5 consejos (y un bonus) para aumentar su resistencia a los ataques de ransomware en AWS

Bruno Silveira, Arquitecto de Soluciones, ISV Partners & Startups, Sector Público Brasil
Karlos Correia, Arquitecto de Soluciones, Gobierno Federal, Sector Público Brasil

Hoy en día los ciberataques vienen creciendo exponencialmente, manteniendo el ritmo del crecimiento en el uso de los servicios digitales. Por otro lado, los ataques de ransomware son cada vez más comunes y sus consecuencias son cada vez más preocupantes.

A lo largo de esta publicación de blog cubriremos 5 consejos (y un bonus) sobre cómo aumentar su resistencia frente a este tipo de ataques contra AWS y qué prácticas pueden adoptar los equipos para incrementar su eficacia frente a este tipo de amenazas.

¿Qué es Ransomware?

El ransomware es un código malicioso diseñado por delincuentes cibernéticos para obtener acceso no autorizado a los sistemas, cifrar sus datos e impedir el acceso legítimo a sus usuarios. Luego de un ataque de ransomware, las víctimas típicamente reciben una solicitud rescate para obtener una clave de acceso mediante la cual pueden descifrar los datos y restaurar el acceso a sus propios sistemas. Sin embargo, si no se paga el rescate, las organizaciones corren el riesgo de destrucción permanente o filtración de datos públicos controlados por el atacante.

Para aumentar la resistencia a de las organizaciones ante ataques de este tipo, presentaremos a continuación algunos consejos útiles que pueden aplicarse en entornos de AWS.

Consejo 1: Disponer de una estrategia de copia de seguridad

Cuando se trata de amenazas como ransomware, el objetivo principal de los atacantes radica en secuestrar datos productivos y críticos para el negocio, como por ejemplo unidades de disco montadas en servidores vulnerables. Una forma de mitigar este tipo de ataques consiste en tener una estrategia de backup bien definida, que permita realizar un seguimiento de sus datos a lo largo del tiempo y así poder volver el sistema al último punto de integridad en el tiempo, limitando el daño a su negocio.

En AWS hay algunos servicios que pueden usarse como respaldo del almacenamiento de datos, como por ejemplo  AWS Backup , que proporciona una plataforma centralizada y administrada para realizar copias de seguridad de información alojada en servicios de AWS como Amazon EBS, EC2, EFS, FSx, RDS, DynamoDB y volúmenes de Storage Gateway.

Figura 1: funcionamiento de AWS Backup

En el caso de EBS, nuestro servicio de almacenamiento en bloques para máquinas virtuales, también puede utilizar el servicio Data Lifecycle Manager para administrar el proceso de instantáneas de los volúmenes de forma sencilla. También puede usarse Amazon Simple Storage Service o S3 para alojar copias de seguridad externa integrada con las soluciones de socios de AWS, como se muestra en el blog «Almacenamiento de datos con soluciones de backup de socios y Amazon S3 Glacier Deep Archive» .

Para que el proceso de toma de backup sea efectivo, las organizaciones deben contar además con una política apropiada para recuperación ante desastres. Asimismo, deben probarse con frecuencia las copias de seguridad realizadas, y así asegurar una correcta restauración de datos y sistemas cuando llegue la necesidad: para ello, AWS permite crear un entorno temporal y aislado para validar los datos involucrados en los procesos de backup, como así también las cargas de trabajo necesarias para apoyar estos procesos.

Consejo 2: Crear un Plan de Continuidad del Negocio

Los mecanismos de recuperación ante desastres (DR) puede ser útiles cuando su entorno se ha visto comprometido por un ataque de ransomwaremás extenso. Esta es una estrategia en la que se replican datos desde el sitio principal hacia el sitio de recuperación de desastres, el cual debe ser geográficamente independiente y además contar con la capacidad computacional adecuada para ejecutar las cargas de trabajo de producción en el momento que se produzca un error en el sitio primario. El mantenimiento de su propio sitio de recuperación ante desastres suele incrementar los costos de infraestructura, ya que se necesita replicar los recursos del sitio principal en el sitio de DR: aquí es donde la nube de AWS ayuda a reducir costos, ya que al desplegar el sitio de DR en AWS no se necesita mantener activos los recursos de cómputo – basta con aprovisionarlos en el momento en el que ocurre el desastre.

Para facilitar la creación de una solución de recuperación ante desastres en la nube de AWS, CloudEndure ayuda a automatizar y replicar sus cargas de trabajo, gracias a un que implementa un mecanismo de replicación asincrónica de datos en una región de AWS a través de una consola capaz de iniciar automáticamente su cargas de trabajo en AWS en caso de desastre.

Figura 2: Cómo funciona CloudDure

En este documento técnico encontrará más información sobre el uso de CloudDure y los ahorros en TCO que típicamente son observados por nuestors clientes en entornos empresariales.

Es importante tener en cuenta que, cuando ocurre un ransomware en el sitio principal, puede existir el riesgo de que el mismo haya sido también replicado en el sitio de DR. Para mitigar esto exsiten una serie de estrategias de detección de amenazas que abordaremos más adelante, como así también canalizaciones o pipelines de DevOps para validar su entorno y ayudar a identificar el problema antes de que éste sea replicado en el sitio de DR.

