Ransomware de WannaCry: mantenerse actualizado con WSUS y la automatización

Ransomware de WannaCry: mantenerse actualizado con WSUS y la automatización

Los ataques de ransomware de WannaCry de esta semana, una vez más, evidenciaron dolorosamente lo importantes que son las actualizaciones de software para las organizaciones. Hay una respuesta obvia: “MANTENTE ACTUALIZADO”. Sin embargo, nunca es tan simple. WSUS puede ayudar; automatizar WSUS puede ayudar aún más. Voy a hablar de lo que es WSUS y cómo puede ayudar la automatización, pero primero vamos a echar un vistazo a lo que ha sucedido en todo el mundo y por qué…

El ataque comenzó la semana pasada y se ha extendido como un virus de gusano, instalándose en una computadora Windows después de que un usuario haya sido engañado para hacer clic en un archivo adjunto de correo electrónico o visitar un enlace. Desde allí, toman el control de la computadora, cifran los archivos, bloquean al usuario, solicitan un rescate de alrededor de $500 en pagos mediante bitcoin y luego se propaga a otras computadoras de la red. En conjunto, han intentado pedir un rescate a casi 300 000 computadoras en más de 150 países. Entre ellas se incluyen algunos grandes nombres como el Servicio Nacional de Salud de Gran Bretaña, Nissan Motors, FedEx, China National Petroleum, Renault SA, Deutsche Bahn e Hitachi.

LA PANTALLA DE WANNACRY

Todo esto podría haberse evitado con una simple actualización del sistema. Sí, esa pequeña notificación que aparece en la esquina inferior derecha de la pantalla, tal vez ahora mismo. Hacer clic en ella y esperar unos minutos podría haber protegido a la mayoría de las computadoras. A la mayoría, pero no a todas. La vulnerabilidad utilizada se encontró en Windows y se arregló en marzo, pero solo para los sistemas operativos compatibles actualmente. Esto dejó las versiones anteriores como XP y Server 2003 todavía vulnerables, pero en una actualización de seguridad, sorpresa, el viernes, Microsoft emitió actualizaciones para muchas de las iteraciones más antiguas.

Por lo tanto, como organización, ¿qué se puede hacer en el futuro para prevenir este tipo de ataques?

Esto sucederá de nuevo, es inevitable. Pero hay cosas que podemos hacer. Primero, la formación es extremadamente importante. Sí, aún había un montón de XP y otros sistemas no compatibles que estaban al descubierto para ser apresados, pero formar a los empleados en el reconocimiento de los ataques de ingeniería social puede proteger a las empresas que ejecutan incluso los sistemas más vulnerables. Enseñar conceptos como vishing, pretexting, baiting, whale hunting, suplantación de identidad o phishing, etc. les ayudará a tomar decisiones inteligentes en lo que respecta a los archivos adjuntos de correo electrónico, solicitudes inusuales o enlaces inciertos.

Esto sucederá de nuevo, es inevitable. Pero hay cosas que podemos hacerParag Gadgil
Lo siguiente que es obvio es lo que mencioné al principio de este artículo. En pocas palabras: “mantente actualizado”. Para el público, esto suena muy simple. Pero cualquier persona del mundo de las TI sabe que las cosas nunca son tan fáciles. A veces ciertas actualizaciones son incompatibles con las aplicaciones que se ejecutan en las computadoras, a veces estas están en medio de trabajos de procesamiento importantes o tal vez la computadora solo está para ciertos casos de uso y hacer que se conecte para luego actualizarse requiere un poco de tiempo libre que muchos de nosotros no tenemos. Cualquiera que sea la razón, Windows ha proporcionado una herramienta muy útil durante muchos años, WSUS.

