Tras un ataque, cada minuto cuenta. La importancia de actuar correctamente y en tiempo pude ser importantísima. No se trata solo de proteger la información, sino también de salvaguardar la reputación corporativa. Saber cómo actuar ante un ataque es crucial para saber responder correctamente a una brecha en nuestra seguridad.

Para ejemplificar lo anterior, es importante analizar la resolución E/09159/2020 de la AEPD en la que una empresa importante del sector de los seguros en España, sufrió un ciberataque en agosto de 2020, y las actuaciones pre y post ataque son ejemplos a seguir cuando esto llegue a ocurrir.

En dicho suceso, el 14 de agosto de 2020, a las 18:41 horas, el atacante se conectó a la red de la EMPRESA y a las 19:40 comenzó a distribuir un ransomware sobre la lista de sus servidores.

A las 21:11 horas se identificó el fallo y se estableció el protocolo establecido de Alto Impacto y se procedió a hacer un escalado de la situación. A los 10 minutos se activó el Comité de Crisis desde el área de seguridad. A las 21:30 horas se activó el Plan de Continuidad de Negocio y se activó una call permanente con el personal de las áreas de Seguridad y Tecnología.

Una vez que se identificó que se trataba de un ataque de ransomware, la EMPRESA dio las primeras instrucciones para contener y evitar la propagación del ataque:

• Apagado de todos los servidores no considerados imprescindibles.
• Sacar de línea la copia de backup, y aislar determinados segmentos de red.
• Cortar las conexiones desde la EMPRESA hacia el resto de terceras empresas
• Limitar el número de conexiones remotas a un reducido número de usuarios.

A las 23.30, desde el área de Seguridad, se inició una ronda de contactos con los equipos de seguridad de los principales socios de negocio, a fin de informarles de la situación.

El 15 de agosto, a las 00:45 horas, el Comité de Crisis hizo un análisis inicial de impacto y tomó decisiones al respecto:

* Reuniones diarias de seguimiento y contacto constante; reuniones diarias con el resto de comités de crisis de entidades subordinadas priorizando la contención de ciberataque, así como la prestación del servicio al cliente.

* Se confirmó la disponibilidad e integridad de la copia de backup.

* Se empezó a trabajar en la estrategia a seguir para la recuperación de los equipos y servicios.

* Se confirmó la no afectación de los servicios ubicados en las distintas cloud.

* Se contactó a una empresa para que los apoyaran en la gestión del incidente.

* Se estableció un plan de refuerzo para impedir eventuales nuevas intrusiones, entre las que se incluye el reseteo de contraseñas de administradores, la reducción de usuarios administradores, el refuerzo del Directorio Activo, un incremento inmediato del nivel de seguridad de las herramientas de seguridad, fortificación de la seguridad en puestos y servidores, aumento de las capacidades de monitorización, detección y respuesta, etc.

A las 04:18 horas se identificó y se aisló el malware, mismo que se envió a la empresa de apoyo para su análisis y trabajaron estrechamente con dicha empresa.

A las 08:30 horas llegó personal de refuerzo de proveedores externos del Contact Center para la atención a clientes.

Se contactó al INCIBE y CCN-CERT para informar el ciberataque.

Se contacta con la Dirección General de Seguros y Fondos de Pensiones para informar del ciberataque. Se publica en la página web de la EMPRESA (apartado sala de prensa) un comunicado oficial sobre el incidente.

El 16 de agosto se notificó el ciberataque a la AEPD. Asimismo, se tomó la decisión de restaurar el servicio de puesto de trabajo para empleados en Windows Virtual Desktop.

Medidas de minimización del impacto de la brecha y para su resolución

• Como medida de precaución, para evitar la propagación del malware al resto de la red, se aislaron varios segmentos de esta y se apagaron los sistemas hasta confirmar el alcance de la brecha.
• Esto, junto al elevado número de equipos y servidores cifrados, supuso una degradación y pérdida temporal del servicio e hizo necesaria la activación del Plan de Continuidad de Negocio a fin de garantizar su prestación.
• Consecuencia de ello, desde el momento de la detección, se convocó al Comité de Crisis, integrado por los máximos responsables de las principales áreas de la entidad, y se creó un Grupo de Trabajo multidisciplinar con los máximos expertos tanto de tecnología como de seguridad del Grupo en la materia.

• En paralelo a las tareas de contención del ciberataque, se abrió una línea de trabajo específica para conseguir la restauración de los sistemas y aplicaciones de forma que se recuperara cuanto antes el servicio a clientes y resto de grupos de interés.
• En este trabajo participaron intensamente el conjunto de proveedores que prestan a la compañía servicios tecnológicos relacionados con los sistemas afectados.
• Se iniciaron los trabajos para la restauración segura, en un entorno limpio y controlado, de los sistemas de información afectados por el ciberataque y se consiguió restablecer los servicios más críticos de forma rápida.
• Paralelamente a la restauración del servicio a los clientes, desde el primer momento de la detección del incidente se inició el trabajo de investigación del ciberataque, con el objetivo de conocer los detalles del mismo en tres líneas diferentes en función del marco temporal y objetivos de las mismas.
• Se constató la no existencia de evidencias de fugas de información ni de expansión de los atacantes a otros entornos distintos del de los sistemas ubicados en España.
• Desde la misma noche del Incidente se contactó por los canales establecido al efecto con el CCN-CERT y el INCIBE, a fin de informarles de lo sucedido, compartir la información disponible sobre el tipo y características del ataque que posibilitara la reducción del riesgo de expansión a otras organizaciones y recabar su apoyo.
• Asimismo, los hechos se denunciaron ante la Guardia Civil.
• Conforme se fueron obteniendo los resultados de los trabajos de investigación antes mencionados, se establecieron líneas de colaboración con otros fabricantes de software y soluciones de seguridad, con el objetivo de establecer un plan de refuerzo de la seguridad cuyo alcance no se limitó exclusivamente a España, sino al resto de países donde está implantado el Grupo.
• Este Plan incluyó las siguientes medidas urgentes a corto plazo que se han ido ejecutando al mismo tiempo que avanzaban los trabajos de investigación del Incidente, si bien incluye también medidas a medio plazo que se irán acometiendo en los próximos meses.
  1. Refuerzo de las medidas específicas de prevención y detección de ataques en la política antivirus.
  2. Incremento de los umbrales de detección y del nivel de protección de la plataforma Antispam.
  3. Ampliación a todos los colectivos de usuarios de la autenticación multifactor para accesos remotos.
  4. Incremento de capacidades de monitorización, detección y respuesta con la aceleración del despliegue de soluciones (…) específicas en puestos y servidores.
  5. Incorporación de nuevas reglas específicas de detección en los sistemas de monitorización basadas en la experiencia acumulada.
  6. Aumento de las restricciones a la navegación por Internet.
  7. Inclusión de los indicadores de compromiso (IoC) relacionados con el ciberataque en la distintas plataformas y filtros de seguridad existentes (FW, IPS, Filtros de Contenido, etc.)
  8. Elevación del nivel de alerta en los sistemas de prevención de ataques DDoS – Incremento del nivel de control del uso de usuarios administradores.

Fotos: thommas68, Tumisu y 0fjd125gk87

La entrada ¿POR QUÉ ES IMPORTANTE TENER BAJO CONTROL LAS PRIMERAS 72 HORAS TRAS UN CIBERATAQUE? (Parte 1/2) se publicó primero en Blog.