Ante un ciberataque ¿sabe cómo identificar qué datos se vieron comprometidos?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Imagine que llega a su oficina y recién se está enterando de que su red corporativa o entorno de nube ha sido vulnerado por ciberatacantes. ¿Sabe cómo identificar qué datos se vieron comprometidos y dónde se almacenaron?
Lanzar una investigación de brechas de seguridad generalmente requiere que tenga algún tipo de punto de partida, pero saber ese punto de partida no siempre es posible. A veces no sabrá qué datos o activos físicos se vieron comprometidos y, quizá, alguna autoridad le ha enviado una alerta diciendo que sus datos están filtrados y a la venta en la Dark Web.
Por lo anterior, es necesario tener perfectamente bien identificadas la base de datos, la aplicación, el servidor o el depósito de almacenamiento de origen para garantizar que el equipo forense pueda descubrir cualquier amenaza potencial que aún esté por presentarse en su red.
Si no sabe exactamente qué datos se vulneraron, comience a evaluar los sistemas y recursos que son más críticos para las operaciones de la organización o que contienen la información confidencial. Concéntrese en los sistemas que tienen más probabilidades de haber sido objeto de un ataque, como aquellos con vulnerabilidades conocidas o controles de seguridad débiles.
Cuando los equipos de seguridad buscan datos comprometidos, a menudo se enfocan en cosas equivocadas, como buscar firmas conocidas o indicadores de compromiso. Este enfoque puede ser efectivo para detectar amenazas conocidas, pero no es útil para encontrar amenazas nuevas o avanzadas que no coincidan con patrones conocidos. En su lugar, los equipos de seguridad deben enfocarse en conocer los datos de la organización y cómo se accede a ellos, cómo se usan y cómo se almacenan.
Una comprensión fundamental de los activos, incluidos los sistemas de datos, las identidades y las personas, lo ayudará a trabajar hacia atrás si hay una brecha. A través del descubrimiento y la clasificación de datos, las organizaciones pueden comprender mejor dónde reside su información confidencial y quién tiene acceso a ella. Este enfoque se puede usar para identificar y priorizar los controles de seguridad.
Conectar los puntos entre los sistemas, las personas, los controles de seguridad y otros activos identificables proporciona el camino que ha tomado el ataque y así poder conocer si los datos filtrados en la Dark Web son los mismos que los que residían originalmente en los servidores corporativos o en la nube de su organización.
Es esencial contar con un perfil de gestión de activos actualizado, que incluya dónde se almacenan los datos, qué datos se encuentran en qué repositorio y un inventario completo de la topología y los dispositivos de la red.
Las organizaciones deben tener una visibilidad completa de la infraestructura tecnológica de su organización, incluidas todas las máquinas virtuales, los sistemas de almacenamiento y las terminales.
Algunos errores comunes que cometen las organizaciones cuando investigan una infracción, incluyen:
No actuar con rapidez. El tiempo es esencial en la investigación de una brecha y los retrasos en la recopilación de datos forenses permiten a los atacantes cubrir sus huellas, destruir pruebas o intensificar su ataque.
Sobrescribir o modificar datos. Las empresas pueden sobrescribir o modificar inadvertidamente los datos forenses al continuar usando los sistemas afectados o al realizar investigaciones no controladas.
Falta de experiencia. La recopilación y el análisis de datos forenses requiere habilidades y herramientas especializadas y es posible que las empresas no tengan la experiencia interna adecuada para realizar estas tareas de manera efectiva.
No considerar todas las posibles fuentes de evidencia. Las empresas pueden pasar por alto o no investigar completamente todas las fuentes potenciales de datos forenses, como servicios en la nube, dispositivos móviles o medios físicos.
No preservar los datos de una manera forense sólida. Para mantener la integridad de la evidencia, es importante utilizar métodos sólidos desde el punto de vista forense para la adquisición y conservación de datos. Para ser sólido desde el punto de vista forense, el proceso de recopilación debe ser defendible, consistente, repetible, bien documentado y autenticado.
No tener un plan claro de respuesta a incidentes. Un plan bien definido puede ayudar a garantizar que se recopile toda la información relevante y que la investigación se lleve a cabo de manera metódica y eficaz.
Las capacidades de monitoreo continuo y detección de riesgos ayudan a las organizaciones a identificar comportamientos anómalos o sospechosos que podrían indicar una vulneración de datos. Al monitorear los patrones de acceso y los cambios en los datos y la infraestructura, las organizaciones pueden detectar rápidamente amenazas potenciales y alertar a los equipos de seguridad para que tomen medidas.
Para más información, visite: https://www.silikn.com/