El ransomware es una de las amenazas de más rápido crecimiento para cualquier organización. Ninguna empresa, grande o pequeña, es inmune a los ataques de los ciberdelincuentes. En esta sesión, mostramos cómo puede aprovechar los servicios y las capacidades de la nube AWS para proteger sus datos más valiosos de los ataques cibernéticos y acelerar la restauración de las operaciones.
2. ¿Cómo interactuar durante el evento?
¿Tiene un proyecto y
necesita ayuda de
nuestro equipo
comercial?
Acceda al LIVE CHAT
con este QR code o con
el enlace enviado en el
chat del evento.
Preguntas y respuestas en
vivo durante todo el evento
¡Haga sus preguntas
directamente a los expertos
de AWS!
Haga clic en el signo "?"
y envíe sus preguntas.
3.
4.
5.
6.
7.
8.
9. Las amenazas de
ransomware son
incontrolables
TECHNOLOGY
Ransomware Attacks Grow,
Crippling Cities and
Businesses
Hackers are locking people out of their
networks and demanding big payments to
get back in. New data shows just how
common and damaging the attacks have
become.
75%
de las organizaciones de TI enfrentarán
una o más AMENAZAS DE
RANSOMWARE a 2025
Gartner, 2021
ATAQUE DE RANSOMWARE
ocurrirán cada 11 segundos en 2021
resultará en una Perdida financiera de
Source: Sophos the state of Ransomware 2020 Report—Independent study of 5,000 IT managers
$20B
The Colonial Pipeline attack
should be a wake-up call for
hardening our cyber defenses
Scripps enters fourth week of
ransomware attack
DHS to issue first
cybersecurity regulations for
pipelines after Colonial hack
Two directives will seek oversight of the
industry after ransomware attack upended
gas availability in the Southeast for 11 days
The ransomware
surge ruining lives
Ransomware attack on Bose
exposes employee SSNs and
financial information
The company was forced to notify New
Hampshire officials after employees in the
state had their information accessed
30. ¡Gracias!
Manténgase informado
sobre las próximas
sesiones
¡Accede a la
programación del
webinar con este código
QR y regístrese!
QR CODE
Cuéntenos qué opina
del seminario web
Haga clic en “salir” para
responder a una
encuesta de
satisfacción rápida
Notas del editor
Buenos días. Espero que todos se encuentren bien el día de hoy
Bienvenido a otra sesión de la serie de seminarios virtuales.
Mi nombre es Efraín Castilla y soy un arquitecto de soluciones en AWS basado en la ciudad de méxico.
[...]
Antes que nada quiero agradecer el tiempo que están invirtiendo el día de hoy para participar en este seminario.
Hoy en día existe muchisimo contenido disponible y nuestro mayor desafío es simpre filtrarlo, por esta razón aprecio que se hallan unido a esta session., ¡muchas gracias!
[...]
El objetivo del día de hoy es hablarles un poco sobre los beneficios de realizar copias de seguridad en la nube de AWS,
Espero que la información que voy a compartirles durante esta sesión les sea de utilidad y pueda poyarles con proyectos actuales o iniciativas futuras.
[...]
Para preparar el escenario, le daré una introducción rápida a los conceptos básicos de respaldo y recuperación.
Hablaré sobre los desafíos del modelo de respaldo tradicional y, después de eso, presentaré modelos de respaldo que se integran con la nube.
Y finalmente, les presentaré una serie de pasos que pueden seguir para contar con una estrategia de recuperación contra ransomeware.
Antes de iniciar, me gustaría comentarles que también pueden hacer preguntas a lo largo de la presentación, ya que tendremos un equipo de expertos que estará respondiendo en tiempo real.
Lo único que tienen que hacer es dar clic en el el signo de interrogación y así podrán enviar sus preguntas a lo largo de la sesión.
[…]
También aprovecho para comentarles que,
Si tiene un proyecto y necesita comunicarse con el equipo commercial de AWS, pueden acceder a un chat en vivo con el código QR disponible en esta diapositiva o de igual manera puede acceder dando clic al enlace enviado en el chat del evento.
[…]
La duración aproximada de esta sesión es de 1 hora. Intentaré realizar la presentación del material en los primeros 45 minutos. Y en los últimos 15 minutos me uniré al equipo que me acompaña para apoyarlos en responder sus preguntas.
