Al igual que los usuarios finales, las organizaciones también están expuestas a sufrir infecciones por malware. Es por esto, que se deben tomar algunas medidas para poder responder de la mejor forma posible una vez ocurrida la infección. Existen muchas medidas preventivas, a veces éstas no están presentes o simplemente no alcanzan y el problema ocurre de todos modos.
En primera instancia se debe detectar la infección. Generalmente existen ciertas señales que permiten sospechar si el sistema se encuentra infectado. Por ejemplo, una parámetro de sospecha puede ser la disminución considerable de la velocidad de acceso a Internet, la falla completa o la disminución considerable en el rendimiento de las estaciones de trabajo, la emisión de alertas por parte de los sistemas de prevención/detección (IDS/IPS) o del software antivirus, así como también lo es el aumento considerable en la recepción de correos de tipo spam, entre otros.
Si se confirma la infección del sistema, se debe proceder a la etapa de limpieza y desinfección. Para poder llevar a cabo esta acción se debe haber identificado el código malicioso. Luego es necesario proceder a la desactivación del mismo y a la posterior remoción. Además se debe tener en cuenta que a veces es necesario recurrir a un método específico para la eliminación completa de la amenaza, y para esto es necesario haber identificado el malware de forma completa (familia y variante). Finalmente, es recomendable la instalación de un software antivirus y contar con la última actualización de firmas, para poder realizar un análisis completo de los sistemas afectados.
Una vez que el malware fue eliminado, es necesario retornar a la operatoria normal de la organización. Para esto se deben tomar algunos recaudos que son muy importantes para poder evitar futuras reinfecciones por el mismo malware o sufrir otros incidentes relacionados al ya ocurrido. En primera instancia se deben deshabilitar los servicios y las cuentas que hayan sido comprometidas. Posteriormente se debe realizar el cambio de todas las contraseñas, ya que las mismas posiblemente hayan sido expuestas.
El aumento del monitoreo de la red es otro factor que es necesario implementar en estas circunstancias ya que permite detectar tráfico irregular y de esta manera es posible descubrir algún otro tipo de malware que haya sido instalado y haya sido pasado por alto en la etapa de de desinfección.
Otra medida que puede ser necesaria en muchos casos, es la restauración del sistema a un punto en el pasado en donde no exista la infección. A pesar de que esta medida es muy efectiva, la desventaja es que muchas veces se pierde la información que fue creada en la brecha de tiempo entre el punto de restauración y el de la infección. Es por esto que para llevar a cabo esta medida, la organización debe contar con una correcta política en lo que respecta a las copias de resguardo (backups).
Como última recomendación, hay ciertos comportamientos que se deben evitar para no aumentar las posibilidades de sufrir problemas de este tipo:
- No se deben ignorar las señales de alertas que se especificaron anteriormente. Si bien puede tratarse de una falsa alarma, muchas veces son de gran utilidad para atacar el problema antes que se agrave.
- No se deben realizar las copias de seguridad hasta asegurarse completamente que el sistema está absolutamente libre de infecciones.
- No se debe esperar a que ocurra el primer incidente para contar con un plan de respuesta adecuado para este tipo de incidentes.
- No se debe retrasar la instalación de parches y actualizaciones críticas.
- No se deben actualizar la base de firmas del software antivirus en períodos de tiempo muy largos. Hoy en día una actualización mensual o incluso semanal no es suficiente si se tiene en cuenta con la rapidez que evolucionan o aparecen nuevos tipos de malware.
Estas acciones permitirán responder a un incidente por infección de malware de la mejor manera, reduciendo el tiempo de respuesta e incluso disminuyendo, en muchos casos, las pérdidas económicas debido a la infección. Además, es recomendable acceder a nuestra plataforma educativa para obtener información más detallada sobre gestión y respuesta a incidentes.
Fernando Catoira
Analista de Seguridad