¿Cómo puedo evitar
ataques de ransomware en mi dispositivo Synology?
Algunos artículos se han
traducido automáticamente del inglés y pueden contener inexactitudes o errores
gramaticales. Si este artículo actualmente solo está disponible en inglés, es
posible que la traducción esté lista pronto.
objetivo
Los ataques de ransomware
se están convirtiendo en una amenaza creciente para las empresas y los usuarios
domésticos. Este artículo cubre las mejores prácticas de prevención de
ransomware específicas para los productos de Synology.
Las pautas a continuación
se basan en la guía de ransomware preparada por la Agencia de Infraestructura y
Seguridad Cibernética (CISA) y el Centro de Análisis e Intercambio de
Información Multiestatal (MS-ISAC).
Mejores prácticas de
prevención de ransomware
preparándose
Los usuarios deben
mantener una copia de seguridad fuera de línea encriptada de sus datos y
verificar regularmente si su copia de seguridad se puede restaurar. Asegúrese
de que su plan de copia de seguridad siga correctamente el principio 3-2-1 de
copia de seguridad y descanso-copia de seguridad1. Establezca metas de tiempo y
punto de recuperación para cada plataforma y realice pruebas periódicas de
recuperación ante desastres.
Establecer planes básicos
de respuesta a incidentes cibernéticos y planes de comunicación relacionados.
Por ejemplo, cree una lista de contactos de emergencia y asigne
responsabilidades a cada función (consulte el Apéndice). Estos planes deben
contar con procedimientos de notificación después de que ocurra un incidente de
ransomware. Probar regularmente dichos planes para asegurarse de que está
preparado para incidentes de ransomware.
Vectores comunes de infección de ransomware
Vulnerabilidades y malas
configuraciones en Internet
Solo exponga DSM a Internet cuando sea
necesario.
Si necesita acceder a
servicios de archivos a través de Internet, se recomienda utilizar una VPN para
conectarse a su dispositivo Synology (consulte el tutorial ).
Si necesita acceder al servicio de archivos
SMB directamente a través de Internet sin usar una VPN, configure el Modo de
cifrado de transporte en Aplicar para mejorar la seguridad2.
Habilite la firma del servidor SMB si su
dispositivo Synology actúa como un controlador de dominio con el paquete
Synology Directory Server3.
Si necesita abrir su DSM para acceder a
Internet, solo abra los puertos necesarios para sus servicios. Consulte ¿Qué
puertos de red utilizan los servicios de Synology? para más información
correo electrónico de
phishing
Cuidado con el phishing
malicioso. No comparta sus credenciales de DSM con direcciones de correo
electrónico sospechosas. Si utiliza Synology MailPlus, habilite SPF, DKIM,
DMARC, etc. para aumentar la seguridad de la autenticación de correo
electrónico.
infección de malware
Además de instalar
Endpoint Protection en sus dispositivos cliente de DSM (PC, Mac, Linux, etc.),
asegúrese de que sus firmas y software antivirus y antimalware estén
actualizados. Considere instalar y usar Antivirus Essential en DSM y Security
Advisor para análisis regulares.
Terceros y proveedores de
servicios gestionados
Consulte los avisos de
seguridad y las actualizaciones de seguridad de Synology para los paquetes de
terceros instalados.
Para los productos de Synology, siga los
avisos de seguridad de Synology para conocer los últimos problemas de
vulnerabilidad que afectan a DSM y los paquetes publicados por Synology.
No recomendamos a los usuarios que instalen
paquetes de terceros. Sin embargo, si están instalados, asegúrese de haber
actualizado al último parche para sus problemas de vulnerabilidad.
Guía general de mejores prácticas y protección
Asegúrese de que el
bloqueo automático, la protección de la cuenta y la autenticación multifactor
estén habilitados. Esta configuración de seguridad puede ayudar a mejorar la
verificación de identidad de acceso de DSM.
Abre solo los servicios
que necesites. Para los servicios que utiliza, puede habilitar el firewall en
DSM y configurarlo para que solo permita direcciones IP y puertos específicos.
Cuando conecte DSM a
servicios externos como su Cuenta Synology, asegúrese de haber configurado la
autenticación multifactor.
Si utiliza DSM como
servidor de directorio, esté atento a las actualizaciones de seguridad y los
parches para su DSM y sus paquetes.
