Getty Images/iStockphoto
Recomendaciones de expertos de ciberseguridad ante la crisis de Ucrania
Fortinet, Avast y Attivo Networks ofrecieron sus posturas respecto al aumento de ciberataques como consecuencia de la guerra entre Rusia y Ucrania, y compartieron algunos consejos para que las empresas se preparen.
Con las operaciones militares rusas que se están llevando a cabo en Ucrania, se debe poner atención por el empleo de acciones de ciberguerra. Ya hemos visto casos de acciones cibernéticas destructivas centradas en Ucrania e incluso dirigidas a Rusia.
«Los estafadores ya han empezado a robar dinero de la gente fingiendo que son ucranianos que necesitan desesperadamente ayuda financiera. En el pasado, hemos visto señuelos similares para personas atrapadas mientras viajaban, estafas románticas, etc. Los atacantes no tienen barreras morales y aprovecharán cualquier oportunidad para robar dinero a personas dispuestas a ayudar. Aconsejamos encarecidamente no enviar ningún dinero, especialmente en cualquier forma de criptomoneda. Si quiere ayudar a la gente de Ucrania, hágalo a través de una organización de confianza que opere en esa región», dijo Michal Salat, director de Inteligencia de amenazas de Avast.
El ejecutivo también aconsejó tomar medidas para protegerse del mayor volumen de ciberataques que se prevé. «Debe asegurarse de que su computadora está totalmente actualizada (tanto su sistema como las aplicaciones), utilizar software de seguridad de calidad y prestar la máxima atención a los correos electrónicos o enlaces de chat inesperados. Es importante recordar que ahora habrá una difusión masiva de información sobre la crisis, y los ciberatacantes (con motivación política o no) se aprovecharán de ello», resaltó.
Para ayudar a las empresas a prepararse ante posibles ciberataques, Fortinet dio a conocer una lista de verificación de la preparación cibernética. Si bien muchas de estas sugerencias son protocolos estándar de ciberhigiene y buenas prácticas, la compañía de ciberseguridad indicó que «hacer lo básico nunca está de más, especialmente cuando hay tantas otras preocupaciones. De la misma manera que lavarse las manos ayuda en nuestra lucha contra el COVID-19, las acciones simples también pueden ayudar mucho en la lucha contra las ciberamenazas».
Así, pues, los puntos clave en los que Fortinet recomendó enfocarse son:
- Parches: Asegúrese de que todos los sistemas están totalmente parchados y actualizados. Los actores de las amenazas suelen dirigirse a las vulnerabilidades no parchadas en la red de la víctima. Como resultado, la primera línea de defensa debe ser siempre la gestión de parches y la ejecución de sistemas totalmente parchados. Para las organizaciones interesadas en centrarse en vulnerabilidades específicas, CISA mantiene una lista de CVE específicos utilizados en el pasado por los actores de la amenaza rusa. Pero el mejor enfoque es simplemente centrarse en estar al día todo el tiempo. Esto también es cierto para los entornos con cobertura aérea, y ahora es un buen momento para asegurarse de que estos sistemas también han sido parchados. Recuerde que la aplicación de parches es importante no solo para las estaciones de trabajo y los servidores, sino también para los productos de seguridad y de red.
- Bases de datos de protección: Asegúrese de que sus herramientas de seguridad tienen las últimas bases de datos y que todas las bases de datos de protección se actualizan regularmente. FortiGuard Labs, por ejemplo, crea continuamente nuevas reglas de detección, firmas y modelos de comportamiento para las amenazas que se descubren en su amplio marco de inteligencia de amenazas.
- Copias de seguridad: Cree o actualice las copias de seguridad sin conexión para todos los sistemas críticos. Muchos ataques vienen en forma de ransomware o wiper malware. La mejor defensa contra la destrucción de datos por este tipo de malware es mantener las copias de seguridad actualizadas. Es igualmente importante que estas copias de seguridad se mantengan desconectadas, ya que el malware suele tratar de encontrar servidores de copias de seguridad para destruirlas también. La crisis actual es una buena oportunidad para comprobar si las copias de seguridad existen realmente (no solo sobre el papel) y realizar ejercicios de recuperación con el equipo de TI.
- Phishing: Realice cursos de sensibilización y simulacros de phishing. Los ataques de phishing siguen siendo los puntos de entrada más comunes para los atacantes. Ahora es un buen momento para llevar a cabo una campaña de concienciación sobre el phishing para sensibilizar a todo el mundo en su organización y asegurarse de que saben cómo reconocer y denunciar los correos electrónicos maliciosos.
