Con las operaciones militares rusas que se están llevando a cabo en Ucrania, la pregunta de si también se empleará la ciberguerra sigue sin respuesta. Aunque hemos visto casos de acciones cibernéticas destructivas centradas en Ucrania, en este momento no es posible la atribución.
Como resultado de estas acciones, muchas organizaciones sienten una mayor preocupación. Fortinet recomienda a las organizaciones a prepararse para posibles ciberataques. Para ello, ha elaborado esta lista de verificación de la preparación cibernética. Aunque muchas de estas sugerencias son protocolos estándar de ciberhigiene y buenas prácticas, recordar que hay que hacer lo básico nunca está de más, especialmente cuando hay tantas otras preocupaciones. De la misma manera que lavarse las manos ayuda en nuestra lucha contra el COVID-19, las acciones simples también pueden ayudar mucho en la lucha contra las ciberamenazas.
Puntos clave
- Parches: Asegúrese de que todos los sistemas están totalmente parcheados y actualizados.
- Bases de datos de protección: Asegúrese de que sus herramientas de seguridad tienen las últimas bases de datos
- Copia de seguridad: Cree o actualice las copias de seguridad sin conexión para todos los sistemas críticos
- Phishing: Realice cursos de sensibilización y simulacros de phishing
- Caza: Practique la caza proactiva de atacantes en su red utilizando los TTPs conocidos
- Emular: Pruebe sus defensas para asegurarse de que pueden detectar las TTPs conocidos
- Respuesta: Pruebe su respuesta a incidentes en escenarios ficticios del mundo real
Acciones detalladas
- Parcheado: los actores de las amenazas suelen dirigirse a las vulnerabilidades no parcheadas en la red de la víctima. Como resultado, la primera línea de defensa debe ser siempre la gestión de parches y la ejecución de sistemas totalmente parcheados. Para las organizaciones interesadas en centrarse en vulnerabilidades específicas, CISA mantiene una lista de CVEs específicos utilizados en el pasado por los actores de la amenaza rusa. Pero el mejor enfoque es simplemente centrarse en estar al día todo el tiempo. Esto también es cierto para los entornos con cobertura aérea, y ahora es un buen momento para asegurarse de que estos sistemas también han sido parcheados. Y recuerde que la aplicación de parches es importante no sólo para las estaciones de trabajo y los servidores, sino también para los productos de seguridad y de red.
- Haga una copia de seguridad de los sistemas críticos: Muchos ataques vienen en forma de ransomware o wiper malware. La mejor defensa contra la destrucción de datos por este tipo de malware es mantener las copias de seguridad actualizadas. Es igualmente importante que estas copias de seguridad se mantengan desconectadas, ya que el malware suele tratar de encontrar servidores de copias de seguridad para destruirlas también. La crisis actual es una buena oportunidad para comprobar si las copias de seguridad existen realmente (no sólo sobre el papel) y realizar ejercicios de recuperación con el equipo de TI.
- Phishing: Los ataques de phishing siguen siendo los puntos de entrada más comunes para los atacantes. Ahora es un buen momento para llevar a cabo una campaña de concienciación sobre el phishing para sensibilizar a todo el mundo en su organización y asegurarse de que saben cómo reconocer y denunciar los correos electrónicos maliciosos.
- Caza: La triste verdad es que si su organización juega algún tipo de papel en este conflicto, entonces los adversarios pueden estar ya en su red. Llevar a cabo compromisos de caza de amenazas puede ser vital para detectar a los adversarios antes de que instalen programas espía o causen graves destrozos. Para la caza de amenazas, puede utilizar las conocidas Tácticas, Técnicas y Procedimientos (TTP) que se indican a continuación.
- Emular: Los TTPs que se enumeran a continuación también se pueden utilizar para evaluar si su infraestructura de seguridad es capaz de detectarlos. La ejecución de ejercicios de emulación puede descubrir problemas de configuración y puntos ciegos que los atacantes podrían aprovechar para moverse por su red sin ser detectados.
- Respuesta: Una respuesta rápida y organizada a los incidentes será crucial cuando se descubra un compromiso. Ahora es una buena oportunidad para revisar los procedimientos de respuesta a un incidente, incluyendo la recuperación de desastres y las estrategias de continuidad del negocio. Si tiene su propio equipo de respuesta a incidentes, puede realizar ejercicios de simulación o escenarios ficticios para asegurarse de que todo funcione sin problemas en caso de que se produzca un compromiso.
- Estar al día: es crucial que las acciones enumeradas aquí no se realicen sólo una vez. Mantenerse actualizado y con parches, monitorear las vulnerabilidades y mantener el conocimiento de las amenazas son acciones que deben realizarse continuamente.
Con información de FortiGuard Labs de Fortinet