Más intercambio, menos vergüenza: CompTIA ISAO quiere cambiar la respuesta estándar a los ataques de ransomware


La organización de intercambio de información ayuda a las empresas a lidiar con las amenazas de seguridad y respalda una mayor colaboración en general.

featurecollaboration.jpg

Los ataques de ransomware no se detendrán en el corto plazo y los malhechores perfeccionan sus técnicas de ataque con cada nueva infracción. Además de seguir las mejores prácticas para proteger las redes y los datos, los líderes de la industria y las empresas de todos los tamaños deben priorizar el intercambio de información.

MJ Shoer, vicepresidente senior y director ejecutivo de CompTIA ISAO, dijo que el ataque de Kaseya era inescapable pero que podría haber sido considerablemente peor. Una encuesta de CompTIA de 2021 encontró que el 62% de los MSP estaban muy preocupados y el 30% algo preocupados por ser blanco de ataques cibernéticos.

«Este ataque subraya el punto de que tenemos que unirnos si queremos ganar la partida», dijo.

Shoer dijo que la industria de la tecnología debe seguir el ejemplo de intercambio de información establecido por los malos actores.

«Los piratas informáticos hacen un trabajo fenomenal compartiendo información: se dicen entre sí qué funciona y qué no», dijo. «Son excelentes en eso, tenemos que ser mejores que grandes».

Shoer dijo que quiere que la industria borre el estigma asociado con los ciberataques.

«Esa reacción purely natural de avergonzar a las empresas que son violadas no ayuda», dijo. «Si conseguimos que suficientes organizaciones compartan lo que están viendo, todos tendremos la oportunidad de hacer que los malos retrocedan».

John Collins, analista senior de Gartner para SecOps, SIEM, servicios de seguridad, inteligencia de amenazas y respuesta a incidentes, dijo que no ha visto evidencia empírica que sugiera un mayor intercambio de inteligencia de amenazas entre proveedores de seguridad, organizaciones de usuarios finales y el gobierno. Ha notado un mayor interés en las fuentes y plataformas de inteligencia de amenazas.

«He observado un aumento de organizaciones históricamente menos maduras en seguridad que buscan herramientas diseñadas específicamente para agregar, curar, administrar y poner en funcionamiento la inteligencia de amenazas», dijo. «Incluso los proveedores de Idea están comercializando su integración con MISP para permitir una gama más amplia de capacidad de intercambio».

VER: Microsoft parchea las versiones restantes de Home windows contra la falla de PrintNightmare (TechRepublic)

La CompTIA ISAO trabaja con agencias y organizaciones de ciberseguridad públicas y privadas para ayudar a sus miembros a aumentar la conciencia de ciberseguridad de la industria tecnológica worldwide. La comunidad de casi 1,176 empresas miembro comparte las mejores prácticas, inteligencia sobre amenazas cibernéticas y contenido educativo. Además de los datos de inteligencia de ciberseguridad, los miembros de CompTIA ISAO reciben acceso completo a todos los demás beneficios corporativos de CompTIA.

«Todos esperamos que prevenga un ataque, pero la mayoría de las veces ayuda a abordar un ataque o vulnerabilidad o recuperar y remediar el problema», dijo Shoer.

Collins dijo que las cuestiones relacionadas con el consumo y la gestión de TI son más importantes que el intercambio de información general.

«Creo que la industria necesita tener un poco de introspección sobre la calidad de la inteligencia frente a compartir datos por el easy hecho de tener un feed y reclamar #tisharing», dijo. «Tengo conversaciones regulares con los líderes de seguridad pidiendo mejores formas de consumir y administrar la información que están obteniendo porque están abrumados con datos, tienen muchos falsos positivos y están administrando los indicadores en una hoja de cálculo».

Collins dijo que las empresas y los gobiernos deberían buscar formas de desclasificar o anonimizar la información para compartir amenazas importantes sin poner en riesgo la seguridad nacional o revelar datos confidenciales.

«Por ejemplo, nadie fuera de su organización necesita o se preocupa por un nombre de usuario interno o un nombre de máquina que sea parte de una ruta de archivo, y no quiere violar ninguna ley de privacidad al exponerlo», dijo. «La gran mayoría de los ataques son de naturaleza básica y un porcentaje muy pequeño está asociado con ataques sofisticados llevados a cabo por un grupo que tiene como objetivo una organización».

Shoer dijo que solo sabe de un miembro de CompTIA ISAO que fue golpeado por el ataque, aunque algunos miembros apagaron sus sistemas, como recomendó Kaseya.

Además de monitorear el panorama de amenazas para advertir a los miembros de posibles problemas, la ISAO también documenta los ataques para que los miembros puedan aprender de ellos.

Por muy útil que pueda ser el intercambio de información, exponer indicadores o TTP de un ataque activo puede crear más problemas para otras organizaciones que se enfrentan al mismo adversario. Collins dijo que es una situación clásica de capture-22.

«Sé que los operadores de SecOps fueron quemados por las empresas de seguridad que publicaron indicadores al público y el adversario en su entorno se convirtió en un fantasma», dijo. «Para sacar más provecho del adversario, a veces es necesario dejarlo &#39vivir&#39 en un entorno durante un poco más de tiempo, pero es posible que estén exfiltrando datos de otra empresa y sus defensores o proveedores necesitan información para identificarlos y detenerlos».

Aquí es donde herramientas como MISP y las plataformas de inteligencia de amenazas pueden presentar un método para compartir información y, a menudo, utilizan un sistema related a protocolo de semáforo, Dijo Collins. Este enfoque permite a las empresas elegir qué compartir y con quién compartirlo.

Planifica, practica y prepara

Shoer dijo que ve la necesidad de más ejercicios prácticos para que las empresas puedan detectar posibles puntos débiles y formular un approach de respuesta.

«Parte del desafío es tomarse el tiempo para implementar estos planes y luego probarlos con regularidad», dijo.

Esta planificación debe incluir una lista de prioridades para restaurar los servicios después de que se haya resuelto un ataque.

«Las empresas deberían pensar en cómo priorizar la restauración, por tamaño de empresa, industria o impacto público». él dijo. «Las empresas deberían poner en práctica estos escenarios y validar planes y buscar las brechas».

Shoer también dijo que ve más interés en mantener ciertos tipos de datos en un formato de almacenamiento con espacio de aire para evitar el riesgo de que un ataque de ransomware elimine las copias de seguridad junto con los sistemas activos.

«Tener esas copias de seguridad lejos de las redes objetivo es realmente importante, incluidas las cosas en las que la gente puede no estar pensando, como extractos bancarios y pólizas de seguro de responsabilidad cibernética», dijo. «Los malos actores entran en una red, detectan estas cosas y luego establecen la cantidad de ransomware en función de su saldo bancario».

CompTIA&#39s Consejo Asesor de Ciberseguridad proporciona materiales y herramientas educativos para ayudar a los propietarios de pequeñas empresas a comprender el riesgo del ransomware.

CompTIA lanzó ISAO en agosto de 2020 para «servir como el punto focal para lidiar con las amenazas cibernéticas a los proveedores de tecnología, MSP, proveedores de soluciones, integradores, distribuidores y consultores de tecnología empresarial». Los orígenes de la organización se encuentran en una ISAO iniciada por el empresario tecnológico Arnie Bellini en agosto de 2019 como parte de ConnectWise, la empresa de computer software de automatización empresarial que cofundó. Bellini transfirió la gestión y las operaciones de la organización a CompTIA a principios de 2020.

Ver también



Enlace a la noticia initial