Hack toma: un CISO y un pirata informático detallan cómo responderían a la violación de Exchange

Aaron Fosdick
Contribuyente

Aaron Fosdick es CISO en Randori, una empresa de ciberseguridad que brinda servicios de seguridad ofensivos.

David Wolpoff
Contribuyente

Un hacker de carrera, David "Moose" Wolpoff es CTO y cofundador de Randori, una empresa que construye una plataforma continua de equipos rojos.

El mundo cibernético ha entrado en una nueva era en la que los ataques son cada vez más frecuentes y ocurren a una escala mayor que nunca. Los hacks masivos que afectan a miles de empresas y agencias estadounidenses de alto nivel han dominado las noticias recientemente. Las principales de ellas son la violación de SolarWinds / FireEye de diciembre y la más reciente violación del servidor de Microsoft Exchange. Todo el mundo quiere saber: si ha sido afectado por la infracción de Exchange, ¿qué debe hacer?
Para responder a esta pregunta y comparar las filosofías de seguridad, describimos lo que haríamos, uno al lado del otro. Uno de nosotros es un atacante de carrera (David Wolpoff) y el otro un CISO con experiencia en asegurar empresas en los espacios de salud y seguridad (Aaron Fosdick).

No espere a que su equipo de respuesta a incidentes se lleve la peor parte de un ciberataque a su organización.

CISO Aaron Fosdick

1. Haga una copia de seguridad de su sistema.

Es probable que un hacker te lance algunos ataques de ransomware después de irrumpir en tu servidor de correo. Así que confíe en sus copias de seguridad, configuraciones, etc. Realice copias de seguridad de todo lo que pueda. Pero retroceda a una instancia anterior a la infracción. Diseñe sus copias de seguridad asumiendo que un atacante intentará eliminarlas. No utilice sus credenciales de administrador habituales para cifrar sus copias de seguridad y asegúrese de que sus cuentas de administrador no puedan eliminar ni modificar las copias de seguridad una vez que se hayan creado. Su objetivo de respaldo no debe ser parte de su dominio.

2. Asuma un compromiso y detenga la conectividad si es necesario.

Identifique si se ha visto comprometido y dónde. Inspeccione sus sistemas de forma forense para ver si algún sistema está utilizando su superficie como punto de lanzamiento e intentando moverse lateralmente desde allí. Si su servidor Exchange está realmente comprometido, lo desea fuera de su red lo antes posible. Desactive la conectividad externa a Internet para asegurarse de que no puedan filtrar ningún dato o comunicarse con otros sistemas en la red, que es la forma en que los atacantes se mueven lateralmente.

3. Considere implementar default / deny.