Con el paso del tiempo, los ataques cibernéticos han ido evolucionando en incursiones personalizadas, difíciles de detectar y sobre objetivos específicos. La combinación de estos elementos, hace que los custodios informáticos de las distintas organizaciones tengan que mejorar e inclusive actualizar sus conocimientos, a fin de poder hacer frente a todas las posibles amenazas que hoy en día se presentan.
En ese sentido, es preciso que los administradores sepan dónde y que buscar, para detectar y corregir cualquier brecha de seguridad. Luego de confirmar o tener la sospecha de una brecha de seguridad, algunos de los posibles puntos a revisar son:
-
Records de DNS infectados.
Como parte de controlar o direccionar la comunicación de máquinas comprometidas con el controlador (el atacante) externo, es posible que registros en los DNS sean creados o modificados en la infraestructura comprometida. La importancia de este punto es que, a simple vista el tráfico saliente que se aprecia es puro DNS, UDP 53, sin embargo, el fin del mismo es otro.
-
Auditar logins irregulares o fallidos.
Una vez la red es comprometida, lo normal es que el atacante intente moverse entre los diferentes componentes que la conforma. Estos movimientos generalmente incluyen ataques de fuerza bruta a los nodos activos, con el fin de poder entrar y agregarlos a la lista de equipos comprometidos. Todos estos intentos de acceso son registrados en los logs de los elementos involucrados en la "excursión".
-
Warnings de seguridad de soluciones de terceros.
Los aplicativos de terceros diseñados para el monitoreo de la seguridad de la empresa generan alertas cuando notan algún patrón o comportamiento extraño. Es normal que después de varios falsos positivos los usuarios de estas aplicaciones obvien dichas alertas, sin embargo, es una buena práctica, después de afinar estos softwares, auditar e investigar dichos eventos de vez en cuando.
-
Archivos desconocidos de gran tamaño.
Archivos grandes y de origen desconocido dentro de los equipos deben ser revisados. En casos anteriores se han reportado que archivos de este tipo contienen información robada de la empresa, la cual es posteriormente enviada al exterior para consumo del atacante.
-
Conexiones anormales a la red.
Si los administradores de la red saben que el 90% de los usuarios trabaja de lunes a viernes de 8:00 am a 5:00 pm, ¿no sería raro ver grandes picos de conexiones en la noche o en fin de semana? Usando cualquier herramienta disponible para estos fines, los administradores de TI deben aplicar el conocimiento que tienen del movimiento del negocio, para detectar y corregir oportunamente cambios en los patrones de conexión y uso de los sistemas. Muchos movimientos en horas poco comunes casi siempre es síntoma de que algo no anda bien.
-
Gran aumento de correos salientes.
Generalmente grandes picos de correos desde usuarios relativamente "tranquilos" tienden hacer el indicio de problemas y ameritan algo de investigación. En experiencias pasadas he visto, que la red como tal no ha sido violentada en ningún momento, sino que el password del usuario ha sido comprometido y como en dicha empresa es aceptado que las personas se conecten desde el exterior, los atacantes utilizaron dicha cuenta para hacer envíos de correos masivos.
Esto no es difícil de sanear, pero mientras tanto, la reputación del dominio de correo de esa empresa está en lista negra (blacklist), lo que se traduce en muchos bloqueos de correos salientes de usuarios legítimos.