Plan de respuesta a incidentes de seguridad

Los equipos de respuesta ante incidentes de seguridad y respuesta forense se necesitan hoy más que nunca durante la era de la informática e Internet que se ha desarrollado en los últimos 40 años.

Hoy en día, con la mayoría de las organizaciones y proveedores de respuesta de seguridad que reportan la increíble cantidad de 30.000 a 70.000 piezas de malware nuevo que se presentan cada día, la necesidad de investigadores está en su punto más alto.

Todas las grandes corporaciones, todas las agencias gubernamentales y la mayoría de las organizaciones que operan en Internet, utilizan el correo electrónico o realizan transacciones comerciales en línea requieren la capacidad de responder a un ataque inesperado o malicioso en sus redes e infraestructura solo para mantenerse en el negocio, y realizar sus tareas diarias de manera segura.

Vamos a analizar qué es un plan de respuesta a incidentes de seguridad, quién debe realizarlo y cuál es su contenido.

¿Qué es un plan de respuesta a incidentes de seguridad?

Un plan de respuesta a incidentes es un conjunto de instrucciones para ayudar al personal de TI a detectar, responder y recuperarse de incidentes de seguridad de la red.

Estos tipos de planes abordan problemas como el cibercrimen, la pérdida de datos y las interrupciones del servicio que amenazan el trabajo diario.

Un plan de respuesta a incidentes suficiente ofrece un curso de acción para todos los incidentes significativos.

Algunos incidentes conducen a violaciones masivas de la red o de datos que pueden afectar a tu organización durante días o incluso meses. Cuando ocurre una interrupción significativa, la organización necesita un plan de respuesta a incidentes detallado y completo para ayudar al personal de TI a detener, contener y controlar el incidente rápidamente.

Si tu red aún no ha sido amenazada, lo será. Si es así, entonces sabes el caos que puede seguir a un ataque cibernético. Tanto si se trata de una amenaza virtual (violaciones de seguridad) como física (cortes de energía o desastres naturales), la pérdida de datos o funcionalidad puede ser paralizante.

Un plan de respuesta a incidentes y un plan de recuperación ante desastres te ayudan a mitigar el riesgo y a prepararte para una variedad de eventos.

¿Quién debe responder a los incidentes de seguridad?

Por lo general, la respuesta a incidentes es realizada por el equipo informático de respuesta a incidentes (CIRT) de una organización, también conocido como equipo de respuesta a incidentes cibernéticos.

Los CIRT generalmente están compuestos por personal de seguridad y de TI en general, junto con miembros de los departamentos legal, de recursos humanos y de relaciones públicas. Es un grupo responsable de responder a las brechas de seguridad, virus y otros incidentes potencialmente catastróficos en empresas que enfrentan riesgos de seguridad significativos.

Además de los especialistas técnicos capaces de hacer frente a amenazas específicas, debe incluir expertos que puedan guiar a los ejecutivos de la empresa en la comunicación adecuada a raíz de tales incidentes.

Miembros del equipo de respuesta a incidentes

En esencia, un equipo de respuesta a incidentes debe estar formado por:

  • Administrador de respuesta a incidentes: El administrador de respuesta a incidentes supervisa y prioriza las acciones durante la detección, análisis y contención de un incidente. También son responsables de transmitir los requisitos especiales de los incidentes de alta gravedad al resto de la empresa.
  • Analistas de seguridad: el administrador cuenta con el respaldo de un equipo de analistas de seguridad que trabajan directamente con la red afectada para investigar la hora, la ubicación y los detalles de un incidente. Hay dos tipos de analistas:
    • Analistas de Triaje: Filtre los falsos positivos y observe posibles intrusiones.
    • Analistas forenses: recupere los artefactos clave y mantenga la integridad de la evidencia para garantizar una investigación forense sólida.
  • Investigadores de amenazas: los investigadores de amenazas complementan a los analistas de seguridad al proporcionar inteligencia y contexto de amenazas para un incidente. Están constantemente revisando Internet e identificando inteligencia que puede haber sido reportada externamente. Combinando esta información con los registros de la empresa de incidentes anteriores, crean y mantienen una base de datos de inteligencia interna.

