Ataque a Equifax o por qué debe revisar la seguridad de su negocio

Tres elementos son esenciales para hacer balance de la situación de seguridad y evitar ser el siguiente Equifax.

Por: Andrés Mendoza
Consultor Técnico Senior de ManageEngine en Latinoamérica

Hace unos meses Equifax, principal agencia de informes crediticios, informó que fue víctima de un hackeo masivo de datos.

El ataque – reportado como uno de los mayores delitos cibernéticos y de filtración de datos e información personal en años recientes – transcurrió entre los meses de mayo y julio del corriente año.

Sin embargo, no fue hasta septiembre cuando la compañía dio a conocer los hechos ante la opinión pública.

Como en el caso de muchos otros ataques de este tipo, tomó varias semanas que la magnitud de la situación saliera a luz, algo que sin duda infunde pánico en cualquier encargado de temas de seguridad.

Imagínese si su empresa fuera víctima de una situación similar meses atrás, pero usted no se entera del hecho hasta hoy.

Así, el caso es que situaciones de ataques como el anterior sirven como un fuerte recordatorio a los profesionales de seguridad, y se vuelve un llamado para repasar a fondo sus mecanismos de defensa.

Check List

Si le preocupa que su empresa llegue a convertirse en víctima de un ataque cibernético, recomendamos que el punto de partida sea una buena revisión de su postura de seguridad.

Es decir:

• Conozca bien cuál es su situación ante un ataque;
• Y examine muy de cerca las amenazas emergentes y las técnicas de los ataques cibernéticos.

Otro paso importante es conocer si sus centros operativos de seguridad cuentan con las herramientas indicadas y el personal capacitado necesario para atenuar estos ataques.

Por otro lado, también vale la pena saber si se ha instituido un proceso eficiente y ágil para manejar incidentes de seguridad.

El ataque de Equifax sirve para ilustrar tres puntos valiosos en cuanto a la implementación de mejores medidas de seguridad en su empresa.

1. Auditoría de los recursos críticos

Aparte de contar con servidores críticos, su red también se conforma de aplicaciones empresariales como bases de datos y servidores web.

En las bases de datos, generalmente, se almacenan datos confidenciales acerca del negocio, así como de clientes.

Por su parte, en los servidores web se alojan, por ejemplo, la página de internet, que es el punto al que recurren sus clientes para hacer negocios.

Es importante llevar a cabo auditorías de seguridad en las distintas bases de datos y servidores web para realmente garantizar la seguridad de todos estos recursos críticos.

Una solución SIEM (Security Information Event Management) exhaustiva puede ser de enorme beneficio en términos de seguridad ya que audita los servidores críticos, las bases de datos y servidores web. Esto permite dar fácil seguimiento a los eventos que se dan en cada plataforma y así detectar amenazas de seguridad.

2. Análisis forense y generación de reportes de incidentes

Si se da el caso de que algo se reporta en la empresa, por ejemplo, una filtración de datos, existe normatividad mediante la cual se imponen sanciones por no contar con las medidas necesarias para evitarlo.

Es por ello que ante un incidente de seguridad, vale la pena estar bien posicionado para conocer exactamente que sucedió.

Los análisis forenses se vuelven sumamente importantes en situaciones como ésta y deben establecerse con tiempo.

Mediante un buen análisis forense se puede llegar a saber si un incidente de seguridad se trató en realidad de un ataque y, si con ello se crea un reporte para efectos internos o para auditores normativos.

Con un potente motor de búsqueda de accesos, una herramienta completa de SIEM sirve para realizar una buena investigación forense después de un ataque.

3. Las amenazas internas

Al reflexionar sobre ataques de seguridad, no falta que visualicemos algún malvado agente asaltando a la empresa desde afuera.

Sin embargo, no está de más recordar que muchos ataques vienen desde adentro, resultado de alguna acción interna.
Muchas cuentas de administrador son especialmente predominantes en casos de ataques internos.

Si un agresor llega a obtener las credenciales de alguna cuenta administradora de dominio, ya con eso tienen la posibilidad de tirar abajo toda una infraestructura de TI. Las cuentas de administrador son cuentas con mayor estatus, de tal forma que las acciones y los cambios que se hacen a este nivel se deben registrar para garantizar que todo está en orden.

Una herramienta SIEM completa sirve para controlar las amenazas internas alertando en tiempo real de cambios en los directorios activos, monitoreando usuarios con privilegios y dando seguimiento a todos los accesos a datos confidenciales.

Estos son apenas unos de los puntos que valen la pena recordar para instrumentar mayores medidas de seguridad en su empresa.
Es importante recalcar que, en lugar de enfrentar las duras consecuencias financieras de la negligencia, bien vale la pena invertir para mantenerse seguro.

*Andrés Mendoza ha desarrollado su carrera en el área de TI como un Ingeniero en Sistemas desde el año 2003.
En los últimos años ha estado involucrado en la investigación e implementaciones de soluciones de gestión de infraestructura y seguridad de la información en varios países de la región. Desde el año 2015 está trabajando con ManageEngine atendiendo la región de Latinoamérica en actividades técnicas y de marketing, es un Consultor Técnico Senior y un Ingeniero Pre-Venta para el área de TI.