Estrategias para una efectiva respuesta ante incidentes

Estrategias para una efectiva respuesta ante incidentes

Las herramientas de seguridad modernas siguen mejorando constantemente su capacidad para proteger las redes y los dispositivos finales de las organizaciones contra los ciberdelincuentes. A pesar de ello, los actores maliciosos aún encuentran formas de infiltrarse. Es fundamental que los equipos de seguridad no solo cuenten con las herramientas adecuadas, sino que también comprendan cómo responder de manera efectiva ante un incidente. Los recursos, como un procedimiento de respuesta a incidentes, pueden ser personalizados para establecer un plan con roles y responsabilidades, procesos y una lista de verificación de acciones a tomar.

Además, los equipos deben recibir capacitación continua para adaptarse a medida que las amenazas evolucionan rápidamente. Cada incidente de seguridad debe ser aprovechado como una oportunidad educativa para ayudar a la organización a prepararse mejor para futuros incidentes e incluso prevenirlos.

SANS Institute define un marco de pasos para una exitosa respuesta ante incidentes (IR):

  1. Preparación – Preparar a su equipo para manejar eventos de manera eficiente y efectiva.

Es fundamental que todos los que tengan acceso a los sistemas estén preparados para enfrentar un incidente, no solo el equipo de respuesta a incidentes. La mayoría de las violaciones de ciberseguridad son causadas por errores humanos. Por lo tanto, el primer paso y el más importante en una respuesta adecuada a incidentes es educar al personal sobre qué buscar. Utilizar una plantilla de plan de respuesta a incidentes para establecer roles y responsabilidades para todos los participantes (líderes de seguridad, gerentes de operaciones, equipos de soporte técnico, gerentes de identidad y acceso, así como auditoría, cumplimiento y comunicaciones) puede garantizar una coordinación eficiente.

Además de la formación y la estrategia, la tecnología desempeña un papel crucial en la respuesta a incidentes. El uso de una plataforma de detección y respuesta de endpoints (EDR) o una herramienta de detección y respuesta extendida (XDR) con control centralizado le permitirá tomar rápidamente medidas defensivas, como aislar máquinas, desconectarlas de la red y ejecutar comandos de contraataque a gran escala. Otras tecnologías necesarias para la respuesta a incidentes incluyen un entorno virtual donde se puedan analizar registros, archivos y otros datos, junto con un amplio almacenamiento para guardar esta información. No querrá perder tiempo durante un incidente configurando máquinas virtuales y asignando espacio de almacenamiento.

Por último, necesitará un sistema para documentar los hallazgos de un incidente, ya sea mediante hojas de cálculo o una herramienta de documentación dedicada para la respuesta a incidentes. Su documentación debe incluir la cronología del incidente, los sistemas y usuarios afectados, así como los archivos maliciosos e indicadores de compromiso (IOC) descubiertos tanto en el momento como retrospectivamente.

  1. Identificación – Detectar si ha sido violado y cobrar IOC.
  • Detección interna: un incidente puede ser descubierto por su equipo de monitoreo interno u otro miembro de su organización a través de alertas de uno o más de sus productos de seguridad.
  • Detección externa: un proveedor de servicios gestionados puede detectar incidentes en su nombre, utilizando herramientas de seguridad o técnicas de búsqueda de amenazas.
  • Datos extraídos revelados: el peor de los casos es saber que se ha producido un incidente solo después de descubrir que los datos han sido extraídos de su entorno y publicados en Internet o en sitios de la red oscura. Las implicaciones son aún peores si dichos datos incluyen información confidencial y la noticia se filtra a la prensa antes de que tenga tiempo de preparar una respuesta pública coordinada.

La configuración de detección de sus productos de seguridad debe ser equilibrada para que, por un lado, no se generen demasiadas alertas (en su mayoría falsas), y por otro lado, no perder ningún evento crítico que merezca atención. Durante la fase de identificación, documentará todos los indicadores de compromiso (IOC) recopilados de las alertas, como hosts y usuarios comprometidos, archivos y procesos maliciosos, nuevas claves de registro y más.

  1. Contención – Minimizar el daño.
  • Medida a corto plazo: es importante tomar medidas inmediatas como apagar sistemas, desconectar dispositivos de la red y vigilar la amenaza.
  • Medida a largo plazo: lo ideal es mantener el sistema infectado fuera de línea para poder erradicar el problema de manera segura. Sin embargo, esto no siempre es posible, por lo que es necesario aplicar parches, cambiar contraseñas, eliminar servicios específicos, entre otras medidas.

Durante la fase de contención, es fundamental priorizar los dispositivos críticos como controladores de dominio, servidores de archivos y servidores de respaldo, para asegurarnos de que no hayan sido comprometidos. También es necesario documentar los activos y amenazas contenidos durante el incidente, así como clasificar los dispositivos según si fueron o no comprometidos.

  1. Investigación – Determinar quién, qué, cuándo, dónde, por qué y cómo.

El objetivo de la investigación es responder preguntas sobre los sistemas a los que se accedió y los orígenes de una infracción. Una vez que se ha contenido el incidente, los equipos pueden llevar a cabo una investigación exhaustiva capturando la mayor cantidad de datos relevantes posible de fuentes como registros e imágenes de disco y memoria. Es en este punto donde entra en juego el Análisis Forense Digital y la Respuesta a Incidentes (DFIR). Las técnicas forenses digitales están diseñadas para extraer la mayor cantidad de información útil posible de cualquier evidencia capturada y convertirla en inteligencia útil que pueda ayudar a construir una imagen más completa del incidente, o incluso ayudar en el procesamiento de un mal actor. Los puntos de datos que agregan contexto a los artefactos descubiertos pueden incluir cómo el atacante ingresó a la red o se movió, a qué archivos accedió o creó, qué procesos se ejecutaron y más.

  1. Erradicación – Asegurarse de que la amenaza se elimine por completo.

Existen varias formas de realizar la erradicación de una amenaza en un disco. Una de ellas es mediante la limpieza del disco, eliminando archivos maliciosos y modificando claves de registro. Otra opción es restaurar a una copia de seguridad limpia o crear una nueva imagen completa del disco.

Antes de tomar cualquier medida, es importante consultar las políticas organizacionales para saber si se requiere volver a crear imágenes de máquinas específicas en caso de un ataque de malware. La documentación es clave en todo el proceso de erradicación y se recomienda realizar escaneos activos de los sistemas para buscar cualquier evidencia de la amenaza una vez que se complete el proceso.

  1. Recuperación – Volver a las operaciones normales.

Es cuando puede reanudar sus actividades como de costumbre. En este punto, es ideal que esto ocurra sin demora, pero puede ser necesario esperar a que su organización alcance un horario libre u otro período de calma. Es importante verificar que no queden IOCs en los sistemas restaurados. Además, deberá determinar si la causa raíz aún persiste y aplicar las soluciones adecuadas.

  1. Lecciones aprendidas – Documentar lo sucedido y mejorar sus capacidades.

Existen numerosas interrogantes y aspectos que deben ser planteados y revisados, como por ejemplo:

  • Identificación: ¿Cuánto tiempo tomó detectar el incidente después de que ocurrió la primera violación?
  • Contención: ¿Cuánto tiempo tomó contener el incidente?
  • Erradicación: Después de la erradicación, ¿se encontraron aún señales de malware o compromiso?

Al finalizar todo el proceso, el ciclo vuelve a la etapa de preparación, donde se pueden realizar las mejoras necesarias, como actualizar la plantilla, la tecnología y los procesos del plan de respuesta a incidentes, y proporcionar a su personal una mejor capacitación.

Referencia: https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html


Deja un comentario


Contacto

  • Calle de la Prosa 136, San Borja Lima
  • (01) 225 1313
  • usuarios@osiptel.gob.pe
  • www.osiptel.gob.pe