Desarrollar un plan de respuesta a incidentes

Determinar las partes interesadas clave

La planificación adecuada de un posible incidente no es responsabilidad exclusiva de su equipo de seguridad. De hecho, un incidente probablemente afectará a casi todos los departamentos de su organización, especialmente si el incidente se convierte en una violación a gran escala. Para coordinar adecuadamente coordinar adecuadamente una respuesta, primero debe determinar quién debe participar. Este Esto incluye a menudo la representación de la alta dirección, la seguridad, la TI, el departamento legal y las relaciones públicas. relaciones públicas. Saber quién debe estar en la mesa y participar en los ejercicios de planificación de su en los ejercicios de planificación de su organización es algo que debe determinarse de antemano. con antelación. Además, hay que establecer un método de comunicación para para garantizar una respuesta rápida. Esto debe tener en cuenta la posibilidad de que sus canales normales de comunicación (por ejemplo, el correo electrónico corporativo) puedan verse afectados por un incidente.

Identificar los activos críticos

Para determinar el alcance y el impacto de un ataque, su organización necesita primero identificar sus activos más prioritarios prioridad. La identificación de sus activos más prioritarios no sólo le ayudará a a determinar su estrategia de protección, sino que facilitará la determinación del el alcance y el impacto de un ataque. Además, al identificarlos de antemano, su equipo de respuesta a Además, al identificarlos por adelantado, su equipo de respuesta a incidentes podrá centrarse en los activos más activos más críticos durante un ataque, minimizando la interrupción del negocio.

Realización de ejercicios de mesa

La respuesta a incidentes es como muchas otras disciplinas: la práctica hace la perfección. Aunque es difícil reproducir totalmente la intensa presión que experimentará su equipo durante una posible durante una posible infracción, los ejercicios prácticos garantizan una respuesta más coordinada y eficaz cuando se produce una situación real. respuesta más coordinada y eficaz cuando se produzca una situación real. Es importante no sólo realizar ejercicios técnicos de mesa (a menudo como parte de un simulacro de equipo rojo), sino también ejercicios más amplios que incluyan a las distintas partes interesadas de la empresa identificadas anteriormente.

Los ejercicios de mesa deben poner a prueba de su organización a una variedad de posibles escenarios de respuesta a incidentes de incidentes. Cada uno de estos escenarios podría incluir también a las partes interesadas más allá del equipo técnico inmediato. equipo técnico inmediato. Su organización debe determinar de antemano quién necesita ser informada cuando se detecta un ataque, incluso si fue exitosamente defendido.

Los escenarios comunes de respuesta a incidentes incluyen:  

• Adversario activo detectado dentro de su red: En estos escenarios, es fundamental que el equipo de respuesta determine cómo un atacante pudo infiltrarse en su entorno, qué herramientas y técnicas que utilizó, cuál fue su objetivo y si ha establecido una persistencia. Esta información de información ayudará a determinar el curso de acción adecuado para neutralizar el ataque. Aunque pueda parecer obvio que hay que expulsar inmediatamente al adversario del entorno, algunos equipos de seguridad optan por esperar y observar observar al atacante para obtener información importante que les permita determinar lo que que están tratando de lograr y qué métodos están utilizando para lograrlo.
• Violación de datos con éxito: Si se detecta una violación de datos Si se detecta una violación de datos, su equipo debe ser capaz de determinar qué se ha filtrado y cómo. Esto informará de la respuesta adecuada, incluyendo la posible de las políticas de cumplimiento y regulación, si es necesario contactar con los clientes Si es necesario ponerse en contacto con los clientes, y la posible implicación legal o de las fuerzas del orden.
• Ataque de ransomware con éxito: Si los datos críticos y sistemas se cifran, su equipo debe seguir un plan para recuperar dichas pérdidas lo más rápido posible. Esto debería incluir un proceso para restaurar los sistemas a partir de copias de seguridad. Para asegurarse de que el ataque no se repetirá en cuanto vuelva a estar en línea el equipo debe investigar si se ha cortado el acceso del adversario. Además, su organización más amplia debería determinar si estaría dispuesta a a pagar un rescate en situaciones extremas y, de ser así, cuánto estaría dispuesta a gastar. a gastar.
• Sistema de alta prioridad comprometido: Cuando un sistema de sistema de alta prioridad se ve comprometido, su organización puede no ser capaz de realizar sus actividades con normalidad. Además de todos los pasos necesarios como parte de un plan de respuesta a incidentes, su organización también debe considerar el establecimiento de un plan de recuperación del negocio para asegurar una interrupción mínima en un escenario como éste.

Despliegue de herramientas de protección

La mejor manera de hacer frente a un incidente es protegerse contra él en primer lugar. Asegúrese de que su organización cuenta con la protección adecuada para los puntos finales, la red, el servidor, la nube, el móvil y el correo electrónico. móvil y de correo electrónico.

Asegúrese de tener la máxima visibilidad

Without the proper visibility into what is happening during an attack, your organization will struggle to respond appropriately. Before an attack occurs, IT and security teams should ensure they have the ability to understand the scope and impact of an attack, including determining adversary entry points and points of persistence. Proper visibility includes collecting log data, with a focus on the endpoint and network data. Since many attacks take days or weeks to discover, it is important that you have historical data going back for days or weeks (even months) to investigate. Additionally, ensure such data is backed up so it can be accessed during an active incident. 6. Implement access control Attackers can leverage weak access control to infiltrate your organization’s defenses and escalate privileges. Regularly ensure that you have the proper controls in place to establish access control. This includes, but is not limited to, deploying multi-factor authentication, limiting admin privileges to as few accounts as possible (following the Principle of Least Privilege), changing default passwords, and reducing the number of access points you need to monitor.

Invertir en herramientas de investigación

Además de asegurarse de tener la visibilidad necesaria, su organización debe invertir en herramientas que proporcionen contexto necesario durante una investigación.

Some of the most common tools used for incident response include endpoint detection and response (EDR) or extended detection and response (XDR), which allow you to hunt across your environment to detect indicators of compromise (IOCs) and indicators of attack (IOA). EDR tools help analysts pinpoint which assets have been compromised, which in turn helps determine the impact and scope of an attack. The more data that is collected – from the endpoints and beyond – the more context is available during the investigation. Having broader visibility will allow your team to not only determine what the attackers targeted but how they gained entry into the environment and if they still have the ability to access it again.

Además de las herramientas EDR, los equipos de seguridad de seguridad avanzados también pueden desplegar una solución de orquestación, automatización y respuesta de seguridad (SOAR) que ayude a los flujos de trabajo de respuesta. respuesta (SOAR) que ayude en los flujos de trabajo de respuesta.

Establecer acciones de respuesta

La detección de un ataque es sólo una parte del proceso. Para responder adecuadamente a un ataque, sus equipos de TI y de seguridad seguridad deben asegurarse de que tienen la capacidad de llevar a cabo una amplia gama de para interrumpir y neutralizar al atacante. Las acciones de respuesta incluyen, pero incluyen, pero no se limitan a:  

• Aislamiento de los anfitriones afectados  
• Bloqueo de archivos maliciosos, procesos y programas maliciosos  
• Bloqueo del comando y control (C2) y la actividad de sitios web maliciosos  
• Congelar las cuentas comprometidas y cortar el acceso a los atacantes  
• Limpieza de artefactos del adversario y herramientas  
• Cerrar los puntos de entrada y las áreas de persistencia aprovechada por los atacantes (internos y de terceros)  
• Ajustar las configuraciones (políticas de políticas de amenazas, activación de la seguridad de los puntos finales y EDR en los dispositivos desprotegidos, ajuste de exclusiones, etc.)  
• Restauración de los activos afectados mediante copias de seguridad sin conexión
• Llevar a cabo una formación de sensibilización

Aunque ningún programa de formación nunca será 100% efectivo contra un adversario determinado, los programas de educación (es decir de phishing) ayudan a reducir su nivel de riesgo y a limitar el número de alertas a las que su equipo debe responder. El uso de herramientas para simular ataques de phishing proporciona una forma segura para que su personal experimente (y sea potencialmente víctima de) un phishing, y permite que los que no lo consigan reciban formación, así como identificar los grupos de usuarios de riesgo que pueden necesitar más información. grupos de usuarios de riesgo que pueden requerir formación adicional.

Contratar un servicio de seguridad gestionado

Muchas organizaciones no están equipadas para gestionar incidentes por sí mismas. Una respuesta rápida y eficaz requiere operadores de seguridad experimentados. Para asegurarse de que puede responder adecuadamente considere la posibilidad de trabajar con un recurso externo, como un proveedor de respuesta (MDR).

MDR providers offer 24/7 threat hunting, investigation, and incident response delivered as a managed service. MDR services not only help your organization respond to incidents before they become breaches but also work to reduce the likelihood of an incident in the first place. MDR services are becoming very popular: according to Gartner*, by 2025, 50% of organizations will be using MDR services (this is up from less than 5% in 2019).

Los servicios de respuesta a incidentes forenses de datos Los servicios de respuesta forense a incidentes de datos (DFIR) también se contratan ocasionalmente después de un incidente para recopilar pruebas para apoyar una reclamación legal o de seguros. Resumen Cuando un incidente de ciberseguridad Cuando se produce un incidente de ciberseguridad, el tiempo es esencial. Tener un plan de respuesta bien preparado, bien preparado y bien entendido que todas las partes clave puedan poner en marcha inmediatamente reducirá drásticamente el impacto de un incidente de ciberseguridad. que todas las partes clave puedan poner en marcha inmediatamente reducirá drásticamente el impacto de un ataque en su organización.