16 mar 2015

5 pasos a seguir tras una infección en la empresa

A medida que las compañías actuales se establecen más y más en la tendencia de sostener su negocio sobre la base de activos digitales, la seguridad informática se torna un factor aún más crítico dentro del modelo de negocio, puesto que protege el activo por excelencia: la información.

Sabemos que la seguridad no es una meta, sino un proceso. Como tal, la prevención y el constante fortalecimiento de las fronteras del sistema corporativo resultan elementos vitales en la defensa de los activos en el ciberespacio.

Pero, a pesar de ello, las contingencias ocurren, y el riesgo de sufrir una brecha debe ser siempre contemplado. Veamos entonces qué acciones debemos tomar frente a este tipo de escenarios para superar una situación en la que los recursos de la organización puedan verse comprometidos.

Paso 1: Determinar el alcance de la infección

En reiteradas ocasiones, las empresas que han sido víctimas de infecciones tienden a estimar la huella del impacto en meros presentimientos, y no sobre un examen analítico del problema. Claro está que, tras detectar una infección en la empresa, la rapidez de reacción es de suma importancia. Sin embargo, apresurarse a realizar estimaciones sin fundamentos puede conllevar un desvío en una correcta toma de acciones.

Si se han tenido en cuenta los recaudos necesarios, y consecuentemente se ha invertido en el desarrollo de robustos sistemas de gestión de contingencias, se puede lograr la rápida recolección de los indicios para dar respuesta a algunas preguntas iniciales de clave importancia.

Así, en un comienzo es necesario establecer qué sistemas han sido comprometidos y de qué manera. ¿La infección se limita a un único equipo o subred? ¿Se han filtrado datos sensibles? ¿Se trata de datos corporativos, o de datos privados de los empleados y/o clientes?

Paso 2: Asegurar la continuidad del servicio

De tratarse de una fuga de información que comprometa a los empleados o usuarios finales, el segundo paso será elevar a ellos una alerta sobre la posible brecha y aconsejar a los mismos que estén al tanto de cualquier movimiento extraño que puedan apreciar sobre los datos que mantenían vinculados al servicio.

Si algún equipo físico ha resultado severamente comprometido, deben ponerse en marcha procesos de activación de recursos de respaldo, a fin de mantener el servicio al cliente. Por esto, resulta de crítica importancia la planificación de defensas contra ataques a la disponibilidad, generando redundancia de equipamiento y conexiones. Esto, conjuntamente a un procedimiento de acción debidamente definido a nivel organizacional, permitirá la rápida respuesta frente a eventos que ponen en jaque la seguridad corporativa.

Paso 3: Contener la infección

La contención de una infección comienza con el aislamiento de los equipos que se saben comprometidos. La suspensión de los segmentos de red de los cuales forman parte estos equipos evita que la infección continúe propagándose a través de la red corporativa, e interrumpe cualquier conexión que pueda haberse establecido con el atacante para el robo de información.

Si el tráfico generado por el agente malicioso se encuentra cifrado, los analistas deberán generar la ingeniería inversa del mismo para intentar dar con las claves criptográficas. En cambio, si la comunicación se realiza sobre protocolos no confidenciales como HTTP, será exponencialmente más fácil realizar el seguimiento de los comandos utilizados por el atacante.

En cualquier caso, el estudio de estos comandos puede guiar la investigación al descubrimiento de nuevos equipos infectados, y la generación de patrones de tráfico que deben traducirse en reglas de firewall, para generar rápidamente una primera barrera de defensa.

Para lograr lo anterior, se vuelve necesario disponer de capturas de tráfico correctamente etiquetadas, a fin de acelerar la velocidad de procesamiento. Nuevamente, se torna evidente que la prevención y detección proactiva de amenazas son la piedra angular de la seguridad informática, delimitando la capacidad de respuesta de la compañía en momentos de crisis.

Dado que la mayor parte de los procedimientos nombrados implican el análisis no automatizado de la información, resulta crucial la previa instrumentación de una solución de seguridad corporativa integral. Ésta permitirá desplegar de manera instantánea acciones para bloquear los estragos que intente causar cualquier agente malicioso que haya logrado saltar las barreras de defensa.

Paso 4: Mitigar la infección y eliminar el vector de ataque

La remoción de la pieza maliciosa es un procedimiento complejo que implica inicialmente un análisis minucioso del código para comprender su funcionamiento. Las soluciones antivirus dan soporte a este tipo de actividades, permitiendo la automatización de la desinfección y el ahorro de tiempo valioso en el proceso de respuesta.

Es necesario entender que si los atacantes no son completamente erradicados de la red, estos pueden retomar sus actividades fraudulentas sobre los equipos infectados a través de otro vector de ataque. Por ello, es de vital importancia aislar la falla que les permitió el ingreso en primer lugar, para luego eliminarla del sistema.

Aún si los equipos identificados como comprometidos han sido limpiados, continúa presente el riesgo de mantener en funcionamiento otros equipos infectados no descubiertos. Para impedir que esto ocurra, deberemos fortalecer el análisis de los paquetes que transitan la red, siendo que ahora contamos con la ventaja de conocer los protocolos de comunicación y comandos utilizados gracias al previo análisis de la infección.

En adhesión a la revisión de las reglas de firewall, el cambio de las contraseñas en las redes corporativas es otra medida preventiva a tomar luego de detectar recursos comprometidos, ya que éste es uno de los objetivos predilectos en los ataques corporativos. Si bien el proceso de renovación de claves implica dedicar tiempo y esfuerzo, impedirá que los atacantes puedan utilizar cualquier información robada para disfrazarse tras la fachada de un usuario legítimo.

Llegada esta instancia, será pertinente puntualizar si la infección fue el simple resultado de un descuido en la web, o si por el contrario, constituye el eslabón exitoso dentro de una cadena de ataques persistentes dirigidos.

Si se determina que la infección tuvo como objetivo específico a la organización, entonces el verdadero interrogante será descubrir quién se encuentra detrás de estos acontecimientos, teniendo en mente que un nuevo ataque puede volverse inminente.

Paso 5: Aprender de los errores

Realizar una profunda investigación de lo acontecido da pie a la mejora de procesos dentro de la organización. La supresión de vulnerabilidades de cuya existencia no se tenía conocimiento alguno, brinda la oportunidad de fortalecer el perímetro de las redes empresariales, identificando otros potenciales puntos de acceso al sistema que antes no habían sido considerados dentro del abanico de vectores de ataque.

Las infecciones, a pesar de constituir eventos sumamente negativos para una compañía, también son situaciones de aprendizaje. Muestran cuáles son los puntos a fortalecer dentro del diseño del sistema, y permiten probar dónde fallan las medidas de defensa actuales.

Fuente: Denise Giusto Bilić, We Live Security

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!