Respuesta a incidentes | llamadas de emergencia de TI

Cuando una red ha sido atacada con éxito, las empresas necesitan la ayuda de profesionales. Entonces, el equipo de respuesta a incidentes de G DATA Advanced Analytics está en demanda. Mi colega Kira Groß-Bölting trabaja como coordinadora de respuesta a incidentes. En una entrevista, me contó sobre su vida cotidiana y reveló lo que se debe y no se debe hacer en caso de emergencia.

La pantalla se vuelve negra y aparece una nota de rescate en lugar del escritorio familiar. La empresa fue víctima de un ataque de ransomware, que ahora es estándar en un ciberataque. Un incidente de este tipo difícilmente puede resolverse sin la ayuda de expertos externos. En tales situaciones, los gerentes de TI levantan el teléfono y marcan el número de emergencia de G DATA Advanced Analytics en Bochum (0234 – 9762 800). Allí hablará con Kira Groß-Bölting, coordinadora de respuesta a incidentes. Su tarea es recopilar la información clave para preparar la respuesta de emergencia, hacer recomendaciones iniciales para la acción y ayudar a los clientes.

Cómo aplicar la seguridad integral en la empresa?

Lucha con las emociones

Independientemente del nivel jerárquico, desde el administrador de TI y el jefe de departamento hasta la gerencia y la junta directiva, todas las personas que llaman luchan con sus sentimientos. Sobre todo, esto incluye la impotencia como resultado de la pérdida de control. Los afectados están en su mayoría abrumados por la situación. Incluso las empresas que tienen planes de contingencia de TI y se han preparado para el peor de los casos no se salvan, porque el incidente es una ruptura con la rutina. Aquellos que tienen el control de otra manera se encuentran de repente en el papel de espectadores.

El miedo y el pánico también están en las voces de los afectados. Combinado con preguntas como «¿Me atacaron los ciberdelincuentes?» O «¿Cómo puedo controlar el caos que han dejado los atacantes?». A veces los afectados son agresivos o enojados y buscan un «chivo expiatorio». Entonces, ¿es posible identificar a un empleado a quien la empresa pueda responsabilizar? Por último, pero no menos importante, las personas que llaman quieren saber qué tan rápido se repararán los daños y cuándo volverá a estar operativa la empresa. La situación es particularmente dramática para las empresas que no cuentan con copias de seguridad en funcionamiento.

Aliviar el estrés

El estrés que afecta a los afectados se debe a diferentes factores. Esta es principalmente la presión financiera que resulta de los tiempos de inactividad de la producción, la pérdida de clientes o la pérdida de ventas. La presión del tiempo también es inmensa y en algunas industrias, como el sector de la salud, significativamente mayor que la presión financiera. El enfoque aquí es salvar vidas humanas y brindar una atención médica óptima a los pacientes. Si un hospital se ve afectado, parte de la cadena de suministro médico en toda una región colapsa.

Además de las dificultades financieras y de tiempo, los supervisores, empleados y clientes ejercen presión. A todo el mundo le preocupa cuándo volverán a estar en línea los sistemas. Los clientes están impacientes y corren peligro de irse. La cuestión de quién paga el trabajo perdido también aumenta el estrés. En muchas empresas, la situación se ve agravada drásticamente en algunos casos por la falta de preparación o la gestión inadecuada de emergencias. En estas circunstancias, aún deben aclararse cuestiones urgentes: ¿Quién puede tomar decisiones? ¿Existe alguna documentación técnica que facilite el trabajo del equipo de respuesta a incidentes? Y: ¿Quién es responsable de la comunicación de crisis y define el contenido de la misma?
Si además existe una dependencia de un proveedor de servicios de TI que administra contraseñas y / o acceso a servicios desconocidos en la empresa, esta dependencia provoca una mayor pérdida de tiempo en la lucha contra los atacantes y tiene un impacto masivo en los tiempos de respuesta.