[… [
Algo muy importante sobre lo que quiero robar su atención antes de inicar… es sobre nuestra encuesta de satisfacción.
Al finalizar la sesión tendremos una encuesta de satisfacción y es muy importante que la contesten.
Como saben este evento está hecho exclusivamente para ustedes y solo podremos mejorar las próximas sesiones considerando sus comentarios.
Por favor, no dejen de responder la encuesta.
[…]
Dicho esto, ¡Podemos comenzar!
Por lo regular, nuestras semanas laborales suelen estar llenas de desafíos y algunos altibajos.
Cuando por fin concluímos la semana laboral, la gran mayoríade nosotros estamos cansados y con ganas de iniciar un bien merecido fin de semana para recargar energías y renovarnos.
Imagina ese viernes por la noche, donde estamos satisfecho de todo el trabajo que hicimos durante la semana, con esa sensación de satisfacción por los logros alcanzados ...
Es hora de desconectar el swich del trabajo y prepararnos para relajarnos el fin de semana ...
Pasar tiempo con las personas que amamos, nuestra pareja, nuestros hijos para los que son casados, nuestros amigos o con nuestras mascotas y disfrutamos cada momento de una manera distinta a la que lo hacemos trabajando.
Incluso buscamos momentos de relajación, algunas veces nos desvelamos y nos permitimos levantar mas tarde, porque no se vale….
Pero imaginen que llegan al trabajo el lunes, Bueno eso de llegar para muchos de nosotros es conectarnos de forma remota y estan dispuestos a iniciar una nueva semana llena de retos y quizas de resolver pendientes que dejamos la semana anterior ...
¡Y Se asombran de lo que ven o debería de decir lo que no pueden ver!
No podemos iniciar sesión en los sistemas de la organización …..
Y la causa de eso se llama... Ransomware ...
[…]
Sé que algunos de ustedes ya han tenido alguna experiencia de este tipo y los que no la hayan tenido probablemente la llegarán a tener en algún momento.
Porque cuando hablamos de ransomware, no hablamos realmente de una cuestión de porbabilidad de "SI" sucederá o “NO”, sino más bien de "CUÁNDO" sucederá.
Y cuando suceda, debemos estar preparados para reaccionar en consecuencia
[…]
Pero hablando de ransomware, todos debemos estar en la misma página ...
Amenazas de ransomware
Me atrevo a decir que ransomware se está convirtiendo en uno de los temas de mayor relevancia en la industria. Es raro que pase una semana sin escuchar o leer sobre nuevos incidentes, de hecho, pareciera que se está convirtiendo en la nueva normalidad, ver titulares y noticias sobre ataques de ransomware y escuchar sobre una nueva compañía sufriendo un ataque.
Según un estudio realizado recientemente por Gartner, el 75% de las organizaciones de TI se enfrentarán a una o más amenazas de ransomware desde ahora y hasta 2025. Aunado a esto, el informe sobre el estado del ransomware de Sophos indica que los ataques de ransomware ocurren cada 11 segundos, lo que representará en una pérdida financiera estimada de más de 20 billones de dólares para 2021.
Entonces, que es RW?
El ransomware es un ataque cibernetico malicioso o ciberataque generado por hackers, en el que bloquean el acceso a información y datos importantes. Normalmente, los hackers lo logran introduciendo una forma de malware diseñada para bloquear el acceso a la información importante y piden que se pague un rescate para desbloquerla.
Dentro de estos ataques, Podemos encontrar dos tipos principales de ransomware:
Bloqueo, que básicamente gira en torno a que los hackers impeden a los usuarios finales acceder a sus dispositivos, sistemas y aplicaciones
En tanto que el segundo tipo es de cifrado, donde los datos objetivo son cifrados en su totalidad comprometiendo su acceso y, por lo tanto, los usuarios finales requieren de una llave para descifrar sus datos.
Si nos pusieramos a pensar qué hace que una organización sea más susceptible a otras cuando de ataques de ransomware se trata, identificamos tres categorías principales:
El aspecto técnico (la falta de un adecuado conjunto de habilidades para lidiar con ataques cibernéticos, así como una amplia dependencia de procesos manuals en la organización)
La segunda categoría trata sobre el factor humano: falta de conciencia entre los colaboradores dentro de una organización, nos hace suceptibles a este tipo de ciberataques
Y en tercer lugar, probablemente el más importante, es que no existe una estrategia de seguridad ni un departamento centralizado que sea capaz de ver y prepararse para un ataque de ransomware de forma holística.
En 2014, el instituto nacionales de estándares y tecnología (NIST) por sus siglas en ingles, publicaron un importante marco para mejorar la seguridad cibernética de infraestructura crítica (o lo que se conoce como CFS, cyber security framework and standards) muy rápidamente este marco se convirtió en las principales directrices para la Organización contra los ataques cibernéticos.
En este marco normativo, se encuentran definidas 5 áreas o pilares principales que los usuarios finales y las organizaciones pueden adoptar para tener una estrategia adecuada de defensa de la ciberseguridad.
Comienza con la identificación de las amenazas y riesgos, la protección y la detección, la respuesta a los ciberataques y la recuperación satisfactoria de ellos.
Hasta hace poco, la gran mayoría de las organizaciones han puesto énfasis y todos sus esfuerzos en cubrir los 4 primeros pilares, sin embargo, el quinto pilar suele descuidarse debido a la falta de opciones para la recuperación cibernética.
En la sesión de hoy vamos a profundizar en el pilar de recuperación. Este pilar, se está convirtiendo en una de las áreas más importantes para que los clientes tengan una póliza de seguro y la capacidad de poderse recuperar de un ataque. Esto ayuda a las empresas y organizaciones del sector del sector público y provado a recuperarse rápidamente a la vez que se disminuyen las interrupciones y se cumplen los requerimientos normativos y empresariales.
Para tener éxito en una estrategia de recuperación, es indispensable trabajar en colaboración con su equipo interno e involucrar a las partes interesadas de su negocio a fin de comprender los requisitos empresariales de tiempo y resiliencia para cada aplicación.
El nivel de resiliencia será una combinación del tiempo de recuperación objetivo RTO (que no es mas que el interval de tiempo permitido de una interrupción por cada aplicación) y punto de recuperación objetivo o RPO (period de pérdida de datos permitida por aplicación).
Como lo dije previamente es importante contar con un levantamiento y categorización de la información y los sistemas para contar con una estrategia exitosa de recuperación.
Existen dos principals estrategias de implementación de recuperación de ransomeware basada en una estrategia de recuperación ante desastres y una estrategia de respaldo y recuperación.
En esta diapositiva analizaremos cómo aws puede ayudar a nuestros clientes a ampliar sus configuraciones y capacidades actuales de recuperación ante desastres.
Pero primero echemos un vistazo rápido a los desafíos en el ámbito de la protección de datos.
La protección de datos es una de las áreas más complejas de la infraestructura de TI. Los datos deben copiarse rápidamente de varios orígenes y protegerse rápidamente para su restauración en caso de corrupción, error humano o desastre.
Durante mucho tiempo en el mundo de la recuperación ante desastres, se pensaba en algún tipo de evento natural (como una inundación, un terremoto, un tornado, etc.) o algún desastre provocado por el hombre (un incendio o, por ejemplo, un ataque terrorista). Las copias redundantes, la separación física, el envío de medios magneticos, la replicación, la alta disponibilidad entre sitios, etc., son estrategias que implementarían las organizaciones y los consultores de DR. Todas son sumamente importantes. Pero, ¿te protege esta estrategia contra un ataque de ransomware? En realidad no. De hecho, se podría argumentar que lo empeora. Por ejemplo, ¿me gustaría copiar datos comprometidos? O qué seguros tengo cuando mi centros de datos principales se comprometen con malware para que el lado secundario no se infecte en segundos.
La estrategia de Ransomware conlleva la cración de una copia golden en una cuenta separada que funge de cabecera y se encuentra protegida del ambiente operacional y esto es exactamente lo que quiero comentarles el día de hoy acerca de las soluciones que ofrecemos y como lo abordamos en AWS. Esto obviamente está basado en las capacidades de nuestro almacenamiento de objetos S3 de poder bloquear objetos, creando lo que es conocido como una boveda segura o boveda de seguridad a fin de crear los datos y la capacidad de hacerlos inmutables tomando en consideración el patron WORM write ones read many.
La perspectiva de RPO/RTO con RansomwareRecovery es una vista completamente diferente que voy a cubrir en unos minutos.
Para no extenderme demaciado tiempo, me centraré en las principales diferencias entre DR y RR
Un plan de continuidad del negocio es un plan amplio diseñado para mantener una empresa en funcionamiento, incluso en caso de desastre. Este plan se centra en el negocio en su conjunto, pero se desglosa en escenarios específicos que podrían crear riesgos operativos. Con la planificación de la continuidad del negocio, el objetivo es mantener el funcionamiento de las operaciones críticas para que su empresa pueda seguir realizando actividades comerciales regulares incluso en circunstancias inusuales.
Si se sigue correctamente, un plan de continuidad del negocio debe poder seguir prestando servicios a los clientes, con una interrupción mínima, ya sea durante o inmediatamente después de un desastre. Un plan integral también debe abordar las necesidades de los socios comerciales y proveedores. Es por ello que una estrategia de recuperación contra ransomware se puede ver como una extension de nuestra estategia de drp donde con una clara estrategia de recuperación Podemos tener un equilibrio del tiempo y los datos que temenos permitidos perder. Sumando a la ecuación la capacidad de inmutabilidad de los datos que nos permitirar asegurar que el dato que fue adquirido para su posterior almacenamiento en la boveda no cuenta con ningun cambio adicional que pudiera poner en riesgo su efectividad
Para una solución de recuperación de desastres puntual, AWS ofrece CloudEndure Disaster Recovery.
CloudEndure simplifica, agiliza y reduce el costo de la recuperación de desastres en la nube, ofreciendo una solución altamente automatizada.
Es flexible: la tecnología CloudEndure replica aplicaciones de prácticamente cualquier fuente.
Se implementa un agente muy ligero en la máquina de origen con sistema operativo x86 compatible.
Y una vez que el agente se implementa en la máquina de origen, ya sea física, virtual o basada en la nube, se replica a AWS sin interrupciones en el entorno de origen.
CloudEndure también le permite realizar una conmutación por recuperación al entorno de origen después de un incidente.
El cobro es por hora basado en el uso por servidor de origen, puede realizar evaluaciones fácilmente de la herramienta y usarla sin necesidad de un contrato a largo plazo.
Es confiable: la replicación continua de datos de CloudEndure replica cargas de trabajo a nivel de bloque.
Una vez que se implementa el agente, detecta todos los discos conectados a las máquinas que se están replicando y, siempre que estos discos se presenten como dispositivos de bloque, replica todo de manera consistente.
La replicación a nivel de bloque garantiza que los datos estén actualizados durante una conmutación por error, incluido el estado de la máquina, la configuración del sistema operativo, las aplicaciones y las bases de datos.
Dado que CloudEndure replica todo practicamente en tiempo real, todo está siempre actualizado en cuestión de segundos, por lo que siempre puede ejecutar pruebas para verificar que todos los datos estén completos.
Esto permite lograr un RPO de segundos, ya que los datos están actualizados y listos para activarse tan pronto como ocurra un desastre o, en este caso, un ataque de ransomware.
La automatización en combinación con la conversión de la máquina proporciona un RTO de minutos.
CloudEndure también proporciona un mecanismo seguro para entornos regulados.
Replica datos en tránsito de forma cifrada
Además, es posible utilizar su propia conectividad privada como VPN o DirectConnect
CloudEndure también puede utilizar el cifrado en reposo en EBS en el lado de destino.
Es decir, cuando los datos se replican y llegan a AWS, pueden llegar a discos cifrados que incluso pueden estar usando claves de cifrado personalizadas.
Además, y esto es muy importante en caso de un ataque de ransomware, la recuperación en un momento determinado significa que es posible recuperar su entorno a un tiempo anterior consistente de su elección.
Básicamente, puede volver a un período previo al ataque.
CloudEndure también está altamente automatizado, lo que significa que no se requieren horas y horas de capacitación para comenzar con CloudEndure.
Existe un solo proceso para migrar cualquier tipo de aplicación o sistema operativo, el único requisite es que la versión del sistema operativo sea compatible, sin importer Plataforma o manejador de base de datos.
