Negocios, no voy a decir que se lo merecía, pero este ataque de WannaCry fue totalmente evitable.
En el episodio 8 del podcast de noticias y charlas de IT ops, di un poco de un despotricamiento que se centra en el ataque del rescate. El fracaso se reduce a la falta de cinco elementos de rigor, en mi humilde opinión. Y, aquí están:
1. Copia de seguridad rigurosa de los datos
Si está haciendo una copia de seguridad de todos sus datos importantes – sus datos de usuario, sus datos de servidor, lo que sea – y no sólo está haciendo una copia de seguridad, sino también verificando las copias de seguridad para asegurarse de que son buenas e incluso realizando restauraciones de prueba periódicas, entonces un ataque con rescate no será ni de lejos tan perjudicial como podría ser de otra manera. También recomendaría mantener las copias de seguridad en servidores seguros para prevenir intrusiones. Recuerde, la idea con el software de rescate es que una vez que la máquina está infectada, no sólo intenta golpear todas sus unidades montadas localmente, sino también los mapeos de unidades con volúmenes de red. Por lo tanto, si sus copias de seguridad se almacenan en una ubicación que no es inmediatamente accesible por el malware, tanto mejor.
2. Parches rigurosos
Los días de correr, digamos, un mes de retraso en sus copias de seguridad se han ido. Muchos ingenieros de actualizaciones y parches con los que soy amigo normalmente se retrasan al menos un mes en las actualizaciones de Microsoft para probar rigurosamente las actualizaciones y asegurarse de que no van a romper nada en sus redes de producción. Creo que hace mucho tiempo que se debería haber acortado la ventana de aprobación de las actualizaciones porque sabemos que la tecnología se mueve rápido. Con DevOps y la integración continua, el software de despliegue continuo corre rápido. El malware, es lo mismo, especialmente vectores de alta velocidad como el phishing y el aprovechamiento de vulnerabilidades. Así que, parches rigurosos. Ciertamente, si las empresas hubieran parcheado sus sistemas con esa actualización de marzo, esos sistemas no habrían sido objeto de este ataque en particular.
3. Actualización rigurosa
Si bien está relacionado con la aplicación de parches rigurosos, la actualización rigurosa significa, bueno, que Windows XP llegó al final de su vida en abril de 2014. Windows Server 2003 llegó al final de su vida útil en julio de 2015. Esto significa que si una empresa está ejecutando esos viejos sistemas operativos, no han sido parcheados por Microsoft en años (una tremenda vulnerabilidad en sí misma).
4. Auditoría rigurosa
Un sistema ideal de prevención de intrusiones, o IPS, integración en su red necesita tener controles que busquen eventos-sospechosos como el acceso a muchos datos de un usuario específico. Eso podría muy bien ser una bandera roja de un ataque y proceso de rescate. Los sistemas de detección de intrusos son buenos porque pueden dar la alarma de un comportamiento sospechoso. Más aún, un aparato de sistema de prevención de intrusos puede buscar estos patrones de tráfico sospechosos y realmente bloquearlos antes de que causen un daño real.
5. Riguroso cortafuegos
El quinto y último elemento de rigor, en mi opinión, es el riguroso firewalling, incluso en el cliente. Una vez más, es un comportamiento común que he encontrado entre los administradores de sistemas Windows el desactivar el firewall del cliente porque es demasiado doloroso en términos de poder llegar a las máquinas del cliente para su gestión. Mala idea. Más aún, este exploit de EternalBlue apunta a los fallos y al bloqueo de mensajes del servidor. Desactiva SMBv1. Las posibilidades de que no necesites el protocolo en tus sistemas son enormes, y puede muy bien estar activado ahora mismo, lo que abre la puerta al potencial de esa vulnerabilidad.
Así que he hecho las paces. Vea la explicación completa y vea el episodio completo de noticias y charlas de IT Ops aquí, donde también entrevisto al Director del currículo de IT Ops, Don Jones.