Para enfrentarse a un ciberataque de gran envergadura se requiere de una habilidad especializada y, afortunadamente, no es algo que la mayoría de los equipos de TI tengan que abordar en su día a día. Si ocurre lo peor, es una buena idea contratar a especialistas en ciberseguridad para que ayuden a neutralizar y limpiar el ataque.
Responder a un ciberataque crítico puede ser increíblemente estresante. Si bien nada puede aliviar por completo el estrés de lidiar con un ataque, tener un plan de respuesta a incidentes efectivo es una forma segura de minimizar el impacto. Saber de antemano a quién contactar para obtener asistencia especializada en ciberseguridad acelerará la respuesta y reducirá los costes financieros y operativos del incidente.
Nuestra investigación muestra que el 90% de las organizaciones tienen algún tipo de plan de respuesta a incidentes. Si añades ahora Sophos Rapid Response al tuyo, no perderás tiempo tratando de identificar un proveedor en medio del ataque.
Si aún no has considerado utilizar un servicio de respuesta a incidentes, estas tres situaciones recientes en las que Sophos Rapid Response tuvo que intervenir pueden incitarte a mantener el número de teléfono de un experto en la marcación rápida.
1. Modificar los sistemas TI aumenta el riesgo
Muchas empresas experimentaron un cambio significativo para adaptarse a la pandemia de COVID-19 y a los nuevos modelos de trabajo remoto. Para una empresa de medios de tamaño medio que trabaja las 24 horas del día, los 7 días de la semana, trasladar una red air-gapped a estar en línea cambió su nivel de riesgo, dejándola inadvertidamente expuesta a ataques.
Los atacantes lanzaron ransomware unas horas después, a las 4 AM, hora local. Durante las siguientes cuatro horas, el equipo de TI del objetivo y Sophos Rapid Response se enfrascaron en un combate en vivo con los adversarios humanos que orquestaban el ataque.
El ataque finalmente fracasó, pero no antes de que los atacantes cifraran los datos en dispositivos desprotegidos, borraran las copias de seguridad en línea y diezmaran un dominio en línea y sin defensa.
2. Estás siendo observado
Muchas organizaciones carecen de la visibilidad de su red que les permite reconocer a un adversario al acecho, como fue el caso del ataque de ransomware a Colonial Pipeline.
Muchos de los operadores de ransomware actuales prefieren operar con total sigilo hasta que llega el momento de liberar su carga útil final, a menudo durante el tiempo de inactividad de la empresa. Según el Active Adversary Playbook 2021 de Sophos, el tiempo medio en que un atacante permanece observando es de 11 días, y algunas empresas tienen atacantes en su red durante seis meses o más.
Asimismo, en medio de un ataque, es necesario establecer un método de comunicación para garantizar una respuesta rápida que debe tener en cuenta la posibilidad de que los canales normales de comunicación (es decir, el correo electrónico corporativo) se vean afectados por un incidente. Querrás hablar con la gente sobre lo que está sucediendo, pero es posible que los atacantes estén escuchando a escondidas, así que no uses los canales habituales de comunicación. Si los intrusos han estado en tu red durante un tiempo, probablemente tendrán acceso al correo electrónico, por ejemplo.
3. La educación del usuario es clave
En el caso de un ataque a un centro de investigación de ciencias que involucraba el ransomware Ryuk, los estudiantes usaron sus ordenadores personales para acceder a la red. Esto dejó al instituto expuesto en el momento en que uno de esos estudiantes universitarios externos decidió que quería una copia personal de una herramienta de software de visualización de datos que ya estaban usando para el trabajo. Para evitar comprar software, buscaron una versión “crackeada” y en su lugar descargaron un ladrón de información malicioso que puso en marcha el ataque de ransomware.
En este caso, la implementación de controles de acceso y autenticación de red robustos, combinada con la educación del usuario final, podría haber evitado que ocurriera este ataque. Sirve como un poderoso recordatorio de lo importante que es tener los conceptos básicos de seguridad correctos.
Conclusión
Dispón de un plan de respuesta a incidentes eficaz y actualízalo según sea necesario. Si crees que no tienes las habilidades o los recursos para hacer esto, para monitorear amenazas o responder a incidentes de emergencia, considera recurrir a expertos externos en busca de ayuda.
Recuerda que es posible que no puedas utilizar los canales habituales de comunicación durante un incidente. Planifica con anticipación asegurándote de que los contactos clave (incluidos los expertos externos) estén detallados dentro de tu plan de respuesta y asegúrate de que puedes acceder al plan sin conexión.
Si está experimentando un incidente activo, el servicio Sophos Rapid Response puede ayudarte a salir rápidamente de un ciberataque. Nuestro equipo de expertos en respuesta a incidentes está disponible las 24 horas del día, los 7 días de la semana, los 365 días del año para ayudar a cualquier organización que experimente un ataque activo.
Dejar un comentario