El proceso es exactamente el mismo para todo lo único que debe hacer es implementar el Agente en la máquina de origen para que pueda comenzar la replicación de datos.
Una vez que comienza la replicación y se completa la sincronización inicial, es muy fácil realizar pruebas en cualquier momento, y los usuarios pueden realizar estas pruebas sin interrupciones y con la frecuencia que deseen para prepararse y evitar sorpresas en caso de que ocurra un ataque.
Un área de preparación contiene recursos aprovisionados y administrados automáticamente por CloudEndure para recibir datos replicados sin incurrir en costos significativos.
El área de preparación elimina la necesidad de aprovisionamiento de recursos duplicados y, por lo tanto, reduce significativamente el TCO para la recuperación ante desastres.
Los casos de uso de CloudEndure son bastante flexibles.
Es posible replicar el entorno local en AWS.
Replica dentro de la propia nube de AWS entre diferentes zonas de disponibilidad en la misma región o entre diferentes regiones.
E incluso replicar datos de otra nube a AWS.
En todos los casos, CloudEndure se puede utilizer y funciona muy bien.
Este diagrama de arquitectura de alto nivel ilustra cómo CloudEndure Disaster Recovery mantiene todo el entorno sincronizado y listo para la conmutación por error a AWS en cualquier momento, con RPO agresivos y TCO reducido.
A la izquierda está el entorno origen o Fuente , que puede estar compuesto por diferentes tipos de aplicaciones; en este caso, tenemos bases de datos Oracle y SQL Server como ejemplos.
El agente de CloudEndure se implementa en las máquinas de origen sin requerir ningún tipo de reinicio y sin afectar notablemente el rendimiento.
Una vez que el agente está instalado, la replicación continua de datos comienza a realizarse en AWS, y CloudEndure proporciona un área de preparación de muy bajo costo que ayuda a reducir los costos de infraestructura en la nube durante la replicación y hasta que las máquinas necesiten realmente encenderse ya sea durante cualquier prueba de recuperación de desastres o DR. .
Si llega ese momento, con solo unos pocos clics, CloudEndure puede lanzar máquinas a las subredes de destino configurdas.
El estado inactivo, denominado Área de ensayo, ahora comienza a ejecutarse en servidores reales que se migraron desde el entorno de origen (bases de datos Oracle y SQL).
La tecnología de conversión de máquinas de CloudEndure garantiza que estas máquinas replicadas puedan ejecutarse de forma nativa dentro de AWS y, por lo general, el proceso tarda solo unos minutos en arrancar.
Todo esto se hace a través de la consola de usuario de CloudEndure que se utiliza para administrar proyectos y configurar los ajustes.
Como pueden ver
CloudEndure admite la replicación en AWS desde entornos locales, incluida la infraestructura física y virtual, nubes privadas y nubes públicas.
También se admite la migración desde otra cuenta de AWS o región o zona de disponibilidad de AWS.
Puede replicar todas las aplicaciones que se ejecutan en sistemas operativos compatibles, incluidas las aplicaciones y bases de datos heredadas, desde cualquier infraestructura hasta AWS.
A continuación, demostraremos lo sencillo que es realizar una operación de conmutación por error para AWS.
Y si hablamos de una estretegia de recuperación de ransomeware basada en respaldo y recuperación, es importante hablar de las bovedas y porque es importante considerer una boveda en nuestra estrategia
…
En primera instancia por el concepto de inmutabilidad que hablaba en el slide anterior.
Además de mantenerlo en una copia golden en un ambiente completamente aislado
Y si le sumamos que se encuentra en la nube, nos permite ser muy agiles en la implementación y despliegue de soluciones contra ransomeware gracias a las herramientas y servicios que nos permiten tener una mayor seguridad y velocidad de ejecución.
AWS ofrece a sus clientes un entorno seguro, fiable y altamente seguro a través de la capacidad de object lock de S3, característica que normalmente se utiliza para permite a los clientes almacenar objetos mediante un modelo de escritura única y lectura múltiples (WORM).
Una protección WORM permite a los clientes contra con un escenarios en el que es imperativo que los datos no cambien ni se eliminen después de ser escritos.
