Gestión Incidente de Seguridad MAPFRE
El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.
Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.
Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.
Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.
Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.
Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.
1 Agosto
- Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
- Esa contraseña permite acceso al puesto virtual
1-7 Agosto
- Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
- Se obtiene credenciales de usuario privilegiado
1-11 Agosto
- Se analiza la red, servidores de ficheros y recursos compartidos
- Se intenta Exfiltración de datos (bloqueado por Mapfre)
14 Agosto
- Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
- Se ejecuta de forma remota el archivo
- Se identifica con la monitorización y se activa el protocolo de alto impacto.
- Se abre el procedimiento de gestión de incidentes
- Se activa el comité de crisis
- Se activan los planes de continuidad de negocio
- Se activa call permanente con personal del área de seguridad y tecnología
- Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
- Apagar todos los servidores no imprescindibles
- Sacar de línea la copia de Backup y aislar segmentos de red
- Cortar conexiones desde Mafre hacia el resto de las empresas
- Limitar el número de conexiones remotas a un reducido número de usuarios
- Se informa de la situación a los responsables de seguridad de los principales socios
15 agosto
- Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
- Se confirma la integridad y disponibilidad del Backup
- Se trabaja en la estrategia para recuperar los servicios
- Se busca apoyo en terceras empresas
- Resetear contraseñas de administradores y reducir usuarios admin
- Se aumentan las capacidad de monitorización, detección y respuesta
- Se consigue identificar y aislar el malware, se envía para análisis
- Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
- Llega personal de refuerzo a los Contact Center para atender a los clientes
- Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
- Se publica en la Web un comunicado del ciberataque
16 Agosto
- Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
- Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles
17 agosto
- Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
- Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)
19 Agosto
- Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus
20 Agosto
- Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)
23 agosto
- Se coordina la implantación de las acciones de refuerzo en el resto de los países
01 Septiembre
- Todos los puestos están operativos
13 Septiembre
- Estar prácticamente todos los elementos de la red restaurados
21 septiembre
- Nueva comunicación con la AEPD para informar
23 Septiembre
- Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura
12 Octubre
- Se da por cerrada la recuperación de los puestos de los proveedores
26 Octubre
- Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos
28 Octubre
- Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.
13 Noviembre
- Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.
CAUSAS HICIERON POSIBLE LA BRECHA
- Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
- Uso de herramientas sofisticadas de hacking
- Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red
MEDIDAS MITIGACIÓN
- En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
- Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
- Se activó el plan de continuidad del negocio
- Convocar el comité de crisis
- Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
- Restablecer los servicios más críticos
- Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
- Contactar con fabricantes de seguridad para establecer un plan de refuerzo
- Refuerzo en la detección de los ataques en política Antivirus
- Mejorar la protección AntiSpam
- El uso por todos de 2FA
- Incrementar las capacidad de monitorización y respuesta ante incidentes
- Aumentar las restricciones para navegar por internet
- Incluir los IOC en todas las plataformas y filtros de Seguridad
- Mejorar la prevención de ataques DDoS
- Incrementar el nivel de control de los usuarios administradores
DATOS AFECTADOS
- IdUsuario + contraseña (Datos básicos)
COMUNICADOS
- Comunicar públicamente la situación a las pocas horas de conocerla
- Comunicado en la Web
- Locución en el Contact Center
- Mensaje en Redes Sociales
- Comunicados a empleados
- Comunicados a la AEPD
MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA
- Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
- Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
- Se definió un plan de auditorías
MEDIDAS POSTERIORES
- Comprobar la creación de un Golden Ticket.
- Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado
AEPD
- Determina si se disponían de medidas de seguridad razonables
- Si existen auditorias para el cumplimiento de la RGPD
- La información que se ha Exfiltrado y si esta estaba protegida.
- El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
- Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados