Las ventajas de colaborar con las autoridades en ciberseguridad para empresas
Los últimos estudios sobre cibercrimen confirman que los ataques están en aumento nuevamente. A medida que el ransomware continúa siendo una amenaza y los ataques de naciones-estado y los incidentes relacionados con el espionaje aumentan, las autoridades advierten que los números reportados pueden ser solo la punta del iceberg.
Un informe reciente de la Oficina de Responsabilidad del Gobierno de Estados Unidos, que destaca los desafíos de las agencias federales de Estados Unidos con los mecanismos de informes, asegura que es probable que el cibercrimen esté subinformado.
Las razones por las cuales las empresas grandes, medianas y pequeñas eligen no informar un ciberataque incluyen el miedo al daño a la reputación, la interrupción del negocio y los riesgos de compartir datos con el gobierno. Estos conceptos erróneos están afectando a las empresas privadas, ya que no reconocen los beneficios de trabajar con agencias federales y organismos encargados de hacer cumplir la ley para responder al cibercrimen.
El 20 de julio, asistí a la Cumbre de Ciberseguridad del Noreste. En el evento, agentes del FBI y Seguridad Nacional revelaron cómo funciona la colaboración en ciberinteligencia y cómo las empresas pueden aprovecharla.
Interrupción del negocio: ¿qué sucede realmente cuando el FBI o Seguridad Nacional intervienen?
Uno de los principales mitos con respecto a la participación de las agencias federales y las autoridades es la interrupción de las operaciones comerciales. Las empresas pueden pensar que llamar a las agencias federales puede complicar aún más una situación difícil.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel"Creo que hay algunas ideas erróneas sobre el FBI, Seguridad Nacional o cualquier agencia de aplicación de la ley", dijo Jeff Hunter, agente especial del FBI. Hunter agregó que las empresas a menudo piensan que cuando las autoridades se presentan, se llevarán todos los servidores y cerrarán las operaciones comerciales. "Esa no es la realidad", dijo Hunter.
Informes forenses de informática: los beneficios de informar y hacer la llamada
Hunter destacó el interés del FBI en establecer un diálogo bidireccional desde el principio.
"Por ejemplo, con el ransomware, el FBI tiene un caso sobre cada variante de ransomware que existe", dijo. "Así que con una notificación rápida, podemos ponerlo en contacto directo con los agentes reales que están trabajando en esa variante para obtener los indicadores de compromiso muy rápidamente".
Los indicadores de compromiso en la informática forense son evidencia o pistas, a menudo en forma de migajas de metadatos, que ayudan a las organizaciones a resolver incidentes cibernéticos, revelando información clave sobre el ataque y el atacante.
Hunter agregó que el FBI también puede ayudar, por ejemplo, proporcionando una lista de direcciones IP relacionadas con el incidente, que una empresa puede querer poner en lista negra mientras realiza un triaje: identificar, priorizar y resolver.
"Entendemos que por lo general, cuando recibimos la llamada, es porque 'la casa está en llamas'", dijo Hunter, destacando que el objetivo del FBI no es crear más caos, sino ayudar a las empresas ofreciéndoles los recursos de la oficina.
Cómo proteger tu computadora de los virus: métodos y consejosMark Gibble, funcionario del grupo de investigaciones de Seguridad Nacional en el Departamento de Seguridad Nacional, está de acuerdo con Hunter y agregó: "Para ustedes, es un gran problema, es 'su hogar', 'su castillo', pero para nosotros, puede ser el tercer o cuarto incidente al que hemos ido en el mismo día".
"Por lo tanto, además de los indicadores de compromiso, a veces es posible que ya hayamos encontrado algunos de sus datos extraídos", dijo Gibble. "O bien, podemos tener información sobre dónde se encuentran algunas de las compromisos en su sistema".
Gibble también destacó la importancia de reportar incidentes menores.
"A veces puedes tener un problema pequeño", dijo Gibble. "Y cuando llegamos, podemos decirte que está a punto de ser mucho más grande. Aquí tienes la información; adelante. Arregla 'tu casa'".
Responsabilidades legales de informes e incentivos de colaboración
En Estados Unidos, existen varias leyes estatales y federales de notificación de infracciones de seguridad, que incluyen la Ley de Portabilidad y Responsabilidad del Seguro Médico, la Ley de Privacidad y Seguridad de la Información Gramm-Leach-Bliley, la Ley de Informes de Crédito Justo y la Ley de Privacidad del Consumidor de California. La legislación emergente, como la Ley de Informes de Incidentes Cibernéticos para la Infraestructura Crítica y la norma de la Comisión de Valores y Bolsa de Estados Unidos, está ejerciendo presión sobre las empresas para informar sobre el cibercrimen.
Sin embargo, se necesita más claridad sobre los mandatos y los requisitos legales que tienen las empresas para notificar, cooperar y colaborar con el gobierno cuando sufren una infracción.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasSeguridad Nacional y el FBI pueden ayudar a las empresas a responder preguntas críticas, dijo Gibble. Preguntas como:
- ¿Qué han hecho otras corporaciones que han sufrido el mismo tipo de ataque en las últimas 48 horas?
- ¿Cómo evolucionará el ataque?
- ¿Quién está detrás y qué está sucediendo?
- ¿Nuestra empresa debería pagar el rescate?
Gibble agregó que Seguridad Nacional u otras agencias también pueden tener información sobre el actor de amenazas en particular que ejecuta el ataque y proporcionar una perspectiva más amplia. Si bien las empresas tienen sus propias investigaciones, preparación y planes de respuesta a incidentes, Seguridad Nacional, por ejemplo, tiene datos nacionales y globales sobre el cibercrimen, agregó Gibble.
¿A quién contactar cuando ocurre un ataque cibernético?