- Caza: Practique la caza proactiva de atacantes en su red utilizando los TTPs conocidos. La triste verdad es que si su organización juega algún tipo de papel en este conflicto, entonces los adversarios pueden estar ya en su red. Llevar a cabo compromisos de caza de amenazas puede ser vital para detectar a los adversarios antes de que instalen programas espía o causen graves destrozos. Para la caza de amenazas, puede utilizar las conocidas Tácticas, Técnicas y Procedimientos (TTP) que se indican en la lista de preparación cibernética de Fortinet.
- Emular: Pruebe sus defensas para asegurarse de que pueden detectar las TTPs conocidos. Los TTPs también se pueden utilizar para evaluar si su infraestructura de seguridad es capaz de detectarlos. La ejecución de ejercicios de emulación puede descubrir problemas de configuración y puntos ciegos que los atacantes podrían aprovechar para moverse por su red sin ser detectados.
- Respuesta: Pruebe su respuesta a incidentes en escenarios ficticios del mundo real. Una respuesta rápida y organizada a los incidentes será crucial cuando se descubra un compromiso. Ahora es una buena oportunidad para revisar los procedimientos de respuesta a un incidente, incluyendo la recuperación de desastres y las estrategias de continuidad del negocio. Si tiene su propio equipo de respuesta a incidentes, puede realizar ejercicios de simulación o escenarios ficticios para asegurarse de que todo funcione sin problemas en caso de que se produzca un compromiso.
- Manténgase al día: Suscríbase a los feeds de inteligencia de amenazas, como Fortinet Threat Signals. Es crucial que las acciones enumeradas aquí no se realicen solo una vez. Mantenerse actualizado y con parches, monitorear las vulnerabilidades y mantener el conocimiento de las amenazas son acciones que deben realizarse continuamente.
Tony Cole, director de Tecnología de Attivo Networks, resaltó que «la repercusión de la invasión rusa a Ucrania tendrá un impacto significativo en los desafíos de ciberseguridad para las empresas y gobiernos de Estados Unidos, de sus aliados y especialmente para los de Ucrania. En Estados Unidos, deberíamos esperar ataques importantes enfocados en cómo verá Putin a las organizaciones que ayuden a promover sanciones a Rusia y sus oligarcas. La Agencia Estadounidense de Ciberseguridad e Infraestructura ya ha publicado advertencias sobre ataques en varias áreas, incluyendo ataques rusos patrocinados por el estado contra contratistas de defensa autorizados. Podemos esperar ver ataques más frecuentes contra el sector financiero de Estados Unidos, el Departamento del Tesoro, el Departamento de Estado y muchos otros, enfocados en acciones en torno a las sanciones. El terreno anteriormente ganado al obligar al gobierno ruso a acabar con los grupos criminales de ransomware enfocados en afectar a las empresas estadounidenses probablemente se evaporará y es posible que esos mismos grupos sean alentados a aumentar su actividad ilícita».
Cole aconsejó a las empresas en infraestructura crítica, y organizaciones en general, tomar los siguientes pasos:
- Asegúrese de que la autenticación multifactor se implemente y sea obligatoria para cada usuario;
- Aumente esfuerzos en torno a las actividades de ciberhigiene para mantener actualizadas todas las aplicaciones y sistemas operativos, incluyendo exposición de credenciales almacenadas en los usuarios;
- Supervise y administre cuidadosamente los sistemas de servicios de identidad como Directorio Activo, e implemente la detección de ataques dentro de él, sin descuidar el tema de diagnóstico continuo para reducir la superficie de ataque;
- Identifique anomalías en torno a la explotación de credenciales y uso sospechoso de cuentas privilegiadas, que al igual que las de Directorio Activo (ej. enumeración) son tácticas consistentes en los grupos de ransomware;
- Asegúrese de realizar con frecuencia las copias de seguridad, que se mantengan fuera del sitio y se conserven en un estado prístino;
- Mantenga actualizado su plan de respuesta a incidentes y practíquelo con todo el personal clave. Agregue un contrato de respuesta a incidentes externo si se carece de experiencia;
- Interactúe y conozca a su equipo legal local (antes de que suceda cualquier incidente importante);
- Conozca, comprenda y siga otras mejores prácticas de NIST (Cybersecurity Framework),MITRE ATT&CK y MITRE & Engage.