Criterios para crear un plan de respuesta a incidentes efectivo

Independientemente del tamaño de la organización, tener un enfoque integral para la respuesta a incidentes es crucial para sobrevivir al ataque y reducir el impacto y los costes de recuperación.

Lo más importante es que el plan de respuesta a incidentes debe ser lo suficientemente práctico para que tu organización actúe de manera rápida y efectiva en caso de compromiso.

Un plan efectivo de respuesta a incidentes debe cumplir los siguientes criterios:

Simple pero preciso

El plan de respuesta a incidentes debe ser claro, simple y guiar al equipo de respuesta a incidentes para que haga una determinación rápida y detallada de quién, qué, cómo, cuándo y por qué.

El plan también debe proporcionar una guía precisa para que la organización pueda determinar el sistema y los datos bajo ataque y tomar medidas para preservar los activos críticos.

Roles y responsabilidades detalladas

Deben establecerse claramente los roles y responsabilidades de todos los interesados.

Las empresas, y en particular cada empleado individual, deben tener una idea clara de sus tareas para completar en el caso de un incidente, y se deben llevar a cabo las acciones apropiadas para mitigar el impacto y proteger la pérdida de datos confidenciales.

Reunir equipos técnicos y no técnicos

El plan de respuesta a incidentes no debe limitarse solo al departamento de TI o de seguridad. Ese plan es efectivo solo si los equipos técnicos y no técnicos, como Legal, Cumplimiento, Recursos Humanos, Asuntos Públicos, etc., están comprometidos y participan en la ejecución del mismo.

Tómate tiempo para desarrollar relaciones con partes interesadas internas y externas que puedan ayudar a la organización a responder a un incidente grave.

Proporcionar un marco de clasificación

Crea un marco de clasificación de incidentes para que puedas priorizar adecuadamente las actividades de respuesta a incidentes.

La clasificación también te ayudará a derivar métricas significativas como tipo, gravedad, vector de ataque, impacto y causa raíz para futuros propósitos de remediación.

Comprender la prioridad de la empresa

Por último, el plan de respuesta a incidentes debe alinearse con las prioridades de tu empresa. Determina qué es lo más importante para tu organización e integra esas prioridades en las actividades de respuesta a incidentes.

Por ejemplo, si tus dispositivos médicos críticos están bajo ataque, garantizar la seguridad de los pacientes es tu máxima prioridad. Si eres fabricante y tu proceso de fabricación se interrumpe, entonces restaurar las operaciones es tu máxima prioridad.

Pasos de respuesta a incidentes

La respuesta a incidentes es un proceso, no un evento aislado. Para que la respuesta a incidentes sea exitosa, los equipos deben adoptar un enfoque coordinado y organizado ante cualquier incidente.

Hay cinco pasos importantes que cada programa de respuesta debe cubrir para abordar de manera efectiva la amplia gama de incidentes de seguridad que una empresa podría experimentar.

1. Preparación

La preparación es la clave para una respuesta efectiva a los incidentes. Incluso el mejor equipo de respuesta a incidentes no puede abordar eficazmente un incidente sin pautas predeterminadas.

Debe haber un plan sólido para apoyar a tu equipo. Para abordar con éxito los eventos de seguridad, estas características deben incluirse en un plan de respuesta a incidentes:

  • Desarrolla y documenta políticas de respuesta a incidentes: establezca políticas, procedimientos y acuerdos para la gestión de respuesta a incidentes.
  • Definir pautas de comunicación: cree normas y pautas de comunicación para permitir una comunicación fluida durante y después de un incidente.
  • Incorpora feeds de inteligencia de amenazas: realiza una recopilación, un análisis y una sincronización continuos de tus feeds de inteligencia de amenazas.
  • Realiza ejercicios de caza cibernética: realiza ejercicios operativos de caza de amenazas para encontrar incidentes que ocurran dentro de tu entorno. Esto permite una respuesta más proactiva a los incidentes.
  • Evalúa tu capacidad de detección de amenazas: evalúa su capacidad actual de detección de amenazas y actualiza los programas de evaluación y mejora de riesgos.