Las empresas y los equipos de seguridad a menudo están confundidos acerca de a quién contactar cuando comienza a desarrollarse un ataque cibernético. Con diferentes agencias involucradas, jurisdicciones estatales y nacionales en juego, y diferentes fuerzas de tarea especializadas en diferentes tipos de ataques, ¿a quién deben llamar primero?
"Notificar a cualquier agencia de aplicación de la ley es obviamente recomendable", dijo Hunter. El agente especial explicó que las empresas pueden comunicarse con el FBI, el Servicio Secreto, Seguridad Nacional y otras autoridades locales que se coordinan con las agencias federales. Todas las autoridades federales y estatales trabajan juntas cuando se trata de cibercrimen en Estados Unidos y pondrán a una empresa en contacto con el recurso local más adecuado y cercano si se solicita.
Siendo más específico, Hunter aconsejó a las empresas que se pusieran en contacto con CyWatch. "Esa es la línea directa de respuesta a incidentes de ciberseguridad del FBI, disponible las 24 horas del día. CyWatch se puede contactar por teléfono al (855) 292-3937 o por correo electrónico a [email protected]. Pueden encaminarlo a la oficina del FBI que cubre ese incidente muy rápidamente. Podría hablar por teléfono con un supervisor de ciberseguridad o con los agentes que están trabajando en esa variante muy rápidamente".
Y si el FBI descubre que el asesor representa a una empresa, buscará incluir al asesor temprano en la conversación. "Nos gusta traer a todos y tener una conversación muy colaborativa", dijo Hunter.
Protege tus contraseñas con PAM: Tu aliado para la seguridad"Una relación preexistente con su oficina del FBI antes de que ocurra un incidente es fundamental", dijo Hunter. Tener esta relación construye confianza y acelera los procesos.
Por qué las empresas deberían establecer relaciones preexistentes con el FBI y Seguridad Nacional
Otra pregunta que las empresas suelen tener es si una agencia determinada trabaja con ciberdelitos específicos. ¿Cambia el contacto si el tipo de ataque (por ejemplo, ataques de naciones-estado o delitos criptográficos) cambia?
"Seguridad Nacional se enfoca mucho en la dark web y el ransomware", dijo Gibble. "Mientras que el Servicio Secreto está haciendo mucho rastreo de criptomonedas. Si tengo una pregunta sobre rastreo de criptomonedas, se lo preguntaría a ellos", dijo Gibble y agregó que el FBI, debido a su larga historia y tamaño, puede redirigir las llamadas a recursos locales más cercanos al incidente.
"Al final del día, llama a alguien y se lo enviaremos a la persona adecuada; no vamos a dejar caer la pelota ni ignorar tu llamado", dijo Gibble. El contacto con las autoridades se puede realizar a través de llamadas telefónicas o conferencias, incluso en áreas rurales. Además, si una empresa desea que un agente esté presente, se puede organizar vinculando las oficinas de las fuerzas del orden estatales o locales.
Gibble coincidió con Hunter en que la mejor manera de responder a la pregunta de a quién contactar es establecer una relación preexistente e integrar el contacto en el plan de respuesta a incidentes. Las empresas que establecen relaciones preexistentes también se sentirán más cómodas cuando ocurra un incidente, ya que ya conocen al agente encargado de hacer cumplir la ley. La relación preexistente también puede ayudar a navegar por las complejidades de compartir datos con agencias gubernamentales.
Conclusiones finales para las empresas
Los expertos en el panel concluyeron el evento con consejos para las empresas. Se enfatizó la importancia de apropiarse de la seguridad y comunicarse con otros sectores similares, las fuerzas del orden o académicos, dijo Gibble.
Cómo configurar un servidor VPN para hacer conexiones a través de firewalls"Así es como la fuerza del orden aprende. Ninguno de nosotros nace con conocimientos intuitivos", dijo Gibble. "Aumenta tu banco de conocimientos".
Además, las empresas deben realizar un inventario de datos y sistemas y contar con un equipo de respuesta a incidentes o forenses que puedan ayudar durante un ataque. Los planes de respuesta a incidentes deben actualizarse mensualmente en lugar de anualmente, y los empleados deben recibir educación para reconocer mensajes maliciosos.
"Suena simple, pero la mayoría de los incidentes que investigo todavía se rastrean hasta un empleado que hace clic en un enlace malicioso", dijo Hunter.
Las empresas pueden beneficiarse al establecer relaciones con agencias de aplicación de la ley, ya sea el FBI, Seguridad Nacional, el Servicio Secreto o departamentos locales. A través de la colaboración, pueden aprovechar los conocimientos que las agencias de aplicación de la ley tienen en áreas como la informática forense, las leyes, las tendencias globales, las tecnologías y los ataques específicos, las técnicas de respuesta y remediación, y la información global más amplia. Esta colaboración puede ayudar al sector privado a responder mejor a los ataques y resolverlos de manera más rápida y eficiente, al tiempo que fortalece la seguridad digital nacional e internacional.
Las empresas que deseen ponerse en contacto con Seguridad Nacional pueden hacerlo a través de la Agencia de Ciberseguridad y Seguridad de Infraestructura, que lidera el esfuerzo de Estados Unidos para reducir el cibercrimen. CISA puede ser contactada por correo electrónico a [email protected] o por teléfono al 888-282-0870. Además, se pueden denunciar diferentes incidentes a CISA en su sitio de informes de incidentes. El FBI se puede contactar a través del Centro de Quejas sobre Delitos en Internet. El IC3 es el centro central de Estados Unidos para informar sobre el cibercrimen.
¡Alerta! Un nuevo gusano de Linux está propagándoseEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Las ventajas de colaborar con las autoridades en ciberseguridad para empresas , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados