Recientemente Robin Jackson, consultor principal de CrowdStrike, realizó un webcast titulado "Cyber Extortion: Digital Shakedowns and How to Stop Them,”, en el que discutió los tipos de crímenes digitales que están ocurriendo y lo que las organizaciones deben hacer si son atacados, incluyendo específicamente estrategias avanzadas de prevención.
Jackson centra gran parte de su discusión en lo que las organizaciones pueden hacer para protegerse mejor, ofreciendo una serie de consejos que permitan ayudar a prevenir un ataque:
• Establecer un entrenamiento consistente - Como Jackson lo define, "No vivimos en un entorno en el que simplemente se puede dar click en documentos no solicitados que no han sido examinados y verificados". A pesar de la frecuencia con la que los empleados son advertidos de no hacerlo, especialmente con enlaces desconocidos y archivos adjuntos , estos métodos siguen funcionando con efectividad para los agresores. Es importante que las organizaciones se aseguren de mantener una vigilancia y capacitación continua para el personal al interior.
• Estar al tanto de la actividad personal en Internet - Las organizaciones necesitan conocer las actividades personales de los usuarios en la red. Jackson enfatizó: "La gente necesita ser consciente de que especialmente en Internet, al ser parte de una empresa tienen que ser muy cuidadosos para que no se conviertan en el blanco de una amenaza de extorsión, especialmente funcionarios, financieros, el área de administración y los que desempeñan papeles similares ".
• Verificar los intentos de extorsión - Jackson compartió que la extorsión es un crimen de bajo perfil ya que las víctimas a menudo se sienten avergonzadas. Una forma de extorsión es intimidar con ataques de DOS y QOS (denegación de servicio y calidad de servicio), en donde los perpetradores pueden amenazar con una gran irrupción del servicio. En estos casos, Jackson sugiere que las víctimas primero traten de averiguar si su atacante es realmente capaz de lanzar un ataque tan masivo. "En un caso reciente que investigamos, descubrimos que el atacante en realidad sólo era capaz de derribar alrededor de 16 Gb por segundo, mucho menos de lo que estaban amenazando", aseguró.
• Realizar ejercicios de rutina - Hacer ejercicios en el mundo real antes de enfrentarse a un ataque dañino hace que las organizaciones sean más capaces de prevenir una. De acuerdo con Jackson: "Los ejercicios de rutina pueden darte una idea de dónde necesita poner un Snort (software de detección de intrusiones de red) o un dispositivo, o dónde necesita poner un SIEM para que sus registros estén siendo reconocidos adecuadamente".
• Realizar pruebas de prevención- De forma regular, es necesario que alguien analice a su red como si un atacante lo hiciera. encontrando aplicaciones específicas para detectar vulnerabilidades e intentar acceder agresivamente al sistema.
• Distribuir sus copias de seguridad - Las organizaciones necesitan tener copias de seguridad en su lugar, pero no pueden estar en su sistema porque se enumerarán cuando el ransomware empiece a cifrar. Jackson asegura que: "Una de las primeras cosas que hace un atacante es buscar sus copias de seguridad, por lo que necesita ser riguroso acerca de la separación de la conexión de red entre sus copias de seguridad y la organización".
• Cifrar sus datos - Sus datos confidenciales deben ser cifrados, tanto en reposo como en movimiento. Jackson también aboga por mantener algunos datos fuera de su red por completo. "Algunos datos no deben permanecer en ninguna parte en donde un actor pueda llegar a ella - las empresas necesitan organizar sus datos y ser conscientes de que cualquier cosa en una red es accesible con privilegios
elevados", señaló.
• Garantizar la mejor instrumentación - Jackson señaló que la instrumentación adecuada le permite ver lo que está sucediendo en su red más allá de la simple búsqueda de malware. Reiteró que cada vez más, los agresores están usando ataques sin archivos, libres de malware, que las soluciones anti-malware y AV estándar no pueden detectar. Soluciones como la plataforma CrowdStrike Falcon® usan nuevos sistemas de protección.
• Crear un plan de comunicaciones - Si su organización es atacada, debe estar lista para los medios de comunicación, incluyendo la identificación de un portavoz y tener un plan de comunicaciones en su compañía. Explicó: "Ya se trate de extorsión o rescate, el momento equivocado para encontrar a la persona que lo
ayude está en medio de un incidente".
• Póngase en contacto con la policía - Si encuentra que sus datos han sido extraídos exitosamente, es importante ponerse en contacto con la policía. Jackson indicó que incluso si no tienen éxito en la búsqueda de los autores en su caso, su cooperación con ellos va a contribuir con su capacidad para encontrar y enjuiciar a los ciberdelincuentes que amenazan a todas las organizaciones.
Robin Jackson tiene una amplia experiencia investigando a algunos de los principales y más prolíficos actores de amenazas en la actualidad. Asimismo, ha realizado investigaciones de seguridad para varias organizaciones y está bien documentado sobre el tipo de crímenes digitales que pueden vulnerar a las organizaciones. Como miembro del equipo de servicios profesionales de CrowdStrike, trabaja con los equipos de Respuesta a Incidentes y Equipos deFalcon Intelligence ™.
Acerca de CrowdStrike®
CrowdStrike es el líder en protección de endpoint de próxima generación basado en la nube. CrowdStrike ha revolucionado la protección de los endpoint al ser la primera y única compañía en unificar Antivirus (AV) de próxima generación, detección y respuesta de endpoints (EDR) y un servicio de cacería gestionada 24/7, todo a través de un único agente liviano. La plataforma CrowdStrike Falcon®, certificada para reemplazar el antivirus heredado, ha reinventado la forma en la que la seguridad del endpoint es entregado con una arquitectura basada en la nube con liderazgo en la industria. CrowdStrike Falcon protege a los clientes contra todos los ataques cibernéticos, utilizando inteligencia artificial sofisticada sin firmas y aprendizaje automático e indicadores de ataque (IOA) basados en la prevención de amenazas para detener tanto amenazas conocidas como desconocidas en tiempo real. El núcleo de su enfoque innovador es el CrowdStrike Threat Graph ™, el cual analiza y correlaciona más de 34 mil millones de eventos por día de millones de sensores desplegados en 176 países, ofreciendo de forma exclusiva una protección colaborativa para toda la comunidad de clientes.
Muchas de las organizaciones más grandes del mundo han puesto su confianza en CrowdStrike, incluyendo tres de las 10 mayores compañías globales por ingresos, cinco de las 10 instituciones financieras más grandes, tres de los 10 principales proveedores de servicios de salud y tres de las 10 principales compañías energéticas.
© 2017 CrowdStrike, Inc. Todos los derechos reservados. CrowdStrike®, CrowdStrike Falcon®, CrowdStrike Threat Graph™, CrowdStrike Falcon Prevent™, Falcon Prevent™, CrowdStrike Falcon Insight™, Falcon Insight™, CrowdStrike Falcon Discover™, Falcon Discover™, CrowdStrike Falcon Intelligence™, Falcon Intelligence™, CrowdStrike Falcon DNS™, Falcon DNS™, CrowdStrike Falcon OverWatch™, and Falcon OverWatch™ son marcas registradas de CrowdStrike, Inc. El resto de marcas, productos o nombres de servicios son o debieran ser marcas comerciales o marcas de servicios de sus respectivos dueños.
