¿Cómo puedo evitar ataques de ransomware en mi dispositivo Synology?

Algunos artículos se han traducido automáticamente del inglés y pueden contener inexactitudes o errores gramaticales. Si este artículo actualmente solo está disponible en inglés, es posible que la traducción esté lista pronto.

 

objetivo

Los ataques de ransomware se están convirtiendo en una amenaza creciente para las empresas y los usuarios domésticos. Este artículo cubre las mejores prácticas de prevención de ransomware específicas para los productos de Synology.

Las pautas a continuación se basan en la guía de ransomware preparada por la Agencia de Infraestructura y Seguridad Cibernética (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).

Mejores prácticas de prevención de ransomware

preparándose

 

Los usuarios deben mantener una copia de seguridad fuera de línea encriptada de sus datos y verificar regularmente si su copia de seguridad se puede restaurar. Asegúrese de que su plan de copia de seguridad siga correctamente el principio 3-2-1 de copia de seguridad y descanso-copia de seguridad1. Establezca metas de tiempo y punto de recuperación para cada plataforma y realice pruebas periódicas de recuperación ante desastres.

Establecer planes básicos de respuesta a incidentes cibernéticos y planes de comunicación relacionados. Por ejemplo, cree una lista de contactos de emergencia y asigne responsabilidades a cada función (consulte el Apéndice). Estos planes deben contar con procedimientos de notificación después de que ocurra un incidente de ransomware. Probar regularmente dichos planes para asegurarse de que está preparado para incidentes de ransomware.

Vectores comunes de infección de ransomware

 

Vulnerabilidades y malas configuraciones en Internet

 Solo exponga DSM a Internet cuando sea necesario.

Si necesita acceder a servicios de archivos a través de Internet, se recomienda utilizar una VPN para conectarse a su dispositivo Synology (consulte el tutorial ).

 Si necesita acceder al servicio de archivos SMB directamente a través de Internet sin usar una VPN, configure el Modo de cifrado de transporte en Aplicar para mejorar la seguridad2.

 Habilite la firma del servidor SMB si su dispositivo Synology actúa como un controlador de dominio con el paquete Synology Directory Server3.

 Si necesita abrir su DSM para acceder a Internet, solo abra los puertos necesarios para sus servicios. Consulte ¿Qué puertos de red utilizan los servicios de Synology? para más información

correo electrónico de phishing

 

Cuidado con el phishing malicioso. No comparta sus credenciales de DSM con direcciones de correo electrónico sospechosas. Si utiliza Synology MailPlus, habilite SPF, DKIM, DMARC, etc. para aumentar la seguridad de la autenticación de correo electrónico.

 

infección de malware

 

Además de instalar Endpoint Protection en sus dispositivos cliente de DSM (PC, Mac, Linux, etc.), asegúrese de que sus firmas y software antivirus y antimalware estén actualizados. Considere instalar y usar Antivirus Essential en DSM y Security Advisor para análisis regulares.

 

Terceros y proveedores de servicios gestionados

 

Consulte los avisos de seguridad y las actualizaciones de seguridad de Synology para los paquetes de terceros instalados.

 

 Para los productos de Synology, siga los avisos de seguridad de Synology para conocer los últimos problemas de vulnerabilidad que afectan a DSM y los paquetes publicados por Synology.

 No recomendamos a los usuarios que instalen paquetes de terceros. Sin embargo, si están instalados, asegúrese de haber actualizado al último parche para sus problemas de vulnerabilidad.

Guía general de mejores prácticas y protección

Asegúrese de que el bloqueo automático, la protección de la cuenta y la autenticación multifactor estén habilitados. Esta configuración de seguridad puede ayudar a mejorar la verificación de identidad de acceso de DSM.

Abre solo los servicios que necesites. Para los servicios que utiliza, puede habilitar el firewall en DSM y configurarlo para que solo permita direcciones IP y puertos específicos.

Cuando conecte DSM a servicios externos como su Cuenta Synology, asegúrese de haber configurado la autenticación multifactor.

Si utiliza DSM como servidor de directorio, esté atento a las actualizaciones de seguridad y los parches para su DSM y sus paquetes.

