8 de diciembre de 2016

MuyComputerPRO

Cómo detener los ataques dirigidos siguiéndoles la pista con un Equipo de Respuesta ante Incidentes

Cómo detener los ataques dirigidos siguiéndoles la pista con un Equipo de Respuesta ante Incidentes

Cómo detener los ataques dirigidos siguiéndoles la pista con un Equipo de Respuesta ante Incidentes
octubre 04
14:20 2014

7419840396_d8f8167680_z

Lo emocionante y a la vez aterrador del trabajo de la industria de ciberseguridad es la velocidad a la que las amenazas evolucionan. Parece que fue ayer cuando estábamos hablando de los brotes de gusanos a gran escala como Conficker y Storm. Millones de equipos corporativos y personales se vieron infectados y estas campañas de ataque no sólo cosecharon muchos titulares, también causaron una importante cantidad de interrupciones. Pero esto ha incrementado, empeorando incluso, y provocando que se requiera una respuesta muy diferente por parte de toda la organización, tal y como explica Jon Clay, director de marketing senior de Trend Micro.

Los ataques dirigidos vieron la luz por primera vez de forma importante cuando Google anunció en enero de 2010 que ella, y docenas de otras empresas, habían sido víctimas de una gran campaña a largo plazo destinada al robo de datos. Después de esta campaña, conocida como “Operación Aurora”, los equipos de investigación de las empresas de seguridad, entre los que se incluyen TrendLabs, han sido testigos de una creciente avalancha de ataques similares en todo el mundo.

Ataques Dirigidos

Se trata de un tipo de amenaza diferente a la que se solía combatir. Su objetivo es infiltrarse en una red de forma sigilosa, quizás a través de un enlace malicioso o un archivo adjunto en un correo electrónico de phishing. Una vez dentro, el malware, que a menudo aprovecha una vulnerabilidad conocida, se mueve escalando privilegios lateralmente hasta que encuentra lo que está buscando. Las técnicas para ocultarse hacen que el atacante sea capaz de permanecer escondido durante largos períodos de tiempo en los que extrae información sensible, como datos de clientes, IP, operaciones secretas, etc.

No se equivoquen, las herramientas para lanzar estos ataques ya no necesitan tener detrás una buena financiación, entre los autores que las promueven están los Gobiernos. Los ataques dirigidos están en su máximo auge en el mundo clandestino cibernético y organizaciones de todos los tamaños están en riesgo.

Respuesta coordinada

Ante esta situación ¿qué hacer para luchar contra esto? Bien, las organizaciones tienen que cambiar su forma de pensar. Ya no se trata de defender el perímetro de la red a toda costa. Los administradores de TI deben asumir que ya se han visto comprometidos, incluso si la actividad maliciosa no ha sido detectada. Partiendo de este punto, se pueden configurar las redes para mejorar la detección de actividades inusuales, tales como “callbaks” que devuelven la comunicación que se hace a un servidor C&C y esconden malware. La clasificación de datos es también un paso vital en la protección de las ‘joyas de la corona” de la organización, los datos que sean de mayor interés a atacantes.

Pero más allá de eso, un equipo de respuesta a incidentes debe ser como un control crítico que cada empresa ha de implementar. Para ayudar con algunas ideas sobre dónde y cómo empezar, Trend Micro ha elaborado una guía práctica que se encuentra disponible de forma gratuita. Bajo el título: “La empresa contraataca (parte III): creando un equipo de respuesta ante incidentes” (“Enterprise Fights Back (Part III): Building an Incident Response Team”), este documento incluye consejos, asesoría y buenas prácticas sobre los riesgos a los que se enfrentan las organizaciones ante los ataques dirigidos; explica por qué los equipos de respuesta a incidentes son tan importantes y cómo poner uno en marcha.

Estos equipos deben ser capaces de entrar en acción cuando se sospeche de un ataque, permitiendo que el resto del departamento de TI pueda centrarse en esfuerzos operativos. Deben llegar a la raíz de la causa de un presunto ataque, hacer frente a las cuestiones jurídicas y de cumplimiento que puedan plantearse y notificar al cliente.

A continuación, Trend Micro avanza algunos tips de esta guía para ayudarle en el comienzo:

  • Asegúrese de que el equipo está formado por expertos de toda la organización, incluyendo técnicos, inteligencia de amenazas, recursos humanos, legal, comunicación y gestión directiva.
  • Los roles y responsabilidades deben ser documentados y derivados a cada miembro.
  • Cada miembro debe recibir formación adecuada.
  • Durante un ataque el equipo debe realizar un seguimiento de la investigación y mantener a los directivos actualizados.
  • No espere hasta que se produzca una brecha, forme un equipo ahora para que esté listo cuando se produzca un ataque. Recuerde, no se trata de “si”, sino de “cuándo”.

Imagen: Free Press

About Author

Redacción

Redacción

Articulos relacionados

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!