¿Pueden las organizaciones retroceder en el tiempo después de un ciberataque?

Autor: Patrice Puichaud

A raíz de una brecha cibernética, los costos de interrupción, tiempo de inactividad y recuperación pueden escalar pronto. Como hemos visto por los recientes ataques de alto perfil, estos costos pueden tener un impacto serio en los resultados de una organización. El año pasado, a raíz del ataque Notetia, Maersk, Reckitt Benckiser y FedEx tuvieron que emitir advertencias de que los ataques le habían costado a cada compañía cientos de millones de dólares . Si bien aún no se conoce el alcance completo, se ha subrayado el impacto financiero que pueden tener tales infracciones.

La gravedad de una infracción a menudo está vinculada a los costos asociados con la respuesta y la reparación del daño. Sin embargo, hay formas en que las organizaciones pueden minimizar una parte del proceso particularmente costosa: los nuevos enfoques para la corrección posterior a la brecha significan que las organizaciones pueden, en efecto, hacer retroceder el tiempo a un estado de “incumplimiento previo”.

Los costos de una violación

Los ciberataques pueden paralizar un negocio y tomar días para aclarar. Para las organizaciones más grandes que se ven afectadas por un incidente, el costo de la remediación podría incluir daños a la reputación de la marca, costos legales, establecimiento de mecanismos de respuesta para contactar a las víctimas de la violación, y más. Para las organizaciones más pequeñas, a pesar de que los costos de remediación pueden ser menores, asumirán una mayor proporción de sus ingresos operativos; desde la pérdida de datos hasta equipos dañados o inoperables, así como la interrupción del negocio normal. También está el costo de cualquier multa que se genere debido a fallas en el cumplimiento. De hecho, Ponemon ahora calcula que el costo promedio de una infracción es de $ 3.62 millones.

Esta operación de limpieza puede representar una seria pérdida para el tiempo y los recursos de una organización. El proceso de reparación y recuperación de datos de activos de TI comprometidos se informa consistentemente como uno de los elementos más costosos de la violación. Los ataques de Ransomware, en particular, es probable que sean más difíciles de remediar, al dirigirse a sistemas que son más difíciles de respaldar, lo que significa que los costos de limpieza después de una violación empeorarán. Pagar el rescate no es garantía de que se recuperarán los archivos: de hecho, el 20% de las víctimas de ransomware que pagaron nunca obtuvieron sus archivos.

Parte del desafío es que los ciberataques son cada vez más inteligentes y sigilosos, y detener cada ciberataque en su camino, antes de que llegue a la red y pueda infligir algún daño, no es realista. Lo que deben buscar las organizaciones es, en todos los casos, identificar el virus lo más rápido posible, detener el ejecutable y aislar el punto final infectado de la red. Durante la ejecución, el malware a menudo crea, modifica o elimina los archivos del sistema y la configuración del registro, además de realizar cambios en la configuración. Estos cambios, o restos remanentes, pueden causar un mal funcionamiento o inestabilidad del sistema.

Para las organizaciones que están lidiando con cientos de incidentes todas las semanas, la empresa puede tener un impacto grave al trabajar para volver a crear imágenes o reconstruir sistemas, o reinstalar archivos que se han visto afectados. No solo se debe tener en cuenta el trabajo perdido, sino también el tiempo de inactividad mientras se restauran los sistemas, ya que los empleados se ven obstaculizados si no pueden acceder a los archivos y sistemas que necesitan.

Existen enfoques a través de los cuales estos costos pueden minimizarse: una nueva generación de protección de punto final observa el comportamiento del malware para marcar actividades que se ven como anormalidades y pasos en la línea de ejecución para desviarlo por completo. Además, esta nueva generación de soluciones tiene capacidades de remediación para revertir cualquier modificación hecha por el malware.

Esto significa que cuando los archivos se modifican o eliminan, o cuando se realizan cambios en la configuración o los sistemas de configuración, puede deshacer el daño sin que los equipos tengan que volver a crear la imagen de los sistemas. Esta capacidad para revertir automáticamente los sistemas comprometidos a su estado anterior al ataque minimiza el tiempo de inactividad y la pérdida de productividad.

Evaluar el impacto

El trabajo aún no está hecho: un aspecto que a menudo se pasa por alto de la evaluación posterior a un evento de lo sucedido debería centrarse en cómo prevenir la repetición de un incidente similar. Para que el personal de seguridad identifique rápidamente el alcance del problema, es esencial que la seguridad de la cadena de interrupción y de los puntos finales afectados en toda la organización sea clara y oportuna. Con el fin de evaluar el impacto y el riesgo potencial, las organizaciones necesitan tener seguridad luego para confirmar si una amenaza particular estaba presente en su patrimonio: la capacidad de buscar Indicadores de compromiso (IoC) es vital. Los datos forenses en tiempo real permiten a las organizaciones rastrear amenazas o investigar después del ataque para proporcionar información sobre exactamente a qué vulnerabilidad se dirigió el atacante, y cómo.

Con el aumento de los costos de las infracciones, es más importante que nunca tener la capacidad de aprender de los incidentes para evitar que la historia se repita. Incluso si no es posible frustrar cada ataque, un enfoque de seguridad completo que incluya prevención, detección, mitigación automática y análisis forense garantizará que el impacto de cualquier incidente se minimice y que las operaciones normales se puedan reanudar lo más rápido posible.

Sobre el autor: Patrice Puichaud es Director Senior para la región EMEA, en SentinelOne.

Fuente principal: http://infosecisland.com/blogview/25069-Can-Organisations-Turn-Back-Time-after-a-Cyber-Attack-.html