Estrategias para una Respuesta Rápida ante Incidentes de Seguridad
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Las herramientas de seguridad modernas continúan mejorando su capacidad para defender las redes y los puntos finales de las organizaciones contra los ciberdelincuentes. Pero los malos actores todavía encuentran de vez en cuando una manera de entrar.
Los equipos de seguridad deben poder detener las amenazas y restaurar las operaciones normales lo más rápido posible. Por eso es esencial que estos equipos no sólo tengan las herramientas adecuadas sino que también comprendan cómo responder eficazmente a un incidente. Recursos como una plantilla de respuesta a incidentes se pueden personalizar para definir un plan con roles y responsabilidades, procesos y una lista de verificación de elementos de acción.
Pero los preparativos no pueden terminar ahí. Los equipos deben entrenarse continuamente para adaptarse a medida que las amenazas evolucionan rápidamente. Cada incidente de seguridad debe aprovecharse como una oportunidad educativa para ayudar a la organización a prepararse mejor para incidentes futuros, o incluso prevenirlos.
Algunos pasos recomendados para una respuesta a incidentes exitosa son:
1: Preparación
Todos los que tienen acceso a sus sistemas deben estar preparados para un incidente, no solo el equipo de respuesta a incidentes. El error humano es el culpable de la mayoría de las violaciones de ciberseguridad. Entonces, el primer y más importante paso en respuesta a incidentes es educar al personal sobre qué buscar. Aprovechar un plan de respuesta a incidentes con plantilla para establecer roles y responsabilidades para todos los participantes (líderes de seguridad, gerentes de operaciones, equipos de soporte técnico, gerentes de identidad y acceso, así como auditoría, cumplimiento, comunicaciones y ejecutivos) puede garantizar una coordinación eficiente.
Los atacantes seguirán evolucionando sus técnicas de ingeniería social y phishing para intentar ir un paso por delante de las campañas de formación y concientización. Si bien la mayoría de las personas ahora saben que deben ignorar un correo electrónico mal escrito que promete una recompensa a cambio de un pequeño pago por adelantado, algunos destinatarios serán víctimas de un mensaje de texto fuera del horario laboral haciéndose pasar por su jefe pidiendo ayuda con un asunto urgente. tarea. Para tener en cuenta estas adaptaciones, su formación interna debe actualizarse periódicamente para reflejar las últimas tendencias y técnicas.
Su personal de respuesta a incidentes, o su centro de operaciones de seguridad (SOC, por sus siglas en inglés), también necesitará capacitación regular, idealmente basada en simulaciones de incidentes reales. Un ejercicio intensivo de mesa puede elevar los niveles de adrenalina y darle a su equipo una idea de lo que es experimentar un incidente del mundo real. Es posible que descubra que algunos miembros del equipo brillan cuando hay calor, mientras que otros requieren capacitación y orientación adicionales.
Otra parte de su preparación es delinear una estrategia de respuesta específica. El enfoque más común es contener y erradicar el incidente. La otra opción es observar un incidente en curso para poder evaluar el comportamiento del atacante e identificar sus objetivos, suponiendo que esto no cause un daño irreparable.
Más allá de la formación y la estrategia, la tecnología juega un papel muy importante en la respuesta a incidentes. Los registros son un componente crítico. En pocas palabras, cuanto más registre, más fácil y eficiente será para el equipo investigar un incidente.
Además, el uso de una plataforma de detección y respuesta de endpoints (EDR) o una herramienta de detección y respuesta extendida (XDR) con control centralizado le permitirá tomar rápidamente acciones defensivas como aislar máquinas, desconectarlas de la red y ejecutar comandos de contraataque a escala.
Otra tecnología necesaria incluye un entorno virtual donde se pueden analizar registros, archivos y otros datos, junto con un amplio almacenamiento para almacenar esta información. No querrá perder tiempo durante un incidente configurando máquinas virtuales y asignando espacio de almacenamiento.
Finalmente, necesitará un sistema para documentar los hallazgos de un incidente, ya sea mediante hojas de cálculo o una herramienta de documentación de respuesta a incidente dedicada. Su documentación debe cubrir la cronología del incidente, qué sistemas y usuarios se vieron afectados, y qué archivos maliciosos e indicadores de compromiso (IOC) descubrió (tanto en el momento como retrospectivamente).