WSUS, que comenzó su andadura como “Servicios de actualización de software”, hoy significa “Servicios de actualización del servidor de Windows” y se ha convertido en una herramienta muy potente en el arsenal de administración en los últimos años. WSUS ofrece a los equipos de administración la opción de enviar parches o actualizaciones a todas las computadoras Windows, según corresponda en una organización. WSUS permite a los administradores programar actualizaciones en ciertas fechas/horas, como durante los períodos de inactividad o después de ciertas horas. También les permite seleccionar las actualizaciones que quieren ejecutar, excluyendo ciertas actualizaciones, según sea necesario, si hay problemas de capacidad conocidos. En general, WSUS ofrece a los administradores la posibilidad de ver todas las actualizaciones disponibles en cualquier computadora de la red y escoger cuáles obtienen las actualizaciones y cuándo. Por si fuera poco, seguirá cada computadora a través del proceso de actualización, registrando cualquier problema que pueda surgir.

Es mucha potencia. Y esta es la principal herramienta que los administradores de Windows utilizarán para mantener las computadoras actualizadas y protegidas frente a estos tipos de ataques. Pero puede ser aún más potente si te planteas incluir WSUS en tus flujos de trabajo de automatización. Un buen producto de automatización puede integrarse con WSUS para hacer cosas como seguir actualizaciones, recoger registros, reconocer códigos de error y dar inicio a varios procesos dependiendo de los múltiples resultados. Deja que te dé algunos ejemplos. Con WSUS automatizado, puedes programar las actualizaciones y pasar a la siguiente tarea. No tendrás que ver WSUS para buscar errores o confirmaciones, ya que tu herramienta de automatización debe poder notificarte si las cosas salen mal, o incluso cuando van bien. ¿Qué pasa con la actualización de una computadora, o computadora virtual, que no está constantemente en marcha? Si WSUS forma parte del tejido de automatización de una empresa, podrías configurar fácilmente un flujo de trabajo rápido para comprobar el estado de la computadora e incluso subirla si tu sistema se da cuenta de que está inactiva. A continuación, puedes iniciar el proceso WSUS para actualizar. Una vez hecho esto, tu solución de automatización puede hacer que la computadora vuelva a funcionar sin que tengas que hacer más que un clic. Por último, vamos a hablar de computadoras de procesamiento. Conecta WSUS a tu herramienta de automatización y comprueba cada servidor para procesos críticos antes de permitir que se produzca una actualización. Se podrían poner simples bucles temporales en “intentar otra vez en 30 minutos” si tu solución de automatización se da cuenta de que se está llevando a cabo el proceso. Pon un contador encima con una notificación, por si acaso nunca quiere dejar de procesar, y esta es una manera fácil de prevenir cualquier interrupción accidental de la actividad. También eliminará la necesidad de una supervisión manual de los procesos de la computadora antes de realizar cada actualización.

Estos tipos de ataques son aterradores, sin duda. Sin embargo, no es el dinero que los piratas piden lo que asusta a las grandes organizaciones, es la pérdida de continuidad del negocio y los datos que son inestimables. Afortunadamente, hay cosas que podemos hacer. Aprender las técnicas de ingeniería social y mantenerse actualizado tiene un doble impacto que reducirá los riesgos en cualquier organización. Las herramientas como WSUS y las soluciones de automatización del flujo de trabajo hacen que las cosas sean mucho más fáciles para nosotros los administradores, y mucho más difíciles para los piratas.

About the Author
blank

Parag Gadgil

Soy ingeniero de software en SMA Solutions enfocándome en la plataforma de Windows. Tenemos una solución, OpCon, que puede llevar Windows, Windows Server, Orchestrator, Dynamics AX, WSUS y más a la estructura de automatización de su organización. Si desea obtener más información, envíeme un mensaje o llámenos.

Sources:
http://www.sandiegouniontribune.com/opinion/the-conversation/sd-5-facts-global-ransomware-cyberattack-wannacry-20170515-htmlstory.html
http://time.com/4779750/wannacry-ransomware-patch-windows-cybersecurity/
https://technet.microsoft.com/en-us/windows