Supervise su DSM
comprobando regularmente el registro de conexión en el Centro de registro.
Considere también habilitar File Log Transfer Logs4 para auditar las
actividades de los usuarios de DSM a través de File Logs5.
Lista de verificación de
respuesta de ransomware
Los primeros tres pasos
son cruciales después de un ataque de ransomware:
Determine qué sistemas
están afectados y aíslelos inmediatamente. Desconecte los dispositivos
infectados de su red local.
Si no puede desconectar
los dispositivos afectados de la red, apáguelos para detener la infección de
ransomware. Sin embargo, si apaga los dispositivos afectados, no puede mantener
los artefactos de infección de ransomware y la evidencia potencial en la
memoria volátil.
El triaje afecta la
recuperación y los sistemas de recuperación. Recupere sus datos mediante tareas
de copia de seguridad o instantáneas.
Los siguientes pasos
ayudarán a mitigar el impacto del brote de ransomware o lo ayudarán a responder
a él:
Recopile información
sobre el ataque de ransomware. Consulte con su equipo para desarrollar y
documentar una comprensión inicial de lo que sucedió en función del análisis
inicial.
El informe de análisis
inicial debe incluir:
información del sistema
versión DSM
Lista de servicios
utilizados
Lista de paquetes
instalados
topología de la red
reglas del cortafuegos
información de ransomware
Una marca de tiempo de
cuando se encontró el problema.
¿Qué hizo antes de
ponerse en contacto con el Soporte de Ciberpro Informática (p. ej., restaurar
datos, restablecer DSM...)?
Las instrucciones de
descifrado de archivos
registrar información
Lista de protocolos de
archivo utilizados y si se habilitó el registro de transferencia.
Si hubo un comportamiento
de inicio de sesión inusual.
Qué cuenta se utilizó en
la infracción.
Para obtener soporte de
Ciberpro Informática
Genere registros del
sistema desde el Centro de ayuda de DSM.
También puede delegar
estos registros en Ciberpro Informática.
Solicitar la asistencia
adecuada y proporcionar los resultados de la investigación. Envíe su primer
informe al equipo de soporte de Ciberpro Informática. Además, debe comunicarse
con su departamento de TI, proveedor de servicios de seguridad administrados o
compañía de seguros cibernéticos.
Consulte con las fuerzas
del orden público en busca de posibles descifradores. Es posible que los
investigadores de seguridad ya hayan descifrado los algoritmos de cifrado de
algunas variantes de ransomware.
Examine las políticas de
confianza para esta variante de ransomware en particular y siga los pasos
adicionales recomendados para identificar y mitigar los sistemas o redes
afectados confirmados.
Identifique los sistemas
y cuentas involucrados en la brecha de seguridad inicial. Los clientes de
Synology pueden ponerse en contacto con el Soporte de Ciberpro Informática para
identificar la causa así como de Synology. Compruebe si este incidente fue
causado por ataques de fuerza bruta, parches de paquetes necesarios no
instalados o posibles vulnerabilidades del producto.
Reconstruya sistemas
basados en una priorización de
servicios críticos y use imágenes predeterminadas preconfiguradas siempre que
sea posible.
Considere reinstalar DSM.
Después de asegurarse de que DSM esté completamente limpio y que todos los
paquetes estén actualizados, debe restablecer las contraseñas de la cuenta en
DSM6.
Apéndice
Considere crear una lista
de contactos de emergencia para responder a incidentes de ransomware. Por
ejemplo, la siguiente tabla contiene varias funciones que pueden ayudarlo con
la recuperación y la respuesta. Los contactos de emergencia deben incluir
información de contacto (servicio las 24 horas cuando sea posible) y aclarar
las responsabilidades de cada rol en su equipo de respuesta a incidentes.
Contactos de
emergencia
Contacto |
Información de contacto (24 * 7) |
Roles y responsabilidades |
Equipo de TI / seguridad de TI |
||
Aplicación de la ley |
||
Proveedores de servicios |
||
Ciberseguro |
Anotaciones:
Para
obtener más información, consulte la Guía de soluciones de copia de seguridad
de Synology o consulte con Ciberpro Informática
Si
el equipo cliente no admite el cifrado de transporte, configure el cifrado de
transporte en modo automático. Tenga en cuenta, sin embargo, que habilitar el cifrado
de transporte SMB afecta significativamente el rendimiento de la transferencia
de archivos.
Considere
habilitar la firma del servidor SMB. Sin embargo, tenga en cuenta que habilitar
la firma del servidor SMB afectará gravemente el rendimiento de la transferencia
de archivos.
Considere
habilitar los protocolos de transporte de registros. Tenga en cuenta, sin
embargo, que habilitar los registros de transferencia de protocolo puede
afectar el rendimiento de la transferencia.
Synology
Log Center admite los protocolos de transferencia SMB, AFP, FTP, WebDAV y File.
Si tiene dudas póngase en contacto con Ciberpro Informática . Tenga en cuenta
que debe habilitarlos manualmente en las siguientes ubicaciones:
SMB:
Panel de control de DSM > Servicios de archivos > SMB/AFP/NFS > SMB
> Habilitar servicio SMB > Habilitar protocolo de transferencia
AFP:
Panel de control de DSM > Servicios de archivos > SMB/AFP/NFS > AFP
> Habilitar servicio AFP > Habilitar protocolo de transferencia
FTP:
Panel de control de DSM > Servicios de archivos > FTP > General >
Configuración avanzada > Habilitar protocolo de transferencia de archivos
FTP
WebDAV:
Servidor WebDAV > Configuración > Configuración avanzada > Activar
registro WebDAV
File
Station: File Station > Configuración > General > Activar registro de
File Station
Para
obtener más información, consulte Restablecimiento de mi Synology NAS.
Configure el servidor VPN de Synology:
Vaya
al Centro de paquetes de DSM > Todos los paquetes > Servidor VPN y haga
clic en Instalar.
Inicie
el servidor VPN.
Elija
uno de los siguientes tipos de servicios VPN:1
L2TP/IPSec:
proporciona redes privadas virtuales con seguridad mejorada y es compatible con
la mayoría de los clientes (p. ej., Windows, Mac, Linux y dispositivos
móviles).
OpenVPN:
una solución de código abierto para conexiones VPN. Protege las conexiones VPN
utilizando el mecanismo de encriptación SSL/TLS.
PPTP:
una solución VPN heredada compatible con clientes como dispositivos Windows,
Linux y Android.
Configure
reglas de reenvío de puertos en el dispositivo NAT (como un enrutador) para
reenviar puertos a su Synology NAS. Ver este artículo.2
Configure
sus clientes VPN siguiendo las instrucciones de este artículo.
Conecte
clientes VPN al servidor VPN y configúrelos en su Synology NAS para acceder a
otros dispositivos de red conectados a su red de área local.
Configure
una VPN entre instalaciones, cada una con un Synology NAS en dos ubicaciones:
Puede
configurar un servidor VPN para cada uno de los dos dispositivos Synology NAS
ubicados en ubicaciones diferentes. Las personas en una ubicación pueden
establecer conexiones VPN con el servidor VPN configurado en el Synology NAS en
la otra ubicación para acceder a los recursos. Sin embargo, el método anterior
no se recomienda por las siguientes razones:
Limitación
técnica: Synology NAS varía según el modelo y tiene un límite en el número
máximo de conexiones VPN simultáneas.
Implementación
menos eficiente: cada computadora debe configurarse como un cliente VPN.
Cuando
configura un túnel VPN de sitio a sitio entre dos ubicaciones, todas las
computadoras cliente en ambas redes pueden comunicarse entre sí sin ninguna
configuración individual. Los siguientes son los recursos de la solución
Site-to-Site VPN de Synology:
Synology
VPN Plus (solo disponible en Synology Router):
Vaya
a la sección VPN de sitio a sitio.
Licencia
VPN de sitio a sitio
Synology
Router: Comparación de los productos MR2200ac y RT2600ac.
Vídeo
guía:
Conecte
oficinas remotas con Site-to-Site VPN
Notas:
Recomendamos
utilizar L2TP/IPSec VPN u OpenVPN, que ofrece mayor seguridad de conexión que
PPTP VPN.
Omita
este paso si su ISP (Proveedor de servicios de Internet) ha asignado una
dirección IP pública a su Synology NAS.
Si
tiene cualquier duda póngase en contacto con Ciberpro Informatica por correo o
por teléfono para poder brindarle soporte.