Los CISO del sector financiero tienen que hacer frente a otro nuevo reto normativo. A principios de este año, la Comisión del Mercado de Valores de Estados Unidos (SEC) adoptó nuevas normas de divulgación y respuesta a incidentes de ciberseguridad, exigiendo nuevos enfoques para la planificación de la recuperación de desastres. Para las organizaciones afectadas, los nuevos requisitos del Reglamento S-P de la SEC exigen una nueva mirada a la seguridad de su infraestructura de identidad.
Active Directory (AD), como sistema crítico que controla el acceso a la red, requiere especial atención en esta mejora. Un compromiso de AD podría constituir fácilmente un incidente notificable, lo que hace que unas sólidas capacidades de recuperación de AD sean esenciales para cumplir los ajustados plazos de divulgación de la SEC. Para prepararse, los CISO deben empezar por evaluar (y probar) sus actuales planes de recuperación ante desastres de AD, identificar las lagunas en el cumplimiento de los nuevos requisitos e implementar soluciones de recuperación automatizadas para mejorar la capacidad de respuesta.
Qué significan para los CISO los nuevos requisitos del Reglamento S-P de la SEC
La SEC exige a las empresas que notifiquen a los clientes afectados en un plazo de 30 días tras una violación cibernética. La empresa debe realizar un análisis forense de la violación:
- ¿Qué ha pasado?
- Cómo ocurrió
- Qué se ha vulnerado
Para cumplir incluso esos requisitos básicos de información, en el 90% de los ataques las empresas deben recuperar primero Active Directory. Sin un Active Directory operativo, la red y los sistemas operativos podrían no estar disponibles.
Para ilustrar mejor las consecuencias de una protección AD inadecuada, consideremos lo siguiente:
- El 74% de las violaciones de datos comienzan con el abuso de credenciales privilegiadas
- El tiempo medio que tarda un actor malintencionado en acceder a AD es de 16 horas
- La mediana de tiempo que tarda un atacante en desplazarse lateralmente tras comprometer un dispositivo es de 1 hora y 42 minutos
- El tiempo medio para recuperar Active Directory tras un ataque es de 21 días
Ahora, según los requisitos del Reglamento S-P de la SEC, las empresas también deben ser capaces de "recuperarse tanto del acceso no autorizado como del uso no autorizado de la información de los clientes." La SEC reconoce que las empresas "deben prever y prepararse para la posibilidad de que se les deniegue el acceso a un sistema concreto y disponer de procedimientos para cumplir los requisitos de notificación."
Un plan detallado y documentado de recuperación de AD es clave para cumplir estos requisitos.
Active Directory: el objetivo principal
En los últimos tres años, muchos ataques a gran escala han tenido como objetivo Active Directory, la columna vertebral de la mayoría de las redes empresariales. Si AD no funciona, por lo general no funcionan todos los sistemas.
Esto supone una gran diferencia con respecto a objetivos de ataque predecibles como los datos de los pacientes y los archivos contables de su organización. Para proteger estos activos críticos de los ataques, primero hay que identificar qué sistemas controlan el acceso a ellos.
Active Directory, que gestiona la autenticación de usuarios y los derechos de acceso en toda la red, se ha convertido en un lucrativo vector de ataque. Los actores maliciosos buscan acceso a Active Directory porque proporciona el camino más fácil a toda la red, proporcionando acceso a nivel de usuario e incluso de administrador a cualquier cosa dentro de sus límites. Y es un objetivo fácil: Muchos entornos AD heredados tienen vulnerabilidades de seguridad que se han acumulado con el tiempo, creando innumerables vías de entrada para los atacantes.
Por desgracia, recuperarse de un ataque a Active Directory suele ser más difícil que recuperarse de un ataque a otras aplicaciones críticas o incluso a sus servidores. Aunque el proceso es el mismo -detener la hemorragia, iniciar la recuperación y comunicarse con las partes interesadas de acuerdo con las directrices de la SEC-, puede resultar complicado determinar el alcance del ataque, cuánto tiempo lleva comprometido el sistema e incluso cómo está comprometido. Los servidores pueden reiniciarse con un archivo de recuperación, pero a menudo es necesario clasificar, recuperar y reinstalar AD en todo el bosque, lo que prolonga el tiempo de recuperación de unos días a semanas. Sólo después de la recuperación puede comenzar un análisis forense para determinar el alcance y la magnitud del ataque.
Proteger y planificar la recuperación
Dada la gravedad de un ataque a Active Directory, ¿cómo puede protegerse y planificar una rápida recuperación? Su plan de recuperación ante desastres debe tener en cuenta la verdadera naturaleza de un compromiso de AD.
- Reconocer el alcance potencial. Debe empezar por reconocer el alcance potencial de un ataque. No sólo se trata de un ataque al sistema, sino que los nombres de usuario y las contraseñas de sus empleados pueden estar expuestos. Normalmente, si un atacante accede a Active Directory, tiene las credenciales necesarias para acceder a otros sistemas. Todos los activos críticos, incluidos los registros de clientes y pacientes, están en peligro. Una vez que un atacante posee AD, tiene un poder significativo, con implicaciones en toda la red de su organización y los activos conectados a la red.
- Evalúe la capacidad de su organización. También debe evaluar la capacidad de su organización para clasificar y recuperarse de un ataque. Muchas veces, los vectores de ataque de AD están ofuscados. Puede tratarse de un único punto de acceso, como el nombre de usuario y la contraseña de un empleado. Otras veces, los atacantes podrían haber creado puertas traseras que permiten un acceso continuo y resistente a la protección. El análisis forense puede ayudar a revelar cómo y dónde se produjo el ataque, por lo que es importante asegurarse de que su organización cuenta con los recursos y la experiencia necesarios para llevarlo a cabo. Aquí es donde resulta útil asociarse con una empresa externa. Si su organización tiene un número limitado de analistas forenses cualificados, las organizaciones especializadas en recuperación de AD -incluido el análisis posterior a la filtración- pueden proporcionarle las herramientas y la asistencia bajo demanda que necesita para acelerar una recuperación completa.
- Tenga en cuenta el tiempo de recuperación prolongado. Su plan de recuperación ante desastres también debe tener en cuenta el tiempo real que se tarda en recuperarse de un ataque AD. Esto suele implicar:
- Aislar el entorno comprometido
- Reconstrucción de la infraestructura de Active Directory
- Verificación y limpieza de todos los sistemas conectados
- Aplicación de nuevas medidas de seguridad
- Formación de los empleados sobre los nuevos protocolos de seguridad
Estos pasos pueden llevar de semanas a meses, lo que puede afectar a la capacidad de su organización para funcionar sin interrupciones.
Lo que está en juego... y la solución
Con amenazas cibernéticas cada vez más sofisticadas, las empresas financieras y bancarias se enfrentan a un entorno de seguridad desafiante - la protección de Active Directory debe ser una prioridad. AD es un objetivo prioritario para los ciberdelincuentes porque es la columna vertebral de la mayoría de las redes empresariales. El daño potencial de un compromiso de AD es extenso, y la recuperación puede ser compleja y llevar mucho tiempo.
La protección de su AD está intrínsecamente ligada a la seguridad de todo su ecosistema digital. Mediante la comprensión de los riesgos, la aplicación de medidas preventivas sólidas y el desarrollo de un plan de recuperación integral, las organizaciones pueden navegar mejor por los nuevos requisitos del Reglamento S-P de la SEC y protegerse mejor contra las amenazas en evolución.
Más información sobre el papel de la seguridad de Active Directory en la la resistencia cibernética y operativa de los servicios financieros.
Más recursos
