El tiempo promedio para identificar y contener una filtración de datos en América Latina es de 331.5 días en 2022. Por ello, el análisis forense tras una intrusión externa es fundamental para su reparación, ya que ayuda a las organizaciones a detectar y analizar las causas de incidentes y ataques informáticos que hayan sufrido sus sistemas. Guardicore (ahora parte de Akamai) comparte el análisis forense de un ataque real de Ransomware a una compañía de la industria textil, explicando cómo la microsegmentación ayudó a su detección y contención.
Oswaldo Palacios, Senior Account Executive para Guardicore, informó que una compañía de retail tenía una brecha de seguridad sin saberlo. Explicó que dicha empresa no tenía políticas de acceso a las aplicaciones críticas, es decir cualquier usuario desde cualquier punto de la red podía acceder a los servidores críticos. A esto se le conoce como “Red Plana” y es uno de los escenarios más fértiles para que se propague un malware ya que no existen barreras o límites para el atacante.
El directivo mencionó que una máquina infectada estaba escaneando la red, sin ser detectada, para propagar Ransomware. “Se dieron cuenta en el momento en que algunos de los servidores con Ransomware ya habían cifrado la información, por consecuencia algunas aplicaciones dejaron de funcionar y los usuarios ya no pudieron acceder a los recursos de red que usualmente usaban para trabajar, como consulta de inventarios, envíos, pedidos, etcétera”, añadió Palacios.
Ante dicho escenario la firma de consultoría PwC afirma que la investigación forense digital es un paso crucial para obtener información que determine la causa raíz de cada evento cibercriminal en las empresas; así, las tecnologías y metodologías de punta son utilizadas en la búsqueda de evidencia que, en última instancia, serán el fundamento para el diseño de esquemas de mitigación y prevención.
En ese sentido, la microsegmentación fue fundamental en la recuperación y aseguramiento de las aplicaciones del fabricante de ropa, ya que con una herramienta que brinda visibilidad a nivel de proceso de comunicación se pudo detectar al “Paciente cero”, es decir la máquina que estaba propagando el ataque y a su vez otras máquinas que secundaban esta actividad.
Para el caso analizado, Guardicore detectó la máquina infectada y escaneó la red en búsqueda de nuevas víctimas; descubrió que muchas conexiones 445 entrantes dejaron claro el vector de ataque. Dado que la máquina infectada era crítica para el negocio, el aislamiento no era viable. También pudo ver claramente que un sistema que alojaba una base de datos intentaba infectar otras máquinas.
De acuerdo con Oswaldo Palacios, una de las cosas más importantes de la remediación fue que se implementaron reglas que bloquearon el proceso malicioso, con lo cual las aplicaciones siguieron funcionando y la afectación fue menor; el tráfico malicioso fue reconocido y separado del bueno.
Por último, el experto de Guardicore resaltó que “es importante saber contra que estamos interactuando y defendernos de la mejor manera posible, una de las características que nos otorga la microsegmentación es analizar a detalle los procesos de comunicación y si son válidos en nuestro entorno o no. Con información de IP origen, destino, puerto, protocolo, hash de comunicación, etcétera, tenemos los elementos para tomar una decisión y actuar de manera proactiva y no cuando se tiene el problema”.