1.
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
AWSWebinar Series Latinoamérica
Nicolás Bonillo – nbonillo@amazon.com
Solutions Architect
Protección contra Ransomware

2.
¿Cómo interactuar durante el evento?
¿Tiene un proyecto y
necesita ayuda de
nuestro equipo
comercial?
Acceda al LIVE CHAT
con este QR code o con
el enlace enviado en el
chat del evento.
Preguntas y respuestas en
vivo durante todo el evento
¡Haga sus preguntas
directamente a los expertos
de AWS!
Haga clic en el signo "?"
y envíe sus preguntas.

3.
¿Qué es el ransomware?

4.
¿Qué es el Ransomware?
El ransomware está diseñado por cibercriminales para obtener acceso no autorizado a
sistemas y datos, y cifrar esos datos para bloquear el acceso de sus usuarios legítimos.
Luego, se exige el pago de un rescate para obtener una clave que permita
desbloquear los sistemas y descifrar los datos.
En teoría, si el rescate se paga dentro del tiempo asignado, los datos de las víctimas
se recuperan. Sin embargo, si no se paga el rescate, las organizaciones se arriesgan a
la pérdida permanente de sus datos.
Hay una nueva tendencia que muestra que algunos ransomware buscan también
exponer los datos de la víctima, para venderlos por separado, o liberarlos
públicamente.

5.
Tipos de ransomware
No cifra archivos; bloquea a la víctima fuera de su dispositivo,
impidiéndoles usarlo. Una vez bloqueados, los ciberdelincuentes
exigen un rescate para desbloquear el dispositivo.
Locker Ransomware
Crypto Ransomware
Cifra archivos valiosos en un ordenador para que el usuario no
pueda acceder a ellos; los atacantes ganan dinero exigiendo que
las víctimas paguen un rescate para recuperar sus archivos.
En algunos casos también realiza copias de los datos para
amenazar con publicarlos

6.
¿Por qué el ransomware tiene éxito?
Falta de patching, o demoras muy grandes para parchear los sistemas
• En ambientes OT: Windows XP en consolas de monitoreo de PLCs
Mala administración de los privilegios de acceso, lo que resulta en credenciales
demasiado permisivas o credenciales comprometidas
La conciencia de seguridad entre los empleados es baja
No se realizan copias de seguridad de los datos, o no se prueban los procesos de
backup y restore
Los servicios de ataques de ransomware se han popularizado y son fáciles de contratar
(Dark Web - CaaS)
Se dispone de poco personal técnico calificado, el mismo depende de procesos
manuales

7.
Ciclo de vida de un Incidente de Ransomware
Acceso Inicial Consolidación y
Preparación
Impacto en el
objetivo
Obtención de
Credenciales
Exploit de
Vulnerabilidad
Malware
Control
Movimiento
Lateral
Escalamiento de
Privilegios
Filtración
de Datos
Destrucción de
Backups
Encripción de
de Datos
• MFA, Password Managers
• Patching, Allow-listing de aplicaciones
• Secure Development Practices / WAF
• Evitar exponer servicios innecesarios
• Logging y alertas
• Principio de mínimo privilegio
• Segmentación de redes
• MFA
• Logging y alertas
• Backups aislados y protegidos
• Allow-listing de aplicaciones
• Logging y alertas

8.
¿Como puede AWS ayudar a protegerse en
ambientes On-Premises?

9.
Utilizar un Framework de Seguridad

10.
Alinearse con un marco de seguridad estandarizado
NIST - Cybersecurity Framework
https://aws.amazon.com/es/compliance/nist/
https://d1.awsstatic.com/whitepapers/Security/ransomware-risk-management-on-aws-using-csf.pdf

11.
Escanear
Parchear
Identificar Proteger Detectar Responder Recuperar
Analizar
Remediar
Amazon
Inspector
AWS IAM
Access
analyzer
AWS
Firewall
Manager
AWS
Security Hub
AWS
WAF
Amazon
GuardDuty
AWS Secrets
Manager
CloudEndure
Disaster
Recovery
AWS
Backup
AWS Storage
Gateway
Virtual
tape
library
Tape
gateway
Volume
gateway
File
gatewa
y
AWS
Systems
Manager
Patch
Manager
AWS
Config
AWS IAM
IAM Policies
&
Permissions
Amazon
EC2 Auto
Scaling
Disaster Recovery del On-Prem
CloudEndure
Disaster Recovery
Delegar tareas en servicios
manejados por AWS
AWS
Lambda
Utilizar servicios de AWS para mitigar ransomware

12.
Disaster Recovery

13.
RPO & RTO
Desastre
Punto de
Recuperación (RPO)
Pérdida de datos
Tiempo de
Recuperación (RTO)
Tiempo de inactividad
Tiempo

14.
Plan de recuperación
Backup y
Restauración Luz piloto
Warm standby en
AWS
Hot standby
(con multi-sitio)
 Casos de uso de menor
prioridad
 Aproveche la
infraestructura de
respaldo existente
 Cumplir con los requisitos
más bajos de RTO y RPO
 Infraestructura mínima en
el sitio objetivo
 Escale los recursos deAWS
en respuesta a un evento
DR
 Soluciones que
requieren RTO y RPO en
minutos
 Servicios críticos de
negocios
 Conmutación
automática de su
entorno en AWS
RPO/RTO:
Horas
RPO/RTO: 10s
de Minutos
RPO/RTO:
Minutos
RPO/RTO:
Tiempo real

15.
Implementación en días
¿Se necesitan correcciones?
InstalarAgentes
Comienza la
replicación hacia
una zona de staging
Probar los Servidores
Destino
Tests de aceptación
Configurar Blueprints
Definir la configuración
de los servidores de
destino
Identificar el ambiente
Servidores y redes,
dimensionar
correctamente las
instancias
Failover
Lanzar
servidores en
AWS. Redirigir
clientes.
RECUPERACION
Mantener Sincronización
Monitoreo Continuo
CONFIGURACION
Failback
Replicación inversa
OPERACION
ASSESSMENT

16.
Cómo funciona CloudEndure Disaster Recovery
• Replicación continua de cualquier aplicación o base de datos desde cualquier origen hacia AWS
• Impacto en el negocio: reducción del TCO asociado a DR. Mejora del RPO/RTO

17.
¿Como se pueden proteger las cargas en
la nube de AWS?

18.
Modelo de Responsabilidad Compartida
AWS
Seguridad DE la
nube
AWS es responsable por proteger
la infraestructura donde se
ejecutan los servicios
Seguridad EN la
nube
La responsabilidad del cliente va a
depender de que tipo de servicios
elija
Cliente

19.
Servicios de
infraestructura
Servicios
encapsulados
Servicios
abstractos
Tipos de servicios
Modelo de responsabilidad compartida

20.
Gestión del SO (parches, hardening, antimalware*)
Gestión de la BD (parches, hardening)
Respaldos de BD
Escalabilidad
Alta disponibilidad
Instalaciones para BD
Crecimiento elástico
Modelo de responsabilidad compartida
Ejemplo: bases de datos
Servicios de
infraestructura
EC2 Seguridad física – Procesos de seguridad
Electricidad, enfriamento
Montaje en racks - red
Mantenimiento de servidores
Instalación del SO
Control de acceso
* Requerido Por PCI-DSS

21.
Gestión del SO (parches, hardening, antimalware*)
Gestión de la BD (parches, hardening)
Respaldos de BD
Escalabilidad
Alta disponibilidad
Instalaciones para BD
Crecimiento elástico
Modelo de responsabilidad compartida
Ejemplo: bases de datos
Seguridad física – Procesos de seguridad
Electricidad, enfriamento
Montaje en racks - red
Mantenimiento de servidores
Servicios
encapsulados
RDS
Instalación del SO
Control de acceso
* Requerido Por PCI-DSS
Gestión del SO (parches, hardening, antimalware*)
Gestión de la BD (parches, hardening)
Respaldos de BD
Escalabilidad
Alta disponibilidad
Instalaciones para BD
Operaciones Configuración

