Desarrollar un plan de respuesta a incidentes
Page Article
Determinar las partes interesadas clave
La planificación adecuada de un posible
incidente no es responsabilidad exclusiva de su equipo de seguridad. De hecho, un
incidente probablemente afectará a casi todos los departamentos de su organización,
especialmente si el incidente se convierte en una violación a gran escala. Para coordinar adecuadamente
coordinar adecuadamente una respuesta, primero debe determinar quién debe participar. Este
Esto incluye a menudo la representación de la alta dirección, la seguridad, la TI, el departamento legal y las relaciones públicas.
relaciones públicas. Saber quién debe estar en la mesa y participar en los ejercicios de planificación de su
en los ejercicios de planificación de su organización es algo que debe determinarse de antemano.
con antelación. Además, hay que establecer un método de comunicación para
para garantizar una respuesta rápida. Esto debe tener en cuenta la posibilidad de que
sus canales normales de comunicación (por ejemplo, el correo electrónico corporativo) puedan verse afectados por
un incidente.
Identificar los activos críticos
Para determinar el alcance y el impacto
de un ataque, su organización necesita primero identificar sus activos más prioritarios
prioridad. La identificación de sus activos más prioritarios no sólo le ayudará a
a determinar su estrategia de protección, sino que facilitará la determinación del
el alcance y el impacto de un ataque. Además, al identificarlos de antemano, su equipo de respuesta a
Además, al identificarlos por adelantado, su equipo de respuesta a incidentes podrá centrarse en los activos más
activos más críticos durante un ataque, minimizando la interrupción del negocio.
Realización de ejercicios de mesa
La respuesta a incidentes es como muchas
otras disciplinas: la práctica hace la perfección. Aunque es difícil reproducir totalmente
la intensa presión que experimentará su equipo durante una posible
durante una posible infracción, los ejercicios prácticos garantizan una respuesta más coordinada y eficaz cuando se produce una situación real.
respuesta más coordinada y eficaz cuando se produzca una situación real. Es importante no sólo realizar
ejercicios técnicos de mesa (a menudo como parte de un simulacro de equipo rojo), sino también
ejercicios más amplios que incluyan a las distintas partes interesadas de la empresa identificadas anteriormente.
Los ejercicios de mesa deben poner a prueba
de su organización a una variedad de posibles escenarios de respuesta a incidentes
de incidentes. Cada uno de estos escenarios podría incluir también a las partes interesadas más allá del equipo técnico inmediato.
equipo técnico inmediato. Su organización debe determinar de antemano quién
necesita ser informada cuando se detecta un ataque, incluso si fue exitosamente
defendido.
Los escenarios comunes de respuesta a incidentes
incluyen:
- Adversario activo detectado dentro de su red: En estos escenarios, es fundamental que el equipo de respuesta determine cómo un
atacante pudo infiltrarse en su entorno, qué herramientas y técnicas
que utilizó, cuál fue su objetivo y si ha establecido una persistencia. Esta información de
información ayudará a determinar el curso de acción adecuado para neutralizar el
ataque. Aunque pueda parecer obvio que hay que expulsar inmediatamente al
adversario del entorno, algunos equipos de seguridad optan por esperar y observar
observar al atacante para obtener información importante que les permita determinar lo que
que están tratando de lograr y qué métodos están utilizando para lograrlo.
- Violación de datos con éxito: Si se detecta una violación de datos
Si se detecta una violación de datos, su equipo debe ser capaz de determinar qué se ha filtrado
y cómo. Esto informará de la respuesta adecuada, incluyendo la posible
de las políticas de cumplimiento y regulación, si es necesario contactar con los clientes
Si es necesario ponerse en contacto con los clientes, y la posible implicación legal o de las fuerzas del orden.
- Ataque de ransomware con éxito: Si los datos críticos
y sistemas se cifran, su equipo debe seguir un plan para recuperar dichas pérdidas
lo más rápido posible. Esto debería incluir un proceso para restaurar los sistemas a partir de
copias de seguridad. Para asegurarse de que el ataque no se repetirá en cuanto vuelva a estar en línea
el equipo debe investigar si se ha cortado el acceso del adversario.
Además, su organización más amplia debería determinar si estaría dispuesta a
a pagar un rescate en situaciones extremas y, de ser así, cuánto estaría dispuesta a gastar.
a gastar.
- Sistema de alta prioridad comprometido: Cuando un sistema de
sistema de alta prioridad se ve comprometido, su organización puede no ser capaz de
realizar sus actividades con normalidad. Además de todos los pasos necesarios como parte de un
plan de respuesta a incidentes, su organización también debe considerar el establecimiento de un
plan de recuperación del negocio para asegurar una interrupción mínima en un escenario como éste.
Despliegue de herramientas de protección
La mejor manera de hacer frente a un
incidente es protegerse contra él en primer lugar. Asegúrese de que su organización
cuenta con la protección adecuada para los puntos finales, la red, el servidor, la nube, el móvil y el correo electrónico.
móvil y de correo electrónico.
Asegúrese de tener la máxima visibilidad
Without the proper visibility into
what is happening during an attack, your organization will struggle to respond
appropriately. Before an attack occurs, IT and security teams should ensure
they have the ability to understand the scope and impact of an attack,
including determining adversary entry points and points of persistence. Proper
visibility includes collecting log data, with a focus on the endpoint and network
data. Since many attacks take days or weeks to discover, it is important that
you have historical data going back for days or weeks (even months) to
investigate. Additionally, ensure such data is backed up so it can be accessed
during an active incident. 6. Implement access control Attackers can leverage
weak access control to infiltrate your organization’s defenses and escalate
privileges. Regularly ensure that you have the proper controls in place to
establish access control. This includes, but is not limited to, deploying
multi-factor authentication, limiting admin privileges to as few accounts as
possible (following the Principle of Least Privilege), changing default
passwords, and reducing the number of access points you need to monitor.
Invertir en herramientas de investigación
Además de asegurarse de tener
la visibilidad necesaria, su organización debe invertir en herramientas que proporcionen
contexto necesario durante una investigación.
Some of the most common tools used
for incident response include endpoint detection and response (EDR) or extended
detection and response (XDR), which allow you to hunt across your environment
to detect indicators of compromise (IOCs) and indicators of attack (IOA). EDR
tools help analysts pinpoint which assets have been compromised, which in turn
helps determine the impact and scope of an attack. The more data that is
collected – from the endpoints and beyond – the more context is available
during the investigation. Having broader visibility will allow your team to not
only determine what the attackers targeted but how they gained entry into the
environment and if they still have the ability to access it again.
Además de las herramientas EDR, los equipos de seguridad
de seguridad avanzados también pueden desplegar una solución de orquestación, automatización y respuesta de seguridad (SOAR) que ayude a los flujos de trabajo de respuesta.
respuesta (SOAR) que ayude en los flujos de trabajo de respuesta.
Establecer acciones de respuesta
La detección de un ataque es sólo una parte
del proceso. Para responder adecuadamente a un ataque, sus equipos de TI y de seguridad
seguridad deben asegurarse de que tienen la capacidad de llevar a cabo una amplia gama de
para interrumpir y neutralizar al atacante. Las acciones de respuesta incluyen, pero
incluyen, pero no se limitan a:
- Aislamiento de los anfitriones afectados
- Bloqueo de archivos maliciosos,
procesos y programas maliciosos
- Bloqueo del comando y control (C2)
y la actividad de sitios web maliciosos
- Congelar las cuentas comprometidas y
cortar el acceso a los atacantes
- Limpieza de artefactos del adversario
y herramientas
- Cerrar los puntos de entrada y las áreas de
persistencia aprovechada por los atacantes (internos y de terceros)
- Ajustar las configuraciones (políticas de
políticas de amenazas, activación de la seguridad de los puntos finales y EDR en los dispositivos desprotegidos, ajuste de
exclusiones, etc.)
- Restauración de los activos afectados mediante
copias de seguridad sin conexión
- Llevar a cabo una formación de sensibilización
Aunque ningún programa de formación
nunca será 100% efectivo contra un adversario determinado, los programas de educación (es decir
de phishing) ayudan a reducir su nivel de riesgo y a limitar el número de alertas
a las que su equipo debe responder. El uso de herramientas para simular ataques de phishing
proporciona una forma segura para que su personal experimente (y sea potencialmente víctima
de) un phishing, y permite que los que no lo consigan reciban formación, así como identificar los grupos de usuarios de riesgo que pueden necesitar más información.
grupos de usuarios de riesgo que pueden requerir formación adicional.
Contratar un servicio de seguridad gestionado
Muchas organizaciones no están
equipadas para gestionar incidentes por sí mismas. Una respuesta rápida y eficaz
requiere operadores de seguridad experimentados. Para asegurarse de que puede responder adecuadamente
considere la posibilidad de trabajar con un recurso externo, como un proveedor de
respuesta (MDR).
MDR providers offer 24/7 threat
hunting, investigation, and incident response delivered as a managed service.
MDR services not only help your organization respond to incidents before they
become breaches but also work to reduce the likelihood of an incident in the
first place. MDR services are becoming very popular: according to Gartner*, by
2025, 50% of organizations will be using MDR services (this is up from less
than 5% in 2019).
Los servicios de respuesta a incidentes forenses de datos
Los servicios de respuesta forense a incidentes de datos (DFIR) también se contratan ocasionalmente después de un incidente para recopilar
pruebas para apoyar una reclamación legal o de seguros. Resumen Cuando un incidente de ciberseguridad
Cuando se produce un incidente de ciberseguridad, el tiempo es esencial. Tener un plan de respuesta bien preparado,
bien preparado y bien entendido que todas las partes clave puedan poner en marcha inmediatamente reducirá drásticamente el impacto de un incidente de ciberseguridad.
que todas las partes clave puedan poner en marcha inmediatamente reducirá drásticamente el impacto de un ataque en su organización.