debajo de una de las torres. Las empresas de las torres que utilizaban el centro de datos como su copia de seguridad en caliente no sólo perdieron todo lo que había en sus oficinas, sino también todas sus copias de seguridad cuando el centro de datos quedó enterrado bajo toneladas de escombros.

Una mejor opción es seleccionar una ubicación a cien o más kilómetros de distancia. Si bien habrá un lapso de tiempo entre la escritura de los datos en un disco local y la escritura de esos mismos datos en la copia de seguridad en caliente, la separación física elimina cualquier efecto potencial de arrastre de un desastre natural como las inundaciones de un huracán o los daños causados por un incendio forestal masivo. Rara vez una catástrofe natural afecta a instalaciones situadas a cien o más kilómetros de distancia, aunque podría ocurrir si las instalaciones se encuentran en largas líneas de catástrofes naturales, como las rutas habituales de los huracanes en la costa este.

Proteger las copias de seguridad para que no se vean comprometidas, interceptadas o dañadas es una tarea esencial del equipo de ciberseguridad de una organización. Los equipos de seguridad deberían redoblar sus esfuerzos para asegurarse de que todas las copias de seguridad están a salvo, son seguras, están cifradas y se almacenan en múltiples ubicaciones, incluyendo al menos una ubicación alejada de los servidores de origen.

 

Exit mobile version