Cómo responder ante un incidente de malware
Probablemente, el incidente de seguridad más común en una organización es el descubrimiento de un incidente de malware. Y aunque se trate de algo común, esto no significa que deba tomarse a la ligera. En el siguiente artículo se examinan los pasos que deben seguirse al lidiar con este tipo de ataques y las herramientas que pueden resultar útiles:
1. Detección de posibles infecciones
Constatar que efectivamente se trata de un incidente de malware puede ser complicado. Los reportes iniciales pueden venir de distintas fuentes: usuarios en contacto con el Help Desk, tráfico inusual detectado por el firewall, o falta de notificaciones de un software de protección. Estos casos bien podrían explicarse por alguna falla de hardware o de configuración, por lo que una investigación es necesaria. Estas acciones pueden ayudar:
- Checar el estatus de la solución antimalware instalada. Si no existe tal protección o está caduca, incluso el malware más rudimentario podría ser peligroso. Pero si efectivamente hay un software que no está funcionando correctamente (no inicia o falla al actualizarse), podríamos estar hablando de un ataque más complejo.
- Buscar procesos desconocidos corriendo en el sistema. Para Windows, Process Explorer de Sysinternals, es un administrador de tareas muy poderoso que puede mostrar los procesos que tratan hacerse pasar como ordinarios.
- Para determinar la fuente de las conexiones sospechosas, el monitor de procesos de Sysinternals puede ayudar a encontrar al malware que intenta propagarse.
- Otra herramienta de Sysinternals, el Rootkit Revealer puede ser útil para detectar el malware que utiliza técnicas avanzadas para pasar desapercibido.
- Si encontramos un archivo sospechoso y queremos saber si se trata de un malware, se pueden subir al sitio VirusTotal para checar su origen y obtener comentarios de otros usuarios.
- De igual forma, la mayoría de los proveedores cuentan con maneras de revisar si algún malware o archivo sospechoso no puede ser detectado en su definición actual. Hay también varias enciclopedias en línea con información sobre cómo detectar distintos tipos en los sistemas.
También lee: Agent Smith, el malware que está afectando a las aplicaciones de Android
2. Contención
Una vez que la infección ha sido confirmada, el siguiente paso es la contención. No se trata de una solución definitiva, sino más bien de una temporal para evitar que el malware se siga propagando y limitar su impacto. La estrategia de contención depende de varios factores, como su tipo y el número de sistemas afectados. La contención puede ser tan simple como desconectarlos de la red, o tan complejo como remover el servidor afectado y activar el plan de recuperación ante desastres correspondiente.
3. Erradicación y prevención
Después de la identificación y contención, el siguiente paso es eliminar la infección y restaurar los sistemas. Los pasos específicos dependen del malware encontrado: lo más sencillo sería reinstalar una solución antimalware actualizada, y lo más complejo, remover manualmente los archivos protegidos.
Algunos proveedores ofrecen herramientas que no requieren instalación y que pueden ser corridas desde un CD o USB, para así evitar ser afectados por el malware. Por ejemplo:
- McAfee ofrece la herramienta Stinger Malware; y Microsoft, la Malicious Software Removal.
- Avira tiene la Avira Rescue System, la cual puede ser corrida desde un CD o USB.
Después de que el incidente de malware ha concluido, se deben tomar las medidas pertinentes para evitar una nueva infección. Estos incluyen los parches adecuados, una solución antimalware actualizada, y la eliminación de software innecesario.
4. Aprendiendo la lección
Una vez que el malware ha sido removido y los sistemas están de nuevo en operación, un análisis del incidente es requerido para identificar las causas de la infección y las defensas que necesitan mejorar para prevenir un incidente similar.
Las medidas que se pueden tomar incluyen soluciones técnicas, creación de conciencia entre los usuarios, y una revisión de las políticas de seguridad para evitar un incidente de malware como este.
Fuente: Tech Republic