CUATRO CONCEPTOS ERRONEOS DE LA EXFILTRACION DE DATOS

El ransomware se lleva toda la atención porque los ataques exitosos bloquean a las víctimas fuera de sus sistemas vitales. La interrupción del negocio junto con las grandes sumas de dinero que requieren los ciberdelincuentes hacen que estos eventos sean noticia de primera plana y difíciles de ocultar para la víctima. Luego, las víctimas deben realizar una restauración integral de su red para garantizar que el actor de la amenaza ya no tenga acceso.

Algunas infracciones solo ven los datos extraídos, pero el entorno no se ha cifrado. No nos equivoquemos: la recuperación ante desastres también es necesaria en este caso

Según la aseguradora cibernética Beazley , la filtración de datos estuvo involucrada en el 65 % de sus incidentes de extorsión cibernética en el primer trimestre de 2022. Sin el componente de interrupción comercial del ransomware, la gran mayoría de los casos de filtración de datos nunca llegan a los medios de comunicación.

Esto también es común en los ataques de estados-nación, que se han incrementado desde que Rusia invadió Ucrania. Un informe reciente de Microsoft encontró que las agencias de inteligencia rusas han aumentado la penetración de la red y los esfuerzos de espionaje dirigidos a Ucrania y sus aliados. El informe pide “una estrategia coordinada e integral para fortalecer las defensas contra toda la gama de operaciones de ciberdestrucción, espionaje e influencia”.

Esto destaca por qué el ransomware no es la única amenaza digna de limpiar un entorno. Independientemente de si solo se trató de una filtración de datos, es fundamental recopilar datos forenses y hacer que un socio de recuperación ante desastres use el informe, incluidos los detalles de cómo el actor de amenazas obtuvo acceso y comprometió la red, para informar cómo construye un entorno nuevo y limpio.

Si un actor de amenazas ha obtenido acceso a un entorno, debe considerarse “sucio”. Incluso si no se ha cifrado, es vital que se recupere el entorno para que esté mejor protegido la próxima vez que un actor de amenazas intente violarlo. 

Profundicemos en cuatro conceptos erróneos comunes sobre los eventos de exfiltración de datos y por qué las víctimas deberían tomarlos tan en serio como un ataque de ransomware.

TI = seguridad

Los ejecutivos a menudo piensan que TI es sinónimo de seguridad, pero en realidad, la función de TI es habilitar las funciones comerciales que generan ingresos. El concepto erróneo ejerce presión sobre el equipo de TI y crea una brecha de seguridad donde la junta directiva no obtiene la información que necesita y el equipo de seguridad no obtiene la dirección que necesita.

Con demasiada frecuencia, vemos que los equipos de seguridad carecen de un oficial superior y, en cambio, informan a los directores de TI. Eso es como tener un coordinador defensivo que informe al coordinador ofensivo, quien informa al entrenador en jefe. ¿Qué lado del equipo de fútbol crees que puede gastar más en la agencia libre en ese escenario?

Las organizaciones pueden resolver esto al tener un director de seguridad de la información (CISO) que trabaje con el equipo de TI, pero informe a la junta y explique el riesgo a los ejecutivos para que puedan decidir cuál es su apetito por el riesgo. Cuanto más puedan cuantificar los profesionales de la seguridad su riesgo, más posibilidades habrá de que los directorios entiendan lo que está en juego y actúen en consecuencia.

Estamos cubiertos…

La seguridad no debe ser una idea de último momento. Por ejemplo, algunas pequeñas y medianas empresas no tienen el presupuesto para respaldar inversiones sustanciales en seguridad y creen erróneamente que tener un seguro cibernético es un sustituto aceptable.

Los actores de amenazas son lo suficientemente inteligentes como para hacer un reconocimiento de qué organizaciones tienen cobertura y realmente leer sus políticas para comprender cuánto estaría cubierto en un pago de rescate. Esto les dice exactamente cuánto pueden exigir para forzar la mano de la víctima.

Las aseguradoras están exigiendo nuevos controles como la autenticación multifactor (MFA) o la detección y respuesta de puntos finales para moderar su riesgo en la cobertura de los clientes. Sin embargo, esto no es infalible y puede ser solo otra casilla para que una empresa verifique cuando busca obtener cobertura.

Por ejemplo, si compra una herramienta de protección de terminales pero no la implementa correctamente ni la ajusta a sus especificaciones, no protegerá sus datos. Según Beazley , las organizaciones tienen más del doble de probabilidades de experimentar un ataque de ransomware si no han implementado MFA.

Todavía estamos operativos, así que estamos bien.

Si una víctima no ha sido bloqueada, es tentador tratar de hacer negocios con normalidad e ignorar lo que le acaba de pasar a la red. Lo que esas víctimas no se dan cuenta es que, si no limpian su entorno, los actores de amenazas aún tienen capacidad de mando y control.

Una empresa que se toma en serio la ciberseguridad llamará a su aseguradora y solicitará la ayuda de un socio de análisis forense digital y respuesta a incidentes (DFIR) para analizar los indicadores de compromiso y crear un entorno de TI nuevo, limpio y seguro.

Un buen socio de DFIR puede trabajar en un programa de mantenimiento normal y limpiar su red en fases durante sus horas fuera de línea y los fines de semana para minimizar el impacto en su entorno de producción y mantener alejados a los actores de amenazas.

El rayo no caerá dos veces

Muchas víctimas no entienden cuán grave fue su violación de datos . Asumen que, dado que no estaban encriptados, pueden realizar cambios menores en su firewall y creen que estarán más seguros en el futuro.

Eso simplemente no es suficiente acción para tomar. Según el reciente Estudio de violaciones de datos de Cymulate , el 67 % de las víctimas de delitos cibernéticos en el último año han sido atacadas más de una vez. ¡Casi el 10% experimentó 10 o más ataques!

Los actores de amenazas publican y venden datos en la web oscura, y si no está seguro de cómo entraron para empezar y no crea un entorno nuevo y limpio… bueno, probablemente pueda adivinar lo que sucede a continuación. Volverán a su red y atacarán con más fuerza que antes.

Las víctimas de la filtración de datos deben comprender qué tan real es esa amenaza, observar de cerca su red e implementar las defensas adecuadas para mantener alejados a los actores de amenazas. El costo de la inacción podría ser devastador.