Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp Bluesky

Gran asistencia a seminario de respuesta a incidentes, presentado por el CSIRT y Google Cloud/Mandiant

Enmarcado en el Mes de la Ciberseguridad, el encuentro contó con la asistencia de más de 100 funcionarios de Santiago y otras regiones.
WhatsApp-Image-2023-10-11-at-17.24.14.jpeg

Una intensa mañana de ciberseguridad, respuesta a incidentes e inteligencia digital para funcionarios públicos llevó a cabo el CSIRT de Gobierno el pasado 3 de octubre, comprendiendo dos interesantes charlas a cargo de expertos de Mandiant/Google Cloud.

Enmarcado en el Mes de la Ciberseguridad, el encuentro se realizó en el Edificio Moneda Bicentenario y contó con la asistencia de más de 100 funcionarios de Santiago y otras regiones.

El encargado de abrir el evento fue Cristian Bravo, jefe del CSIRT de Gobierno, quien afirmó que “esta instancia corresponde a una serie de sesiones técnicas para brindar tips y recomendaciones prácticas a los profesionales del servicio público. La idea es profundizar sobre temas contingentes, como por ejemplo protección ante ransomware, organización de equipos para responder a incidentes, gestión de logs técnicos, y organización de equipos con herramientas open source”.

Posteriormente, Roni Berezin, especialista en Respuesta ante Incidentes de Mandiant/Google Cloud, mostró los principales datos corporativos de Mandiant, señalando que es muy conocida por su área de respuesta a incidentes. A continuación, efectuó un completo panorama de amenazas y detección analizando el comportamiento de los diferentes grupos de hackers, y cómo responder ante ellos.

En este sentido, el profesional destacó un reporte llamado M-Trends, elaborado por la compañía, que sistematiza todos los números y métricas del año anterior: “A modo de ejemplo, en 2022 hicimos 1.163 investigaciones de respuesta a incidentes, obteniendo una serie de estadísticas”.

Berezin agregó que “ese mismo año observamos que una organización toma, en promedio, 16 días en detectar la presencia de un ataque. Se podría pensar que este tiempo está bien, sin embargo, es bajo porque gran parte de las investigaciones son de ransomware, y las intrusiones por este virus son muy rápidas y destructivas”.

Otro dato otorgado por el experto fue que cuando los hackers hacen intrusiones, y realizan pruebas de penetración, demoran aproximadamente 3 días en comprometer un dominio Windows. “Supuestamente las herramientas de detección de antivirus debieran ayudarnos a impedir estos ataques, pero lamentablemente con esos niveles de acceso pueden desactivar cualquier medida de ciberseguridad presente en la organización”.

El experto se refirió también al tiempo de permanencia: “Este es el tiempo que transcurre entre la primera intrusión a una red, hasta la detección. Y esta última se puede dar por diferentes motivos, no necesariamente porque hay un equipo de monitoreo alerta, sino que muchas veces sucede que uno se entera de la peor forma. Por ejemplo, en los casos de ransomware uno se da cuenta de que la organización está comprometida en el momento en que las cosas se van de las manos”.

Es importante destacar que el tiempo de permanencia es de 5 días en el caso de ransomware, es decir, el 50% de la intrusión hasta el momento en que se despliega: “Nosotros hemos investigado casos en Latinoamérica, en donde los compromisos iniciales ocurrieron más de dos años antes de la detección. Es decir, dos años atacando una red, revisando con privilegios, preparando algún ataque o derechamente espiando o robando datos. Por lo tanto, a nivel latinoamericano todavía estamos lejos de estos números, y la idea es que los vamos mejorando”, precisó.

El ejecutivo abordó también las fuentes del cibercrimen en nuestra región, metodología de respuesta ante incidentes y los factores que impiden el éxito en la defensa.

La ventaja del defensor

Durante el encuentro expuso también Cristian Bobadilla, especialista en Consultoría y Estrategia de Ciberseguridad de Mandiant/Google Cloud, quien comenzó su presentación enfatizando en qué es lo que realmente se debe proteger. “Muchas veces no sabemos dónde están los datos críticos o nuestra protección se basa en los servidores, pero no los de antivirus. Entonces, obviamente puede ser fácil hackear un servidor de apoyo, un área sinérgica, de parchado y por ahí llegar a los servidores principales. Esto sin duda es muy importante a en cuenta”, indicó.

Sobre lo anterior, el experto añadió: “Todas las decisiones que recomendamos debieran tener como trasfondo reducir riesgos para las empresas, pero estos varían según su rubro. Esto es muy importante y tiene que ver con este mensaje que le llamamos ‘la ventaja del defensor’. Lo que postulamos con esto es que nosotros nos defendemos en un área que debiéramos conocer mucho más que el atacante. Somos víctimas de un ataque, pero también de nuestro propio terreno. Entonces, si nosotros podemos preparar este terreno para una buena defensa, cuando nos ataquen, debiéramos poder capitalizar este concepto. Pero muchas organizaciones desconocen esto”.

Cristián Bobadilla hizo hincapié en que, entre las reglas del enfrentamiento, destaca no suponer que el enemigo no vendrá; la organización tiene la ventaja del defensor; las victorias se obtienen manteniendo a los atacantes fuera del entorno, así como mediante su expulsión antes de que el impacto sea alto o crítico. “La victoria consiste en mantener la operación, imagen y reputación de la organización a pesar de los ataques recibidos”, dijo.

En este contexto, el ejecutivo afirmó que hay que prepararse para lo inevitable, “la preparación es clave para implementar una capacidad eficaz de ciberdefensa. Y un elemento vital al respecto es la inteligencia sobre ciberamenazas

El especialista habló también de detección de eventos maliciosos y de interés; respuesta, contención y erradicación del compromiso; cacería de amenazas; efectividad de controles; ciberconciencia situacional, y sistema temprano de alertas.