La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA, por sus siglas en inglés) de Estados Unidos recién publicó un Aviso de Ciberseguridad (CSA, por sus siglas en inglés) en conjunto con otros países para alertar a los proveedores de servicios administrados (MSP, por sus siglas en inglés) sobre el creciente peligro de los ciberataques. El aviso advierte que los delincuentes —incluidos los grupos patrocinados por el estado— podrían explotar a los MSP vulnerables para obtener acceso a los datos de sus clientes y de sus procesos de negocio.
Al respecto, Jens Bothe, supervisor de estatus de seguridad TI, responsable del software STORM SOAR y vicepresidente de Seguridad de la Información en OTRS Group, afirmó: “en la actualidad, no sólo se trata de la creciente cantidad de incidentes de seguridad en varias áreas de consumo, sino también de un mayor número de ataques al software y las cadenas de suministro de TI. Más recientemente, comenzó desde la vulnerabilidad Log4Shell hasta las explotaciones de día cero (Día 0) en algunos proveedores de TI. Los atacantes están aprovechando las vulnerabilidades dentro de la cadena de suministro, sin dirigir sus ataques directamente a compañías específicas, sino buscando ocasionar daño a través de la proliferación y reutilización de componentes de software ampliamente utilizados”.
Reducir el daño frente a los ataques
Para prepararse ante esta creciente situación de amenazas, es importante que los MSP y las compañías —tal como lo recomienda el CSA— revisen y eleven sus precauciones de seguridad. Al hacerlo, es importante no enfocarse únicamente en evitar el peligro, sino también en preparar la medidas necesarias en caso de que se presente un incidente de seguridad y contar con los sistemas adecuados para poder actuar rápidamente en caso de un ciberataque. Esto evita un caos innecesario en una situación de crisis y disminuye el daño causado. La gestión sistemática de incidentes de seguridad prepara a las compañía y sus empleados de la mejor manera posible para manejar los incidentes de seguridad.
Los procesos automatizados ayudan a los equipos de incidentes de seguridad a responder de forma óptima ante los incidentes. La base para manejar los incidentes de seguridad es crear un plan en el que se definan las tareas y las responsabilidades. En un plan de respuesta ante incidentes, todas las acciones necesarias y las responsabilidades se definen claramente. Las siguientes etapas son recomendables para cumplir con ese propósito:
- #1 Preparación: Proporcionar procesos y herramientas de gestión de incidentes
Con base en las mejores prácticas demostradas, todas las etapas importantes se definen con una herramienta adecuada. Así, en caso de un incidente de seguridad, la información necesaria para responder se puede recopilar en poco tiempo. La comunicación entre todas las partes involucradas y la información de contacto estarán listas. - #2 Análisis e identificación: Decidir si ha ocurrido un incidente de seguridad
Analizar los datos de los sistemas de gestión de registros, los IDS/IPS y los sistemas de intercambio de amenazas, así como los registros del firewall y la actividad de red, ayudan a clasificar los incidentes de seguridad. Una vez que se identifica una amenaza, se debe documentar y comunicar conforme a las políticas establecidas. - #3 Contención: Contener la propagación y evitar mayores daños
Decidir qué estrategia utilizar es lo más importante. La duda principal es cuál vulnerabilidad permitió la intrusión. La mitigación rápida, como aislar un segmento de la red, es el primer paso en muchos incidentes, después del cual se conduce un análisis forense para fines de evaluación. - #4 Erradicación: Cerrar los vacíos de seguridad y eliminar el malware
Una vez contenida la posible amenaza, es necesario encontrar la causa raíz del incidente de seguridad. Para lograrlo, se debe eliminar el malware de manera segura, parchar los sistemas, aplicar actualizaciones del software en caso de ser necesario. Por consiguiente, los sistemas deben actualizarse con los parches más recientes y asignarles contraseñas que cumplan los requisitos de seguridad. - #5 Recuperación: Reactivar los sistemas y los dispositivos
Para reestablecer la operación normal del sistema, se deben conducir revisiones constantes para asegurar que todos los sistemas operen conforme a lo esperado. Esto se logra por medio de procesos de prueba y supervisión a lo largo de un periodo prolongado. En esta etapa, el equipo de respuesta ante incidentes determina cuándo se reestablecerán las operaciones y si los sistemas infectados se han limpiado por completo. - #6 Lecciones aprendidas: Explicar qué funcionó y qué no funcionó
Después de la Etapa 5, se debe organizar una reunión de cierre con todas las partes involucradas. Aquí, es de suma importancia aclarar las dudas y cerrar el incidente de seguridad. Ya que, con la información obtenida a partir de dicho intercambio, se pueden identificar y definir mejoras para prevenir y abordar de forma más efectiva incidentes futuros.