El mundo cibernético ha entrado en una nueva era en la que los ataques se producen con mayor frecuencia y en mayor escala que nunca. Los hacks masivos que afectan a miles de empresas y agencias estadounidenses de alto rango han dominado las noticias últimamente. Los más importantes incluyen la violación de SolarWinds / FireEye en diciembre y la violación más reciente de Microsoft Exchange Server. Todo el mundo quiere saber: ¿Qué debe hacer si tiene una infracción de cambio?

Para responder a esta pregunta y comparar las filosofías de seguridad, bosquejamos uno al lado del otro lo que haríamos. Uno de nosotros es un atacante de carrera (David Wolpoff) y el otro es un CISO con experiencia en la protección de organizaciones de salud y seguridad (Aaron Fosdick).

No espere a que su equipo de respuesta a incidentes se lleve la peor parte de un ciberataque en su negocio.

CISO Aaron Fosdick

1. Haga una copia de seguridad de su sistema.

Es probable que un pirata informático le lance algunos ataques de ransomware después de irrumpir en su servidor de correo. Así que confíe en sus copias de seguridad, configuraciones, etc. Realice copias de seguridad de todo lo que pueda. Pero volvamos a una instancia anterior a la infracción. Diseñe sus copias de seguridad asumiendo que un atacante intentará eliminarlas. No utilice sus credenciales de administrador normales para cifrar sus copias de seguridad y asegúrese de que sus cuentas de administrador no puedan eliminar o cambiar las copias de seguridad una vez creadas. Su objetivo de respaldo no debería ser parte de su dominio.

2. Haga un compromiso y finalice la conectividad si es necesario.

Determina si te has visto comprometido y dónde. Revise forense sus sistemas para ver si algún sistema está usando su superficie como punto de partida y tratando de moverse hacia los lados desde allí. Si su servidor Exchange está realmente en riesgo, desea que se elimine de su red lo antes posible. Desactive la conexión externa a Internet para asegurarse de que ningún dato pueda filtrarse o comunicarse con otros sistemas de la red. Así es como los atacantes se mueven hacia los lados.

3. Considere implementar Estándar / Denegar.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí