Las crisis son eventos normales en todas las empresas sin distinción de tamaño o rubro. Una crisis puede ser aprovechada cuando es manejada de forma inteligente y vista como una oportunidad de transición hacia una mejora dentro de la organización.
Para sacarle mejor provecho a una situación disruptiva, es necesario utilizar todas las perspectivas posibles para así abordarla de forma eficiente. Dentro de los departamentos de tecnología, normalmente se cuenta con un “Plan de Recuperación de Desastres” (DRP), en el que se prevé cómo hacer frente a casos de siniestros, así como los escenarios de recuperación para evitar interrupciones en los procesos de negocio.
Asimismo, el área de ciberseguridad debe contar con un “Plan de Respuesta a Incidentes”(IRP), en el que se deberá de tener playbooks con puntos a considerar en caso de un ciberataque.
¿Pero qué sucede cuando nuestro escenario no está contemplado en nuestro IRP y la empresa no cuenta con un plan de recuperación ante un ciberataque? Las amenazas tipo Zero Day o Data Breaches nos ponen en la posición particular de tener que actuar sobre la marcha sin tener mayor información de primera mano.
Un ejemplo de esto fue lo sucedido con el CVE-2021-44228, mejor conocido como “log4j”, en el que millones de empresas y dispositivos estaban en peligro de sufrir un remote code execution por parte de no una, sino muchísimas organizaciones de cibercriminales que escaneaban en la web posibles víctimas para su explotación y posterior uso para ransomware.
Ya no es suficiente contar con backups en caso de un secuestro de información, en los que se podía hacer una restauración de snapshots (ojo con las pruebas de recuperación adicional al proceso de backups), dado que los actores maliciosos amenazan con publicar la data encriptada y ya no solamente hacerla indisponible para una empresa.
Preparándonos para una crisis.
Si bien es cierto que no podemos prever todos los posibles escenarios en casos de ciberataques, si es posible adecuar a una organización para afrontar la crisis que está en proceso.
La siguiente guía puede indicar algunos puntos a seguir para la preparación y manejo de una situación de crisis ante un ataque cibernético.
Antes
Contar con un equipo de ciberinteligencia. Ciberseguridad debe tener un equipo de threat intelligence, que monitoree las posibles amenazas dentro de una organización. Este, debe colaborar con el Centro de Operaciones de Seguridad (SOC), para detectar actividades inusuales en los sistemas y alertar precisamente si se avecina una crisis.
Crear y mantener actualizado el “Plan de Respuesta de Incidentes”. Crear playbooks o manuales en los que se ejemplifican escenarios con checklists para cada equipo definido en el plan de respuesta de incidentes. Por ejemplo, en caso de un ransomware, es necesario identificar el tipo de cepa, el alcance, el tipo de información expuesta, donde está alojada, desde que país podría estarse ejecutando la amenaza, que equipos están involucrados, etc.
Crear un equipo de respuesta a incidentes. Cada miembro debe representar un eje de la organización incluyendo al negocio y a la alta dirección. Dichos miembros deben de contar con un rol definido de lo que se espera de ellos en una crisis, y a su vez, con una posición que le permita tomar decisiones inmediatas como por ejemplo cortar la comunicación de un puerto específico en los firewalls o bajar un webserver.
Contar con un seguro contra riesgos cibernéticos. Especialmente si hablamos de instituciones financieras. Los ciberatacantes pueden dejar inutilizables nuestros equipos, por tanto, la destrucción y reconstrucción de ambientes en la nube, fianzas por exposición a la protección de datos personales, etc., deben ser cuantificados en nuestro perfil de riesgo, incluyendo el riesgo residual.
Durante
Comunicar. Ciberseguridad es el responsable de acudir a los miembros de respuesta ante incidentes y transmitir la gravedad de la situación. De esta forma se podrá sopesar el nivel de severidad con el que se debe manejar.
Análisis y definición de plan de acción. Una vez los miembros del equipo de respuesta de incidentes o de las principales áreas de la organización determinen que en efecto están ante una crisis, es necesario formular el plan de acción que dará paso a las acciones necesarias de cada departamento para su contención y mitigación.
Crear un war room (o varios). Reunir a los actores necesarios en donde se esté atendiendo la operación a la mitigación de la crisis.
Mantener la calma. Normalmente dentro de las organizaciones, este tipo de crisis deben manejarse con mucha discreción y nunca usar la palabra “ataque” o “hackeo”, más bien, administrar los ánimos de los stakeholders con comunicación y avances continuos, no disimulando la gravedad de la situación, pero sí informando acerca de las acciones que están siendo tomadas.
Documentar. Dado que todos estarían en modo break-the-glass, es necesario mantener la documentación de cambios, alteraciones a los sistemas, bitácora de lo que cada equipo está ejecutando, control de elevación temporal de privilegios, entre otros. Nada puede quedar sin justificación, de lo contrario podrían abrirse brechas posteriores, incluso más grandes que la que se está atendiendo.
Prepararse para el peor escenario. Ante la inminente pérdida de información, es importante preguntarse: ¿qué se está dispuesto a hacer? ¿Qué tipo de consecuencias se enfrentan? ¿Es necesario informar a clientes y accionistas? Este tipo de decisiones las debe tomar la alta dirección con la información y recomendación de los equipos que conforman el plan de respuesta de incidentes.
Después
Capitalizar la experiencia. Contar con una sesión posterior para el levantamiento de todo lo sucedido, incluyendo la documentación de mejores prácticas que serán incluidas en el plan de manejo de incidentes y gestión de riesgos.
Revertir privilegios y cerrar sistemas / configuraciones temporales. En caso de que se haya realizado elevación de privilegios a grupos o miembros de una empresa, o que se hayan abierto security groups, habilitado o cerrado puertos, etc., estos deben ser revertidos con el nivel de hardening adecuado para evitar cualquier otro posible ataque.
Monitoreo. Es sabido que muchos ciberatacantes dejan rootkits (paquetes de software diseñados para permanecer ocultos), tareas automatizadas o sistemas silenciosos que pueden activarse remotamente. Ciberseguridad con el conocimiento adquirido durante la crisis (basados en Indicadores de Compromiso (IOCs): hashes, IPs comprometidas, procesos maliciosos, etc.), puede monitorear comportamientos anómalos o posibles patrones que puedan estar asociados a la amenaza que originó la crisis.
Cada organización es diferente, lo antes mencionado son los puntos mínimos por considerar en el manejo de una crisis en caso de un ciberataque.
Cuanto más madura es una organización en términos de ciberseguridad, irá incluyendo puntos de mejora y planes de acción específicos que apoyarán la erradicación de la frecuencia de dichas crisis.
Más sobre el autor:
Gema Landaverde
Cuenta con 18 años de experiencia destacando su participación en el área de Ciberseguridad. Actualmente dirige un equipo global de Seguridad Ofensiva y Threat Intelligence para una empresa mundial de Analytics.