Conoce a tu enemigo: luchando a ciegas contra …



Carecemos de datos fiables, representativos y procesables sobre el alcance, la escala y el impacto reales del ransomware. La Purple de Respuesta a Incidentes de Ransom podría cambiar eso.

El ransomware ha crecido. Los ataques de ransomware, que alguna vez fueron una molestia del ciberdelito que afectó a computadoras individuales con demandas de pago de unos pocos cientos de dólares, ahora impactan en redes corporativas enteras, generan demandas de pago por millones e incluso perturban nuestra vida diaria.

Los perpetradores detrás de este tipo de crimen se han vuelto altamente organizados y diversificados, empleando un complejo ecosistema de infraestructura de apoyo para administrar pagos, focalización, software program y otros aspectos del «negocio».

El ransomware es ahora una amenaza para nuestra seguridad nacional, salud pública y prosperidad económica.

Debido a que la amenaza que representa el ransomware ha cambiado, nuestra respuesta también debe cambiar. Necesitamos elevar nuestra respuesta al ransomware al nivel de seguridad nacional y, para hacerlo, debemos cerrar la brecha de intercambio de información sobre esta creciente amenaza.

Una respuesta a nivel de seguridad nacional es enfocada, agresiva, priorizada, amplia, colaborativa y sostenida. Sin embargo, los eventos de los últimos meses, desde los ataques a Colonial Pipeline hasta el Servicio de Salud Irlandés y la empresa procesadora de carne JBS, demuestran claramente que lo que los gobiernos y la industria de la ciberseguridad han estado haciendo para combatir el ransomware aún no está al nivel. de una respuesta de seguridad nacional.

El reciente informe del Grupo de trabajo sobre ransomware, que está compuesto por un equipo de más de 60 expertos de la industria y el gobierno, presenta cerca de 50 recomendaciones que generarían una respuesta de nivel de seguridad nacional que coincida con la amenaza del ransomware. Si se implementan por completo, las acciones resultantes cambiarían la trayectoria del ransomware y mitigarían sus efectos en nuestra sociedad.

Si bien las recomendaciones del informe se entrelazan y están destinadas a implementarse como un paquete, un elemento al que vale la pena llamar la atención es la creación de la Purple de respuesta a incidentes de rescate (RIRN).

A pesar del volumen de publicaciones de weblogs de empresas de seguridad sobre ransomware, carecemos de datos fiables, representativos y procesables sobre el alcance, la escala y el impacto reales del ransomware. ¿Cuántas organizaciones pagan rescates? ¿Cuáles son los nodos clave en el ecosistema felony? ¿Es más probable que las organizaciones pagas sean atacadas nuevamente? ¿Existen tendencias sobre los tipos de empresas que se dirigen? Nadie conoce las respuestas a estas preguntas desde un punto de vista sistémico.

Además, la información sobre las amenazas de ransomware no llega a todas las organizaciones que debería, ya sean empresas del sector privado o agencias gubernamentales. Sin información de alta calidad y oportuna sobre amenazas, no podemos disuadir, interrumpir, prepararnos o responder de manera efectiva a los ataques de ransomware.

También sabemos por amarga experiencia que simplemente identificar una necesidad de compartir información no llenará el vacío. La industria de la ciberseguridad ha hablado sobre el intercambio de información durante años, pero hacerlo suele ser un desafío.

Esa falla se debe típicamente a suposiciones erróneas sobre cómo funciona el intercambio de información. En lugar de asumir que la única información relevante son los datos técnicos cibernéticos, necesitamos ampliar nuestro pensamiento para ir más allá de los indicadores de compromiso e incluir diferentes tipos de información sobre amenazas cibernéticas, como advertencias sobre posibles ataques o técnicas de mitigación defensiva que frustrarán a los intrusos.

En lugar de pedir a todas las organizaciones que produzcan y consuman datos cibernéticos técnicos, debemos tener en cuenta la ventaja comparativa de cada organización y reconocer que la relevancia empresarial impulsará el intercambio.

No debemos asumir que este proyecto será fácil. El intercambio de información requiere compromiso, tiempo y recursos para ser efectivo.

Para abordar la brecha de intercambio de información de ransomware, la industria de la ciberseguridad debe establecer el RIRN, como se solicita en el informe del Grupo de trabajo de ransomware. El RIRN cumpliría varias funciones, incluida la recepción y el intercambio de informes de incidentes, la dirección de las organizaciones hacia los servicios de respuesta a incidentes, la agregación de datos y el intercambio de alertas sobre amenazas en curso.

El RIRN debe desarrollar formatos de informes estándar basados ​​en los estándares existentes para hacer posible el intercambio automatizado, y debe adoptar procesos comerciales que eviten el doble conteo de datos, protejan la privacidad y se centren en la propuesta de valor para los participantes. Esta pink debe incluir organizaciones sin fines de lucro, proveedores de ciberseguridad, proveedores de seguros, personal de respuesta a incidentes y agencias gubernamentales.

Un RIRN en funcionamiento ayudaría a cerrar la brecha de información que inhibe nuestra respuesta al ransomware. Deberíamos construir una red de este tipo sobre la foundation de las lecciones aprendidas de iniciativas pasadas de intercambio de información, evitando así las fallas habituales que socavan tales esfuerzos. La industria de la ciberseguridad no debería esperar a que el gobierno tome la iniciativa. Podemos crear la red ahora e invitar a los gobiernos a unirse a algo que ya existe.

Si bien los gobiernos deben liderar la respuesta general de seguridad nacional al ransomware, los sectores privado y sin fines de lucro deben asumir un papel de liderazgo en varias áreas, particularmente en la creación de una pink de intercambio de información.

Cyber ​​Threat Alliance, la organización sin fines de lucro que dirijo, se compromete a hacer realidad una pink de respuesta a incidentes de ransomware. Aprovecharemos nuestra experiencia en el intercambio de inteligencia sobre amenazas cibernéticas para ayudar a que el RIRN sea practical desde el principio.

Michael Daniel se desempeña como presidente y director ejecutivo de Cyber ​​Threat Alliance (CTA), una organización sin fines de lucro que permite el intercambio de información de alta calidad sobre amenazas cibernéticas entre organizaciones de ciberseguridad. Antes de CTA, Michael se desempeñó durante cuatro años como coordinador de ciberseguridad de EE. UU., … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original