Recursos
Cómo detener los ataques dirigidos siguiéndoles la pista con un Equipo de Respuesta ante Incidentes
Lo emocionante y a la vez aterrador del trabajo de la industria de ciberseguridad es la velocidad a la que las amenazas evolucionan. Parece que fue ayer cuando estábamos hablando de los brotes de gusanos a gran escala como Conficker y Storm. Millones de equipos corporativos y personales se vieron infectados y estas campañas de ataque no sólo cosecharon muchos titulares, también causaron una importante cantidad de interrupciones. Pero esto ha incrementado, empeorando incluso, y provocando que se requiera una respuesta muy diferente por parte de toda la organización, tal y como explica Jon Clay, director de marketing senior de Trend Micro.
Los ataques dirigidos vieron la luz por primera vez de forma importante cuando Google anunció en enero de 2010 que ella, y docenas de otras empresas, habían sido víctimas de una gran campaña a largo plazo destinada al robo de datos. Después de esta campaña, conocida como “Operación Aurora”, los equipos de investigación de las empresas de seguridad, entre los que se incluyen TrendLabs, han sido testigos de una creciente avalancha de ataques similares en todo el mundo.
Ataques Dirigidos
Se trata de un tipo de amenaza diferente a la que se solía combatir. Su objetivo es infiltrarse en una red de forma sigilosa, quizás a través de un enlace malicioso o un archivo adjunto en un correo electrónico de phishing. Una vez dentro, el malware, que a menudo aprovecha una vulnerabilidad conocida, se mueve escalando privilegios lateralmente hasta que encuentra lo que está buscando. Las técnicas para ocultarse hacen que el atacante sea capaz de permanecer escondido durante largos períodos de tiempo en los que extrae información sensible, como datos de clientes, IP, operaciones secretas, etc.
No se equivoquen, las herramientas para lanzar estos ataques ya no necesitan tener detrás una buena financiación, entre los autores que las promueven están los Gobiernos. Los ataques dirigidos están en su máximo auge en el mundo clandestino cibernético y organizaciones de todos los tamaños están en riesgo.
Respuesta coordinada
Ante esta situación ¿qué hacer para luchar contra esto? Bien, las organizaciones tienen que cambiar su forma de pensar. Ya no se trata de defender el perímetro de la red a toda costa. Los administradores de TI deben asumir que ya se han visto comprometidos, incluso si la actividad maliciosa no ha sido detectada. Partiendo de este punto, se pueden configurar las redes para mejorar la detección de actividades inusuales, tales como “callbaks” que devuelven la comunicación que se hace a un servidor C&C y esconden malware. La clasificación de datos es también un paso vital en la protección de las ‘joyas de la corona” de la organización, los datos que sean de mayor interés a atacantes.
Pero más allá de eso, un equipo de respuesta a incidentes debe ser como un control crítico que cada empresa ha de implementar. Para ayudar con algunas ideas sobre dónde y cómo empezar, Trend Micro ha elaborado una guía práctica que se encuentra disponible de forma gratuita. Bajo el título: “La empresa contraataca (parte III): creando un equipo de respuesta ante incidentes” (“Enterprise Fights Back (Part III): Building an Incident Response Team”), este documento incluye consejos, asesoría y buenas prácticas sobre los riesgos a los que se enfrentan las organizaciones ante los ataques dirigidos; explica por qué los equipos de respuesta a incidentes son tan importantes y cómo poner uno en marcha.
Estos equipos deben ser capaces de entrar en acción cuando se sospeche de un ataque, permitiendo que el resto del departamento de TI pueda centrarse en esfuerzos operativos. Deben llegar a la raíz de la causa de un presunto ataque, hacer frente a las cuestiones jurídicas y de cumplimiento que puedan plantearse y notificar al cliente.
A continuación, Trend Micro avanza algunos tips de esta guía para ayudarle en el comienzo:
- Asegúrese de que el equipo está formado por expertos de toda la organización, incluyendo técnicos, inteligencia de amenazas, recursos humanos, legal, comunicación y gestión directiva.
- Los roles y responsabilidades deben ser documentados y derivados a cada miembro.
- Cada miembro debe recibir formación adecuada.
- Durante un ataque el equipo debe realizar un seguimiento de la investigación y mantener a los directivos actualizados.
- No espere hasta que se produzca una brecha, forme un equipo ahora para que esté listo cuando se produzca un ataque. Recuerde, no se trata de “si”, sino de “cuándo”.
Imagen: Free Press
Baidu calienta el sector de la IA con la presentación de dos nuevos modelos
Los PCs con IA que se utilizarán en las empresas en 2028 serán el 94% del total
La IA no reemplazará a los programadores, asegura el CEO de IBM
Aumento de identidades de las máquinas, adopción de IA e innovaciones cloud aumentan la vulnerabilidad
KIOXIA anuncia las SSD LC9 con 123 TB para aplicaciones de IA
GTC 2025, llegan las novedades de NVIDIA
«El código abierto será clave en el futuro digital de Europa»
OpenAI va a lanzar GPT 4.5 con GPT 5 casi a punto, y Microsoft está listo para ambos
«La ciberseguridad no es sólo una cuestión de TI, es una prioridad empresarial»
Intel y TSMC, cuando la fuerza exige la unión
SAP y Databricks dan paso a una nueva era más audaz de datos e IA
Upskilling y Reskilling: Claves para el futuro del talento IT y la competitividad empresarial
Baidu calienta el sector de la IA con la presentación de dos nuevos modelos
Western Digital confirma su estrategia en el Investor Day 2025
OpenText Summit Madrid 2025: reimagina la gestión de la información para liderar la transformación digital
Red Hat en MWC25: IA, 6G, Open RAN
SAP y Databricks dan paso a una nueva era más audaz de datos e IA
«El código abierto será clave en el futuro digital de Europa»
-
NoticiasHace 5 díasCrece el robo de cuentas en organizaciones y empresas
-
EntrevistasHace 7 días«Más que únicos, nos gusta definirnos como atípicos»
-
NoticiasHace 6 díasExpertos de Red Hat y Sener analizarán las claves de arquitecturas sostenibles para IA en el MCPro Data Innovation Forum
-
NoticiasHace 3 díasLa botnet Ballista ataca los routers TP-Link