2: Identificación
Hay algunas formas de identificar que se ha producido un incidente o que está en curso.
Detección interna: un incidente puede ser descubierto por su equipo de monitoreo interno u otro miembro de su organización (gracias a sus esfuerzos de concientización sobre la seguridad), a través de alertas de uno o más de sus productos de seguridad o durante un ejercicio proactivo de búsqueda de amenazas.
Detección externa: un consultor externo o un proveedor de servicios gestionados puede detectar incidentes en su nombre, utilizando herramientas de seguridad o técnicas de búsqueda de amenazas. O un socio comercial puede ver un comportamiento anómalo que indica un posible incidente.
Datos extraídos revelados: el peor de los casos es saber que se ha producido un incidente solo después de descubrir que los datos han sido extraídos de su entorno y publicados en Internet o en sitios de la red oscura. Las implicaciones son aún peores si dichos datos incluyen información confidencial del cliente y la noticia se filtra a la prensa antes de que tenga tiempo de preparar una respuesta pública coordinada.
Ninguna discusión sobre identificación estaría completa sin mencionar la fatiga de alerta. Si la configuración de detección de sus productos de seguridad es demasiado alta, recibirá demasiadas alertas sobre actividades sin importancia en sus puntos finales y su red. Esta es una excelente manera de abrumar a su equipo y puede generar muchas alertas ignoradas.
El escenario inverso, donde la configuración es demasiado baja, es igualmente problemático porque se pueden perder eventos críticos. Una postura de seguridad equilibrada proporcionará la cantidad justa de alertas para que pueda identificar incidentes que merezcan una mayor investigación sin sufrir fatiga por alertas. Sus proveedores de seguridad pueden ayudarlo a encontrar el equilibrio adecuado e, idealmente, filtrar automáticamente las alertas para que su equipo pueda concentrarse en lo que importa.
Durante la fase de identificación, documentará todos los indicadores de compromiso (IOC) recopilados de las alertas, como hosts y usuarios comprometidos, archivos y procesos maliciosos, nuevas claves de registro y más. Una vez que haya documentado todos los IOC, pasará a la fase de contención.
3: Contención
La contención es tanto una estrategia como un paso distinto en la respuesta a incidentes. Querrá establecer un enfoque adecuado para su organización específica, teniendo en cuenta las implicaciones comerciales y de seguridad. Aunque aislar dispositivos o desconectarlos de la red puede evitar que un ataque se propague por toda la organización, también podría provocar daños financieros importantes u otros impactos comerciales. Estas decisiones deben tomarse con anticipación y articularse claramente en su estrategia.
La contención se puede dividir en medidas de corto y largo plazo, con implicaciones únicas para cada una.
A corto plazo: esto incluye pasos que podría tomar en el momento, como apagar sistemas, desconectar dispositivos de la red y observar activamente las actividades del actor de la amenaza. Hay ventajas y desventajas en cada uno de estos pasos.
A largo plazo: el mejor de los casos es mantener el sistema infectado fuera de línea para que pueda pasar de forma segura a la fase de erradicación. Sin embargo, esto no siempre es posible, por lo que es posible que deba tomar medidas como aplicar parches, cambiar contraseñas, eliminar servicios específicos y más.
Durante la fase de contención, querrás priorizar tus dispositivos críticos, como controladores de dominio, servidores de archivos y servidores de respaldo, para asegurarte de que no se hayan visto comprometidos.
Los pasos adicionales en esta fase incluyen documentar qué activos y amenazas estaban contenidos durante el incidente, así como agrupar los dispositivos en función de si estuvieron comprometidos o no. Si no está seguro, asuma lo peor. Una vez que todos los dispositivos hayan sido categorizados y cumplan con su definición de contención, esta fase habrá terminado.
4: Investigación
La investigación se lleva a cabo durante todo el proceso de respuesta a incidentes. Si bien no es una fase en sí misma, se debe tener en cuenta a medida que se realiza cada paso. La investigación tiene como objetivo responder preguntas sobre a qué sistemas se accedió y los orígenes de una infracción. Cuando se ha contenido el incidente, los equipos pueden facilitar una investigación exhaustiva capturando la mayor cantidad de datos relevantes posible de fuentes como registros e imágenes de disco y memoria.
Es posible que esté familiarizado con el término análisis forense digital y respuesta a incidentes (DFIR), pero vale la pena señalar que los objetivos del análisis forense de respuesta a incidentes difieren de los objetivos del análisis forense tradicional. En respuesta a incidentes, el objetivo principal de la ciencia forense es ayudar a avanzar de una fase a la siguiente de la manera más eficiente posible para reanudar las operaciones comerciales normales.
Las técnicas forenses digitales están diseñadas para extraer la mayor cantidad de información útil posible de cualquier evidencia capturada y convertirla en inteligencia útil que pueda ayudar a construir una imagen más completa del incidente, o incluso ayudar en el procesamiento de un mal actor.
Los puntos de datos que agregan contexto a los artefactos descubiertos pueden incluir cómo el atacante ingresó a la red o se movió, a qué archivos accedió o creó, qué procesos se ejecutaron y más. Por supuesto, este puede ser un proceso que requiere mucho tiempo y que podría entrar en conflicto con la respuesta a incidentes.
En particular, DFIR ha evolucionado desde que se acuñó el término por primera vez. Hoy en día, las organizaciones tienen cientos o miles de máquinas, cada una de las cuales tiene cientos de gigabytes o incluso varios terabytes de almacenamiento, por lo que el enfoque tradicional de capturar y analizar imágenes de disco completo de todas las máquinas comprometidas ya no es práctico. Las condiciones actuales requieren un enfoque más quirúrgico, donde se capture y analice información específica de cada máquina comprometida.
5: Erradicación
Una vez completada la fase de contención, puede pasar a la erradicación, que se puede realizar mediante la limpieza del disco, la restauración a una copia de seguridad limpia o la creación de una nueva imagen completa del disco. La limpieza implica eliminar archivos maliciosos y eliminar o modificar claves de registro.
Antes de tomar cualquier medida, el equipo de respuesta a incidentes querrá consultar cualquier política organizacional que, por ejemplo, exija que se vuelvan a crear imágenes de máquinas específicas en caso de un ataque de malware.
Al igual que en pasos anteriores, la documentación desempeña un papel en la erradicación. El equipo de respuesta a incidentes debe documentar cuidadosamente las acciones tomadas en cada máquina para garantizar que no se pierda nada. Como verificación adicional, puede realizar escaneos activos de sus sistemas en busca de cualquier evidencia de la amenaza una vez que se complete el proceso de erradicación.
6: Recuperación
La fase de recuperación es cuando puede reanudar sus actividades como de costumbre. Determinar cuándo restaurar las operaciones es la decisión clave en este momento. Idealmente, esto puede suceder sin demora, pero puede ser necesario esperar a que llegue el horario libre de su organización u otro período de tranquilidad.
Una verificación más para verificar que no queden IOC en los sistemas restaurados. También deberá determinar si la causa raíz aún existe e implementar las soluciones adecuadas.
Ahora que ha aprendido sobre este tipo de incidente, podrá monitorearlo en el futuro y establecer controles de protección.
7: Lecciones aprendidas
Ahora que el incidente quedó cómodamente atrás, es hora de reflexionar sobre cada paso importante de respuesta a incidentes y responder preguntas clave. Hay muchas preguntas y aspectos que deben plantearse y revisarse. A continuación se muestran algunos ejemplos:
- Identificación: ¿Cuánto tiempo llevó detectar el incidente después de que se produjo el compromiso inicial?
- Contención: ¿Cuánto tiempo llevó contener el incidente?
- Erradicación: después de la erradicación, ¿todavía encontró signos de malware o compromiso?
- ¿Tenemos las herramientas adecuadas?
- ¿Nuestro personal está adecuadamente capacitado para responder a incidentes?
Luego, el ciclo regresa a la preparación, donde puede realizar las mejoras necesarias, como actualizar la plantilla, la tecnología y los procesos de su plan de respuesta a incidentes, y brindarle a su gente una mejor capacitación.
Para más información, visite: https://www.silikn.com/