El conflicto en Ucrania trae consigo la posibilidad de un aumento de los ataques cibernéticos dirigidos a la infraestructura pública de las naciones de la OTAN y sus aliados, y también podría extenderse fácilmente a corporaciones y otras entidades dentro de esos países.
La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) de EE. UU. ha brindado orientación técnica y métodos de informes en https://www.cisa.gov/shields-up, que es un recurso excelente para todas las organizaciones. Aunque la mayoría de las empresas se dan cuenta de que los ataques cibernéticos son un hecho de vida, y que siempre están siendo el objetivo de los ciberdelincuentes e incluso de los actores del estado nación, este desarrollo puede conducir a cambios en el panorama de amenazas que aumentarán las apuestas considerablemente.
Las siguientes recomendaciones tienen el objetivo de sugerir acciones prácticas y relativamente fáciles de realizar que las empresas podrían tomar de inmediato, en función de la madurez general de su programa de seguridad existente. No todas las empresas tienen las mismas capacidades de seguridad.
Si tiene un programa de seguridad limitado
• Copias de seguridad – Si su negocio se ve comprometido y atacado con malware de limpieza o ransomware, tener acceso a estas copias de seguridad puede ser la diferencia entre poder recuperarse eventualmente o no poder recuperar el negocio en absoluto.Comience priorizando los archivos críticos que son exclusivos de su negocio y necesarios para reconstruir las operaciones comerciales regulares. Continúe con el siguiente nivel de datos más críticos difíciles de reemplazar.
• Superficie de amenaza – Comience por identificar los bordes de sus entornos y asegúrese de que los enrutadores, conmutadores y firewalls tengan los niveles de parches más recientes disponibles de sus proveedores.Después haga lo mismo con los servidores de correo, servidores de aplicaciones y servidores web.Finalmente, observe sus pilas de tecnología, si no puede actualizar, identifique qué componentes están desactualizados le dará un mapa de los lugares a los que los atacantes intentarán obtener acceso.
• Control de Cambios y Monitoreo de Integridad – Monitorear los cambios no autorizados en sus sistemas principales, lo que se puede lograr con muchas herramientas gratuitas que a menudo se incluyen con los sistemas operativos. Asegúrese de monitorear específicamente los directorios temporales y otras áreas de escritura mundial.
• La supervisión y las métricas que ya tenga – Como el espacio en disco, el uso de la CPU, la utilización de la red y estadísticas similares, se pueden aprovechar como un medio simple para detectar actividades anómalas.
• Lluvia de ideas – Es una excelente manera de identificar sus puntos débiles y descubrir dónde puede fallar su respuesta. Elabore planes aproximados para incidentes como: Ransomware, DDoS, Malware/wiper, compromiso de la aplicación web y fugas de datos.
• Aprovechar los servicios gestionados cuando corresponda – Si tiene acceso a un presupuesto adicional para prepararse para posibles ataques a corto plazo, considere identificar proveedores que puedan proporcionar ofertas “administradas como servicio” para filtrar el tráfico web y bloquear DDoS. Estos se pueden poner en línea rápidamente y se pueden utilizar con gran efecto.
• Escaneo externo de activos orientados a Internet – Para mejorar aún más su superficie de amenazas, realice o compre un escaneo externo, para detectar puertos abiertos anómalos y comprender mejor su entorno. Se puede hacer a través servicios de escaneo o manualmente usando herramientas estándar y un VPS ubicado en un proveedor de la nube.
• Manténgase al día con las firmas y las políticas – Asegúrese de que las herramientas de detección y prevención que tenga en los bordes de su red utilicen firmas y políticas actualizadas, y asegúrese de que estas políticas estén en modo de “cumplimiento” cuando sea posible.
• Reforzar el acceso a nivel de servidor/servicio – Existe una gran cantidad de tecnologías que pueden ayudar a mitigar un compromiso al evitar la ejecución de datos o al bloquear el acceso a recursos que una aplicación comprometida normalmente nunca debería solicitar.
• Reforzar el acceso a nivel de acceso a la cuenta – Mediante la implementación de algún tipo de MFA y requisitos de contraseña segura para sistemas críticos como mínimo. Elimine los derechos administrativos de las cuentas de usuario normales y exija el uso de cuentas sin privilegios para los administradores en el uso diario. Cuando se trata de credenciales comprometidas, es fundamental contar con múltiples capas de control, detección y prevención.. El phishing es un método de ataque muy eficaz y casi siempre funciona.
• Revisar permisos, ACL y políticas de acceso – Casi todos los entornos tienen servicios o cuentas que tienen más permisos de los que estrictamente necesitan para hacer su trabajo, y revisarlos y ajustarlos siguiendo una política de “privilegios mínimos” es una de las mejores formas de limitar el daño que puede causar un ataque exitoso.
• Monitoreo extendido – Supervise el tráfico de red entrante y saliente y restrinja el tráfico entrante y saliente solo a los puertos autorizados cuando sea posible. Considere el uso de proxies para restringir el acceso saliente y detectar el comportamiento de teléfono en casa del malware. Aplique cualquier lista de filtros que sus proveedores puedan proporcionar para detectar comunicaciones C&C (Command & Control) y otras actividades sospechosas.
• Protección de terminales – El compromiso de los dispositivos de los empleados, como computadoras portátiles y teléfonos inteligentes, con frecuencia puede permitir que los atacantes se infiltren más profundamente en el entorno. Como tal, recomendamos asegurarse de que las firmas antivirus y de protección de punto final estén actualizadas y configuradas con políticas sólidas.
Si tiene un programa de seguridad robusto y sofisticado:
• Asegúrese de que los registros y las alertas se manejen rápidamente y que su SOC cuente con suficiente personal – No tiene mucho sentido tener un excelente registro y monitoreo si nadie está mirando los registros de manera oportuna. Póngase en contacto con sus proveedores de SIEM para averiguar si tienen firmas o búsquedas específicas que sean aplicables en la situación actual.
• Búsqueda de amenazas – El hecho desafortunado del asunto es que es posible que atacantes sofisticados ya hayan comprometido su red. Cazarlos, usar indicadores actualizados de compromiso y monitorear continuamente la actividad anómala, puede permitirle identificar actores hostiles en su entorno. Redobla tus esfuerzos en este espacio.
• Equipo rojo/azul/morado – Si tiene la suerte de tener capacidades de Red Teaming, deberían estar rastreando las fuentes de inteligencia de amenazas (tanto las fuentes compradas como el análisis, así como las muchas fuentes de código abierto) para permitirles imitar el comportamiento del atacante y probar sus defensas.
• Usar trampas y engaños – Una excelente manera de detectar y bloquear a los atacantes. Los ejemplos incluyen la configuración de servidores trampa que parecen ser parte de su infraestructura pero que, de hecho, son trampas altamente instrumentadas para actividades hostiles, o colocar datos tentadores pero falsos en servidores accesibles y monitorear quién accede a ellos. Esta es una táctica muy libre y dinámica, pero puede ser muy fructífera si se hace con cuidado.
“A pesar de la evidente preocupación por las actividades patrocinadas por el estado, es importante comprender que muchos ciberdelincuentes están utilizando esta situación como una oportunidad para extender e intensificar sus propios ataques. Muchas bandas de ciberdelincuentes se han declarado leales a uno u otro lado de este conflicto. Muy a menudo, el malware de última generación y los mecanismos de entrega surgen del subsuelo de los ciberdelincuentes. No hay una solución única. Múltiples capas de controles, excelente conciencia situacional y monitoreo, y lo más importante, una perspectiva de “asumir incumplimiento” y una amplia recuperación ante desastres y planificación de respuesta a incidentes son los pilares de la defensa”, señaló Gail Coury, CISO, F5
