2023 RESUMEN EJECUTIVO TENDENCIAS DE RANSOMWARE EDICIÓN EUROPA Según el Informe de tendencias de protección de datos 2023, el 85 % de las organizaciones sufrieron al menos un ciberataque en los últimos 12 meses; un aumento desde el 76 % experimentado el año anterior. Para comprender mejor el nivel de preparación y capacidad de recuperación frente a los ciberataques, una firma de investigación independiente realizó una encuesta a ciegas con 1200 responsables de TI imparciales cuyas organizaciones habían sufrido al menos un ataque de ransomware en 2022 entre los que se encontraban 350 de Europa. Este es el segundo estudio anual que se realiza con organizaciones que sufrieron ciberataques con un especial interés en comparar los puntos de vista de los cuatro principales roles que están involucrados en la ciberpreparación o mitigación: profesionales de seguridad, CISO u otros ejecutivos de TI, profesionales de operaciones de TI y administradores de backup. El informe completo de tendencias de ransomware 2023 está disponible en https://vee.am/RW23. “La TI nos incumbe a todos” … pero las organizaciones no están alineadas Un 60 % El 45 % cree que se necesita una ‘mejora significativa’ o una ‘revisión completa’ entre los equipos de informática y los de backup. cree que su programa de gestión de riesgos funciona bien, mientras el resto busca realizar mejoras o aún no tienen un programa. Aunque muchas organizaciones pueden afirmar que el ‘ransomware es un tipo de desastre’ y por ello incluyen los ciberataques dentro de su plan de continuidad de negocio o de recuperación ante desastres (BC/DR), la interacción real entre los equipos deja bastante que desear. Dicho esto, existe cierto nivel de alineación en dos áreas: presupuesto y guías de tácticas o manuales de estrategia. Para 2023, los presupuestos de informática (para prevención) crecieron un 5,3 %, mientras que los presupuestos de backup (remediación) crecieron en un 5,4 %. Aparte de eso, cuando se preguntó sobre los equipos de respuesta y cómo planificaban las organizaciones o abordaban la inevitabilidad de los ciberataques, los elementos más comunes en la preparación de una guía de tácticas para abordar la recuperación: • contar con copias de backup limpias, que se supone contienen datos que "han sobrevivido" a los ataques y no contienen código malicioso. • verificación recurrente de que los backups son recuperables. Un ciberseguro puede ser también de utilidad... si puede conseguirlo A nivel global, el 77 % de los rescates fueron pagados por el seguro, y en Europa el 82 % de las víctimas pagaron a través de una compañía de seguros. Pero los ciberseguros son cada vez más caros y estrictos, por lo que un 12 % de las organizaciones declara que el ransomware queda ahora específicamente fuera de sus políticas. Aunque aquellos con ciberseguros contratados vieron cambios significativos en las últimas renovaciones de sus políticas: El 81 % El 38 % El 3 % sufrieron un aumento de las primas vieron un aumento del importe de franquicia observó una reducción de los beneficios de cobertura © 2023 Veeam Software. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. pagar el rescate no garantiza la recuperación Lo que podría sorprender a algunas personas es que incluso aunque la mayoría de encuestados pagaron el rescate, muchos de ellos tenían en realidad políticas de "no pagar", bien sea provenientes de la dirección de sus empresas o de normativas gubernamentales. Dicho esto, incluso pagando el rescate no puede garantizarse de que será capaz de recuperar los datos. El 62 % El 20 % El 13 % pagó el rescate y pudo recuperar los datos pagó el rescate, pero no puedo recuperar los datos no pagó el rescate porque pudieron recuperar desde el backup Desafortunadamente, la estadística global del 16 % de organizaciones que fueron capaces de recuperar por sus propios medios sin pagar el rescate se ha reducido desde el 19 % de la encuesta del año pasado. Para poder recuperar sin pagar el rescate sus backups deben sobrevivir En al menos el 93 % de los ciberincidentes, los delincuentes intentaron atacar los repositorios de backup, con lo que consiguen que pagar el rescate sea la única opción viable. El 75 % El 44 % de las organizaciones perdieron al menos algunos de sus repositorios de backup durante el ataque de los repositorios de backup se perdieron cuando los ciberdelincuentes en su ataque afectaron a la solución de backup Cuando uno es atacado por primera vez, se tienen dos opciones: pagar o restaurar desde el backup. Al atacar la solución de backup, los ciberdelincuentes eliminan una de las opciones de sus víctimas. El secreto para que los backups puedan sobrevivir al ataque está en la inmutabilidad Hay otras mejores prácticas como proteger las credenciales de backup, automatizar el análisis de los backups en busca de amenazas, la verificación automatizada de que los backups, son realmente restaurables, etc. pero, una táctica clave es garantizar que los repositorios de backup no pueden ser eliminados o corrompidos. Esto es la ‘inmutabilidad’ y puede aplicarse a lo largo de todo el ciclo de vida de la protección de datos: Un 82 % El 64 % de las organizaciones usan repositorios cloud inmutables de las organizaciones usan almacenamiento en disco inmutable Y cuando se trata de soportes que puedan sobrevivir, es difícil encontrar algo que esté más aislado que un cartucho de cinta que es extraído de su unidad y almacenado en una estantería. En realidad, el 47 % de los datos todavía se guardan en cinta en algún punto de la estrategia de protección de datos. © 2023 Veeam Software. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. El secreto para la recuperabilidad es la portabilidad Como con cualquier otro desastre (por ejemplo, incendios, inundaciones, huracanes), una decisión estratégica clave es saber ‘¿en dónde vamos a recuperar?ʼ — lo que significa que si los servidores de producción están comprometidos, necesitará unos nuevos. Aunque las organizaciones más grandes pueden disponer de múltiples centros de datos con servidores "fríos" en espera, muchas no tienen esa posibilidad, por lo que no sorprende que la mayoría de participantes del estudio tuvieran un plan híbrido: El 69 % El 83 % de las organizaciones planea recuperar a una infraestructura alojada en la nube o DRaaS de las organizaciones planea recuperar a los servidores dentro de un centro de datos Es importante destacar que intentar recuperar a servidores dentro de un centro de datos podría implicar: • Tener servidores fríos que estén en espera, como el modelo de centro de datos dual. • Adquirir nuevos servidores si lo permite la cadena de suministro. • Simplemente borrar y reutilizar los servidores originales, asumiendo que no están precintados para los análisis forenses o por cuestiones de cumplimiento de la ley. Dado que ambas estadísticas suman mucho más del 100 %, resulta alentador saber que la mayor parte de las estrategias de ciberresiliencia y BC/DR de las organizaciones incluyen ambos tipos de ubicación, dependiendo de la crisis que se produzca. No reinfectar los sistemas durante la recuperación Similar a la máxima médica que reza “lo primero es no hacer daño”, es la idea de no reintroducir el malware o datos infectados en el entorno de producción durante la restauración. Con otros desastres (por ejemplo, incendios o inundaciones), los datos en los backups, réplicas y snapshots, son válidos para comenzar con ellos inmediatamente la recuperación. Desgraciadamente, una de las muchas complejidades de la ciberguerra es que los datos inmediatamente previos a recibir la petición de rescate es que probablemente también estén comprometidos. Por ello es importante analizar los datos en profundidad durante el proceso de recuperación. Esto no siempre es una tarea sencilla, y depende de que la solución de protección de datos ofrezca integración con tecnologías de detección (durante el backup, restauración o ambos) así como algún tipo de etapa de preparación o entorno de pruebas sandbox". Cuando preguntamos a las víctimas de ciberataques en la encuesta: • El 44 % restauraron primero a un entorno de prueba aislado o ‘sandbox’ antes de reintroducir los datos al entorno de producción. • El 35 % restauraron al entorno de producción y entonces analizaron inmediatamente. • El 12 % restauraron y simplemente supervisaron los comportamientos. • El 9 % no tenían medios para evitar la reinfección. © 2023 Veeam Software. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares. Conclusiones importantes del estudio Basándose en las lecciones aprendidas de las 1200 experiencias de ataque dentro de este estudio, la mayoría de organizaciones emplean unas pocas tecnologías clave en su preparación para el siguiente asalto: • Almacenamiento inmutable dentro de los discos, nubes y soportes aislados (air-gapped), para garantizar la supervivencia. • Arquitecturas de TI híbridas para recuperar a plataformas alternativas como cualquier otra estrategia BC/DR. • Restauraciones por etapas, para evitar la reinfección durante la recuperación. Puede dirigir sus preguntas sobre los datos e información de este estudio directamente a [email protected] El punto de vista de Veeam Veeam cree que un backup seguro es su última línea de defensa contra el ransomware. Veeam se ha comprometido para que las organizaciones reduzcan el tiempo de inactividad y la pérdida de datos, para que nunca tengan que pagar un costoso rescate. Solo Veeam ofrece el mayor número de opciones de recuperación del mercado, y un formato de datos verdaderamente portable que le capacitan para recuperar en cualquier lugar: desde entornos físicos a virtuales o incluso en la nube a un centro de datos local. No existe una solución mágica para resolver el problema del ransomware, y por eso Veeam aplica un enfoque multicapa para la protección y recuperación frente al ransomware. Para obtener más información, visite https://www.veeam.com/es/ransomware-protection.html Acerca de Veeam Software Veeam ofrece a las organizaciones capacidad de recuperación a través de seguridad de datos, recuperación de datos y libertad de datos para su nube híbrida. La plataforma Veeam Data Platform proporciona una solución única para entornos cloud, virtuales, físicos, SaaS y Kubernetes que proporcionan a las empresas la tranquilidad de saber que sus datos y aplicaciones están siempre protegidos y disponibles para que puedan mantener sus negocios en funcionamiento. Con sede en Columbus, Ohio, y oficinas en más de 30 países, Veeam Veeam protege a más de 450 000 clientes en todo el mundo, incluidas el 82 % de las empresas Fortune 500 y el 72 % de las Global 2000. El ecosistema global de Veeam incluye más de 35 000 partners tecnológicos, resellers, proveedores de servicios, y Alliance Partners. Para obtener más información, visite www.veeam.com/es o siga a Veeam en LinkedIn @veeamsoftware y Twitter @veeam. Escanee para obtener más información sobre las soluciones ransomware de Veeam © 2023 Veeam Software. Todos los derechos reservados. Todas las marcas registradas son propiedad de sus respectivos titulares.