Actualmente la gran mayoría de compañías centra la seguridad informática
en la protección de los puestos de trabajo con herramientas tales como
los antivirus, cortafuegos, o sistemas de prevención de intrusos. Sin
embargo, los últimos estudios sobre el tema apuntan a que es conveniente
añadir otros niveles de seguridad para asegurar que la información
crítica está protegida.
Según un estudio que ha realizado la compañía de seguridad Imperva, los ataques dirigidos mediante técnicas de ingeniería social desafían continuamente estas tecnologías, y es a través de ellas como los intrusos consiguen los privilegios para acceder a los datos más críticos.
Los hackers saben que los datos sensibles de las empresas se alojan en base de datos, servidores de ficheros, y aplicaciones; es por ello que la seguridad hay que aplicarla también cerca de los datos, y no sólo en el puesto de trabajo ó en el perímetro.
Imperva recomienda el siguiente pan de 8 pasos [PDF] para defenderse de los ataques dirigidos:
Paso 1: Reducción del riesgo
El punto de partida debe ser la identificación de los datos sensibles; a los que se les debe aplicar políticas de seguridad, y mecanismos de auditoría que registren cada uno de los accesos a los datos para detectar comportamientos maliciosos.
Paso 2: Prevención de amenazas
Es importante prevenir mediante la formación de los usuarios para que puedan identificar y eliminar correos sospechosos de usar cualquier método de ingeniería social como el phising. Es aconsejable reforzar la prevención mediante soluciones Web Gateway que faciliten el filtrado de de URLs, y la detección de malware.
Paso 3: Detección de amenazas
En el caso de que el intruso haya conseguido entrar en el sistema es fundamental detectar y bloquear comportamientos anómalos que violen las políticas de seguridad del contenido de las bases de datos, y de los ficheros no estructurados. Es importante también identificar a los usuarios que hayan sido comprometidos por el ataque.
Paso 4: Bloqueo del Command and Control
El siguiente paso es desactivar la actividad atacante rompiendo la comunicación entre el malware alojado y el Command Control externo.
Paso 5: Deshabilitar el acceso de los usuarios comprometidos a la información sensible
Mientras se erradica completamente la amenaza, es vital evitar que los usuarios expuestos continúen teniendo acceso a los datos críticos.
Paso 6: Actualización de las contraseñas de los usuarios
Cuando un ataque dirigido ha conseguido entrar e un sistema normalmente es debido a la violación de las credenciales de algún usuario; es por ello que es altamente recomendable el cambio de contraseñas de todos los usuarios.
Paso 7: Reconstrucción de los dispositivos infectados
Ante un ataque de malware a gran escala es aconsejable reconstruir los equipos de los usuarios infectados mediante herramientas centralizadas de despliegue.
Paso 8: Análisis del incidente
Para finalizar, es muy conveniente realizar una análisis forense del incidente, y una auditoría que proporcionen tendencias y patrones para identificar los riesgos de seguridad.
Imperva, como fabricante de seguridad, recomienda:
- Auditoría de todos los accesos a la información restringida almacenada en base de datos, ficheros no estructurados, aplicaciones web, SharePoint, y directorio activo.
- Monitorización de los datos sensibles con alertas en tiempo real
- Establecimiento de patrones e identificación de comportamientos sospechosos
- Marco flexible de políticas de seguridad
- Bloqueo de usuarios internos, y de dispositivos sospechosos
- Generación de informes predefinidos y personalizados
Fuente: Baquia
0 comentarios:
Publicar un comentario