En la mentalidad de un actor de amenazas

SEMINARIO WEB A LA CARTA

A continuación encontrará las preguntas que se formularon durante el seminario en línea sobre Gestión de crisis cibernéticas.

1. Supongo que no existe un "Tripadvisor" para los agentes de Ransomware: ¿qué probabilidades hay de que se restauren sus datos si paga?

La respuesta es que depende. Al agente de la amenaza le interesa ayudarle a recuperarse una vez que haya pagado el rescate, para construir su propia credibilidad de cara a futuros ataques. Hay muchos ejemplos de organizaciones que se han recuperado con éxito tras el pago. Dicho esto, es posible que la herramienta de descifrado proporcionada no funcione o no sea fiable, y que usted se encuentre con sus propios problemas en el proceso de recuperación.

2. Según su experiencia, ¿ha comprobado que muchas organizaciones disponen realmente de planes de respuesta ante incidentes que se simulan y luego se siguen realmente en caso de incidente grave? ¿O se trata más bien de que el Plan de Respuesta a Incidentes existe para satisfacer los requisitos de cumplimiento, pero no son procesables/prácticos, y las organizaciones prefieren recurrir a expertos en incident response?

Esta es una gran pregunta. Por desgracia, tiende a desarrollarse para satisfacer el cumplimiento. Según nuestra experiencia, el aspecto más valioso de estos planes está en su desarrollo, donde las partes interesadas clave pueden discutir realmente su respuesta y colaborar.

Se vuelven más eficaces con los simulacros y los incidentes reales en vivo, cuando se ponen en práctica las lecciones aprendidas. La adaptabilidad es clave, ya que cada incidente es único, pero carecer de un proceso es perjudicial.

3. Me preocupa el inicio de sesión único, ya que puede facilitar a los actores de amenazas el acceso a múltiples sistemas una vez violados. Si esos sistemas están relacionados con OT, es una preocupación real. ¿Aconsejaría el SSO para los sistemas relacionados con OT? No estoy convencido de los beneficios frente al riesgo. Sobre todo si los usuarios son pocos, menos de 5.

La respuesta puede depender de con quién hable, pero me inclino a estar de acuerdo con su afirmación de que el SSO, especialmente en sistemas OT y críticos, puede suponer un riesgo importante. Desde la perspectiva de un atacante, si puedo comprometer un asset interno y descubrir que una aplicación dentro del entorno se autentica automáticamente a través de SSO, soy libre de moverme por el entorno con facilidad.

A menudo, en seguridad defensiva, hablamos de "Separación de privilegios". Mi opinión es que, especialmente en los sistemas críticos, la separación de privilegios debe aplicarse incluso a los assets internos de confianza.

4. ¿Puede tocar el tema de incident response para una gran organización multicapa y cómo manejar la gestión de crisis en diferentes niveles (por ejemplo: dirección global desde la sede central a tareas operativas en los sitios locales)?

Esperemos que la explicación dada durante el seminario web le haya ayudado a responder a su pregunta, pero para ampliar un poco más: para las organizaciones más grandes, será clave contar con un marco de crisis que detalle cómo trabajarán sus equipos operativos locales con sus equipos estratégicos.

Deberá tratar de aclarar las funciones y responsabilidades a cada nivel, e identificar las mejores formas de interacción entre estos grupos. Esto puede hacerse mediante sesiones informativas eficaces, informes de situación y, en última instancia, practicándolo en simulacros, etc.

5. ¿Existen aspectos específicos a tener en cuenta para la cyber incident response para el entorno OT?

Desde luego que sí. Como se mencionó en el seminario web, los actores de amenazas podrían manipular potencialmente los sistemas OT para causar más daños físicos, o al menos amenazar con hacerlo en un intento de ejercer presión. También podrían detener o ralentizar la producción. Hay muchos riesgos específicos relacionados con el entorno OT, con algo más de información en nuestra página web por si puede serle útil aquí.

6. Dado el punto de entrada de contraseñas débiles en ABC/CBA, ¿qué mejora supondría el MFA?

La AMF siempre proporciona una mejora significativa en la prevención del compromiso, especialmente con los vectores comunes de acceso inicial centrados en las credenciales. Sin embargo, durante los compromisos de los equipos rojos, todavía vemos con frecuencia que las organizaciones no lo implementan a fondo en todo su patrimonio, lo que permite a los atacantes apuntar a determinadas áreas.

También hay que tener en cuenta que existen herramientas disponibles públicamente que permiten capturar el token MFA durante las campañas de phishing (como evilginx2), lo que puede permitir a un atacante comprometer cuentas a pesar de todo.

La clave para identificar esto desde una perspectiva de incident response es asegurarse de que los inicios de sesión están configurados para registrar los intentos de acceso MFA basados en la ubicación para identificar los intentos de inicio de sesión "fuera de la norma".

7. ¿Existen casos conocidos en los que el almacenamiento blob de una gran empresa tecnológica se haya visto comprometido y cifrado (por lo que no se trata de servidores de archivos alojados, sino de almacenamiento real en la nube)? Como Google Drive...

Los ataques contra el almacenamiento blob/en la nube son menos comunes, pero siguen realizándose. S3 fue un factor importante en la brecha de Capital One hace unos años. A menudo, estas brechas se deben a errores de configuración que podrían haberse evitado.

Aunque el ransomware aún podría afectar a estas soluciones de almacenamiento, la probabilidad se reduce principalmente debido a la capacidad de configurar la inmutabilidad de los archivos y a la gama de opciones flexibles de recuperación. La forma en que sus soluciones de almacenamiento blob/nube se verían impactadas es cuando están sincronizadas con soluciones locales y locales (similares a OneDrive y DropBox).

Si la copia local se encripta, puede volver a sincronizarse y cambiar las copias almacenadas en la nube a la variante encriptada. La mayoría de las veces, los actores de amenazas que no tienen acceso al almacenamiento local probablemente exfiltrarían y extorsionarían sin cifrado, lo que hemos visto en más casos recientemente.

8. Al observar el marco en la fase 4, ¿dónde sitúa los planes específicos de recuperación ante desastres por equipo en el marco?

En el marco, en la capa operativa, yo esperaría que un representante técnico estuviera en el equipo para asesorar sobre los planes de recuperación y elaborar un plan de recuperación en torno a los aspectos específicos del incidente. Luego, en la capa táctica, esperaría que un miembro senior del equipo de TI pudiera informar sobre esto de forma más holística a la empresa en general, proporcionando plazos y costes estimados, y obteniendo la visión empresarial sobre la priorización de la recuperación.

9. ¿Cuál es su consejo para aumentar la protección de las cuentas de administrador y de dominio?

El problema más común que veo cuando realizo compromisos es el gran número de cuentas administrativas. La primera sugerencia sería limitar el número de cuentas con privilegios elevados a quienes las necesiten. Además, un usuario que necesite acceso administrativo al dominio no debería acceder directamente a este nivel de acceso.

Una forma de combatirlo es aplicar una política de "2º administrador", en la que la cuenta estándar del usuario tenga pocos privilegios y, para llevar a cabo sus actividades administrativas, tenga que iniciar sesión de nuevo, con la cuenta de mayores privilegios. Todas las cuentas administrativas también deberían tener una política de contraseñas significativamente más estricta para reducir el potencial de los atacantes de descifrar los hashes de extracción.

Como último enfoque, añadir herramientas de análisis del comportamiento de los usuarios para detectar irregularidades en el uso de las cuentas ayudará a proporcionar una alerta temprana.

10. ¿Puede decirme cómo detectar y detener un ataque en una fase temprana? Intentamos hacerlo teniendo en cuenta la cadena cibernética letal.

Desde la perspectiva de la Cyber Kill Chain, casi nunca detectará nada en la fase de reconocimiento, ni en la de armamento. Por lo tanto, la entrega es el primer momento en el que puede detectar definitivamente a un atacante. Unos controles estrictos de la seguridad del Correo electrónico, de la seguridad del perímetro y, lo que es más importante, de la educación de los usuarios, permitirán una prevención temprana contra una violación del perímetro exterior.

Sin embargo, sigue siendo necesario pensar en las amenazas internas y en las conexiones existentes (por ejemplo, de empresa a empresa). Aquí es donde me gusta tomar la metáfora de la epidemiología. En la propagación de una pandemia, las Personas están infectadas y a menudo no son conscientes hasta que aparecen los síntomas. Disponemos de vacunas para ayudar a limitar las infecciones. Puede ver herramientas como EDR/AV como vacunas, aunque ayudan, no evitan por completo la infección.

Por eso necesitamos científicos y médicos que identifiquen los primeros síntomas y ayuden al público a entender cómo detectar esos síntomas. Volviendo a la ciberseguridad, una solución sólida de registro/monitorización que se alimente a través de un SIEM con bases de reglas específicas y adaptadas permitirá a su SOC actuar como los médicos y advertir de los primeros síntomas de infección.

Combine eso con un programa de educación informativa de los usuarios, que permita a su personal actuar como el público awareness, que puede tomar medidas para notificar y, a veces, prevenir una mayor propagación de una infección.