La crisis en Ucrania ya ha demostrado ser un catalizador para una actividad cibernética agresiva adicional que probablemente aumentará a medida que la situación se deteriore, no limitándose en el futuro a objetivos ucranianos o al sector público. Ante esta situación, que ya se conoce como guerra híbrida, Ibermática ha elaborado una guía con algunos consejos esenciales para anticiparse y combatir mejor los posibles ciberataques derivados del conflicto armado.

SOC de ITS Security by Ibermática.

Con las operaciones militares rusas actualmente en curso en Ucrania, de manera paralela se están registrando ataques destructivos derivados también de una guerra cibernética, centradas esencialmente en este país, pero que está incidiendo en una gran preocupación en muchas empresas y administraciones del resto de ámbitos geográficos.

Para afrontar esta precupación, Ibermática ha elaborado una ‘Lista de verificación de preparación cibernética’ para ayudar a las organizaciones a anticiparse a posibles ciberataques. Si bien muchas de estas sugerencias son protocolos estándar de higiene cibernética y mejores prácticas, recordar lo básico nunca está de más, especialmente cuando hay tantas otras preocupaciones.

Y es que de la misma manera que el lavado de manos ayuda en la lucha contra la Covid-19, las acciones simples también pueden contribuir en gran medida a luchar contra las amenazas cibernéticas. Éstas son las recomendaciones clave que resalta la compañía tecnológica:

• Parches: Asegúrese de que todos los sistemas estén completamente parcheados y actualizados.
• Bases de datos de amenazas actualizadas: Asegúrese de que sus herramientas de seguridad tengan las bases de datos más recientes.
• Copia de seguridad: Cree o actualice copias de seguridad sin conexión para todos los sistemas críticos.
• Phishing: Lleve a cabo capacitaciones y simulacros de concientización sobre el phishing.
• Acotar: Busque proactivamente atacantes en su red utilizando los TTP (Tácticas, Técnicas y Procedimiento) conocidos de los actores de amenazas cibernéticas rusos.
• Emular: Pruebe sus defensas para asegurarse de que pueden detectar los TTP conocidos de los actores de amenazas rusos.
• Respuesta: Pruebe su respuesta a incidentes contra escenarios ficticios del mundo real.
• Manténgase al día: Suscríbase a fuentes de inteligencia de ciberamenazas como las que tienen disponibles los proveedores TI en sus SOC (Security Operations Center).

Acciones detalladas

Parches: Los actores de amenazas a menudo se dirigen a vulnerabilidades sin parchear en la red de una víctima. Como resultado, la primera línea de defensa siempre debe ser la administración de parches y la ejecución de sistemas completamente parcheados. Para las organizaciones interesadas en centrarse en vulnerabilidades específicas, contamos con una lista de CVEs que en el pasado por los actores de amenazas rusos. *(CVE) es una lista de vulnerabilidades y exposiciones de seguridad de la información. Pero el mejor enfoque es simplemente centrarse en estar al día todo el tiempo. Hay que recordar que la aplicación de parches es importante no solo para estaciones de trabajo y servidores, sino también para productos de seguridad y redes.

Base de datos de medidas contra amenazas de ciberseguridad: Nuestros sistemas crean continuamente nuevas reglas de detección, firmas y modelos de comportamiento para las amenazas que se descubren en nuestro extenso marco de inteligencia de amenazas. Estos se propagan rápidamente a todos los elementos que controlamos desde nuestro SOC. Hay que asegurarse de que todas las bases de datos de protección se actualicen periódicamente.

Copia de seguridad de sistemas críticos: Muchos ataques vienen en forma de ransomware o malware. La mejor defensa contra la destrucción de datos por parte de dicho malware es mantener las copias de seguridad actualizadas. Es igualmente importante que estas copias de seguridad se mantengan OFF LINE ya que el malware a menudo intenta encontrar servidores de copia de seguridad para destruir las mismas. La crisis actual es una buena oportunidad para comprobar si realmente existen copias de seguridad y ejecutar ejercicios de recuperación con el equipo de TI.

Phishing: Los ataques de phishing siguen siendo los puntos de entrada más comunes para los atacantes. Ahora es un buen momento para ejecutar una campaña de concientización sobre el phishing para aumentar la conciencia de todos en su organización y para asegurarse de que sepan cómo reconocer y denunciar correos electrónicos maliciosos.

Acotar: La triste verdad es que, si su organización juega algún tipo de papel en este conflicto, entonces los adversarios ya pueden estar en su red. Ejecutar compromisos de búsqueda de amenazas puede ser vital para detectar adversarios antes de que instalen spyware o causen una destrucción grave. Para la búsqueda de amenazas, puede utilizar las tácticas, técnicas y procedimientos (TTP) conocidos por nosotros.

Emular: Los TTP que conocemos también se pueden usar para evaluar si su infraestructura de seguridad puede detectarlos. La ejecución de ejercicios de emulación puede descubrir problemas de configuración y puntos ciegos que los atacantes podrían aprovechar para moverse por su red sin ser detectados.

Respuesta: Una respuesta rápida y organizada a los incidentes será crucial cuando se descubra un compromiso. Ahora es una buena oportunidad para revisar los procedimientos para responder a un incidente, incluidas las estrategias de recuperación ante desastres y continuidad del negocio. Si tiene su propio equipo de respuesta a incidentes, puede ejecutar ejercicios o escenarios ficticios para asegurarse de que todo funcione sin problemas en caso de que ocurra un compromiso. Puede contar con nuestro equipo de respuesta ante incidentes.

Mantenerse al día: es crucial que las acciones enumeradas aquí no se realicen una sola vez. Mantenerse actualizado y parcheado, monitorear vulnerabilidades y mantener el conocimiento de las amenazas son acciones que deben realizarse continuamente. Una forma de aprender sobre las amenazas más nuevas a medida que se descubren es contar con nuestros servicios especializados de Ciberseguridad.

Ibermática ofrece su apoyo

Ibermática cuenta con múltiples servicios para que las organizaciones mitiguen ciberataques graves e investiguen posibles infracciones. A continuación, se presentan algunos ejemplos de servicios y soluciones que ofrece y recomienda.

• Mantener una monitorización proactiva mediante el uso de servicios de alerta temprana sobre actores peligrosos.
• Se recomienda el despliegue y gestión de soluciones de tipo EDR (Endpoint Detection and Response) y SIEM (Security Information and Event Management). monitorizados a través de un SOC y de esta manera, mitigar los principales vectores de entrada de los ataques descritos en este informe.
• Aplicar los IOC (indicador de compromiso) facilitados por nuestro departamento de Inteligencia de Amenazas en los sistemas perimetrales y soluciones de seguridad como primera barrera ante las amenazas.
• Evaluación de amenazas cibernéticas: Las arquitecturas de red seguras deben evolucionar constantemente para mantenerse al día con las últimas amenazas persistentes avanzadas. Hay dos formas de averiguar si su solución no se mantiene al día: espere a que ocurra una infracción o ejecute pruebas de validación.
• Detección y respuesta: Ayudamos a los clientes a comprender mejor los riesgos de ciberseguridad que enfrentan y mejorar la forma en que identifican y reaccionan ante las amenazas.
• Servicio de respuesta a incidentes: El Servicio de Respuesta a Incidentes proporciona a las organizaciones, durante un incidente de ciberseguridad (incluidos los ataques de ransomware dirigidos), personal experimentado, habilidades expertas y herramientas poderosas.