Desafíos en ciberseguridad por invasión a Ucrania

Se esperan ciberataques importantes enfocados de Rusia a las organizaciones que ayuden a promover sanciones a su país.

De acuerdo con la firma de ciberseguridad Attivo Networks, la repercusión de la invasión rusa a Ucrania tendrá un impacto significativo. Los desafíos de ciberseguridad para las empresas y gobiernos se incrementarán.

Las naciones principalmente afectadas serán Estados Unidos, sus aliados, y especialmente Ucrania.

Podemos esperar ver ataques más frecuentes contra el sector financiero de Estados Unidos, el Departamento del Tesoro, el Departamento de Estado y muchos otros, enfocados en acciones en torno a las sanciones»: dice Tony Cole, CTO de Attivo Networks.

La Agencia Estadounidense de Ciberseguridad e Infraestructura ya ha publicado advertencias sobre ciberataques en varias áreas, incluyendo ataques rusos patrocinados por el estado contra contratistas de defensa autorizados.

El ransomware será la principal arma

El terreno anteriormente ganado obligará al gobierno ruso encabezado por su presidente Vladimir Putin a utilizar grupos criminales de ransomware.

Estos estarán enfocados en afectar a las empresas estadounidenses. Y es posible que esos mismos grupos sean alentados a aumentar su actividad ilícita, comenta Attivo en un documento.

Para evitar esto, las empresas en infraestructura crítica y en general las organizaciones de México deben tomar los siguientes pasos de inmediato:

• Asegurarse de que la autenticación multifactor se implemente y sea obligatoria para cada usuario.
• Aumentar los esfuerzos en torno a las actividades de ciberhigiene para mantener actualizadas todas las aplicaciones y sistemas operativos, incluyendo exposición de credenciales almacenadas en los usuarios.
• Supervisar y administrar cuidadosamente los sistemas de servicios de identidad como Directorio Activo e implementar la detección de ataques dentro de este, sin descuidar el tema de diagnóstico continuo para reducir la superficie de ataque.
• Identificar anomalías en torno a la explotación de credenciales, uso sospechoso de cuentas privilegiadas, que al igual que las de Directorio Activo (ej. enumeración) son tácticas consistentes en los grupos de ransomware.
• Asegurarse de que se realicen con frecuencia las copias de seguridad, se mantengan fuera del sitio y se conserven en un estado prístino.
• Mantener actualizado su plan de respuesta a incidentes (IR) y practicarlo con todo el personal clave. Agregar un contrato de IR externo si se carece de experiencia.
• Interactuar y conocer a su equipo legal local antes de cualquier incidente importante.
• Conocer, comprender y seguir otras mejores prácticas de NIST (Cybersecurity Framework), MITRE ATT&CK, y MITRE & Engage.