Un CISO y un hacker detallan cómo responderían a la violación de Exchange – Heaven32

El mundo cibernético ha entrado en una nueva era en la que los ataques son cada vez más frecuentes y ocurren a una escala mayor que nunca. Los hacks masivos que afectan a miles de empresas y agencias estadounidenses de alto nivel han dominado las noticias recientemente. Las principales de ellas son la violación de SolarWinds / FireEye de diciembre y la más reciente Violación del servidor de Microsoft Exchange

. Todo el mundo quiere saber: si ha sido afectado por la infracción de Exchange, ¿qué debe hacer?

Para responder a esta pregunta y comparar las filosofías de seguridad, describimos lo que haríamos, uno al lado del otro. Uno de nosotros es un atacante de carrera (David Wolpoff) y el otro un CISO con experiencia en asegurar empresas en los espacios de salud y seguridad (Aaron Fosdick).

No espere a que su equipo de respuesta a incidentes se lleve la peor parte de un ciberataque a su organización.

CISO Aaron Fosdick

1. Haga una copia de seguridad de su sistema.

Es probable que un pirata informático te lance algunos ataques de ransomware después de irrumpir en tu servidor de correo. Así que confíe en sus copias de seguridad, configuraciones, etc. Realice copias de seguridad de todo lo que pueda. Pero retroceda a una instancia anterior a la infracción. Diseñe sus copias de seguridad asumiendo que un atacante intentará eliminarlas. No use sus credenciales de administrador normales para cifrar sus copias de seguridad y asegúrese de que sus cuentas de administrador no puedan eliminar o modificar las copias de seguridad una vez que se hayan creado. Su objetivo de respaldo no debe ser parte de su dominio.

2. Asuma un compromiso y detenga la conectividad si es necesario.

Identifique si se ha visto comprometido y dónde. Inspeccione sus sistemas de forma forense para ver si algún sistema está utilizando su superficie como punto de lanzamiento e intenta moverse lateralmente desde allí. Si su servidor Exchange está realmente comprometido, lo desea fuera de su red lo antes posible. Deshabilite la conectividad externa a Internet para asegurarse de que no puedan filtrar ningún dato o comunicarse con otros sistemas en la red, que es la forma en que los atacantes se mueven lateralmente.

3. Considere implementar default / deny.

Leave a Reply

Your email address will not be published. Required fields are marked *