2.10.17

Prevención de ataques sofisticados: consejos de un consultor de incidentes del mundo real

Recientemente Robin Jackson, consultor principal de CrowdStrike,  realizó un webcast titulado "Cyber Extortion: Digital Shakedowns and How to Stop Them, en el que discutió los tipos de crímenes digitales que están ocurriendo y lo que las organizaciones deben hacer si son atacados, incluyendo específicamente estrategias avanzadas de prevención.

Jackson centra gran parte de su discusión en lo que las organizaciones pueden hacer para protegerse mejor, ofreciendo una serie de consejos que permitan ayudar a prevenir un ataque:
  • Establecer un entrenamiento consistente - Como Jackson lo define, "No vivimos en un entorno en el que simplemente se puede dar click en documentos no solicitados que no han sido examinados y verificados". A pesar de la frecuencia con la que los empleados son advertidos de no hacerlo, especialmente con enlaces desconocidos y archivos adjuntos , estos métodos siguen funcionando con efectividad para los agresores. Es importante que las organizaciones se aseguren de mantener una vigilancia y capacitación continua para el personal al interior. 
  • Estar al tanto de la actividad personal en Internet - Las organizaciones necesitan conocer las actividades personales de los usuarios en la red. Jackson enfatizó: "La gente necesita ser consciente de que especialmente en Internet, al ser parte de una empresa tienen que ser muy cuidadosos para que no se conviertan en el blanco de una amenaza de extorsión, especialmente funcionarios, financieros, el área de administración y los que desempeñan papeles similares ".
  • Verificar los intentos de extorsión - Jackson compartió que la extorsión es un crimen de bajo perfil ya que las víctimas a menudo se sienten avergonzadas. Una forma de extorsión es intimidar con ataques de DOS y QOS (denegación de servicio y calidad de servicio), en donde los perpetradores pueden amenazar con una gran irrupción del servicio. En estos casos, Jackson sugiere que las víctimas primero traten de averiguar si su atacante es realmente capaz de lanzar un ataque tan masivo. "En un caso reciente que investigamos, descubrimos que el atacante en realidad sólo era capaz de derribar alrededor de 16 Gb por segundo, mucho menos de lo que estaban amenazando", aseguró.
  • Realizar ejercicios de rutina - Hacer ejercicios en el mundo real antes de enfrentarse a un ataque dañino hace que las organizaciones sean más capaces de prevenir una.  De acuerdo con Jackson: "Los ejercicios de rutina pueden darte una idea de dónde necesita poner un Snort (software de detección de intrusiones de red) o un dispositivo, o dónde necesita poner un SIEM para que sus registros estén siendo reconocidos adecuadamente".
  • Realizar pruebas de prevención - De forma regular, es necesario que alguien analice a su red como si un atacante lo hiciera. encontrando aplicaciones específicas para detectar vulnerabilidades e intentar acceder agresivamente al sistema.
  • Distribuir sus copias de seguridad - Las organizaciones necesitan tener copias de seguridad en su lugar, pero no pueden estar en su sistema porque se enumerarán cuando el ransomware empiece a cifrar. Jackson asegura que: "Una de las primeras cosas que hace un atacante es buscar sus copias de seguridad, por lo que necesita ser riguroso acerca de la separación de la conexión de red entre sus copias de seguridad y la organización".
  • Cifrar sus datos - Sus datos confidenciales deben ser cifrados, tanto en reposo como en movimiento. Jackson también aboga por mantener algunos datos fuera de su red por completo. "Algunos datos no deben permanecer en ninguna parte en donde un actor pueda llegar a ella - las empresas necesitan organizar sus datos y ser conscientes de que cualquier cosa en una red es accesible con privilegios elevados", señaló.
  • Garantizar la mejor instrumentación - Jackson señaló que la instrumentación adecuada le permite ver lo que está sucediendo en su red más allá de la simple búsqueda de malware. Reiteró que cada vez más, los agresores están usando ataques sin archivos, libres de malware, que las soluciones anti-malware y AV estándar no pueden detectar. Soluciones como la plataforma CrowdStrike Falcon® usan nuevos sistemas de protección.
  • Crear un plan de comunicaciones - Si su organización es atacada, debe estar lista para los medios de comunicación, incluyendo la identificación de un portavoz y tener un plan de comunicaciones en su compañía. Explicó: "Ya se trate de extorsión o rescate, el momento equivocado para encontrar a la persona que lo ayude está en medio de un incidente".
  • Póngase en contacto con la policía - Si encuentra que sus datos han sido extraídos exitosamente, es importante ponerse en contacto con la policía. Jackson indicó que incluso si no tienen éxito en la búsqueda de los autores en su caso, su cooperación con ellos va a contribuir con su capacidad para encontrar y enjuiciar a los ciberdelincuentes que amenazan a todas las organizaciones.

Robin Jackson tiene una amplia experiencia investigando a algunos de los principales y más prolíficos actores de amenazas en la actualidad. Asimismo,  ha realizado investigaciones de seguridad para varias organizaciones y está bien documentado sobre el tipo de crímenes digitales que pueden vulnerar a las organizaciones. Como miembro del equipo de servicios profesionales de CrowdStrike, trabaja con los equipos de Respuesta a Incidentes y Equipos de Falcon Intelligence ™.