El riesgo de infectarse con malware siempre es mayor que cero. Independientemente de sus estrictas políticas de seguridad, la tecnología en la que invierte o el tamaño de su organización, siempre existe la posibilidad de que algo malicioso logre evadir sus defensas.

Cuando, y debe pensarse como un cuándo, no un si, se produce ese momento, es importante saber cómo responder correctamente. Tener un plan de respuesta claro es crucial para contener y remediar una infección y evitar que una situación ya difícil vaya de mal en peor.

¿No estás seguro por dónde empezar? Este articulo es para tí. Aquí hay ocho pasos críticos a seguir después de descubrir una infección de malware en su sistema.

1. Identificar hosts infectados

El primer paso para resolver un incidente de malware es verificar que, de hecho, ha sido infectado con malware. En algunos casos, como un ataque de ransomware en toda la organización, es posible que no sea necesario validar un presunto incidente de malware porque la presencia de una infección es obvia.

Sin embargo, es posible que las infecciones no siempre sean tan blancas o negras. En estos escenarios, es importante examinar las fuentes de detección para comprender mejor la naturaleza del incidente. Los datos forenses de su software antivirus, filtros de contenido, IPS y tecnologías SIEM generalmente pueden proporcionar información sobre el tipo de malware con el que está tratando y cómo se comprometió su sistema, lo que puede usarse para adaptar sus procedimientos de respuesta. Los datos de registro deben conservarse durante al menos un año para permitir una investigación exhaustiva posterior al incidente.

Las herramientas de análisis como Emsisoft EDR pueden ser muy útiles para examinar un incidente en tiempo real y ayudar a los equipos de TI a comprender cómo se inició la amenaza, qué sistemas se vieron afectados y cuál es la mejor manera de responder al incidente.

2. Contener la infección

Después de establecer una comprensión completa del incidente, el siguiente paso en el proceso de recuperación es la contención. Contener una infección tiene dos propósitos: en primer lugar, evita que el malware se propague a otros dispositivos en la red; y en segundo lugar, previene daños mayores a las máquinas ya contaminadas.

En un mundo ideal, las redes afectadas se desconectarían por completo durante la remediación, pero esto no siempre será posible. Por ejemplo, cerrar temporalmente el acceso a la red puede ser una forma muy efectiva de detener la propagación de malware, pero el daño causado por la interrupción puede ser mayor que los riesgos de seguridad que plantea no aislar la red afectada. Si este es el caso, todos los hosts infectados deben desconectarse de la red, mientras que los dispositivos no afectados deben monitorearse de cerca para detectar signos de actividad maliciosa.

3. Haga una copia de seguridad de los hosts comprometidos

La integridad de los datos puede verse comprometida al evaluar algunos tipos de malware, incluidas ciertas variedades de malware. Para mitigar este riesgo, es una buena práctica crear siempre una copia de seguridad de los sistemas infectados con ransomware antes de comenzar la reparación. De esta manera, si ocurre algo inesperado durante el descifrado, siempre puede restaurar el sistema (a su estado cifrado e inutilizable) e intentar repetir el proceso de descifrado.

Consulte esta publicación de blog para obtener más información sobre cómo responder a un incidente de ransomware.

4. Restablecer credenciales comprometidas

Existe un riesgo significativo de que se hayan robado y transmitido múltiples credenciales a los actores de amenazas en el tiempo entre la infección y el descubrimiento del malware. Con esto en mente, es importante restablecer cualquier credencial de inicio de sesión que pueda haberse visto comprometida durante el incidente, teniendo cuidado de cumplir con las mejores prácticas para crear y administrar nuevas contraseñas. Al restablecer las credenciales, tenga cuidado de no bloquearse el acceso a ningún sistema o servicio que pueda ser necesario durante la recuperación.

5. Erradicar el malware

El proceso de eliminación de malware de los hosts afectados puede variar según el alcance de la infección. Para infecciones regulares, una buena solución antivirus será capaz de eliminar el malware. En estos casos, el malware generalmente debe ponerse en cuarentena en lugar de eliminarse para que pueda analizarse más tarde si es necesario.

Para incidentes más complejos, limpiar los dispositivos afectados y reinstalar el sistema operativo puede ser una mejor opción, especialmente si:

• El ransomware está involucrado.

• El huésped ha estado infectado durante un período de tiempo desconocido.

• El host ha sido infectado con puertas traseras, rootkits u otras formas complejas de malware.

• No está claro si la actividad maliciosa adicional ha tenido lugar en el host infectado.

En los escenarios anteriores, la reconstrucción de hosts comprometidos desde cero es la forma más confiable para que una organización esté segura de que la infección se ha erradicado por completo.

6. Restaurar desde copias de seguridad

Si está restaurando sus hosts a partir de copias de seguridad, debe estar absolutamente seguro de que las copias de seguridad están libres de malware para evitar volver a infectar su sistema. Una vez que se ha restaurado un dispositivo, se puede conectar a una red limpia para descargar e instalar actualizaciones para el sistema operativo y otras aplicaciones.

7. Vuelve a conectarte a la red

En esencia, la recuperación de un incidente de malware tiene que ver con la contención temporal y la restauración de la funcionalidad de los dispositivos afectados. Ahora que ha erradicado el malware a través de la desinfección o la creación de imágenes, el último paso en el proceso de recuperación es poner fin a sus medidas de contención temporales.

Una vez que esté seguro de que la red afectada está limpia, vuelva a conectar los dispositivos recuperados a la red y habilite cualquier servicio que haya deshabilitado. En las horas, días y semanas siguientes, deberá vigilar de cerca la red en busca de signos de actividad sospechosa que podrían indicar un posible compromiso.

8. Aprende del incidente

Trate cada incidente de malware como una oportunidad de aprendizaje. Puede parecer un poco trillado, pero mirar el incidente con ojo crítico puede ayudarlo a comprender mejor cómo ocurrió la infección, qué tan preparado estaba para enfrentar la amenaza y qué mejoras podría hacer en sus procedimientos de respuesta.

Los ejercicios de aprendizaje post-mortem pueden ayudar a identificar y resolver vulnerabilidades y reducir el riesgo de que se repita el incidente. Las posibles acciones pueden incluir realizar cambios en las políticas de seguridad de la organización, ajustar el software o la configuración del sistema operativo, reconfigurar las aplicaciones de seguridad, invertir en nuevas herramientas de ciberseguridad, modificar los procedimientos de respuesta formales, etc.

Conclusión

Saber cómo responder eficazmente a una infección de malware puede evitar que un incidente se convierta en un problema mayor, más costoso y más perturbador.