22.
Crecimiento elástico
Modelo de responsabilidad compartida
Ejemplo: bases de datos
Seguridad física – Procesos de seguridad
Electricidad, enfriamento
Montaje en racks - red
Mantenimiento de servidores
Instalación del SO
Servicios
abstractos
DynamoDB
Crecimiento elástico
Control de acceso
* Requerido Por PCI-DSS
Gestión del SO (parches, hardening, antimalware*)
Gestión de la BD (parches, hardening)
Respaldos de BD
Escalabilidad
Alta disponibilidad
Instalaciones para BD

23.
Patching y Hardening

24.
Comience con una
imagen de origen
Personalice
software y
configuraciones
Imagen segura con
modelos de
protección
personalizada para
AWS
Pruebe la imagen
con pruebas
personalizadas o
las proporcionadas
por AWS
Distribuya la imagen
"golden" a las
regiones de AWS
seleccionadas
Todas las operaciones de EC2 Image Builder se
ejecutan en su cuenta de AWS
EC2 Image Builder – como funciona
Fábrica de Golden images
Repita cuando haya
actualizaciones pendientes

25.
“Patch” @Cloud
Tradicional
Amazon Linux
Instance
RHEL
Instance
Ubuntu
Instance
Windows
Instance
Patch Manager
AWS Systems Manager

26.
“Patch” @Cloud
DBs
RDS
Bases de datos
transaccionales
Responsabilidad del cloud vendor 
Amazon Redshift
(Data warehouse)
Amazon Neptune
Amazon DocumentDB
Amazon DynamoDB
(NoSQL)

27.
“Patch” @Cloud
Ejemplo apps / environments
Auto Scaling group (desired: 4 instancias)
Linux-App
Instance
Linux-App
Instance
Linux-App
Instance
Linux-App
Instance
Linux-App-v2
Instance
Testers
AMI
(template)
Linux-App-v2
Instance
Linux-App-v2
Instance
Linux-App-v2
Instance
Linux-App-v2
Instance Amazon
EC2 Image Builder

28.
Hardening de SO y configuración de aplicaciones
Benchmarks disponibles Multiplataforma
https://github.com/aws-samples/deploy-cis-level-1-hardened-ami-with-ec2-image-builder-pipeline
Automatizar hardening en Pipeline

29.
Reducir Privilegios

30.
Administrar
fácilmente
cuentas y roles
de AWS a
escala
Administración
Sencilla
SSO desde la línea
de comandos (CLI)
CLI
Una única
experiencia de login
para sus
aplicaciones en la
nube
Un inicio
de sesión
Traiga sus
identidades, o
créelas de
manera nativa
Proveedor de
Identidades Propio
Integración de
Aplicaciones
Integración nativa
con múltiples
servicios
Acceso Federado

31.
Utilizar el mínimo privilegio en IAM

32.
Utilizar Service Control Policies (SCPs)
Permite controlar qué APIs de servicios de AWS son accesibles
 Defina la lista de APIs permitidas – allowlisting
 Defina la lista de APIs que deben bloquearse – denylisting
Las SCPs son:
 Invisibles para todos los usuarios de una cuenta hija
 Aplicadas a todos los usuarios de una cuenta hija
Permisos resultantes:
 Son la intersección entre SCPs y permisos de IAM
 Compatibles con IAM Policy Simulator

33.
Segmentación de Redes y Cuentas

34.
Establecer una estructura multi cuentas

35.
Utilizar AmazonVPCs
Segmentar lasVPCs en componentes aislados,
ya sea utilizando security groups o network
access control lists (ACL), de modo tal que sólo
pase el tráfico estrictamente necesario.
Esto reduce la posibilidad de que el ransomware
se propague indiscriminadamente entre
distintos ambientes.

36.
Mantener a las personas lejos de los datos

37.
Session Manager : Acceso seguro y auditable a sus nodos de cómputo
Solución unificada para acceso a nodos Linux
y Windows
Habilita procesos seguros de investigación y
remediación ante emergencias
Elimina la necesidad de utilizar bastion hosts,
excepciones de firewall y administrar llaves
SSH.
Control de acceso centralizado via IAM
Permite loguear detalladamente la sesión a
través de CloudWatch, S3 y/o CloudTrail.
Utilizar AWS Systems Manager Session Manager

38.
Automatizar un runbook para acceso de emergencia
Amazon
EC2
AWS Systems
Manager
CloudWatch –
Session Manager
log group
CloudTrail
Amazon S3 –
Session Manager
logging bucket
Usuarios
de Session
Manager
IAM
Consola de
Administración
AWS CLI
HTTPS
Audit logs
Audit logs
API calls
Authenticacion
Sin acceso SSH en
PROD
Sin puertos SSH
abiertos
Sesiones logueadas
en CloudTrail
Acceso interactivo
ante emergencias
sólo a través de SSM
Session Manager

39.
Logging y monitoreo centralizado

40.
Logging y monitoreo: consideraciones
Habilitar logs en Cloudtrail para eventos de management (lectura y escritura)
Habilitar validación de integridad y encripción de logs en CloudTrail
Habilitar servicios de seguridad de AWS, incluyendo CloudTrail y GuardDuty, de la
mano de Organizations
Centralizar CloudTrail en una cuenta de Log archive con acceso restringido
Loguear eventos de datos para Lambda y buckets de S3
Logs a nivel de host
ELB access logs

41.
Utilizar servicios de seguridad de AWS para monitoreo
Partners para identificar hallazgos
Acciones de
Remediación
Hallazgos
Partners para tomar
acciones
Y muchos otros...
AWS
CloudWatch
Events
Amazon Detective
AWS Security Hub

42.
Respuesta a incidentes

43.
Detección
Alerta
Remediación
Mitigación
Investigación
Amazon
GuardDuty
Amazon
Macie
CloudTrail
AWS Security Hub Amazon
CloudWatch
Config AWS WAF
AWS Step
Functions
Team
collaboration
(Slack etc.)
AWS APIs
AWS Systems
Manager
AWS Lambda
Systems administration
Respuesta
Amazon
Inspector
Servicios de Seguridad
Servicios de Perímetro
AWS Shield
Partners
Servicios de Management
PHD
Trusted
Advisor
Soporte
Desarrollar y ejercitar un plan de respuesta a incidentes

44.
Realizar auto-evaluaciones
Estas evaluaciones de seguridad surgen de los proyectos
open source “Prowler” y “ScoutSuite.” Incluyen módulos
personalizados que verifican hallazgos específicos de
ransomware.
AWS Security Hub

45.
or
1. Todos los hallazgos se
envían automáticamente a
eventos de CloudWatch, y
2. Un usuario de Security
Hub puede seleccionar los
hallazgos en la consola y
tomar acciones
personalizadas. Estos
hallazgos se identifican con
un action ID personalizable.
3. Un usuario crea reglas de Amazon
CloudWatch Events para observar los
hallazgos que estén identificados con
ese action ID.
4. La regla define un
objetivo. Típicamente
una función lambda,
una step function o
documento de
automatización.
5. El objetivo puede ser un
chat, creación de ticket,
plataforma SOAR,
playbook de remediación,
etc.
or
Documento de
Automatización
AWS Step Functions
Función
Lambda
Regla
Amazon
CloudWatch
Evento
AWS Security
Hub
Remediación
Personalizada
Automatizar guardrails de seguridad y respuestas

46.
Recursos adicionales

47.
Recursos Adicionales
AWSWhitepaper:
Ransomware Risk Management on AWS Using the NIST Cyber Security
Framework (CSF)
AWS Security Blog:
Ransomware mitigation:Top 5 protections and recovery preparation
actions

48.
¡Gracias!
Manténgase informado
sobre las próximas
sesiones
¡Accede a la
programación del
webinar con este código
QR y regístrese!
QR CODE
Cuéntenos qué opina
del seminario web
Haga clic en “salir” para
responder a una
encuesta de
satisfacción rápida