Del incidente a la resolución: pasos esenciales para sobrevivir a un ciberataque

Siguiente
Rene Holt

Monitorear todos los eventos en su red corporativa es un "negocio" de Big Data. Cualquier fenómeno observable - desde inicios de sesión hasta descargas, scripts, actualizaciones, cambios de configuración, etc. - que ocurra en todos los endpoints, servidores, routers, conmutadores y otra infraestructura en su red, puede crear registros de eventos que rápidamente se convierten en una cantidad de datos casi inimaginable de ser procesada.

Inevitablemente, varios eventos tienen consecuencias negativas para la seguridad de su empresa. Un empleado conecta un dispositivo USB personal - comprometido por un gusano - en su equipo de trabajo y, de repente, un evento adverso. ¿Pero ha configurado sus sistemas para detectar esos eventos? Y ahora que ha sucedido, ¿qué va a hacer al respecto?

No todos los eventos adversos requieren la movilización de todo el equipo de respuesta a incidentes. La respuesta automática juega un papel importante en la gestión de los recursos y del tiempo disponibles para su seguridad IT. A menudo, el peligro de un evento adverso puede ser gestionado lo suficientemente bien por un solo administrador de IT que maneje las herramientas básicas del oficio.


Sin embargo, si su analista de seguridad descubre un patrón más insidioso e intenta hace su jugada detrás de todos esos eventos adversos únicos o, alternativamente, ocurre una falla inexplicable del sistema, entonces es probable que tenga un incidente de seguridad lo suficientemente grave como para justificar la llamada al equipo de respuesta a incidentes de seguridad IT (CSIRT). Con un plan de respuesta a incidentes bien pensado a mano, un CSIRT entrenado puede tener la confianza suficiente para enfrentarse a cualquier adversario que ataque su red.

Cuatro etapas de respuesta a incidentes


Un estándar importante para verificar su plan de respuesta a incidentes proviene de una publicación del NIST llamada Guía de manejo de incidentes de seguridad informática (
SP 800-61). La guía detalla cuatro fases de respuesta a incidentes: Preparación; Detección y Análisis; Contención, Erradicación y Recuperación; y Actividad posterior al Incidente.

Figura 1: Ciclo de vida de respuesta a incidentes (crédito: NIST).

Gestionar incidentes siguiendo estos cuatro pasos puede ayudar a garantizar un retorno exitoso a las operaciones comerciales normales. Veamos entonces qué implica cada paso.

1. Preparación

Antes de que ocurra cualquier incidente, es importante establecer los controles de seguridad adecuados que minimicen los incidentes que pueden ocurrir. En otras palabras, su red corporativa debe construirse y mantenerse teniendo en cuenta la seguridad.

Eso incluye mantener los servidores, los sistemas operativos y las aplicaciones actualizados, correctamente configurados y reforzados con protección contra malware. El perímetro de su red también debe estar debidamente protegido a través de firewalls y VPN. No se olvide de su talón de Aquiles, los empleados aparentemente inocentes en sus escritorios. Un poco de capacitación puede ser muy útil para limitar la cantidad de incidentes causados ​​por el mal comportamiento de los colaboradores.

Una parte crucial de la configuración de su red es asegurarse de que todas las herramientas de monitoreo y de acceso necesarias están en su lugar para recopilar y analizar los eventos que suceden en su red. Las opciones van desde herramientas de monitoreo y administración remotas (RMM) hasta herramientas de seguridad de la información y administración de eventos (SIEM), herramientas de orquestación, automatización y respuesta de la seguridad (SOAR), sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS), así como soluciones de detección y respuesta en el endpoint (EDR).

Las organizaciones más adversas a las amenazas, como los bancos y los organismos gubernamentales, aprovechan las fuentes de inteligencia de amenazas como el Servicio ESET Threat Intelligence para proveer indicadores de compromiso que, si se encuentran dentro de un entorno, podrían comenzar el proceso de respuesta a incidentes.

Decidir qué herramientas de monitoreo y registro son apropiadas para su red tendrá un gran impacto en las actividades de detección y análisis de su CSIRT, así como las opciones de remediación disponibles para ellos.

Crear un equipo de respuesta a incidentes

Luego, establezca un equipo de respuesta a incidentes y manténgalo capacitado. Las organizaciones más pequeñas probablemente requieran solo de un equipo temporal, compuesto por administradores de IT existentes. Las organizaciones más grandes tendrán un CSIRT permanente que probablemente se valga de otros administradores de IT de la compañía solo para colaborar ante ataques específicos; por ejemplo, un administrador de base de datos para ayudar a analizar un ataque de inyección SQL.

Delegar la respuesta a incidentes a un proveedor de servicios de seguridad gestionados (MSSP) también es una opción, aunque puede ser costosa. Si está considerando esta opción, debe estar preparado para el mayor tiempo de respuesta. Algunos miembros del equipo de respuesta a incidentes pueden tener que volar hasta su ubicación, lo que da más tiempo a las amenazas para seguir afectando su red.

Es crucial que cualquier CSIRT tenga miembros del personal que entiendan cómo se construye su red. Idealmente, deberían tener experiencia en lo que para usted es "normal" y lo que es inusual.

