En este podcast, analizamos el ransomware y el almacenamiento de datos con Chris McKean, especialista en soluciones de NetApp. McKean habla sobre lo que los proveedores de almacenamiento pueden incorporar a los productos de almacenamiento para ayudar a proteger y remediar los efectos de los ataques de ransomware. Estos incluyen la detección, la protección de los datos y el bloqueo de los datos contra intentos no autorizados de modificarlos. McKean también habla sobre cómo la funcionalidad antiransomware de almacenamiento encaja en el panorama más amplio de la estrategia antiransomware en el centro de datos. ¿Qué hace el ransomware (en sus diversas formas, cifrado, exfiltración, etc.) que afecta al almacenamiento de datos? McKean: El ransomware puede paralizar casi por completo el almacenamiento, porque ese es el objetivo de los ataques de ransomware. Ya ha dicho que hay cifrado y exfiltración. Por lo general, un atacante obtendrá acceso a la red de una empresa u organización, y una de las primeras cosas que hará una vez que haya encontrado la forma de evitarlo es buscar exfiltrar los datos. Copiarán todos los datos importantes que puedan, porque en ese momento ya tienen una moneda de cambio para decirle a una empresa: «Si no nos paga el rescate, publicaremos estos registros en la red oscura para su venta o en el dominio público», como sea que vayan a hacerlo. Por lo general, hay un ataque de dos frentes: además de tener acceso a los datos, intentarán cifrar todos los datos del almacenamiento de datos. En ese punto, a menos que su organización pueda hacer frente a no tener capacidad digital para funcionar, estará en una mala situación. Probablemente no pueda operar los servicios que ofrece su empresa porque todo necesita datos. Ya sabe, un usuario o una aplicación, incluso si lo que está accediendo directamente no tiene muchos datos, probablemente dependerá de algo más adelante, una base de datos o un lago de datos. En algún momento, necesitará acceder a esos datos. Si esos datos están cifrados y el atacante, la banda del ransomware, tiene la clave de cifrado y solo ellos la tienen, no estás en una buena posición. ¿Qué características pueden incorporar los proveedores de almacenamiento para combatir el ransomware? McKean: Yo diría que hay algunas características clave. La primera es la detección: detectar algo que sucede en la capa de almacenamiento. Como ya hemos dicho, si se están cifrando datos, ¿se puede detectar? ¿Se puede decir: «Bien, puedo ver que los niveles de cifrado en esta área de almacenamiento han comenzado a aumentar»? ¿O estamos viendo aparecer nuevos tipos de archivos que nunca hemos visto antes con, ya sabes, extensiones de archivo extrañas? Puedes hacer eso en la capa de datos. Esa es una forma brillante de decir: «Creo que hay algún ransomware en marcha. Podemos ver que de repente este volumen de datos ha pasado de un cifrado del 2 % al 14 %». Ahora, yendo un paso más allá, probablemente lo ideal en la capa de almacenamiento sea fijar ese cifrado o ese ataque en un área. Por ejemplo, si tienes un volumen y el cifrado comienza a fallar, esa es una información muy buena. Y una empresa puede actuar en consecuencia y buscar medidas para restaurar los datos, etc. Pero, ¿de dónde vino ese ataque? Y ahí es donde entra en juego el análisis del comportamiento de usuarios y entidades, o UEBA. [comes in]Creo que ese es otro paso que los proveedores de almacenamiento pueden incluir. Si tengo acceso a un pequeño porcentaje de la [total] almacenamiento, digamos 100 terabytes de datos, y en realidad solo tengo acceso al 1% o menos, puedo ir y cifrar [what would be] Para mí, son muchos datos, pero el almacenamiento en su conjunto, esos 100 terabytes, solo va a experimentar un aumento muy, muy pequeño en el cifrado. Sin embargo, si algo está monitoreando mi comportamiento, entonces, aunque en proporción, [of] El almacenamiento total es un porcentaje muy pequeño, para mí es un aumento enorme. Y eso es una señal potencial para decir: «¿Qué está haciendo Chris McKean? ¿Su cuenta ha sido comprometida? Podemos ver que de repente está copiando muchos datos, cifrando muchos datos». Esa es la parte de UEBA, así como también el cifrado general y los tipos de archivos y cosas así. Hay algunas cosas que los proveedores de almacenamiento pueden hacer para detectar ataques. Ahora bien, eso es genial, pero también es necesario hacer cosas en la función de protección. Es incluso mejor si puede evitar que suceda en primer lugar. Ahí es donde entran en juego cosas estándar como RBAC. [role-based access control] y un enfoque de confianza cero, que da a las personas acceso solo a lo que necesitan, entra en juego. No son solo las computadoras portátiles y los dispositivos de los usuarios los que van a realizar el cifrado o los dispositivos infectados. Podría ser una cuenta de usuario comprometida. Todo el tiempo se ven comprometidas muchas cuentas de usuarios. Se podría introducir una función, tal vez como la verificación de múltiples administradores, donde no se pueden ejecutar ciertos comandos destructivos en el almacenamiento sin que alguien más lo apruebe. ¿Cuáles son las limitaciones de lo que pueden hacer los proveedores de almacenamiento? ¿Qué parte de la estrategia general cumple el almacenamiento? McKean: La limitación, obviamente, es que está solo en la capa de almacenamiento. Ahora bien, esa capa es tan vital como cualquier otra capa. Tener protección y detección en la capa de almacenamiento es tan importante como tenerlo en la computadora portátil de alguien o algo que se ejecute en el borde de la red. Pero esa es solo una capa. La capa de almacenamiento no puede evitar que el dispositivo de alguien se infecte con malware porque haya hecho clic en un enlace de phishing. Pero eso no quiere decir que no se puedan hacer muchas cosas en la capa de almacenamiento para, con suerte, ser la última línea de defensa en caso de que alguien haya atravesado la red y luego tenga acceso al almacenamiento. Si su almacenamiento puede detener ataques o detectar ataques, eso es vital, pero también debe tener siempre una forma de bloquear ciertas cantidades de datos. Se trata de esa parte de «suponer una violación» de la arquitectura de confianza cero. Debería haber una forma en el almacenamiento de decir: «Está bien, vamos a tomar una copia de estos datos y la vamos a bloquear durante dos meses, cinco años, el tiempo que sea». Y de esa manera, incluso si se violan todos esos otros pasos y las medidas de protección que ha implementado, tiene una copia de los datos que está en buen estado de hace cinco semanas, cinco meses, un año, etc. Por lo tanto, creo que hay limitaciones, y es básicamente que se trata solo de la capa de almacenamiento. Sin embargo, todavía puede haber mucho que puede hacer en esa capa de almacenamiento que podría ser potencialmente una verdadera salvación para una empresa cuya red ha sido infectada por malware. Lo que yo saco de esto es que el almacenamiento, en cierto sentido, es como un contraataque. ¿Estás de acuerdo con eso? McKean: Siempre pienso en él como el portero de un equipo de fútbol. Si superas a los atacantes y regateas por el mediocampo, e incluso si superas a la defensa, tienes esa última línea de defensa. Tienes a ese portero que impide que el atacante acceda a lo que realmente quiere acceder, porque es con los datos con lo que un atacante puede monetizar mejor un ataque.