En plena oscuridad, un mensaje siniestro llega a su bandeja de entrada: “Los datos confidenciales de su empresa están a la traspaso en la web oscura”. Como director de seguridad de la información (CISO), este atmósfera es su prueba definitiva, un momento en el que cada atrevimiento que conduce a este punto se analiza bajo la lupa implacable de una posible crisis de violación de datos.
El 31 de marzo de 2024, AT&T admitió que un conjunto de datos que había estado a la traspaso en la web oscura desde 2021 era en efectividad suyo, a pesar de que inicialmente dijo que no era suyo. AT&T afirma que la información comprometida en este hack incluye números de Seguro Social y códigos de golpe, que son PIN numéricos que normalmente tienen cuatro (4) dígitos a diferencia de las contraseñas. Sin requisa, estos detalles varían según el consumidor y la cuenta. Igualmente es posible que los nombres completos, números de teléfono, direcciones de correo electrónico, direcciones postales, fechas de salida y números de cuentas de AT&T se hayan manido comprometidos. Según la compañía, los datos afectados son de 2019 o anteriores y no parecen contener historial de llamadas ni datos financieros.
Como CISO, ¿cómo puedo asegurarme de que mi estructura haya implementado los controles y sistemas correctos si ocurre una situación como esta?
Dirección proactiva de datos: conociendo el atlas del caudal
Imagine sus datos como tesoros esparcidos por un vasto panorama digital. Conocer la ubicación exacta de estos tesoros es el primer paso para salvaguardarlos.
Luego de implementar con éxito un sólido software de encargo de activos que se integra perfectamente con los sistemas de encargo de vulnerabilidades, las organizaciones deben centrarse en mapear meticulosamente las ubicaciones y los tipos de datos almacenados en estos activos. Este venidero paso fundamental implica no sólo identificar dónde residen los datos, sino asimismo comprender la naturaleza de los datos en sí.
Una vez que se han identificado todas las ubicaciones de los datos críticos para el negocio, la estructura debe clasificar y mapear proactivamente esta información, delineando claramente dónde reside cada tipo de datos en la red y los sistemas. Esta iniciativa permite identificar rápidamente la fuente de una fuga de datos y reduce los sistemas específicos para la investigación específica durante las actividades de búsqueda de amenazas, especialmente posteriormente de un supuesto robo de datos.
Igualmente es imperativo que la estructura involucre y evalúe activamente a los socios que acceden o alojan cualquier parte de sus datos. Al hacerlo, la estructura no solo prosperidad su postura de seguridad de datos, sino que asimismo garantiza una capacidad de respuesta rápida, minimizando efectivamente el impacto de una violación de datos y manteniendo la integridad del ecosistema de información.
Estas son las cinco (5) consideraciones principales a tener en cuenta:
1. Sensibilidad y Confidencialidad: Evalúe la sensibilidad de los datos, prestando peculiar atención a la información de identificación personal (PII), información financiera, propiedad intelectual y cualquier otra información que, de ser expuesta, podría tener un impacto placa sustancial. El valía y el aventura de los datos aumentan según la sensibilidad.
2. Requisitos de conformidad: Tenga en cuenta las obligaciones legales y reglamentarias relativas a los datos que posee su empresa. Es necesaria una longevo seguridad porque los datos cubiertos por regulaciones como GDPR, HIPAA o PCI-DSS tienen un valía intrínseco oportuno a las sanciones e implicaciones legales por incumplimiento.
3. Impacto de negocios: Considere los posibles impactos en su empresa que podrían surgir del compromiso, modificación o destrucción de datos. Considere tanto las consecuencias directas, como pérdidas financieras y ramificaciones legales, como las consecuencias indirectas, como daños a la reputación y pérdida de confianza del cliente.
4. Uso y disponibilidad de datos:Reconozca quién necesita golpe a los datos y cómo se utilizan internamente de su estructura. Los datos que son importantes para las operaciones diarias o los procedimientos de toma de decisiones son más valiosos. Restringir el golpe a dicha información a quienes la requieren reduce la posibilidad de violaciones no intencionales o deliberadas.
5. Intercambio extranjero y asociaciones: determine qué información es accesible o compartida con partes externas, como socios, clientes y proveedores. La cautiverio de custodia ampliada y la posibilidad de que las fallas de terceros puedan afectar la seguridad de sus datos hacen que los datos compartidos externamente sean más valiosos y riesgosos.
El seguimiento de auditoría: su caja negra de ciberseguridad
Como la “caja negra” de un avión, la auditoría y el registro ofrecen información invaluable sobre lo que salió mal posteriormente de una turbulencia. Profundizaremos en cómo funcionan los sistemas de registro exhaustivos como colchoneta de la investigación de incidentes, ayudando a descifrar la serie de eventos que preceden a una infracción.
Centrarse en compendiar datos pertinentes y avíos es crucial a la hora de determinar qué registrar como parte de un software de ciberseguridad, en particular para detectar posibles robos de datos y permitir una búsqueda competente de amenazas. Se deben considerar los siguientes factores:
1. Registros de golpe y autenticación de usuarios: Se debe realizar un seguimiento y registrar todos los intentos de golpe y autenticación de los usuarios, incluidos los inicios de sesión exitosos y fallidos, la duración de los cierres de sesión y los cambios de contraseña. Estos datos son esenciales para rastrear posibles fuentes de una violación de datos, detectar intentos de golpe no deseados y avalar que solo personas autorizadas accedan a datos confidenciales.
2. Tráfico de red y flujo de datos: Mantenga registros exhaustivos de todo el tráfico de la red, incluidas las versiones de protocolo, la cantidad de datos, las direcciones IP de origen y destino y los números de puerto. Es posible detectar tendencias extrañas que podrían indicar un golpe ilegal a datos o una filtración de datos si se vigila cómo se mueven los datos a través de la red. Esto incluye registros de firewall e información de NetFlow.
3. Cambios en sistemas y archivos: Realice un seguimiento de todas las modificaciones realizadas en archivos importantes, instalaciones de software, actualizaciones y configuraciones cruciales del sistema. Monitorear estas modificaciones puede ayudar a detectar cambios no aprobados que podrían indicar una violación de seguridad o un intento de robo de datos.
4. Registros de actividad de la aplicación: Realice un seguimiento de todo lo que sucede en aplicaciones vitales, especialmente cuando se tráfico de datos confidenciales. Esto cubre el comportamiento del agraciado, las operaciones de golpe y exportación de datos, y cualquier anomalía en el comportamiento de la aplicación. Los registros de aplicaciones son esenciales para descubrir cómo interactúan los usuarios con los programas y detectar actividades potencialmente peligrosas.
5. Registros de incidentes y alertas: Mantenga registros de todos los eventos de seguridad y advertencias producidas por equipos de seguridad, como firewalls, programas antivirus (AV) y detección y respuesta de endpoints (EDR). Estos registros son necesarios para detectar posibles amenazas rápidamente y aguantar a extremo investigaciones en profundidad tanto durante como posteriormente de un incidente para identificar las tácticas, técnicas y procedimientos (TTP) que emplearon los atacantes.
Caza de amenazas: el entretenimiento de ajedrez
La caza de amenazas es una partida de ajedrez estratégica con posibles oponentes, más que una táctica reactiva. Implica planificar con anticipación y construir trampas para capturar los peligros ayer de que aumenten. Entraremos en los detalles de cómo formar un equipo de Threat Hunting con conocimientos que tenga los medios y el conocimiento para identificar y contrapesar amenazas de forma proactiva.
La creación de un software de búsqueda de amenazas internamente de una estructura implica un enfoque estructurado para detectar y mitigar amenazas avanzadas que evaden las medidas de seguridad existentes. Ayudamos a los clientes a crear un software de Threat Hunting y asimismo brindamos capacitación. Estos son los pasos esencia a considerar al crear un software:
- Concretar objetivos y capacidad:
- Establecer objetivos claros para el software Threat Hunting, por ejemplo, cubriendo los escenarios de golpe a datos y exfiltración.
- Identifique activos críticos y datos confidenciales para priorizar los esfuerzos de protección. Los atacantes trabajarán en movimientos laterales para alcanzar estos activos y luego exfiltrar la información.
- Reúna un equipo calificado:
- Reclute personas con una combinación de habilidades de ciberseguridad, descomposición e investigación.
- Proporcionar formación continua para amparar al equipo actualizado sobre las últimas amenazas y técnicas.
- Reunir e integrar fuentes de datos:
- Agregue datos de registros, tráfico de red, puntos finales y fuentes de inteligencia externas. A medida que se realizan los ejercicios, las fuentes de datos utilizadas deben perfeccionarse para avalar que registremos lo que se necesita y que no se envíen datos innecesarios excesivos a la plataforma centralizada o a las plataformas utilizadas para el descomposición.
- Implemente las herramientas adecuadas:
- Utilice sistemas de encargo de eventos e información de seguridad (SIEM) con una colección de consultas y alertas refinadas basadas en ejercicios anteriores y asimismo en Cyber Threat Intelligence (CTI) sobre TTP de actores que se sabe que apuntan a su mercado o región.
- Implemente la automatización siempre que sea posible para ayudar con el descomposición de datos y la detección de patrones.
- Desarrollar y perfeccionar hipótesis de caza:
- Cree hipótesis basadas en amenazas conocidas, tendencias de la industria y vulnerabilidades emergentes.
- Perfeccione continuamente estas hipótesis basándose en la inteligencia más fresco y el contexto organizacional. Formarse a analizar y priorizar la información CTI es muy importante en la creación de hipótesis para avalar que apuntamos a las técnicas en las etapas correctas de una ruta de ataque.
- Realizar cacerías proactivas:
- Realice periódicamente actividades de búsqueda para apañarse indicadores de compromiso (IOC) o comportamiento sospechoso.
- Documente los procesos y hallazgos de cada gimnasia de caza para perfeccionar técnicas y compartir conocimientos.
- Establecer procedimientos para la respuesta a incidentes:
- Desarrolle protocolos para cuando se identifique una amenaza potencial, incluidas rutas de ascensión y pasos de remediación.
- Garantice una integración perfecta con el equipo de respuesta a incidentes para una mitigación eficaz de las amenazas. Asegúrese de que los tomadores de decisiones esencia participen en ejercicios para identificar brechas o áreas de prosperidad ayer de que ocurra un incidente auténtico.
- Calcular e informar resultados:
- Realice un seguimiento de los indicadores esencia de rendimiento (KPI) para evaluar la operatividad del software de caza.
- Informar periódicamente a las partes interesadas sobre los hallazgos, las tendencias y las mejoras de seguridad.
- Fomentar una civilización de prosperidad continua:
- Fomentar la feedback y las lecciones aprendidas de los ejercicios de caza para mejorar las metodologías.
- Manténgase informado sobre las últimas novedades en ciberseguridad e incorpórelas al software.
Siguiendo estos pasos, las organizaciones pueden establecer un software de Threat Hunting proactivo y eficaz que mejore su postura universal de ciberseguridad.