Tanto si su empresa tiene la obligación de cumplir con las normativas o regulaciones del sector financiero o de salud, como si simplemente desea capturar una copia golden de los datos mas impoetantes para su posterior auditoría y conciliación, Por esta razón considero que la característica de S3 Object Lock es la herramienta adecuada para usted.
En esta diapositiva quiero presentarles tres opciones de recuperación o grupos de madurez contra ransomeware, para que dependiendo sus necesidades tenga en cuenta que puede hacer uso de cualquiera de ellas.
Donde el fundamento principales en cada una de estas tres opciones se basan en el hecho de poder respaldar y recuperar la información, y garantizar la recuperación por medio de pruebas:
· Respaldo y restauración empresarial probados
En un grado de madurez Avanzado integramos la trazabilidad de los gaps que temenos entre la ultima copia correcta y el evento de secuestro de los datos, además de incementar la seguridad por medio de la inmutabilidad de los datos.
En el ultimo scenario o scenario Avanzado plus integramos un factor adicional que nos permite ejecutar analisis forenses ademas de contra con herramientas que nos permiten la detección de malwares
Y porque es importante hablar de diferentes opciones?, porque no existe una solución de ransomware única y nosotros en AWS trabajamos con el principio de working backwards considerando los requisitos de los clientes.
Sabemos que muchos de ustedes ya cuentan con inversiones realizadas previamente con alguno de nuestros socios tecnológicos de APN y desean seguir utilizandolo.
Chris cuenta con los especialistas de Storage SA que clasifican las soluciones en tres grupos de madurez para brindar recomendaciones repetibles. Estoy seguro de que responderá de la mejor manera que su equipo pueda apoyar este esfuerzo.
Uno de los escenarios en donde podemos ayudarlos es básicamente un enfoque donde proporcionamos capacidades de backup y restauración empresariales probadas. Donde regularmente ustedes aprovechan la inversión que realizaron en las herramientas con las que cuentan actualemten con algun partner de AWS (como son Commvault, Veeam o veritas, u otros) o donde desea obtener una solución similar siempre que le permita integrarse completamente desde sus instlaciones al almacenamiento de objetos con la característica de bloqueo de objetos (objet lock) de AWS S3.
Por ejemplo, veritas uno de los socios de AWS libero una nueva version de la solución totalmente compatible con AWS s3. Con esta versión de Net back 9.1, han introducido soporte completo para el bloqueo de objetos de S3. Permitiendo a los clientes realizar copias de seguridad de datos, de tipo WORM, ampliando la inmutabilidad de los datos de la infraestructura local a la nube, para permitir la recuperación de ransomware.
Sí ya está utilizando algun proveedor de software de respaldo o esté buscando uno nuevo, es importante validar las características para ver el nivel de integración que ofrece con S3.
Estos son solo algunos ejemplos de socios tecnológicos que soportan S3 en la actualidad y que cuentan con soluciones probadas por nuestros clientes.
Para obtener una lista completa de los proveedores disponibles, consulte el enlace aws.amazon.com/partners
Otra alternativa cuando hablamos de aplicaciones nativas de AWS, Podemos considerer AWS Backup incluso separado en distintas cuentas
Cada cuenta tiene su Boveda de respaldos con los controles de acceso apropiados para cada cuenta y hasta con diferentes claves de cifrado y una cuenta aislada con políticas de IAM para controlar el acceso, brindando la funcionalidad de un air-gap, es decir, aislamiento del entorno.
Algunos de nuestros clientes ya cuentan con soluciones propias y herramientas personalizadas para atender sus necesidades sobre ransomware. Lo que vemos en este diagrama de arquitectura son algunas de las preocupaciones mas comunes.
Una preocupación típica que escuchamos cuando hablamos con clients es que: ”Necesitan una copia (air-gapped) de todos sus datos confidenciales". Y que ademas no utilice medios físicos para las copias y mucho menos requiera del envío físico de los medios magneticos, En cintas: realmente no pueden hacer copias completas con (air-gaps) espacios libres. Para hacer esto más práctico y menos complejo, lo que hacen los clientes, es crear copias en una cuenta de AWS completamente independiente llamada bóveda.
