¿Qué medio de comunicación empresarial se deben utilizar durante un incidente de ciberseguridad como el ransomware?


Las comunicaciones son críticas durante un incidente. Si no puede coordinar colaborar e informar acciones e información sobre un incidente la respuesta al incidente eventualmente fallará. Normalmente esto no es un problema ya que las organizaciones tienen recursos como el correo electrónico de Microsoft 365, SharePoint, Slack y Teams para comunicarse entre sí. Sin embargo ¿qué sucede cuando esas tecnologías no están disponibles? Ahí es donde entran las comunicaciones OOB (Out of band).

Las comunicaciones OOB son tecnologías alternativas que se utilizan fuera de sus sistemas de comunicaciones existentes normales para permitir que los equipos de respuesta colaboren durante un incidente. Es importante tener en cuenta que estas tecnologías están fuera de su infraestructura existente : son sistemas que no usa a diario y no están vinculados a sus sistemas o infraestructura de comunicaciones actuales. En otras palabras si usa M365 y Active Directory Teams no es OOB y tampoco nada que use autenticación AD. OOB debe estar completamente separado.

¿CUÁNDO SE NECESITA OOB?

Las comunicaciones OOB se usan comúnmente cuando las comunicaciones existentes no están disponibles o no son confiables o se sospecha que no lo son . Los ejemplos de situaciones que podrían hacer que los sistemas no estén disponibles incluyen una interrupción del proveedor, una tormenta severa, un evento de ransomware o un ataque DDOS. Durante estos tiempos OOB proporciona una copia de seguridad de la funcionalidad de los sistemas existentes.

Las comunicaciones se consideran no confiables si ya no está seguro de que su confidencialidad o integridad estén intactas. Esto suele ocurrir durante un incidente en el que el autor de la amenaza ha comprometido con éxito sus sistemas de comunicación (por lo general, correo electrónico o chat) o cuando existe la posibilidad de que lo haya hecho. Dado que debe mantener la confidencialidad de sus acciones de respuesta a incidentes las organizaciones deben pasar automáticamente a OOB una vez que un incidente alcanza un nivel de gravedad alto o si tienen indicadores de que sus sistemas de comunicación se han visto comprometidos.

Puede sonar poco probable que un atacante use sus sistemas de comunicación en su contra durante un incidente, pero sucede con más frecuencia de lo que muchos creen. En 2016 Nick Carr describió un caso en el que trabajó en el que el atacante estaba apuntando al equipo de IR externo del que el atacante sabía porque estaba monitoreando el correo electrónico de la víctima. En septiembre de 2022 un atacante que comprometió a Uber lo anunció enviando un mensaje a través del Slack de la empresa. Estos no son incidentes aislados sino que sirven para resaltar por qué es necesario OOB durante un incidente.

OOB también se puede usar cuando necesita llegar a muchas personas a la vez. Algunas organizaciones tienen sistemas de buscapersonas para comunicarse con todos los empleados en caso de un desastre o interrupción. Por lo general se usan para eventos meteorológicos pero también se pueden usar para informar a los empleados sobre el estado de una interrupción importante de TI o un evento de seguridad.

¿QUÉ DEBE HACER OOB?

Los requisitos OOB son diferentes para cada organización. Para determinar el suyo, observe cómo necesitaría comunicarse durante un incidente para organizar, informar y responder de manera efectiva. Esto debe incluir:

  • Correo electrónico
  • charla en tiempo real
  • Voz
  • Mensajes unidireccionales de emergencia para todos los empleados
  • Almacenamiento de archivos
  • Sitios web externos para comunicarse con los clientes, los medios o el público

Comprenda que no necesita configurar OOB para cada empleado excepto tal vez para que los empleados opten por el sistema unidireccional de emergencia. Las comunicaciones OOB deben restringirse solo a aquellos que necesitan ayudar a la organización a responder y recuperarse del incidente. OOB debe verse como un sistema temporal que se usa mientras recupera sus sistemas de comunicaciones normales y se asegura de que su integridad no se haya visto comprometida.

Una nota sobre el almacenamiento de archivos OOB: asegúrese de que lo que elija tenga suficiente espacio para almacenar cualquier cosa dentro de un incidente, como evidencia. Además cargue cualquier política y procedimiento como planes de respuesta a incidentes o libros de jugadas en el almacenamiento de archivos antes de que ocurra un incidente.

CONSIDERACIONES OOB

Para cualquier solución OOB que elija, asegúrese de cumplir con todos los requisitos de su equipo legal. Los equipos legales pueden requerir que OOB pueda registrar, guardar o hacer una copia de seguridad de todas las comunicaciones, o que los datos se almacenen durante un período de tiempo específico. Esto podría ser necesario si se aplica una retención legal a la organización por el incidente.

Además, examine la seguridad y el uso de la solución que utiliza; no se limite a encontrar algo que es conveniente. Por ejemplo, muchas organizaciones con las que he hablado sobre Tabletop Exercises afirman que usan mensajes de texto SMS o una aplicación gratuita, como WhatsApp, en dispositivos personales para OOB. Eso suena genial hasta que se dan cuenta de que puede haber poca seguridad en torno a esas aplicaciones y que usarlas en dispositivos personales también puede significar que podrían verse obligados a entregar esos dispositivos durante el litigio. (Es gracioso la frecuencia con la que cambian los requisitos una vez que alguien se da cuenta de que su dispositivo personal puede usarse en un litigio laboral).

¿CUÁNDO DEBERÍAS CONFIGURAR OOB?

El dia de ayer.

Las comunicaciones OOB deben configurarse antes de que ocurra un incidente. Las organizaciones que esperan un incidente para encontrar soluciones OOB desperdician un tiempo valioso que de otro modo podrían dedicar a investigar y recuperar e incluso pueden descubrir que les quitan su solución OOB.

Un gran ejemplo de esto ocurrió cuando la ciudad de Baltimore estaba respondiendo a su ataque de ransomware de 2019. Habían dado instrucciones a los empleados de la ciudad para que crearan cuentas de Gmail para continuar con las operaciones. Esto no solo violó las políticas de Google para las cuentas gratuitas, sino que también activó las alarmas de seguridad cuando se crearon muchas cuentas de Gmail desde la misma ubicación. Posteriormente, Google bloqueó o eliminó todas las cuentas nuevas y el sistema de correo electrónico OOB de Baltimore ya no existía.

Además no configure su OOB y olvídese de él. Pruebe su OOB anualmente (como mínimo) para asegurarse de que funcione como se espera y que todos puedan conectarse. También puede considerar tener dispositivos, como tabletas, que estén preconfigurados para conectarse a plataformas OOB. Esto asegurará que los operadores puedan abrir las tabletas y conectarse sin tener que recordar cómo usar OOB.

¡NO REINVENTES LA RUEDA!

La buena noticia es que es posible que las organizaciones ya tengan sistemas OOB. Los equipos de comunicaciones y continuidad del negocio suelen tener sistemas OOB para la recuperación ante desastres o para comunicarse con los empleados durante eventos como condiciones meteorológicas adversas. Los equipos de respuesta a incidentes a menudo pueden aprovechar estas soluciones para usarlas durante un incidente de seguridad cibernética y si ya tiene la solución interna, es probable que los procedimientos para usarlas ya estén escritos.

Los sistemas de comunicación OOB son una realidad que las organizaciones deben planificar. Tomarse el tiempo ahora para configurar OOB para las comunicaciones necesarias le ahorrará a la organización muchos dolores de cabeza tanto técnicos como operativos. A su vez esto permite que los socorristas se concentren en lo que importa: hacer que la organización vuelva a funcionar.