[27/05/2021] Una vez producida una filtración, querrá identificar a qué y cómo accedieron los atacantes a los datos.Esta información ayuda a identificar si necesita notificar a los usuarios que sus datos han sido filtrados, y ayuda a aprender cómo protegerse del próximo ataque.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Primero, asegúrese de tener los recursos y preparativos necesarios para investigar. La mayoría de las veces, el proceso de identificar cómo un atacante ingresó a la red se basa en evidencia y análisis de la línea de tiempo. Saber cuál es la mejor forma de manejar la evidencia y tener un plan antes de que ocurra una intrusión es clave para manejar adecuadamente la investigación. La Unidad de Ciberseguridad del Departamento de Justicia de los Estados Unidos cuenta con varios recursos que ayudan a planificar futuros eventos.
Esta lista de verificación de tareas facilitará la respuesta a una filtración de datos o limitará su daño:
Cree un plan de comunicaciones
Disponga de planes para comunicar a la dirección las posibles amenazas y riesgos para la organización, y herramientas y planes para contrarrestar las amenazas. Reúnase con regularidad para discutir los riesgos y las reacciones. Distinga los activos clave de la empresa, e identifique qué procesos de protección está realizando para protegerlos.
Luego, tenga un plan de acción en caso ocurra una filtración. Identifique medios de comunicación alternativos con números de teléfono y direcciones de correo electrónico de respaldo que no formen parte del correo o infraestructura corporativa, pues el correo de su empresa puede verse afectado o ser hackeado durante la intrusión.
Establezca un punto de contacto con la policía local de manera anticipada. Dependiendo del tamaño de su empresa, esto puede ser fácil de hacer, o puede que deba buscar orientación de su proveedor de ciberseguro.
Conserve las copias de seguridad externas de los archivos de registro de acceso y seguridad
A menudo, la forma en que un atacante obtiene acceso a una red se encuentra buscando en los archivos de registro; por lo tanto, almacene copias de respaldo de archivos de registro de acceso y seguridad de manera externa, ya que tienden a ser sobrescritas rápidamente.
Tenga los controles de acceso adecuados en su lugar
Documente los procesos para el onboarding y offboarding de sus empleados hacia y desde sus recursos de red, asegurando que los permisos y el acceso se establezcan o eliminen correctamente. Capacite a los empleados sobre los procedimientos adecuados para el manejo de contraseñas, tanto para el acceso a la red como para diversas aplicaciones. Asegúrese de que nadie deje contraseñas en texto sin formato en los repositorios de archivos.
Limite el acceso remoto
Muchas de las metodologías que utilizan los atacantes para obtener acceso a la red se basan en las técnicas de acceso remoto de las mismas organizaciones que sufren la filtración. Debido a que una empresa las ha utilizado durante años, es probable que las contraseñas de acceso hayan sido recopiladas y compartidas en foros, o se hayan vendido en línea. Recientemente se informó que los nombres de usuario y contraseñas de más de "1,3 millones de servidores de escritorio remoto de Windows actuales e históricamente comprometidos han sido filtrados por UAS, el mercado de hacking más grande para credenciales RDP robadas”.
Una vez que los atacantes obtienen acceso a través del Protocolo de escritorio remoto (RDP), pueden realizar movimientos laterales dentro de la red, especialmente si obtienen una contraseña administrativa. La base de datos de UAS mostró que muchos servidores usaban credenciales inseguras y fáciles de adivinar, y muchas veces el software de terceros instalaba credenciales y contraseñas de acceso remoto predeterminadas que los atacantes podían usar.
Existen varias formas de contrarrestar el riesgo de que el acceso remoto se vea comprometido. Primero, se puede limitar el escritorio remoto a direcciones IP específicas como medida inicial de protección. Luego, puede configurar el Escritorio remoto para que pase a través de la Puerta de enlace de Escritorio remoto como autenticación adicional, así como usar herramientas como Duo.com para proporcionar autenticación de dos factores. En pocas palabras, no debería haber ninguna razón para exponer el escritorio remoto a nada externo.
Mantenga parchada su VPN
Otro medio que utilizan los atacantes para obtener acceso remoto es utilizar vulnerabilidades en software de acceso externo, tales como redes privadas virtuales (VPN). Las vulnerabilidades en el servidor Pulse Secure VPN fueron utilizadas recientemente en ataques. Se colocaron Webshells en el dispositivo Pulse Connect Secure para un mayor acceso y persistencia.
Revise el nivel de parchado de cualquier software VPN conectado a su red. Si los parches no están actualizados en sus VPNs, está poniendo en riesgo su red.
Parchar el software VPN, especialmente cuando está instalado en máquinas remotas, puede ser problemático. Muchas empresas están recurriendo a herramientas en la nube como Intune para controlar y actualizar mejor las máquinas. Si usa software VPN de terceros, revise sus opciones de parchado e implementación con el proveedor. Siempre asegúrese de que su personal de parchado se haya registrado para recibir notificaciones de actualización de software del proveedor.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú