Ser administrador de una empresa grande es interesante, un privilegio y una responsabilidad.
¡Cuidémoslo!
Los ciberataques son un problema cada vez más grave para las empresas de todos los tamaños. Solo en 2023, hemos visto cómo los hackers han atacado a grandes empresas como Sony, IFX Network y Kaseya, causando pérdidas millonarias y daños irreparables a la reputación.
Como administrador de infraestructura, eres responsable de proteger los sistemas y datos de tu empresa bajo el paragua de la infraestructura que tienes a cargo. Esto incluye la configuración y gestión de los sistemas, la implementación de controles de seguridad, la detección y respuesta a incidentes y aunque puede ser controversial, podría incluir que también se tiene cierta responsabilidades, o co-responsabilidades en la educación de los usuarios de la infraestructura sobre seguridad.
Los tipos de ciberataques que son más comunes para los administradores de infraestructura
Los ciberataques son una amenaza creciente para las empresas de infraestructura. Estos ataques pueden interrumpir servicios críticos, causar pérdidas económicas y dañar la reputación de las organizaciones.
Hay muchos tipos diferentes de ciberataques que pueden afectar a la infraestructura. Algunos de los tipos más comunes incluyen:
Phishing: Los ataques de phishing son intentos de engañar a las personas para que revelen información confidencial, como contraseñas o números de tarjetas de crédito.
Malware: El malware es un software malicioso que puede dañar o robar datos de un sistema.
Ransomware: El Ransomware es un ataque a los datos que puede venir de muchos vectores, un malware, virus, phishing, fallos de seguridad entre otros que cifra los datos de un sistema y luego exige un rescate a cambio de la clave de descifrado.
Para profundizar: Les dejo el reciente caso de Sony y las lecciones del ataque a IFX Network:
https://www.bleepingcomputer.com/news/security/sony-confirms-data-breach-impacting-thousands-in-the-us/
https://unahuellaenti.com/2-lecciones-ciber-ataque-ifx-network/
Ataques de denegación de servicio (DDoS): Los ataques de DDoS son intentos de sobrecargar un sistema con tráfico de red para hacerlo inaccesible.
De estos tipos, los que son más comunes para los administradores de infraestructura son el phishing y el malware.
Phishing
El phishing es un ataque en el que un atacante intenta engañar a la víctima para que revele información confidencial, como contraseñas o números de tarjetas de crédito. Los atacantes suelen enviar correos electrónicos o mensajes de texto falsos que parecen provenir de una fuente legítima, como un banco o una empresa de comercio electrónico. Los correos electrónicos o mensajes de texto falsos suelen contener enlaces a sitios web falsos que, al hacer clic, infectan el sistema de la víctima con malware.
Helpnetsecurity DDoS attacks 1H 2023 article:
https://www.helpnetsecurity.com/2023/10/02/ddos-attacks-1h-2023/
Malware
El malware es un software malicioso que puede dañar o robar datos de un sistema. El malware puede ser instalado en un sistema a través de una variedad de métodos, como:
- Correos electrónicos o mensajes de texto falsos
- Descargas de archivos infectados
- Visitas a sitios web maliciosos
El malware puede causar una variedad de daños, que incluyen:
- Cifrado de datos
- Robo de datos
- Daños al sistema
Este enlace proporciona un estudio de caso sobre un ataque de phishing que afectó a Equifax en 2017. El ataque resultó en el robo de datos personales de millones de personas.
Lo que debemos aprender de estos ataques y lo que podemos hacer según nuestras posibilidades y responsabilidades:
Instalar y configurar firewalls para bloquear el tráfico no autorizado
Los firewalls son una de las herramientas de seguridad más importantes para proteger las redes de las empresas. Los firewalls pueden bloquear el tráfico no autorizado, como el tráfico desde direcciones IP desconocidas o el tráfico que utiliza puertos o protocolos que no son necesarios para la infraestructura de la empresa.
En las empresas de gran tamaño, los firewalls suelen ser gestionados por un departamento de seguridad. Sin embargo, los administradores de infraestructura también pueden desempeñar un papel importante en la configuración y administración de los firewalls.
Los administradores de infraestructura pueden trabajar con el departamento de seguridad para identificar los puertos y protocolos que deben bloquearse. Por ejemplo, si la empresa no utiliza el tráfico SSH, los administradores de infraestructura pueden trabajar con el departamento de seguridad para bloquear los puertos SSH.
También pueden trabajar con el departamento de seguridad para supervisar el tráfico de red para identificar posibles amenazas. Si los administradores de infraestructura ven un aumento inusual en el tráfico de red, pueden informar al departamento de seguridad para que investigue.
En resumen, los administradores de infraestructura pueden ayudar a proteger sus empresas de los ciberataques trabajando con el departamento de seguridad para:
- Identificar los puertos y protocolos que deben bloquearse.
- Configurar y administrar los firewalls.
- Supervisar el tráfico de red para identificar posibles amenazas.
- Implementar o recomendar la regla 3-2-1-1-0 en sus estrategias de respaldo.
Implementar soluciones de antivirus y antimalware para proteger los sistemas de malware
Los antivirus y antimalware son esenciales para proteger los sistemas de las empresas de malware. Los antivirus pueden detectar y eliminar virus, mientras que los antimalware pueden detectar y eliminar otros tipos de malware, como gusanos, troyanos y spyware.
En las empresas de gran tamaño, los antivirus y antimalware suelen ser gestionados por un departamento de seguridad. Sin embargo, los administradores de infraestructura también pueden desempeñar un papel importante en la implementación y administración de estas soluciones.
Los administradores de infraestructura pueden trabajar con el departamento de seguridad para identificar las necesidades de la empresa en cuanto a antivirus y antimalware. Por ejemplo, la empresa puede necesitar una solución que proteja los sistemas físicos, los sistemas virtuales o ambos.
También pueden trabajar con el departamento de seguridad para seleccionar la solución adecuada. Los administradores de infraestructura pueden tener en cuenta factores como el tamaño de la empresa, los tipos de sistemas que utiliza y el presupuesto disponible.
Una vez que la solución se haya seleccionado, los administradores de infraestructura pueden ser responsables de implementarla. Esto puede incluir tareas como instalar la solución en los sistemas, configurar las reglas de detección y administrar las actualizaciones.
Los administradores de infraestructura también deben asegurarse de que todos los componentes de la infraestructura estén protegidos por la solución. Esto puede incluir tareas como configurar los dispositivos de red para que utilicen la solución y asegurar que los sistemas móviles estén protegidos.
En resumen, los administradores de infraestructura pueden ayudar a proteger sus empresas de los ciberataques trabajando con el departamento de seguridad para:
- Identificar las necesidades de la empresa en cuanto a antivirus y antimalware.
- Seleccionar la solución adecuada.
- Implementar la solución en los sistemas.
- Asegurarse de que todos los componentes de la infraestructura estén protegidos.
Conclusión
Los administradores de infraestructura desempeñan un papel importante en la protección de sus empresas de los ciberataques. Al trabajar con el departamento de seguridad, auditoría y otros departamentos que tengan relación con la seguridad, pueden ayudar a implementar una serie de medidas de seguridad que pueden ayudar a proteger los sistemas y datos de la empresa.
Para cumplir con esta responsabilidad, los administradores de infraestructura deben estar bien informados de sus responsabilidades dentro de la empresa. Esto debe estar muy claro y si el administrador percibe que hay lagunas, debe indagar para que en caso de un ciberataque no haya dudas, ni grises, ni ambigüedades.
También deben dejar por escrito las recomendaciones y hacerle seguimiento. Esto ayudará a garantizar que las medidas de seguridad se implementen y se mantengan de forma efectiva.
Los administradores de infraestructura deben tomar medidas para proteger sus empresas de los ciberataques. Al trabajar con el departamento de seguridad y otros departamentos, pueden ayudar a implementar una serie de medidas de seguridad que pueden ayudar a proteger los sistemas y datos de la empresa.