Es lunes por la mañana, 8 am Entras a la oficina y, en la pantalla de tu computadora, eres testigo de algo que solo has experimentado en tus pesadillas.
"¡Auge! Su organización se ve afectada por un ataque de ransomware”, dice Sherri Davidoff, directora ejecutiva de LMG Security, en un primer vistazo a Dark Reading de un ejercicio de simulación planificado en la próxima Conferencia RSA 2023. “Todos los sistemas están inactivos. ¿A qué te dedicas?"
Con suerte, sabrá qué hacer gracias a las carreras de práctica para tales escenarios, en forma de ejercicios de simulación que trabajan la respuesta a incidentes para varios escenarios.
Crear tal ejercicio es una tarea, pero vale la pena preparar a los profesionales de la seguridad para los desafíos que inevitablemente enfrentarán algún día. “Es como las clases de RCP de la Cruz Roja”, dice Davidoff. “La capacitación de los socorristas es importante”.
El 24 de abril, de 8:30 a 10:30 a. m. (hora del Pacífico), Davidoff y Matt Durrin, director de capacitación e investigación de LMG Security, organizarán una ejercicio de simulación sobre ransomware y extorsión cibernética en la Conferencia RSA 2023. El evento lanzará a los participantes a una vorágine inspirada en los ataques de ransomware de la vida real y los desafiará a evadir las trampas endémicas de la respuesta a incidentes empresariales.
Diseñar un ejercicio de mesa
“Lo más importante a lo que queremos apuntar en estas mesas es tanto realismo como sea posible”, dice Durrin.
Pero el realismo es difícil de simular. Davidoff bromea sobre cómo "intentamos usar ChatGPT para ejecutar un ejercicio de simulación" y no resultó tan bien. “Es como: 'Soy el facilitador' y comienza a guiarlo a través de los pasos. Pero es muy aburrido. No te da ninguna bola curva”.
Irónicamente, simular el realismo requiere una gran dosis de talento para el espectáculo: narración de historias, materiales de audio y visuales, y cierta creatividad para generar el caos y la imprevisibilidad que encontraría en un ciberataque en la vida real. Pero poco de este teatro está completamente inventado.
"Tratamos de aprovechar la experiencia que hemos adquirido a lo largo de los años de lidiar con estos ataques en la naturaleza", señala Durrin, "por lo que tenemos elementos que están en línea con el aspecto que tendría un ataque de ransomware moderno".
Para RSAC 2023, eligieron modelar su simulación después de una ataque clásico de LockBit. “A primera hora de la mañana del lunes entras y tu red está completamente fuera de línea”, explica Durrin. “Hay notas de rescate en su escritorio. Te están diciendo que tus archivos han sido encriptados. Es posible que hayan entrado en su impresora y agotado cada hoja de papel que tiene, imprimiendo copias de la nota de rescate”.
Todos los datos locales están encriptados y los sistemas internos son irrecuperables. El precio a recuperar es de 2.5 millones de dólares, que se duplicará a las 48 horas.
Entra el pánico. "¿Cómo identificamos dónde debemos buscar malware adicional?" Durrin continúa. “¿Cómo sabemos cuánto tiempo han estado en la red? Y luego, ¿qué tipo de cambios debemos hacer en nuestro plan? Los participantes realizan triage, distribuyen tareas entre los miembros del grupo y reúnen evidencia, en una lucha para contener el daño.
Sin embargo, cualquier sensación de control se borra cuando llegan más malas noticias: los piratas informáticos ya han extraído datos. A doble extorsión, una de las pocas bolas curvas que los piratas informáticos lanzarán sobre la cerca al final de la campaña.
“Aquí es donde las cosas se ponen un poco aterradoras, especialmente para las audiencias más ejecutivas”, dice Durrin. “Cuando comenzamos a hablar sobre la exposición pública y el daño a la reputación, eso realmente los atrapa y conduce a una buena discusión entre las personas técnicas y no técnicas. Hay mucha interacción entre esos dos grupos durante un ataque”.
¿Los ejercicios de mesa realmente ayudan a la seguridad en la vida real?
Múltiples extorsiones pueden ser muchas para encajar en un evento de dos horas. Pero Davidoff y Durrin enfatizan cómo el 80 % de las víctimas de ransomware experimentan una doble inmersión, el 68 % en el plazo de un mes desde su primera infracción.
Sorprendentemente, el 40 % de las víctimas de ransomware paga dos veces, el 10 % paga Tres veces, y el 1% realmente paga cuatro rescates a sus atacantes.
“Eso es parte de por qué una mesa es tan importante”, dice Davidoff. “En realidad, estás analizando estos problemas, y todos, desde el personal de respuesta de primera línea hasta los ejecutivos, están aprendiendo. Porque muchas veces los ejecutivos presionarán a sus respondedores de primera línea para que restablezcan lo antes posible, por lo que se saltan pasos y luego los atacantes vuelven a entrar y usted tiene un problema peor. Y por lo general cobran una cantidad más alta la segunda vez”.
Las empresas que ejecutan este tipo de simulaciones tienden a evitar esos errores. “De hecho, pudimos ver cómo esos cambios que hicimos y probamos dentro de un plan de respuesta a incidentes beneficiaron a las organizaciones en un sentido muy tangible y real”, dice Durrin, “en la velocidad de recuperación, la calidad de recuperación y cómo la organización es capaz de volver a ponerse de pie después de sufrir un incidente”.
La diferencia se puede encontrar en la línea inferior. De acuerdo con la Informe de IBM sobre el costo de una violación de datos de 2022, las organizaciones con planes de respuesta a incidentes rigurosamente probados ahorran un promedio de más de $2.5 millones en comparación con aquellas que no tienen planes. Así que los ejercicios de mesa no son solo una actividad divertida de trabajo en equipo.
“Esos primeros minutos y horas después de un incidente son absolutamente críticos”, dice Davidoff. “Todos deben asegurarse de estar preparados”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/edge-articles/designing-tabletop-exercises-truly-help-thwart-cyberattacks