La gerencia también debe ocupar un rol activo al proporcionar los recursos, los fondos y el liderazgo necesarios para que un CSIRT haga su trabajo de manera efectiva. Eso significa proporcionar las herramientas, los dispositivos y los equipos de salto que necesitará su CSIRT, así como tomar las difíciles decisiones comerciales que introdujo el incidente.

Imagine, por ejemplo, que el CSIRT descubre que el servidor de comercio electrónico empresarial está comprometido y debe desconectarse. La gerencia necesita evaluar rápidamente el impacto comercial de apagar o aislar el servidor y comunicar la decisión al CSIRT.

Otros miembros del personal presentes en la organización también brindan apoyo crucial a un CSIRT. El personal de soporte de IT puede ayudar apagando y reemplazando servidores, restaurando copias de seguridad y realizando limpiezas, según lo solicitado por el CSIRT. El asesoramiento legal y los equipos de relaciones públicas también son importantes para gestionar cualquier comunicación relacionada con el incidente con medios externos, socios, clientes y/o organismos de orden público.

2. Detección y análisis

En esta etapa, los analistas de respuesta a incidentes aportan su conocimiento, experiencia y pensamiento lógico para abordar toda la información que les presentan las herramientas y los registros de monitoreo y comprender exactamente qué está sucediendo en la red y qué se puede hacer.

La tarea del analista es correlacionar eventos para recrear secuencias de eventos que conducen al incidente. Es especialmente crucial poder identificar la causa principal para avanzar a los pasos de contención de la fase 3 lo más rápido posible.

Sin embargo, como se muestra en el diagrama del ciclo de vida de respuesta a incidentes del NIST, las fases 2 y 3 son circulares, lo que significa que quienes se ocupan de la respuesta a incidentes pueden volver a la fase 2 para realizar un análisis adicional de la causa raíz. En este ciclo, puede suceder que encontrar y analizar algunos datos en la fase 2 sugiera la necesidad de tomar un paso de mitigación particular en la fase 3. Dar ese paso puede luego revelar datos adicionales que garanticen un análisis adicional que conduzca a pasos de mitigación adicionales, y así sucesivamente.

Las soluciones de detección y respuesta en el endpoint, como ESET Enterprise Inspector, que señalan automáticamente eventos sospechosos y guardan árboles de proceso completos para que los respondedores de incidentes examinen, refuerzan las actividades de la fase 2.

3. Contención, erradicación y recuperación

En la tercera etapa, el CSIRT decide un método para detener la propagación de las amenazas detectadas. ¿Debe cerrarse un servidor, aislarse un endpoint, o detenerse ciertos servicios? La estrategia de contención elegida debe considerar la posibilidad de daños adicionales, la conservación la evidencia y la duración del tiempo de contención. Por lo general, esto significa aislar los sistemas comprometidos, segmentar partes de la red o colocar las máquinas afectadas en un entorno limitado (sandbox).

El sandboxing tiene el beneficio de permitir un mayor monitoreo de la amenaza, así como también de recolectar más evidencia. Sin embargo, existe el peligro de que un host comprometido se dañe aún más mientras está en el entorno limitado.

El asesor legal puede determinar que el CSIRT debe recopilar y documentar tanta evidencia como sea posible. En este caso, el traspaso de evidencia de persona a persona debe registrarse meticulosamente.

Una vez contenido, cualquier malware descubierto debe eliminarse de los sistemas comprometidos. Es posible que las cuentas de usuario deban deshabilitarse, cerrarse o restablecerse. Las vulnerabilidades deben parchearse, los sistemas y archivos deben restaurarse a partir de copias de seguridad limpias, las contraseñas deben cambiarse, las reglas del firewall deben ajustarse, etc.

Un retorno completo a las operaciones comerciales normales puede llevar meses dependiendo del incidente. En el corto plazo, se debe establecer un sistema más seguro y refinado de ingreso de credenciales y monitoreo para que los administradores de IT puedan evitar que vuelva a ocurrir el mismo incidente. A largo plazo, es posible que se produzcan más cambios en la infraestructura para ayudar a transformar la red en una más segura.

4. Actividad posterior al incidente

Un CSIRT debe documentar y proporcionar una reconstrucción del evento adverso y un cronograma. Esto ayuda a comprender la causa que originó del incidente y lo que se puede hacer para evitar una repetición o un incidente similar.

Este es también el momento de que todos los equipos revisen la efectividad de los procesos y procedimientos utilizados, identifiquen brechas en las dificultades de comunicación y colaboración, y busquen oportunidades para introducir mejoras en el plan actual de respuesta a incidentes.

Finalmente, la gerencia necesita decidir sobre la política de retención de la evidencia recolectada durante el incidente. No limpie los discos duros sin consultar primero a su departamento legal. La mayoría de las organizaciones archivan registros de incidentes durante dos años para cumplir con las regulaciones.

¿Busca complementar su kit de herramientas de respuesta a incidentes con potentes capacidades de investigación? Obtenga una prueba gratuita de ESET Enterprise Inspector.