En este ejemplo que vemos en esta diapositiva, los activos de datos protegidos son todos de un sitio on-premise. Si los activos de datos protegidos también incluyen recursos de AWS, es posible que el cliente desee que la cuenta de la bóveda esté en una "raíz de confianza" completamente diferente a la de sus cuentas de producción y lo que quiero decir por “raíz de confianza diferente, es que la cuenta de la bóveda ni siquiera está en la misma organización de AWS que las cuentas de producción ”.
Lo que vemos en este diagrama son cuatro cuentas de AWS diferentes, cada una con un distinto propósito. La cuenta provisional o de staging es la cuenta donde aterrizan inicialmente todas las copias de datos protegidos.
Desde aquí, la cuenta de la bóveda extrae las últimas copias de datos de la cuenta provisional de manera periodica.
Es una solución en línea, pero es prácticamente equivalente a un espacio de aire (air-gap) al adoptar algunas técnicas: p. Ej. puede asegurarse de que se permitan los pulls solo en determinados momentos del día.
Además, nadie puede enviar datos a la bóveda, los datos son extraídos de las fuentes que son conocidas.
Este diseño personalizado se hizo para un cliente que necesitaba cumplir con un estricto estándar de seguridad federal de EE. UU.
Uno de los grandes desafíos de las soluciones de protección contra ransomware es saber cuál de sus copias de datos está limpia después de que ocurre un ataque.
Los clientes no quieren arriesgarse a restaurar una copia anterior de los datos que también está infectada.
Aquí es donde entra la cuenta de análsis forense. El propósito de esta cuenta es examinar copias de los datos de la cuenta de la bóveda e identificar las copias limpias.
En esta arquitectura podemos observar las opciones de un flujo de trabajo para protegerse y recuperarse de un ataque de ransomware.
Se integran otros servicios de AWS para la administración de identidades, la seguridad, el monitoreo y la recuperación, y se encuentra apegado al marco de ciberseguridad del NIST.
Antes de un ataque, se configura una cuenta cruzada de respaldos CAB que se ve en la parte superior derecha de la diapositiva, y se configura con acceso restringido y unicamente con los permisos necesarios para recibir las copias de seguridad de otras bóvedas, por ejemplo la bóveda de staging.
Cuando se identifica un ataque, se aislan las copias de seguridad de la cuenta cruzada de respaldos CAB en una cuenta de análisis forense ayudando a proteger el proceso de recuperación con puntos de recuperación objetivo (RPO) limpios.
Una vez verificados y asegurando que se encuentran libres de malware, los mismos puntos de recuperación objetivo (RPO) se proporcionan desde la bóveda de cuentas cruzadas (CAB) a una cuenta de recuperación, o directamente a los sistemas de producción, esto dependerá del pipeline de seguridad para el manejo de los datos.
MEG
US:
FBI IC3- https://www.ic3.gov/default.aspx
CISA - https://www.cisa.gov/ransomware
AWS:
Security resources hub - https://aws.amazon.com/security/security-learning/?whitepapers-main.sort-by=item.additionalFields.sortDate&whitepapers-main.sort-order=desc
Aligning to NIST CSF in AWS - https://d0.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf
AWS Well Architected Security Pillar - https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf
Building a Threat Detection Strategy in AWS - https://pages.awscloud.com/rs/112-TZM-766/images/Threat%20Detection_SANS%20and%20AWS%20Marketplace%20whitepaper.pdf
AWS Security Incident Response Guide - https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf
AWS Compliance - https://aws.amazon.com/compliance/
¡No me resta mas que agradecerles a todos por su participación en este seminario web!
El contenido presentado en la session de hoy pronto estará disponible para su acceso.
Los prçoximos minutos me uniré al equipo para responder las preguntas, así que si tienen cualquier duda no duden en enviarla al chat
Si no llegaramos a responder todas las preguntas en el tiempo que nos queda, no se preocupe, tenga la Certeza que le responderemos por correo electrónico más tarde.
Finalmente quiero recordarles nuevamente sobrela encuesta de satisfacción.
Como lo comenté al inicio este evento fue hecho 100% para ustedes y su opinion es muy importante para mejorar.
Al hacer clic en salir, verá una encuesta, ¡por favor contestela para que podamos mejorar en las próximas sesiones!
También puede acceder al programa que contiene las próximas sesiones desde el Código QR en esta diapositiva,
¡De nuevo muchas gracias!