Supervise su DSM comprobando regularmente el registro de conexión en el Centro de registro. Considere también habilitar File Log Transfer Logs4 para auditar las actividades de los usuarios de DSM a través de File Logs5.

Lista de verificación de respuesta de ransomware

Los primeros tres pasos son cruciales después de un ataque de ransomware:

 

Determine qué sistemas están afectados y aíslelos inmediatamente. Desconecte los dispositivos infectados de su red local.

Si no puede desconectar los dispositivos afectados de la red, apáguelos para detener la infección de ransomware. Sin embargo, si apaga los dispositivos afectados, no puede mantener los artefactos de infección de ransomware y la evidencia potencial en la memoria volátil.

El triaje afecta la recuperación y los sistemas de recuperación. Recupere sus datos mediante tareas de copia de seguridad o instantáneas.

Los siguientes pasos ayudarán a mitigar el impacto del brote de ransomware o lo ayudarán a responder a él:

Recopile información sobre el ataque de ransomware. Consulte con su equipo para desarrollar y documentar una comprensión inicial de lo que sucedió en función del análisis inicial.

El informe de análisis inicial debe incluir:

información del sistema

versión DSM

Lista de servicios utilizados

Lista de paquetes instalados

topología de la red

reglas del cortafuegos

información de ransomware

Una marca de tiempo de cuando se encontró el problema.

¿Qué hizo antes de ponerse en contacto con el Soporte de Ciberpro Informática (p. ej., restaurar datos, restablecer DSM...)?

Las instrucciones de descifrado de archivos

registrar información

Lista de protocolos de archivo utilizados y si se habilitó el registro de transferencia.

Si hubo un comportamiento de inicio de sesión inusual.

Qué cuenta se utilizó en la infracción.

Para obtener soporte de Ciberpro Informática

Genere registros del sistema desde el Centro de ayuda de DSM.

También puede delegar estos registros en Ciberpro Informática.

 

Solicitar la asistencia adecuada y proporcionar los resultados de la investigación. Envíe su primer informe al equipo de soporte de Ciberpro Informática. Además, debe comunicarse con su departamento de TI, proveedor de servicios de seguridad administrados o compañía de seguros cibernéticos.

Consulte con las fuerzas del orden público en busca de posibles descifradores. Es posible que los investigadores de seguridad ya hayan descifrado los algoritmos de cifrado de algunas variantes de ransomware.

Examine las políticas de confianza para esta variante de ransomware en particular y siga los pasos adicionales recomendados para identificar y mitigar los sistemas o redes afectados confirmados.

Identifique los sistemas y cuentas involucrados en la brecha de seguridad inicial. Los clientes de Synology pueden ponerse en contacto con el Soporte de Ciberpro Informática para identificar la causa así como de Synology. Compruebe si este incidente fue causado por ataques de fuerza bruta, parches de paquetes necesarios no instalados o posibles vulnerabilidades del producto.

Reconstruya sistemas basados ​​en una priorización de servicios críticos y use imágenes predeterminadas preconfiguradas siempre que sea posible.

Considere reinstalar DSM. Después de asegurarse de que DSM esté completamente limpio y que todos los paquetes estén actualizados, debe restablecer las contraseñas de la cuenta en DSM6.

Apéndice

Considere crear una lista de contactos de emergencia para responder a incidentes de ransomware. Por ejemplo, la siguiente tabla contiene varias funciones que pueden ayudarlo con la recuperación y la respuesta. Los contactos de emergencia deben incluir información de contacto (servicio las 24 horas cuando sea posible) y aclarar las responsabilidades de cada rol en su equipo de respuesta a incidentes.

Contactos de emergencia

Contacto

Información de contacto (24 * 7)

Roles y responsabilidades

Equipo de TI / seguridad de TI

Aplicación de la ley

Proveedores de servicios

Ciberseguro

 

Anotaciones:

 

Para obtener más información, consulte la Guía de soluciones de copia de seguridad de Synology o consulte con Ciberpro Informática

Si el equipo cliente no admite el cifrado de transporte, configure el cifrado de transporte en modo automático. Tenga en cuenta, sin embargo, que habilitar el cifrado de transporte SMB afecta significativamente el rendimiento de la transferencia de archivos.

Considere habilitar la firma del servidor SMB. Sin embargo, tenga en cuenta que habilitar la firma del servidor SMB afectará gravemente el rendimiento de la transferencia de archivos.

Considere habilitar los protocolos de transporte de registros. Tenga en cuenta, sin embargo, que habilitar los registros de transferencia de protocolo puede afectar el rendimiento de la transferencia.

Synology Log Center admite los protocolos de transferencia SMB, AFP, FTP, WebDAV y File. Si tiene dudas póngase en contacto con Ciberpro Informática . Tenga en cuenta que debe habilitarlos manualmente en las siguientes ubicaciones:

SMB: Panel de control de DSM > Servicios de archivos > SMB/AFP/NFS > SMB > Habilitar servicio SMB > Habilitar protocolo de transferencia

AFP: Panel de control de DSM > Servicios de archivos > SMB/AFP/NFS > AFP > Habilitar servicio AFP > Habilitar protocolo de transferencia

FTP: Panel de control de DSM > Servicios de archivos > FTP > General > Configuración avanzada > Habilitar protocolo de transferencia de archivos FTP

WebDAV: Servidor WebDAV > Configuración > Configuración avanzada > Activar registro WebDAV

File Station: File Station > Configuración > General > Activar registro de File Station

Para obtener más información, consulte Restablecimiento de mi Synology NAS.

 

Configure el servidor VPN de Synology:

Vaya al Centro de paquetes de DSM > Todos los paquetes > Servidor VPN y haga clic en Instalar.

Inicie el servidor VPN.

Elija uno de los siguientes tipos de servicios VPN:1

L2TP/IPSec: proporciona redes privadas virtuales con seguridad mejorada y es compatible con la mayoría de los clientes (p. ej., Windows, Mac, Linux y dispositivos móviles).

OpenVPN: una solución de código abierto para conexiones VPN. Protege las conexiones VPN utilizando el mecanismo de encriptación SSL/TLS.

PPTP: una solución VPN heredada compatible con clientes como dispositivos Windows, Linux y Android.

Configure reglas de reenvío de puertos en el dispositivo NAT (como un enrutador) para reenviar puertos a su Synology NAS. Ver este artículo.2

Configure sus clientes VPN siguiendo las instrucciones de este artículo.

Conecte clientes VPN al servidor VPN y configúrelos en su Synology NAS para acceder a otros dispositivos de red conectados a su red de área local.

Configure una VPN entre instalaciones, cada una con un Synology NAS en dos ubicaciones:

Puede configurar un servidor VPN para cada uno de los dos dispositivos Synology NAS ubicados en ubicaciones diferentes. Las personas en una ubicación pueden establecer conexiones VPN con el servidor VPN configurado en el Synology NAS en la otra ubicación para acceder a los recursos. Sin embargo, el método anterior no se recomienda por las siguientes razones:

 

Limitación técnica: Synology NAS varía según el modelo y tiene un límite en el número máximo de conexiones VPN simultáneas.

Implementación menos eficiente: cada computadora debe configurarse como un cliente VPN.

Cuando configura un túnel VPN de sitio a sitio entre dos ubicaciones, todas las computadoras cliente en ambas redes pueden comunicarse entre sí sin ninguna configuración individual. Los siguientes son los recursos de la solución Site-to-Site VPN de Synology:

 

Synology VPN Plus (solo disponible en Synology Router):

Vaya a la sección VPN de sitio a sitio.

Licencia VPN de sitio a sitio

Synology Router: Comparación de los productos MR2200ac y RT2600ac.

Vídeo guía:

Conecte oficinas remotas con Site-to-Site VPN

Notas:

 

Recomendamos utilizar L2TP/IPSec VPN u OpenVPN, que ofrece mayor seguridad de conexión que PPTP VPN.

Omita este paso si su ISP (Proveedor de servicios de Internet) ha asignado una dirección IP pública a su Synology NAS.

Si tiene cualquier duda póngase en contacto con Ciberpro Informatica por correo o por teléfono para poder brindarle soporte.