El tiempo promedio para identificar y contener una filtración de datos en América Latina es de 331.5 días en 2022. Por consiguiente, el análisis forense tras una intrusión externa es fundamental para su reparación, ya que ayuda a las organizaciones a detectar y analizar las causas de incidentes y ataques informáticos que hayan sufrido sus sistemas. Guardicore (ahora parte de Akamai) comparte el análisis forense de un ataque real de ransomware a una compañía de la industria textil, y explica cómo la microsegmentación ayudó a su detección y contención.
Oswaldo Palacios, Senior Account Executive para Guardicore (ahora parte de Akamai), informó que una compañía de retail tenía una brecha de seguridad sin saberlo. Explicó que dicha empresa no tenía políticas de acceso a las aplicaciones críticas, es decir cualquier usuario desde cualquier punto de la red podía acceder a los servidores críticos. A esto se le conoce como “Red Plana”, y es uno de los escenarios más fértiles para que se propague un malware ya que no existen barreras o límites para el atacante.
El directivo agregó que una máquina infectada estaba escaneando la red, sin ser detectada, para propagar ransomware. “Se dieron cuenta en el momento en que algunos de los servidores con ransomware ya habían cifrado la información, por consecuencia algunas aplicaciones dejaron de funcionar y los usuarios ya no pudieron acceder a los recursos de red que usualmente usaban para trabajar, como consulta de inventarios, envíos, pedidos, etcétera”.
Ante dicho escenario la firma de consultoría PwC afirma que la investigación forense digital es un paso crucial para obtener información que determine la causa raíz de cada evento cibercriminal en las empresas; así, las tecnologías y metodologías de punta son utilizadas en la búsqueda de evidencia que, en última instancia, serán el fundamento para el diseño de esquemas de mitigación y prevención.
En ese sentido, la microsegmentación fue fundamental en la recuperación y aseguramiento de las aplicaciones del fabricante de ropa, ya que con una herramienta que brinda visibilidad a nivel de proceso de comunicación se pudo detectar al “Paciente cero”, es decir la máquina que estaba propagando el ataque y a su vez otras máquinas que secundaban esta actividad. “Sin la microsegmentación no se hubiera tenido visibilidad del incidente, además si se detectaba el ransomware debían desconectar los servidores, lo que dificulta las operaciones comerciales”, dijo Oswaldo Palacios.
Por consiguiente, Guardicore detectó la máquina infectada y escaneó la red en búsqueda de nuevas víctimas; descubrió que muchas conexiones 445 entrantes dejaron claro el vector de ataque. Dado que la máquina infectada era crítica para el negocio, el aislamiento no era viable. También pudo ver claramente que un sistema que alojaba una base de datos intentaba infectar otras máquinas.
De acuerdo con Oswaldo Palacios, una de las cosas más importantes de la remediación fue que se implementaron reglas que bloquearon el proceso malicioso, con lo cual las aplicaciones siguieron funcionando y la afectación fue menor; el tráfico malicioso fue reconocido y separado del bueno. “La microsegmentación actúa en las etapas tempranas de activación (del ransomware) y propagación. Sin duda, por sus características técnicas, ayuda donde las herramientas tradicionales no pueden”, resaltó el directivo.
“Es importante saber contra que estamos interactuando y defendernos de la mejor manera posible, una de las características que nos otorga la microsegmentación es analizar a detalle los procesos de comunicación y si son válidos en nuestro entorno o no. Con información de IP origen, destino, puerto, protocolo, hash de comunicación, etcétera, tenemos los elementos para tomar una decisión y actuar de manera proactiva y no cuando se tiene el problema”, destacó el directivo.
Por último, Oswaldo Palacios destacó que la microsegmentación proporciona todas las capacidades que se necesitan para detectar el movimiento lateral y neutralizar ataques como el ransomware y las amenazas persistentes avanzadas. “La microsegmentación es el siguiente paso en cualquier estrategia de ciberseguridad, ya que ayuda a evitar ataques y;si alguna vez suceden, no tengan un impacto negativo en la organización”, finalizó el directivo.
