El diario secreto de IR Insider: todo se ha vuelto tranquilo …

Famosas últimas palabras: “Estamos en una pausa” o “es un poco más fácil en este momento”, algo así. Pero nunca la palabra “Q”.

Hace unas semanas, hubo una pausa en la actividad cibernética. Desde entonces, hemos tenido algunos incidentes que han comenzado a tener un mayor impacto, o al menos un impacto más visible, en personas ajenas a las organizaciones que están siendo atacadas: Colonial Pipeline, JBS, entre otras. Pero también hemos visto bandas de ransomware que afirman que cerrarían o no atacarían la infraestructura crítica.

Cualesquiera que sean las razones para dar marcha atrás, es difícil, como respuesta a incidentes, sentirse cómodo con ello. La experiencia muestra que los atacantes están cambiando a lo siguiente, la próxima vulnerabilidad. Como defensores, nunca podemos estar tranquilos, todavía tenemos que proteger, prevenir, detectar, responder, analizar, analizar, analizar, por si acaso nos hemos perdido algo.

Durante cualquier período de calma, siempre hay trabajo por hacer. Es decir, ayudar a los clientes a estar lo más preparados posible a través de evaluaciones de preparación, planes y procesos, ejercicios prácticos, evaluaciones de compromiso y desarrollo de más servicios que pueden ayudar a los clientes a detectar y responder, como formación de equipos púrpura, detección y respuesta administradas, evaluaciones de preparación de ransomware y revisiones de la arquitectura de seguridad.

El equipo de Check Point está haciendo un trabajo realmente bueno con ejercicios de mesa en la actualidad, trabajando en escenarios basados ​​en eventos reales para descubrir qué tan bien están preparadas las organizaciones para que ocurran incidentes.

Pero luego, como siempre, comenzó de nuevo: ¿alguien usó la palabra “Q”? Esta vez, alrededor de las vacaciones del Día de la Independencia de EE. UU., Salió a la luz una nueva corriente de ataques de ransomware utilizando el software de gestión de TI de Kaseya. Más de 200 organizaciones fueron afectadas, pero ¿quién sabe cuántas han sido o podrían verse afectadas?

En este caso, los atacantes utilizaron una vulnerabilidad de día cero que estaba en proceso de reparación y, según los informes, exigieron un rescate récord de 70 millones de dólares. Habrá más ataques como estos, fíjense en mis palabras, y hemos estado esperando que sucedan cosas como esta.

Hay piezas de software y utilidades en todas las redes de las organizaciones: algo que ese ingeniero usó hace meses, algo que estaban tratando de hacer funcionar, algo que implementaron sin saber completamente cómo funcionaba o qué podía hacer; todas las cosas sensatas que hacer en ese momento, pero ahora están causando riesgos en su entorno.

Incluso sin ellos, ¿cómo podríamos haber previsto los ataques aprovechando algunos de estos productos y utilidades? Siempre hemos hablado de atacantes que viven de la tierra con respecto al uso de servicios públicos integrados, pero este es un paso adelante.

Entonces, ¿cómo lo detenemos? No podemos esperar que las organizaciones eliminen el software que les permite funcionar de manera eficaz y, con la frecuencia cada vez mayor de este tipo de ataques, tampoco podemos cubrir todas las bases; nunca sabemos qué será lo próximo.

Una de las únicas formas de estar mejor preparado es asumir que algo saldrá mal. Volverse más resistente, tener copias de seguridad, proteger los datos confidenciales de formas más sólidas o diferentes. Prevenir, detectar y dar respuesta a cualquier comportamiento inusual.

La respuesta a incidentes (IR) y las operaciones de seguridad siempre han sido trabajos de tiempo completo, y parece que no será más fácil en el futuro cercano.


The Secret IR Insider trabaja en el proveedor de soluciones y servicios de seguridad cibernética Check Point Software.

Especialistas en respuesta a incidentes (RI), se encuentran en la primera línea de la batalla en curso contra los ciberdelincuentes maliciosos, el ransomware y otras amenazas.

Su verdadera identidad es un misterio.

Exit mobile version