La crisis en Ucrania ya ha demostrado ser un catalizador para una actividad cibernética agresiva adicional que probablemente aumentará a medida que la situación se deteriore, no limitándose en el futuro a objetivos ucranianos o al sector público.
Con las operaciones militares rusas actualmente en curso en Ucrania, de manera paralela se están registrando ataques destructivos derivados también de una guerra cibernética, centradas esencialmente en este país, pero que está incidiendo en una gran preocupación en muchas empresas y administraciones del resto de ámbitos geográficos.
Para afrontar esta precupación, desde Ibermática han elaborado “una lista de verificación de preparación cibernética” para ayudar a las organizaciones a anticiparse a posibles ciberataques. Si bien muchas de estas sugerencias son protocolos estándar de higiene cibernética y mejores prácticas, recordar lo básico nunca está de más, especialmente cuando hay tantas otras preocupaciones.
Y es que de la misma manera que el lavado de manos ayuda en la lucha contra la Covid-19, las acciones simples también pueden contribuir en gran medida a luchar contra las amenazas cibernéticas. Éstas son las recomendaciones clave que resalta la compañía tecnológica:
- Parches: Asegúrate de que todos los sistemas estén completamente parcheados y actualizados.
- Bases de datos de amenazas actualizadas: Asegúrate de que tus herramientas de seguridad tengan las bases de datos más recientes.
- Copia de seguridad: Crea o actualiza copias de seguridad sin conexión para todos los sistemas críticos.
- Phishing: Lleva a cabo capacitaciones y simulacros de concientización sobre el phishing.
- Acotar: Busca proactivamente atacantes en tu red utilizando los TTP (Tácticas, Técnicas y Procedimiento) conocidos de los actores de amenazas cibernéticas rusos.
- Emular: Prueba tus defensas para asegurarte de que pueden detectar los TTP conocidos de los actores de amenazas rusos.
- Respuesta: Prueba tu respuesta a incidentes contra escenarios ficticios del mundo real.
- Manténgase al día: Suscríbete a fuentes de inteligencia de ciberamenazas como las que tienen disponibles los proveedores TI en sus SOC (Security Operations Center).
Acciones detalladas frente a ciberataques
- Parches: Los actores de amenazas a menudo se dirigen a vulnerabilidades sin parchear en la red de una víctima. Como resultado, la primera línea de defensa siempre debe ser la administración de parches y la ejecución de sistemas completamente parcheados. Para las organizaciones interesadas en centrarse en vulnerabilidades específicas, se debe contar con una lista de CVEs que en el pasado fueran utilizados por los actores de amenazas rusos. *(CVE) es una lista de vulnerabilidades y exposiciones de seguridad de la información. Pero el mejor enfoque es simplemente centrarse en estar al día todo el tiempo. Hay que recordar que la aplicación de parches es importante no solo para estaciones de trabajo y servidores, sino también para productos de seguridad y redes.
- Base de datos de medidas contra amenazas de ciberseguridad: Los sistemas crean continuamente nuevas reglas de detección, firmas y modelos de comportamiento para las amenazas que se descubren en nuestro extenso marco de inteligencia de amenazas. Estos se propagan rápidamente a todos los elementos que se controlan desde el SOC. Hay que asegurarse de que todas las bases de datos de protección se actualicen periódicamente.
- Copia de seguridad de sistemas críticos: Muchos ataques vienen en forma de ransomware o malware. La mejor defensa contra la destrucción de datos por parte de dicho malware es mantener las copias de seguridad actualizadas. Es igualmente importante que estas copias de seguridad se mantengan OFF LINE ya que el malware a menudo intenta encontrar servidores de copia de seguridad para destruir las mismas. La crisis actual es una buena oportunidad para comprobar si realmente existen copias de seguridad y ejecutar ejercicios de recuperación con el equipo de TI.
- Phishing: Los ataques de phishing siguen siendo los puntos de entrada más comunes para los atacantes. Ahora es un buen momento para ejecutar una campaña de concientización sobre el phishing para aumentar la conciencia de todos en su organización y para asegurarse de que sepan cómo reconocer y denunciar correos electrónicos maliciosos.
- Acotar: La triste verdad es que, si tu organización juega algún tipo de papel en este conflicto, entonces los adversarios ya pueden estar en tu red. Ejecutar compromisos de búsqueda de amenazas puede ser vital para detectar adversarios antes de que instalen spyware o causen una destrucción grave. Para la búsqueda de amenazas, puede utilizar las tácticas, técnicas y procedimientos (TTP).
- Emular: Los TTP también se pueden usar para evaluar si su infraestructura de seguridad puede detectarlos. La ejecución de ejercicios de emulación puede descubrir problemas de configuración y puntos ciegos que los atacantes podrían aprovechar para moverse por su red sin ser detectados.
- Respuesta: Una respuesta rápida y organizada a los incidentes será crucial cuando se descubra un compromiso. Ahora es una buena oportunidad para revisar los procedimientos para responder a un incidente, incluidas las estrategias de recuperación ante desastres y continuidad del negocio. Si tienes tu propio equipo de respuesta a incidentes, puedes ejecutar ejercicios o escenarios ficticios para asegurarte de que todo funcione sin problemas en caso de que ocurra un compromiso.
- Mantenerse al día: es crucial que las acciones enumeradas aquí no se realicen una sola vez. Mantenerse actualizado y parcheado, monitorear vulnerabilidades y mantener el conocimiento de las amenazas son acciones que deben realizarse continuamente.
Me interesa
- 5 claves para mantener a salvo los datos corporativos
- 6 propuestas para responder a los retos de ciberseguridad de las pymes españolas
- 4 pasos para proteger la información estratégica
- 10 tendencias de ciberseguridad en 2022
- 3 prácticas de ciberseguridad que las empresas están adoptando en 2022