Consejo 3: Segmentar y actualizar su entorno tecnológico

Segmente su red con Amazon VPC

La segmentación de red permite mitigiar la congestión del tráfico local y también mejora la seguridad al asignar recursos específicos al usuario, lo que reduce significativamente las formas de que los atacantes pueden desplazarse a través de la misma.

Usando múltiples redes virtuales privadas o VPCs, puede aprovisionar redes mutuamente aisladas en la nube de AWS, dentro de las cuales puede iniciar recursos de AWS según la necesidad. Asimismo, la segmentación de VPC en componentes aislados mediante técnicas de packet filtering como grupos de seguridad o listas de control de acceso  (network ACLs) puede contribuir a reducir la capacidad de propagación del ransomware.

Figura 3: Ejemplo de segmentación de subredes en múltiples VPCs

Para mayor información sobre la seguemntación de VPCs en AWS, puede visitar este blog.

Segmente el acceso a sus recursos con AWS IAM

Establecer directivas de acceso sólidas para limitar el acceso a sistemas y datos puede ser una medida efectiva para reducir la superficie de riesgo ante un ataque de ransomware.

A nivel de usuario, AWS le permite realizar un control de acceso granular definiendo qué usuarios o roles tienen acceso a determinados sistemas y datos. Estos controles determinan qué acciones se pueden realizar en un recurso determinado en AWS, permitiendo a los usuarios privilegios basados en «necesidad de saber» en función de las necesidades empresariales y las responsabilidades laborales.

AWS IAM permite administrar de forma segura el acceso a los servicios y recursos de AWS: a través de esto, puede administrar usuarios y grupos de cuentas de AWS y utilizar permisos para controlar el acceso a recursos de todo tipo.

AWS recomienda adoptar el principio de privilegio mínimo para los usuarios internos y externos de la red. Por ejemplo, algunas variaciones de ransomware requieren una cuenta de administrador del sistema para realizar sus operaciones maliciosas. Con este tipo de ransomware resulta efectivo reducir los privilegios de las cuentas de usuario,  reduciendo a un mínimo las cuentas que necesiten privilegios de administrador del sistema – reduciendo así la superficie de ataque explotada por el agente de ransomware.

Figura 4: funcionamiento de AWS IAM

Para obtener más información, consulte la Guía de prácticas recomendadas de AWS IAM.

Mantenga al día sus cargas de trabajo con Amazon Inspector y System Manager Patch Manager

Las vulnerabilidades explotables son una de las formas más comunes que permiten que un ransomware infecte el entorno de una organización. Utilizando Amazon Inspector y Systems Manager Patch Manager para identificar y corregir rápidamente las vulnerabilidades, las organizaciones pueden reducir su exposición a estas amenazas limitando la superficie vulnerable para el ataque.

Con Amazon Inspector, puede inspeccionar entornos de AWS para CVE, evaluar sus instancias en comparación con los puntos de referencia de seguridad y automatizar completamente las notificaciones de los ingenieros de seguridad y TI cuando haya descubrimientos. Una vez identificadas las vulnerabilidades, las herramientas de aplicación de parches como AWS Systems Manager Patch Manager pueden ayudarle a implementar automáticamente los parches del sistema operativo y de software en grupos de instancias grandes y remediar posibles exposiciones.

Un ejemplo del uso de la administración de parches en AWS es Server Fleet Management at Scale , una herramienta disponible en el sitio de soluciones de AWS.

Figura 5: Administración de flotas de servidores en una arquitectura de escala

Esta solución combina Systems Manager con Inspector para simplificar la administración del inventario de software, el cumplimiento de parches del sistema operativo y las evaluaciones de vulnerabilidades de seguridad en instancias administradas. Fácil de implementar, la solución proporciona automáticamente los servicios que necesita para automatizar la gestión de flotas de servidores.

Otro enfoque para evitar que las vulnerabilidades lleguen a producción consiste en realizar análisis a nivel de artefacto, como ocurre con los contenedores, que están experimentandoniveles de adopción exponencial tanto en entornos locales como en la nube.

Un componente que puede ayudar en este contexto es Trivy, una sencilla herramienta de búsqueda de vulnerabilidades para contenedores y otros tipos de artefactos. Puede usarlo directamente a través de la línea de comandos y esto lo hace adaptable para canalizaciones o pipelines DevSecops. En la siguiente arquitectura puede verse la integración de Trivy con las herramientas de desarrollo de AWS, pero vale aclarar que la misma también podría integrar herramientas afines como Jenkins.

Figura 6: Análisis de vulnerabilidades de contenedores con Trivy

Para obtener más detalles sobre esta solución consulte la publicación «How to build a CI/CD pipeline for container vulnerability scan with Trivy and AWS Security Hub».

