English
El haber sufrido un incidente (o ciberincidente), o el haber sido víctimas de un ataque (o ciberataque), ¿es algo positivo o negativo? Para qué nos vamos a engañar, obviamente, negativo. Pero, ¿y si aprovechamos la ocasión para mejorar nuestras defensas, nuestras protecciones, nuestro modo de actuar y, por ende, nuestra imagen corporativa y la confianza que transmitimos a nuestros clientes?
"La información es poder" y "la experiencia es madre de la ciencia". Por ese motivo, investigar los incidentes acaecidos, e incluso aquellas acciones (o intentos) sospechosas o maliciosas cuyo objetivo final sea provocarlos para obtener unos determinados beneficios (aunque no se lleguen a materializar), es clave. Las "lecciones aprendidas" nos ayudan a tener ese conocimiento para ser capaces de establecer los controles y medidas correctoras más adecuadas, mejorando y protegiéndonos efectivamente, pudiéndonos anteponer a situaciones indeseadas.
Lo ideal sería lograr el más elevado nivel de resiliencia, entendida ésta como la capacidad de resistir y recuperarse. En el caso de la ciberresiliencia, la capacidad de resistir o contener ataques o incidentes (ciberataques o ciberincidentes, externos o internos, intencionados, o no) en el mundo digital, en nuestros sistemas y ecosistemas informáticos y las comunicaciones entre ellos y los de terceros (proveedores, partners, clientes, etc.), permitiendo la continuidad del negocio, que, definitivamente es el aspecto primordial a conseguir.
Así, la extracción de información (información forense) de un incidente o intento de incidente, su análisis por parte de verdaderos expertos y la obtención de conclusiones claras al respecto, permite ofrecer una propuesta de acciones correctoras, la elaboración de planes de mejora continua y la ejecución de controles y, en definitiva, la aplicación de un PDCA (Plan, Do, Check, Act) continuo, que ayudará a contener incidentes en tiempo y forma, protegernos, defendernos y recuperarnos mejor... para la próxima... que seguro llegará, aunque no se sabe cundo...
Los ciberdelincuentes buscan un determinado objetivo al atacarnos: robarnos información/datos y, con ella, obtener otros beneficios, generalmente económicos. Esto lo pueden hacer de diversas formas y utilizando diferentes mecanismos, cada vez más complejos y sofisticados (o incluso de lo más simples, valiéndose de las "debilidades" humanas, o del factor humano), pero casi siempre guiados por los siguientes pasos:
1. Reconocimiento: nos estudian, estudian nuestra organización, sus RRSS, sus sistemas, sus comunicaciones, su red, a sus empleados, colaboradores y partners, etc.2. Preparación: determinan y el modus operandi y disponen todo lo necesario para poder actuar de forma efectiva.3. Distribución: si lo requieren emplean aplicaciones, malware, mecanismos de explotación de vulnerabilidades, e incluso robustas estrategias de Ingeniería Social cada vez más efectivas que sofisticados ataques.4. Explotación: se aprovechan de una vulnerabilidad (tecnológica y/o humana, o ambas).5. Instalación: despliegan las aplicaciones, software, malware, etc., que consideran necesario.6. Comando y Control: consiguen entrar en nuestros sistemas, en nuestra red, e incluso adquirir perfiles con roles de elevados privilegios (administradores).7. Realización de la Acciones que consideren necesarias: generalmente, una vez que han conseguido determinados permisos, realizan movimientos laterales para realizar acciones concretas.
Sin embargo, todo esto dejará unos determinados "rastros", pistas, o evidencias de movimientos sospechosos que, nos pueden permitir detectar la situación en tiempo real (incluso antes de que se materialice el incidente, o este vaya más allá) para responder a tiempo contraatacando y tomando las medidas de contingencia necesarias en cada momento y caso.
Por eso, las tres claves principales de protección o de defensa contra este tipo de situaciones son la detección a tiempo (lo antes posible, algo que solamente nos aporta el conocimiento previo), la contención de la actividad maliciosa y la respuesta contra ese ataque (que está teniendo lugar) por parte de profesionales expertos en respuesta ante incidentes y análisis forenses (DFIR).
¡Esto es lo que hacemos, muy bien, y desde hace mucho tiempo en Zerolynx con nuestro servicio de Análisis Forense y Respuesta a Incidentes (DFIR)!
Te acompañamos, te asesoramos, te ayudamos, analizamos, te aconsejamos, te proponemos planes de acción/mejora, ayudamos a detener los ataques a tu empresa en base al conocimiento experto de nuestros ingenieros y al de tu organización, evitamos futuros incidentes potenciales, minimizamos el impacto de situaciones adversas, apoyamos investigaciones y procesos judiciales liderados por nuestros peritos judiciales (peritos forenses informáticos), etc.
En todo este proceso, debemos recopilar datos mediante técnicas forenses, manejar estos datos, los datos de tu organización, de tu red, de tus dispositivos, de tus comunicaciones, tanto aquellos correspondientes a evidencias sobre acciones sospechosas como propios de la organización, de comunicaciones internas y con terceros, como otros de otras índoles, garantizando y conservando siempre la preservación de la cadena de custodia.
Te acompañamos en todo momento, cerrando el ciclo. Estamos en un continuo PDCA de recopilación, análisis, conclusiones, acciones (correctoras, de control, de mejora, de detección proactiva, de detención y respuesta):
1. Recopilamos toda la información (evidencias) sobre el incidente (entorno/s afectado/s, sistemas y personas -internas y externas a la organización- implicadas, características, modo de actuación, posibles orígenes, cadena de suministro, etc.).2. Salvaguardamos las evidencias garantizando la cadena de custodia (documentación de toda la información recopilada, registro, aplicamos la máxima seguridad sobre la misma etc.).3. Garantizamos la integridad y no repudio de los datos extraídos, mediante la aplicación de técnicas forenses a las evidencias obtenidas.4. Nuestros expertos analizan las evidencias/información en base a los estándares internacionales de la industria en materia de tecnología forense (UNE 71506).5. Nuestros expertos preparan un informe forense pericial, en base a la norma UNE 197001.
Puedes ampliar detalles sobre nuestro servicio visitando la página de Análisis Forense y Respuesta a Incidentes (DFIR) de Zerolynx.
Si lo prefieres, contáctanos y hablamos.