Cómo responder a un incidente de malware: plan y pasos clave

Como administradores de seguridad, intentamos ser lo más proactivos posible, aplicando parches y actualizaciones, realizando pruebas de penetración y estableciendo políticas de uso. Desafortunadamente, a veces todos los cuidados preventivos del mundo no protegerán tus sistemas de la infección inevitable, ya sea un virus, gusano u alguna otra forma de malware.

Anteriormente he hablado de la importancia de crear una política de respuesta ante incidentes y te he dado pasos específicos a seguir en caso de un incidente de seguridad. Pero los incidentes de seguridad pueden variar en tamaño y objetivo. Mientras es imperativo tener una política general en su lugar, un plan real de respuesta a incidentes debe depender del evento específico.

Un ejemplo claro es la creciente amenaza de las infecciones por malware. Un plan de respuesta ante incidentes de malware no debe enfocarse en un ataque activo, sino más bien en la carga maliciosa dejada en tus sistemas.

Índice de Contenido
  1. ¿Qué es el malware?
  2. Reflexiones finales
  3. ¿Te perdiste una columna?

¿Qué es el malware?

El malware es código o software malicioso insertado secretamente en un sistema para comprometer la confidencialidad, integridad o disponibilidad de los datos o aplicaciones que residen en la red. Los incidentes de malware pueden causar daños y interrupciones extensos en una red, y requieren esfuerzos costosos para restaurar la seguridad del sistema y la confianza del usuario.

Podemos separar las amenazas de malware en cinco categorías principales. Aquí tienes un resumen rápido:

  • Virus: Código autorreplicante que inserta copias del virus en programas o archivos de datos. Los virus pueden atacar tanto a sistemas operativos como a aplicaciones.
  • Gusanos: Un programa autorreplicante y autocontenido que se ejecuta sin intervención del usuario. Los gusanos crean copias de sí mismos y no requieren un programa host para infectar un sistema.
  • Troyanos: Este programa autónomo y no autorreplicante parece ser benigno, pero en realidad tiene un propósito malicioso oculto. Los troyanos a menudo entregan otras herramientas de ataque a los sistemas.
  • Código móvil malicioso: Este software con intención maliciosa se transmite desde un sistema remoto a un sistema local. Los atacantes lo usan para transmitir virus, gusanos y troyanos al sistema de un usuario. El código móvil malicioso explota vulnerabilidades aprovechando los privilegios predeterminados y los sistemas sin parches.
  • Cookies de seguimiento: Accedidas por muchos sitios web, estas cookies persistentes permiten a un tercero crear un perfil del comportamiento de un usuario. Los atacantes a menudo utilizan cookies de seguimiento junto con bugs de web.

Estas son las principales categorías de las amenazas de malware que afectan a tus usuarios y tu red. ¿Qué sucede cuando tienen éxito? Un plan de respuesta efectivo ante incidentes de malware incluye estos seis pasos:

Cómo identificar y gestionar riesgos en proyectos: 5 pasos clave
  1. Preparación: Desarrolla políticas y procedimientos específicos para el manejo de incidentes por malware. Realiza entrenamientos y ejercicios orientados al malware para probar tus políticas y procedimientos. Determina si tus procedimientos funcionan antes de tener que utilizarlos en un incidente real.
  2. Detección y análisis: Implementa y monitorea software antivirus/anti-spyware. Lee los avisos y alertas de malware producidos por los proveedores de antivirus/anti-spyware. Crea kits de herramientas en medios extraíbles que contengan herramientas actualizadas para identificar malware, examinar procesos en ejecución y realizar otras acciones de análisis.
  3. Contención: Prepárate para cerrar un servidor/estación de trabajo o bloquear servicios (por ejemplo, correo electrónico, navegación web o acceso a Internet) para contener un incidente de malware. Decide quién tiene la autoridad para tomar esta decisión basada en la actividad del malware. La contención temprana puede detener la propagación del malware y prevenir daños adicionales en los sistemas internos y externos de tu red.
  4. Erradicación: Prepárate para utilizar una variedad de técnicas para eliminar el malware de los sistemas infectados.
  5. Recuperación: Restaura la confidencialidad, integridad y disponibilidad de los datos en los sistemas infectados y revierte las medidas de contención. Esto incluye reconectar sistemas/redes y reconstruir sistemas comprometidos desde cero o utilizando copias de seguridad conocidas. El equipo de respuesta ante incidentes debe evaluar los riesgos de restaurar los servicios de red y esta evaluación debe orientar las decisiones de gestión sobre la restauración de los servicios.
  6. Informe: Recopila las lecciones aprendidas después de cada incidente de malware para evitar incidentes similares en el futuro. Identifica cambios en la política de seguridad, configuraciones del software y la adición de controles de detección y prevención de malware.

Reflexiones finales

Cuando se trata de responder a un incidente de malware, puedes implementar todas las herramientas de detección y monitoreo del planeta, ¡pero aún así debes involucrar a tus usuarios! Educa a tus usuarios sobre cómo identificar infecciones y enséñales los pasos a seguir si su sistema se infecta.

¿Te perdiste una columna?

Consulta el Archivo de Soluciones de Seguridad y ponerte al día con las ediciones más recientes de la columna de Mike Mullins.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo responder a un incidente de malware: plan y pasos clave , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.