Pausa y AYUDA

Un coordinador de respuesta a incidentes debe mantener la calma y actuar de manera coordinada. Puede hacer esto con un puente de burro como en el curso de primeros auxilios para la licencia de conducir – «PAQUETE». Las cinco letras representan P uls, A tmung, K entwine dare E igenwärme y T roast. Para el incidente, la fórmula mágica es AYUDA, para mantener la cabeza despejada y el control de la conversación en el primer contacto con personas estresadas.

  • H as para ayudar a las personas a ayudarse a sí mismas – Es importante dar consejos o proporcionar “distracción” para que la persona afectada tenga la sensación de poder volver a actuar y recuperar el control de la situación.
  • E de honestidad : pasar por alto no ayuda. Más bien, necesita una respuesta honesta para que las personas interesadas tengan una evaluación realista de la situación.
  • Al igual que en la escucha , los afectados necesitan una válvula para desahogar la ira o para poder procesar lo sucedido. Les ayuda a hablar, sabiendo que alguien del otro lado está escuchando. Es importante escuchar activamente para hacer las preguntas correctas a medida que avanza la conversación. Esto le da a la persona que llama la sensación de que todavía existe una red de seguridad.
  • En cuanto a conocimientos especializados , adaptados a la otra persona, se requieren conocimientos especializados para demostrar que el coordinador reconoce la situación y sabe cómo afrontar el ataque en la red de la empresa. En este punto, las personas que llaman también reciben información sobre cómo funciona el servicio de respuesta a incidentes y qué sucederá para reparar el daño.
  • E para tomarse en serio: cada tema y cada declaración deben tomarse en serio en una situación tan excepcional. A veces, no aprende algunos detalles hasta que una persona está segura de que no hay respuestas o afirmaciones incorrectas.
  • N como en las consultas : cada consulta muestra a los afectados que su preocupación es importante y con quién se encuentra la conversación. Las consultas también sirven para preparar al equipo de implementación de la mejor manera posible, pero también para preparar al cliente para la implementación.

Datos concretos para su uso

Antes de que un equipo de respuesta a incidentes pueda actuar, necesita información sobre la emergencia actual. Por lo tanto, es crucial responder a las preguntas centrales, comparables a las preguntas centrales al llamar a una emergencia para el cuerpo de bomberos. Estas preguntas estándar crean una comprensión más profunda de la situación actual en el sitio.

  • ¿Qué pasó o qué está pasando ahora? Porque el ataque no siempre termina.
  • ¿Cuando sucedió?
  • ¿Cómo se hizo notar? Esta pregunta también proporciona información sobre el vector de ataque.
  • ¿Qué medidas ya se han tomado? La pregunta es si los rastros forenses ya se han guardado o si los rastros se han inutilizado accidentalmente. Esto puede suceder rápidamente si la población local no tiene los conocimientos necesarios.
  • ¿Qué empresa se ve afectada? ¿Es una industria manufacturera, una empresa KRITIS o una institución estatal?

Por supuesto, las preguntas técnicas detalladas también deben aclararse con anticipación para evaluar mejor la situación en el sitio y poder planificar el despliegue en consecuencia. Luego, se debe tomar la decisión de si el equipo de respuesta a incidentes puede proporcionar ayuda remota o si es necesaria una implementación en el sitio. Esto incluye información sobre la infraestructura de TI, el tamaño de la red, los sistemas operativos utilizados, el estado de los parches y los componentes de seguridad utilizados.

Dos para el incidente de seguridad de TI

Si desea seguir siendo capaz de actuar y estar bien preparado para el despliegue de un equipo de emergencia externo, debe considerar lo siguiente:

  • Interrumpa inmediatamente el tráfico de red interno y externo : así es como las empresas bloquean a los atacantes y evitan que obtengan más acceso a la red. Y con ello una mayor propagación de la infección.
  • Pausar máquinas virtuales o tomar instantáneas : no es recomendable apagar las máquinas virtuales (VM). Es mejor pausarlos o tomar una instantánea para guardar el estado actual. Porque los troyanos de cifrado modernos ya no están en el disco duro, sino en la memoria principal. Entonces, si apaga una máquina virtual, inutiliza la memoria principal y destruye posibles rastros forenses en el proceso.
  • Definir una unidad central de personal / persona de contacto : los canales de comunicación cortos son un factor clave en una emergencia de TI. Una persona de contacto o una unidad de personal coordina la comunicación entre el equipo interno y de respuesta a incidentes. Además, este departamento también se encarga de la coordinación con otros proveedores de servicios de TI externos, como la casa del sistema y la comunicación con clientes y empleados.
  • Comunicación sin prejuicios : El enfoque debe estar en un ambiente de trabajo constructivo. Es importante tener un entorno sin miedo en el que los empleados con pocos conocimientos de TI puedan proporcionar información sobre el incidente. ¡Las acusaciones o acusaciones de culpa no ayudan a nadie en esta situación!
  • Comprobación y suministro de copias de seguridad : las empresas deben tener este tema en la agenda antes de que ocurra una emergencia. Porque en el peor de los casos es demasiado tarde para eso. La pérdida de datos se puede reducir al mínimo con copias de seguridad actualizadas.
  • Cooperación con las autoridades locales : cada estado federal ha creado su propio punto de contacto para la ciberdelincuencia (en Renania del Norte-Westfalia, la LKA https://polizei.nrw/en/node/1173 es responsable). Las personas de contacto están familiarizadas con los ciberataques. Además, las víctimas deben presentar cargos penales para que las autoridades puedan iniciar una investigación. Además, se debe aclarar la obligación de información con el delegado de protección de datos con el fin de reportar una posible pérdida de datos privados de manera oportuna. Por cierto, aquí se aplica la regla empírica: es mejor un mensaje demasiado que muy poco.
Endpoint Protection-oplossingen vergelijken | G DATA

No hacer para el incidente de seguridad de TI

Sin embargo, también hay medidas que las empresas nunca deben tomar en una emergencia de TI. Esto significa que se hacen más daño a sí mismos y dificultan el trabajo del equipo de respuesta a incidentes:

  • Parada de sistemas: Con esta medida, los afectados destruyen posibles rastros forenses o los inutilizan.
  • Iniciar sistemas dentro de la red comprometida : existe el riesgo de que la infección infecte otras partes de la red y el daño continúe creciendo.
  • Apagado de la solución antivirus: la solución antivirus también ayuda durante o después de un ataque activo al bloquear nuevos intentos de ataque.
  • Autoexperimentos : Todo aquel que no tenga los conocimientos especializados adecuados retrasa y dificulta una rápida aclaración del curso de la infección. Esto es fundamental para poder resolver la incidencia rápidamente. El riesgo de «empeorar» es muy alto.
  • Comunicación extorsionada no acompañada : Básicamente, “¡No dialogar con extorsionistas!” La única excepción: Si la existencia de la empresa se puede salvar únicamente pagando el rescate. Pero esto requiere el apoyo competente de las autoridades.
  • Punto de culpa : se necesita un entorno sin miedo en el que los empleados se atrevan a admitir errores como el posible clic en el enlace en un correo electrónico de phishing, sin tener que temer las consecuencias. Cualquiera que informe una actividad sospechosa directamente ayuda a contener el daño en una etapa temprana.

Conclusión: después de una llamada de rescate

Por complicadas que puedan ser las llamadas de las personas afectadas, el objetivo siempre es aclarar cuestiones técnicas centrales, a pesar del alto estrés emocional. El trabajo del equipo de respuesta a incidentes comienza con la llamada telefónica a los especialistas, que difiere de un caso a otro pero es básicamente el mismo. Un coordinador de respuesta a incidentes juega un papel central en esto. Inmediatamente después de la llamada de emergencia, tiene lugar el despliegue y la planificación del personal, la entrega del caso al equipo y el inicio de la misión de rescate.

Enlace: https://www.gdata.de/blog/2021/11/37112-incident-response-ein-it-notfall-ruft-an Stefan Karpenstein Blog G DATA