Consejo 4: Utilizar herramientas de detección de amenazas

Responder a cualquier incidente cibernético requiere que la organización sea capaz de detectar primero la existencia de la amenaza. La detección temprana del comportamiento anómalo del usuario o de la actividad de la red es fundamental para prevenir amenazas de ransomware e iniciar procesos de respuesta a incidentes de manera apropiada. Al comprender lo que es «normal» en su entorno de AWS, las alertas de seguridad se pueden configurar automáticamente para enviar notificaciones cuando se presente un comportamiento malintencionado o no autorizado.

Para ayudar con esta estrategia, Amazon GuardDuty es un servicio de detección de amenazas que supervisa continuamente la actividad, detectando comportamiento malintencionado o no autorizado para proteger sus cuentas de AWS, cargas de trabajo y datos almacenados en Amazon S3. El servicio utiliza aprendizaje automático, detección de anomalías e inteligencia integrada para identificar y priorizar ptenciales amenazas. GuardDuty analiza decenas de miles de millones de eventos en diversas fuentes de datos de AWS, como por ejemplo los registros de eventos de AWS CloudTrail, VPC flow logs y registros DNS.

En nuestro taller Getting Hands on with Amazon GuardDuty , hay una simulación de una instancia que se encuentra en una lista pública de amenazas detectadas por GuardDuty. Desde el descubrimiento hasta el análisis de registros de flujo de VPC, CloudWatch Events activa AWS Lambda para el aislamiento automatizado de la instancia comprometida y también activa un correo electrónico, a través de SNS, para notificar al equipo de seguridad y permitir así a que se inicie la investigación.

Figura 7: Ejemplo de respuesta de alerta de Amazon Guardduty

Además de Amazon EC2, Guardduty puede también generar alertas relacionadas con AWS IAM y S3. Para más detalles, visite este enlace.

Consejo 5: Obtenga análisis de incidentes de seguridad y rutinas de respuesta

Aunque AWS proporciona recursos para automatizar políticas y procedimientos basados en políticas para mejorar tiempos de detección, reducir tiempos de respuesta y minimizar la superficie de ataque, es responsabilidad de los clientes desarrollar políticas y procedimientos para responder a incidentes cibernéticos.

Durante un incidente, sus equipos de respuesta ante incidentes deben tener acceso a los entornos y recursos involucrados en el incidente. Identifique y analice las estrategias de cuentas de AWS y la estrategia de identidad en la nube con los arquitectos de su organización para comprender qué métodos de autenticación y autorización están configurados.

Figura 8: Segmentación del entorno con varias cuentas

Al ejecutar proactivamente escenarios de simulación de respuesta ante incidentes, puede validar que los controles y procesos que ha implementado reaccionarán como se espera. Así, podrá determinar con efectividad si la organización cuenta con capacidad de recuperarse y responder eficazmente a incidentes de seguridad.

Bonus: Escenario posterior al ataque

Documentar y reciclar las lecciones aprendidas durante las simulaciones de procesos de respuesta a incidentes permite a las organizaciones comprender mejor cómo fueron atacadas, dónde eran vulnerables, dónde pudo haber fallado la automatización, o dónde faltaba visibilidad; con la consecuente oportunidad de fortalecer su seguridad corrigiendo estos aspectos.

Para ayudar en este escenario, Amazon Detective permite analizar, investigar e identificar rápidamente la causa raíz de posibles problemas de seguridad o actividad sospechosa. Este servicio recopila automáticamente datos de registro de sus recursos de AWS y utiliza técnicas de aprendizaje automático, análisis estadístico y teoría de gráficos para crear un conjunto de datos vinculado que permite realizar investigaciones de seguridad más rápidas y eficientes.

En este blog, por ejemplo, puede verse cómo usar Detective para analizar alertas GuardDuty para instancias EC2 que están realizando conexiones a redes anónimas.

Conclusiones y próximos pasos

En este artículo repasamos algunos consejos esenciales a la protección de cargas de trabajo, pero estas prácticas no se detienen aquí: puede adoptar diferentes marcos de seguridad como el marco de ciberseguridad NIST (CSF) y utilizar arquitecturas de referencia como NIST High-Impact Controls en AWS para mantenerse al día con las mejores prácticas de seguridad utilizadas alrededor del mundo.

Complementariamente, la adopción de prácticas de DevOps puede ayudar a descubrir fallas de software de manera temprana durante las primeras etapas del ciclo de vida del desarrollo de software, permitiendo reducir costos y eliminar la ocurrencia de vulnerabilidades explotables y vectores de ataque sobre el sistema.

Sobre o autor

Bruno Silveira es arquitecto de soluciones de Amazon Web Services en el equipo del sector público enfocado en socios tecnológicos y startups. Con una carrera previa en instituciones del gobierno, servicios financieros, servicios públicos y organizaciones sin fines de lucro, Bruno es experto en todo lo que tenga que ver con la Seguridad de la Información como así también del rock ‘n’ roll acompañado con una buena cerveza.

Karlos Correia es arquitecto de soluciones de Amazon Web Services para el sector público enfocado en el Gobierno Federal. Anteriormente, Karlos trabajó en arquitectura y planificación de infraestructuras en empresas de telecomunicaciones y es además un apasionado de la aviación.