Las empresas que se preparan intensamente para un ataque cibernético tienen mucho menos que lidiar con las consecuencias del ataque. Tener un plan de respuesta a incidentes (IR) es muy útil.
La ciberseguridad se centra principalmente en la prevención. Y la mejor manera de hacerlo es aprender de los incidentes. Sin embargo, sucede una y otra vez a las empresas que son atacadas. En tal caso, se trata de minimizar el daño y aprender tanto como sea posible de las experiencias conocidas. Entonces, ¿cuál es la "mejor práctica"?
Mucho se gana con un plan
El equipo de seguridad TI define un plan de reacción ante un ciberataque (Incident Response, IR) que debe hacerse efectivo en caso de brecha de seguridad o ataque. Las siguientes preguntas forman la base para un plan de RI:
- ¿Qué tan grave es el incidente?
- ¿Dónde se encuentran los sistemas críticos y cómo aislarlos?
- ¿Cómo y con quién debe comunicarse?
- ¿A quién contactar y qué acción tomar?
- ¿Qué pasa con las copias de seguridad?
Un plan de RI debe ser simple y directo para que sea fácil de seguir en una situación de alta presión. Manual de incidentes de SANS und der Guía de respuesta a incidentes de Sophos puede ser muy útil al crear un plan.
Solicitar ayuda tras un ciberataque
Antes de intentar restaurar computadoras y sistemas después de un ataque, o incluso negociar un rescate, las empresas deben pedir ayuda. Responder a los ataques requiere habilidades especializadas y la mayoría de las organizaciones no emplean especialistas en respuesta a incidentes.
Un plan incluye los datos de contacto de los proveedores de servicios de IR. Si el ataque se dirige contra servidores y puntos finales, por ejemplo, en un incidente de ransomware, primero se debe contactar al proveedor de seguridad del punto final, especialmente si ofrece un servicio de IR. Es probable que tenga telemetría del entorno afectado y tenga acceso a herramientas precargadas como EDR/XDR para ayudar rápidamente.
Ampliar la ayuda y trabajar con las autoridades
Es aconsejable ponerse en contacto con las agencias locales de aplicación de la ley. Existe una alta probabilidad de que se haya cometido un delito con el incidente y las autoridades correspondientes pueden tener recursos útiles. Por supuesto, el ciberataque también debe ser informado a la compañía de seguros por ciberseguridad, si existe un seguro. Si trabaja con un proveedor de tecnología o un integrador de sistemas, es posible que puedan ayudarlo con la recuperación, por ejemplo, con las copias de seguridad.
Aísle los sistemas rápidamente y contenga los incidentes
El incidente debe aislarse y contenerse lo mejor posible. Esto incluye apagar la energía, desconectar Internet y las redes, el aislamiento basado en software, aplicar reglas de firewall de denegación total y cerrar sistemas críticos. Si hay disponible un controlador de dominio funcional, es importante conservarlo si es posible apagando el servidor y/o desconectándolo de la red. Las copias de seguridad también deben aislarse y desconectarse de la red. Además, se deben cambiar todas las contraseñas sospechosas de estar comprometidas y restablecer las cuentas.
Cuando se utilizan los servicios de respuesta a incidentes, es importante el asesoramiento sobre cómo se pueden volver a poner en funcionamiento los sistemas y conexiones afectados.
Importante: no pagues ningún rescate
Si bien pagar el rescate suena como una salida "fácil", alienta a los delincuentes a cometer más delitos. Además, los días de demandas de rescate moderadas han quedado atrás: el Informe sobre el estado del ransomware 2021 de Sophos muestra que las empresas medianas pagaron un rescate promedio de 147.000 65 euros el año pasado. El estudio de Sophos también descubrió que solo el XNUMX por ciento de los datos cifrados se podían recuperar después de pagar un rescate y, de todos modos, más de un tercio de los datos se perdían.
Además, la situación legal con respecto a los pagos de rescate difiere en todo el mundo. Por lo tanto, es aconsejable informarse sobre las leyes del país (o países) en los que opera una organización.
Conservar la evidencia existente
Con demasiada frecuencia, las víctimas de un ciberataque se preocupan principalmente por restaurar sus sistemas y servicios lo más rápido posible. En el proceso, se pierde mucha información que ayudaría a determinar la causa y comprender el alcance de la brecha de seguridad. Sin embargo, estos pueden indicarle a un equipo de respuesta a incidentes con quién están tratando y qué tácticas suele usar ese grupo. Incluso podría revelar una variedad completamente nueva de ransomware y las tácticas, técnicas y procedimientos (TTP) utilizados.
Almacenar imágenes de sistemas y máquinas virtuales es tan importante como almacenar el malware de forma aislada. En el caso de una revisión judicial de las reclamaciones de seguros, las empresas también pueden presentar evidencia o demostrar a una agencia gubernamental que no han violado las normas de divulgación.
La represalia trae aún más daño
En muchos casos, varios grupos están detrás de un ataque de ransomware. Por ejemplo, con la información de la nota de rescate y los puntos en común en las tácticas, técnicas y procedimientos (TTP), un equipo de respuesta a incidentes experimentado generalmente puede identificar rápidamente con quién está tratando. Se desaconseja encarecidamente intentar tomar represalias, el llamado "hack back". Probablemente es ilegal en primer lugar y solo puede empeorar la situación.
El papel de los ciberseguros
En el caso de un ataque cibernético cubierto por un seguro cibernético, un ajustador de reclamos de la compañía de seguros contratará primero a un abogado externo. Este organiza los recursos internos y externos y coordina las actividades hasta la resolución del incidente.
A la hora de contratar un seguro conviene aclarar previamente qué actividades y qué proveedores especializados están cubiertos en caso de ciberataque. La mayoría de las compañías de seguros cibernéticos aceptan el uso de proveedores de servicios existentes.
Manténgase siempre en contacto
La comunicación a menudo se ve gravemente afectada por los ataques cibernéticos. Los sistemas de correo electrónico pueden estar fuera de línea, las copias electrónicas de las pólizas de seguro o los planes de IR están cifradas y el atacante puede estar monitoreando las comunicaciones. Por ello, es recomendable disponer de un medio de comunicación alternativo, como una aplicación de mensajería instantánea. Con un canal separado, todo el equipo y todos los demás involucrados pueden comunicarse. Los datos de seguros, los planes de RI y los contactos con los especialistas de RI deben mantenerse separados y en formato físico.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.