Los ciberataques a sistemas empresariales -incluidos los sistemas de identidad híbridos- siguen apareciendo en los titulares, incluidas las recientes violaciones dirigidas a la empresa sanitaria Henry Schein y al conglomerado hotelero MGM Resorts. Aparte de estos ataques tan publicitados, el equipo de Semperis Breach Preparedness & Response Services ha observado un aumento de las solicitudes de nuestros clientes (y de los clientes de nuestros socios) para ayudarles a recuperarse de ataques relacionados con la identidad.
Durante estos compromisos de respuesta a incidentes (IR), he observado grandes diferencias en el tiempo de recuperación y el impacto que tiene en diversas organizaciones, lo que me hizo pensar en el nivel de resistencia de estas empresas. ¿Cuál es la diferencia entre una empresa que se recupera en un periodo de tiempo relativamente corto tras un ataque relacionado con la identidad y otra cuya recuperación se prolonga durante días o semanas, incurriendo en enormes costes para la organización? A partir de mi experiencia de primera mano, he llegado a la conclusión de que la mayor diferencia es la capacidad de la organización para orquestar, automatizar y probar el proceso de recuperación.
Las copias de seguridad son sólo el principio
Disponer de copias de seguridad es, por supuesto, un punto de partida esencial para la recuperación empresarial. Aunque este no debería ser el caso hoy en día, algunas empresas todavía luchan con políticas y procedimientos de copias de seguridad offline/offsite. En el caso de un ciberataque que derriba el entorno Active Directory, a menudo hemos visto que el primer objetivo de cifrado es el servidor de copia de seguridad y recuperación en la red de la empresa. Una vez que los atacantes consiguen cifrar el sistema de copia de seguridad, pasan a cifrar el resto de la organización.
Recomendación: Asegúrate de tener copias de seguridad offline/offsite a las que no se pueda acceder utilizando las mismas credenciales que el resto de tu red de producción.
El proceso de recuperación puede ser un obstáculo
Un procedimiento de recuperación enrevesado también puede retrasar la vuelta a las operaciones normales de la empresa. El mejor enfoque para la recuperación es "la práctica hace el progreso". En muchos casos de IR a los que nos vemos abocados, la mayor parte del plazo de recuperación se dedica a conseguir que las personas adecuadas aprueben el proceso de recuperación. Pero otros aspectos de la recuperación que parecen obvios -como el mantenimiento de una lista offline de contactos clave y la organización de los turnos de los expertos- también se pasan por alto, lo que añade complicaciones a una situación inherentemente caótica.
Los analistas de Gartner Wayne Hankins y Craig Porter señalaron recientemente la importancia de la rapidez en la recuperación tras un ataque de ransomware: "Los CISO responsables de prepararse para los ataques de ransomware deben crear resiliencia mediante el desarrollo de una estrategia de contención que puedan ejecutar durante un ataque de ransomware. No hacerlo aumentará el riesgo de una respuesta descoordinada e ineficaz, prolongando el tiempo de recuperación."
Aunque Gartner no proporciona instrucciones específicas sobre cómo construir el libro de jugadas de la recuperación, puedo dar fe de que cuantos más detalles capte una organización, más rápida será la recuperación. Descubrir esos detalles requiere practicar cada paso del viaje de recuperación.
Recomendación: Asegúrese de contar con un procedimiento de IR bien documentado que ofrezca detalles sobre todos los aspectos del proceso de recuperación, y compruebe que se puede acceder a esta información aunque la red esté caída. La información básica (publicaremos una lista más completa en el futuro y la enlazaremos aquí) incluye:
- ¿Quién debe aprobar los distintos pasos del proceso? Por ejemplo, ¿quién puede autorizar el inicio del procedimiento de recuperación de Active Directory?
- ¿Quiénes son sus proveedores clave (esta lista puede ser diferente para un caso de IR en comparación con los proveedores para las operaciones normales de TI), y dónde está su información de contacto?
- ¿Qué acuerdos de nivel de servicio tiene con sus proveedores?
El tiempo es el factor decisivo para el éxito de la recuperación
Una vez recuperadas las copias de seguridad y aprobado el procedimiento de recuperación, el siguiente reto es el tiempo. El tiempo es el único factor que juega en tu contra. Yo diría que, si se dispone de tiempo suficiente y de acceso a copias de seguridad válidas, se puede recuperar cualquier entorno. Pero un tiempo de recuperación prolongado puede causar daños irreparables a la organización. Existe una conexión directa entre el tiempo de inactividad operativa y el coste de los daños para la organización. Aunque no es habitual que los esfuerzos de recuperación fracasen por completo, los costes asociados a un tiempo de inactividad excesivo pueden ser devastadores.
Evaluar con precisión los costes totales del tiempo de inactividad es notoriamente difícil, y el recuento final variará en función del tamaño de la organización y del sector. La estimación de Gartner de 2014 de que el tiempo de inactividad de TI cuesta a las organizaciones, de media, 5.600 dólares por minuto se sigue utilizando como referencia. Gartner informó recientemente de que los costes de recuperación de los ataques de ransomware, en particular, aumentaron un 20% en 2023 en comparación con 2022.
Pero, de nuevo, los costes del tiempo de inactividad pueden variar enormemente: Según Forbes, el fabricante medio de automóviles pierde 22.000 dólares por minuto cuando se detiene la línea de producción. La cuestión relevante no es cuál es el coste medio del tiempo de inactividad en la industria. Lo importante es saber cuánto le costará a su empresa el tiempo de inactividad, no sólo en costes reales, sino también en daños a la reputación, legales y normativos.
Recomendación: Asegúrese de orquestar y automatizar la mayor parte posible del proceso de recuperación. La recuperación orquestada con sistemas complejos puede marcar la diferencia entre días y semanas de tiempo de recuperación frente a minutos y horas. Por ejemplo, Maersk tardó nueve días en recuperar su Active Directory tras el ataque de NotPetya. En el mismo entorno, pero con una solución orquestada, el tiempo de recuperación puede reducirse a 30 minutos.
La seguridad posterior a la violación evita ataques posteriores
Una vez completada la recuperación, garantizar que el entorno está protegido y es de confianza es el último gran esfuerzo del proceso de recuperación. Lo último que se desea es exponer el entorno recuperado demasiado pronto, lo que podría abrir la puerta a que los atacantes volvieran inmediatamente y lo derribaran de nuevo. Es necesario identificar y erradicar el malware persistente antes de devolver los sistemas a la producción.
Recomendación: Asegúrese de que su proceso de IR incluye un proceso bien definido para asegurar el entorno posterior a la recuperación. El procedimiento debe incluir el escaneo de todos los sistemas en busca de indicadores de exposición (IOE), indicadores de compromiso (IOC) e indicadores potenciales de ataque (IOA).
Reducir el tiempo de inactividad para mejorar la ciberresiliencia
Prepararse para el peor de los casos es el primer paso para garantizar que su organización pueda sobrevivir a un ciberdesastre. El número y la gravedad de los ataques a organizaciones de todos los tamaños, mercados verticales y ubicaciones geográficas aumenta cada mes que pasa.
Basándome en mi experiencia ayudando a organizaciones a recuperarse de ataques devastadores, insto a todos los líderes empresariales a que den prioridad al desarrollo de un plan de recuperación ante desastres cibernéticos totalmente probado. Aunque no se pueden evitar todos los ciberataques, sí se puede reducir drásticamente el tiempo de recuperación. Ese menor tiempo de inactividad podría ser el factor que determine si su empresa sobrevive.