Medidas de contención

Antes que nada, si se ve ante un escenario en el cual su compañía es víctima de un ciberataque de Ransomware el primer paso mas importante es limitar los activos comprometidos para que el ataque no se esparza a ningún otro equipo en la red, ya que nos aseguramos que ya no se puede comprometer mas información y archivos es muy importante que nos tomemos un momento para relajarnos un poco y pensar con calma cuáles serán los siguientes pasos a llevar a cabo, esto porque podemos y tener la presión de volver a la operatividad, presión por parte de los directivos y esto sumando a la presión de un terrorismo psicológico si los cibercriminales deciden amenazarnos con hacer pública la información.

Es importante saber que el daño ya está hecho para este punto y esta en nosotros tomar las decisiones adecuadas para recuperarse del incidente y buscar evitar que esto vuelva a pasar, por lo que hay que evitar a toda costa el tomar decisiones apresuradas ya que esto por lo general nos llevara a un escenario mas complicado. La mejor medida que podemos hacer es trabajar en base a un esquema metodológico para tener el mejor escenario posible y salir adelante con la operación de la empresa en el menor tiempo posible, es por lo que se recomienda ampliamente la estrategia de la metodología NIST al ser uno de los estándares más robustos y efectivos en cuanto a temas de ciberseguridad se refiere.


NIST

El marco metodológico NIST nos brinda una variedad de protocolos, funciones y categorías de buenas prácticas, para su implementación de una manera simultánea y continua para brindar una cultura operativa a los usuarios de la misma, para abordar los riesgos de los incidentes de la ciberseguridad.

En lo particular nos marca una cadena de 5 etapas para abordar el incidente y dar una resolución efectiva estos son:


Buenas prácticas NIST Cybersecurity Framework contra Ransomware” acordes al objetivo de prevenir y contener los ataques de “Ransomware”, las cuales corresponden a lo siguiente:


  • Identificación: En el primer punto es crucial identificar que activos están comprometidos ya sea a nivel de hardware (Servidores, línea de producción , PCs) o de software(información), en este primer punto nos servirán las herramientas como lo son los Antivirus/EDR ya que estos en algunos casos llegan a identificar el malware antes de que se despliegue el ataque, pero también son relativamente sencillos de evadir por lo que la mejor herramienta de detección seria el XDR ya que con su conjunto de monitoreo extendido se pueden identificar las amenazas por varios elementos.

  • Protección: Una vez que se identificó la amenaza el siguiente paso es el de proteger la Red y los elementos que la integran para que no se vean amenazados de correr el mismo riesgo que los equipos o archivos comprometidos, en este punto las herramientas como la variante de NAC de Appgate nos podría ayudar a evitar que el equipo infectado se comunique con otros al igual que el firewall me daría la capacidad de poder bloquear puertos y comunicaciones para evitar que no se esparza la infección.

  • Detección: Ya una vez se identificó el ataque herramientas como el XDR nos son de mucha ayuda para identificar mediante un análisis forense como es que este sucedió para mejorar mis procedimientos en cuanto a la Norma ISO 27001 al igual que poner valores más rigurosos de acceso al recurso comprometido con la metodología Zero trust, adicionalmente a esto también nos puede brindar luz sobre la variante de Ransomware la cual fue aplicada ya que si es alguna activa podría correrse con suerte de que las llaves de cifrado se encuentre publicas dándonos así la posibilidad de recuperar la información, más sin embargo si se trata de una amenaza más moderna no hay manera de descifrar la.

  • Respuesta: La etapa de la respuesta esta enfocada a validar las acciones a tomar, revisar los respaldos con las herramientas DLP, realizar análisis de vulnerabilidades para identificar porque es que los recursos dañados fueron afectados originalmente para corregir esas brechas de seguridad.

  • Recuperación: Montar las copias del sistema recuperadas de los DLP, cambiar equipos obsoletos, cambiar contraseñas y usuarios, analizar los otros equipos en la red, actualizar políticas internas y reglas en el firewall, todo con la finalidad de que no vuelva a pasar otro incidente igual.