En un esfuerzo por dar claridad sobre el tema de los ataques dirigidos, hemos publicado una serie de artículos que abordan los diferentes aspectos de un ataque dirigido; lo que es y lo que puede hacer, sus componentes y el impacto que genera en las empresas. Aquí es donde se discuten las contramedidas y qué hacer en caso de un ataque dirigido.
Antes de nada, vamos a recapitular lo que es un ataque dirigido. Un ataque dirigido sucede cuando una compañía específica, o un conjunto de personas de la empresa, son el blanco de cibercriminales en un intento de infiltrarse en su red y robar información. Son por lo general ataques largos y sostenidos que ocurren a menudo sin que los objetivos lo conozcan. Una vez que los criminales tienen acceso a la red de la compañía, buscan mejorar sus accesos para encontrar los datos de destino. Todo este proceso podría tomar meses para llevarlo a cabo teniendo como principal objetivo la exfiltración de datos. Los efectos de un exitoso ataque dirigido incluyen el robo de la propiedad intelectual, interrupción del negocio, pérdida financiera y de la reputación, y la pérdida de información de los clientes.
Cómo defender sus datos de los ataques dirigidos
Clasificación de Datos
Los criminales detrás de los ataques dirigidos pasan una enorme cantidad de tiempo y esfuerzo en busca de datos específicos que puedan robar, vender o utilizar más adelante. La clasificación de los datos es el primer paso para asegurarlos, y el acceso a datos específicos se limita a grupos de trabajo que lo requieran.
Infraestructura para la Protección de Datos y una segmentación de la Red
¿Cómo es que la estructura de la red puede afectar a la seguridad de la información?
Los datos sensibles necesitan ser almacenados en forma separada, donde se requiere una autorización de seguridad especial antes de que se puede acceder a ella. Las empresas pueden utilizar varios niveles de almacenamiento de datos y tenerlos en una red separada o sin conexión a ella. Redes que nos son correctamente configuradas pueden permitir el acceso a toda la infraestructura de datos corporativos.
Dividir la red en segmentos de acuerdo con las funciones es una buena práctica para minimizar el impacto de un ataque dirigido. La segmentación permite una mejor administración de la red y asignación de privilegios a ciertos usuarios. Esto dificulta el movimiento lateral de los criminales, exigiéndoles pasar por más máquinas u obtener mejores privilegios de usuario para pasar de una red a otra.
Mayor conocimiento sobre amenazas
Es muy importante para los empleados, independientemente de su experiencia o área de trabajo, conocer de forma básica las amenazas. Las empresas pueden ofrecer seminarios gratuitos o bien informar a sus empleados acerca de las herramientas que los cibercriminales usan, sus tácticas y procedimientos. También pueden referirse a hechos pasados para mostrar la seriedad de la situación. En última instancia, este conocimiento reduce las posibilidades de error humano.
La empresa también puede crear protocolos en los casos de pérdida o robo de equipos para mejorar la seguridad. Así como tener políticas de TI que incluyan el cambio regular de contraseñas, asegurándose de sean fuertes, y el monitoreo constante por los responsables de TI.
Proteger las cuentas de usuarios
Es muy común que en los lugares de trabajo se den a los empleados sus propias cuentas y acceso a la red. Sin embargo, las cuentas deben estar configuradas para limitar el acceso de los empleados a solo los datos que necesitan. De esta forma tener limitado el número y perfil de usuarios que puedan acceder a los datos sensibles hace más difícil una infiltración en la red.
Análisis de Logs
Si bien es muy difícil saber si un ataque se está llevando a cabo, la presencia de los atacantes se revela cuando se lleva a cabo una comprobación y análisis de registros de forma sistemática. Al trabajar con la información y la gestión de eventos de seguridad (SIEM) o con un administrador de grupos de eventos de seguridad (SEM), las empresas son capaces de ver patrones en el movimiento lateral y crear contramedidas para la amenaza.
Para las empresas o industrias que protegen datos sensibles y que se sabe que son los objetivos de los cibercriminales, saber cómo responder a los ataques dirigidos es una necesidad. La respuesta a incidentes se puede resumir en cuatro pasos:
Preparar – Contar con un plan contra un ataque dirigido antes de que suceda. Esto incluye contar con la inteligencia de amenazas, saber hacer frente a las amenazas comunes, identificar amenazas anormales y aprender nuevas técnicas para mejorar la respuesta antes las amenazas.
Responder – Una vez que se identifica un ataque, la acción rápida es necesaria. Esto se refiere a la contención de la amenaza y la eliminación, evaluación de daños y el monitoreo continuo de la actividad de la red.
Restaurar – La empresa debe restablecer sus operaciones en dos frentes. Internamente, se debe volver a las actividades regulares después de responder a la amenaza. Externamente, la empresa debe hablar a sus socios y clientes para comunicar el alcance de los daños causados por el ataque, así como proporcionar medidas para mitigar los posibles daños.
Aprender – Las empresas deben aprender de sus experiencias. Cada incidente puede arrojar más luz sobre una posible situación futura, lo que funcionó y lo que no funcionó e incluso, se puede identificar qué se puede mejorar. Esta información puede ser vital a la hora de responder ante futuras amenazas.
Publicado en ataques cibernéticos, ataques dirigidos
Leave a Reply