OpiniónSeguridad

¿Por qué la seguridad proactiva permite tiempos de respuesta y recuperación más eficientes?

Por Kaylin Malutich, DFIR Consultant Americas de NTT Ltd.

Desde los primeros ataques cibernéticos, los actores de amenazas han conseguido aprovechar fácilmente   la vulnerabilidad de las organizaciones para obtener acceso y mantener su presencia en entornos empresariales. Las organizaciones deben estar preparadas para enfrentar de manera inevitable los incidentes. Esto significa que deben implementar medidas y procesos de seguridad proactivos para garantizar que las organizaciones minimicen las brechas de seguridad y tengan procesos repetibles cuando ocurra otro incidente.

Además de realizar pruebas de penetración internas y externas, escaneos de vulnerabilidades, capacitación en concienciación de seguridad y administración de parches, realizar una evaluación de compromiso al menos anualmente puede ser una manera de identificar brechas que no sabía que existían en su entorno. Una evaluación de compromiso es una revisión exhaustiva de la actividad de la red para identificar actividades sospechosas y / o maliciosas, configuraciones erróneas, violaciones de políticas, debilidades o intrusiones, y sirve como un enfoque proactivo para fortalecer el estado de seguridad del entorno.

Consejos de evaluación de compromiso

Algunos consejos útiles para mantener a las organizaciones listas para la batalla con una evaluación de compromiso incluyen, entre otros:

• Utilizar los resultados del informe de análisis de vulnerabilidad o feeds de inteligencia de amenazas para revisar los datos de registro para identificar comportamientos anómalos.

• Usar soluciones de detección y respuesta de los endpoints (EDR) para realizar la búsqueda de amenazas y así revelar anomalías del sistema.

• Revisar el entorno O365 para ver las reglas de reenvío habilitadas a direcciones de correo electrónico externas en cuentas que no están en una lista de excepciones aprobada.

• Hacer preguntas a los departamentos internos en función de lo que se está observando y documentar todos los hallazgos.

Si una organización no tiene un plan de respuesta a incidentes, “ayer” era  el momento de haber  implementado  uno. No se trata de "si", sino de "cuándo" se está lidiando con un incidente y si no se tiene un plan para que la  organización lo siga una vez que ocurra un desastre, podría tener un impacto devastador en el negocio y ser extremadamente costoso. Los planes de respuesta a incidentes que se leen, comprenden, practican y mantienen anualmente tendrán una mayor tasa de éxito cuando se implementen.

Las organizaciones necesitan planes de respuesta a incidentes para cuando ocurra un desastre

Además, crear runbooks o procedimientos operativos estándar para escenarios genéricos como violaciones de datos, malware, phishing, ransomware, incluso adquisición de datos. Si la organización se enfrenta a un incidente que se aplica a uno de sus runbooks, tiene un proceso repetible para que el  equipo lo siga que reducirá drásticamente el tiempo de respuesta. Recordar revisar los libros de registro junto con el  plan de respuesta a incidentes anualmente, permitirá  a las organizaciones estar listas y preparadas para la batalla.

Es necesario llevar a cabo ejercicios de simulación del plan de respuesta a incidentes y runbooks con el  equipo de seguridad, pero también conviene incluir a ejecutivos, RRHH, asesoría legal interna y externa, y también a  equipos de PR y TI. Este nivel de colaboración y esfuerzo asegurará que cada persona esté familiarizada con el plan de respuesta a incidentes, entiendiendo qué roles y responsabilidades desempeñan cuando ocurra un incidente, e identificará las brechas en el plan u otros procesos internos que el plan de respuesta a incidentes pueda hacer referencia.

Gestion de las  estaciones de batalla

En conclusión, una evaluación de compromiso anual junto con un plan proactivo puede ayudar a identificar actividades maliciosas y / o sospechosas que ocurren

dentro de un entorno antes de que ocurra la degradación crítica del sistema. Preparar y armar las  organizaciones  con un plan de respuesta a incidentes, runbooks y ejercicios de simulación anuales que ejerciten el plan de respuesta a incidentes y runbooks con escenarios de ataque en el mundo real, dará como resultado tiempos de respuesta y recuperación más rápidos y eficientes, así como reducirá el impacto en las operaciones comerciales. Las evaluaciones de compromiso, los ejercicios de simulación y la respuesta a incidentes son acciones importantes y necesarias para garantizar que la organización esté lista para la batalla.

Computing 793