Desde que se hizo público el ataque a Garmin he estado pendiente de cómo reacciona la compañía y la industria de seguridad de la información ante el ataque sufrido por esta compañía que es reconocida por sus aparatos de GPS y relojes para ejercicios. Twitter ha sido mi mayor fuente de información y me he dado cuenta que no soy el único interesado.
No me cabe duda de que los ataques de ransomware teledirigidos se han convertido en una gran amenaza para las compañías y los encargados de proteger los sistemas, el equipo azul.
Estos incidentes de seguridad los analizo con información pùblica buscando identificar:
- Controles preventivos que tenía la organización afectada
- Su estrategia de comunicación durante y posterior al evento
- El manejo que tuvieron con los atacantes incluyendo compañías consultoras contratadas
- Estrategia de recuperación ante el ataque, ya sea pagando o recuperándose de respaldos
- Detalle técnico de los TTPs (tactics, techniques and procedures) utilizados por los atacantes para vulnerar a la víctima.
- Mejoras a los planes de seguridad post recuperación
No es práctico obtener IOCs para llevarlos a su empresa para protegerse contra este tipo de ataques porque al ser ataques desarrollados de manera específica es muy improbable que contar con IOCs pueda ser de ayuda para prevenir este tipo de ataques.
Lo que nos queda compañeros defensores es tratar de aprender sobre los TTPs usados para luego buscar cómo nuestras herramientas de seguridad en capas nos pueden ayudar a prevenir o reaccionar mejor ante este tipo de ataques.
Saludos,
Sebastián
Comments