Comentario de ciberseguridad sobre invasión a Ucrania (Attivo Networks)

.

El Director de Tecnología de Attivo Networks, Tony Cole, comenta que: 

“La repercusión de la invasión rusa a Ucrania tendrá un impacto significativo en los desafíos de ciberseguridad para las empresas y gobiernos de Estados Unidos, de sus aliados, y especialmente para los de Ucrania. En Estados Unidos, deberíamos esperar ataques importantes enfocados en cómo verá Putin a las organizaciones que ayuden a promover sanciones a Rusia y sus oligarcas. La Agencia Estadounidense de Ciberseguridad e Infraestructura ya ha publicado advertencias sobre ataques en varias áreas, incluyendo ataques rusos patrocinados por el estado contra contratistas de defensa autorizados. Podemos esperar ver ataques más frecuentes contra el sector financiero de Estados Unidos, el Departamento del Tesoro, el Departamento de Estado y muchos otros, enfocados en acciones en torno a las sanciones. El terreno anteriormente ganado al obligar al gobierno ruso a acabar con los grupos  criminales de ransomware enfocados en afectar a las empresas estadounidenses probablemente se evaporará y es posible que esos mismos grupos sean alentados a aumentar su actividad ilícita. 

Las empresas en infraestructura crítica y en general las organizaciones de México deben tomar los siguientes pasos de inmediato.   

  • Asegurarse de que la autenticación multifactor se implemente y sea obligatoria para cada usuario.
  • Aumentar los esfuerzos en torno a las actividades de ciber higiene para mantener actualizadas todas las aplicaciones y sistemas operativos, incluyendo exposición de credenciales almacenadas en los usuarios.
  • Supervisar y administrar cuidadosamente los sistemas de servicios de identidad como Directorio Activo e implementar la detección de ataques dentro de él, sin descuidar el tema de diagnóstico continuo para reducir la superficie de ataque,
  • Identificar anomalías en torno a la explotación de credenciales, uso sospechoso de cuentas privilegiadas, que al igual que las de Directorio Activo (ej. enumeración) son tácticas consistentes en los grupos de ransomware.
  • Asegurarse de que se realicen con frecuencia las copias de seguridad, se mantengan fuera del sitio y se conserven en un estado prístino.
  • Mantener actualizado su plan de respuesta a incidentes (IR) y practicarlo con todo el personal clave. Agregar un contrato de IR externo si se carece de experiencia.
  • Interactuar y conocer a su equipo legal local antes de cualquier incidente importante.
  • Conocer, comprender y seguir otras mejores prácticas de NIST (Cybersecurity Framework), MITRE ATT&CK, and MITRE & Engage