2. Detección e informes

El enfoque de esta fase es monitorizar los eventos de seguridad para detectar, alertar e informar sobre posibles incidentes de seguridad.

  • Supervisar: supervisa los eventos de seguridad en tu entorno utilizando firewalls, sistemas de prevención de intrusiones y prevención de pérdida de datos.
  • Detectar: detecta posibles incidentes de seguridad correlacionando alertas dentro de una solución SIEM.
  • Alerta: los analistas crean un ticket de incidente, documentan los hallazgos iniciales y asignan una clasificación de incidente inicial.
  • Informar: el proceso de informe debe incluir adaptaciones para escalaciones de informes reglamentarios.

3. Triaje y análisis

La mayor parte del esfuerzo para determinar y comprender adecuadamente el incidente de seguridad tiene lugar durante este paso. Deben utilizarse recursos para recopilar datos de herramientas y sistemas para su posterior análisis e identificar indicadores de compromiso.

Las personas deben tener habilidades profundas y una comprensión detallada de las respuestas del sistema en vivo, análisis forense digital, análisis de memoria y análisis de malware.

A medida que se recopilan pruebas, los analistas deben centrarse en tres áreas principales:

  • Análisis de punto final
    • Determina qué huellas puede haber dejado el actor de la amenaza.
    • Reúne los artefactos necesarios para construir una línea de tiempo de actividades.
    • Analiza una copia bit a bit de los sistemas desde una perspectiva forense y captura RAM para analizar e identificar artefactos clave para determinar qué ocurrió en un dispositivo.
  • Análisis binario
    • Investiga herramientas o binarios maliciosos aprovechados por el atacante y documente las funcionalidades de esos programas. Este análisis se realiza de dos maneras.
      1. Análisis de comportamiento: ejecuta el programa malicioso en una máquina virtual para controlar su comportamiento
      2. Análisis estático: realiza ingeniería inversa del programa malicioso para abarcar toda la funcionalidad.
  • Caza empresarial
    • Analiza los sistemas existentes y las tecnologías de registro de eventos para determinar el alcance del compromiso.
    • Documenta todas las cuentas, máquinas, etc. comprometidas para que se pueda realizar una contención y neutralización efectivas.

4. Contención y neutralización

Esta es una de las etapas más críticas de la respuesta a incidentes. La estrategia de contención y neutralización se basa en la inteligencia y los indicadores de compromiso recopilados durante la fase de análisis.

Después de restaurar el sistema y verificar la seguridad, se pueden reanudar las operaciones normales.

  • Apagado coordinado: una vez que haya identificado todos los sistemas dentro del entorno que han sido comprometidos por un actor de amenazas, realiza un apagado coordinado de estos dispositivos. Se debe enviar una notificación a todos los miembros del equipo de IR para garantizar el momento adecuado.
  • Limpiar y reconstruir: limpia los dispositivos infectados y reconstruye el sistema operativo desde cero. Cambiar las contraseñas de todas las cuentas comprometidas.
  • Solicitudes de mitigación de amenazas: si has identificado dominios o direcciones IP que los actores de amenazas aprovechan para el comando y el control, emite solicitudes de mitigación de amenazas para bloquear la comunicación de todos los canales de salida conectados a estos dominios.

5. Actividad posterior al incidente

Hay más trabajo por hacer después de que se resuelva el incidente. Asegúrate de documentar adecuadamente cualquier información que pueda usarse para evitar que ocurran eventos similares en el futuro.

  • Completa un informe de incidentes: documentar el incidente ayudará a mejorar el plan de respuesta a incidentes y aumentará las medidas de seguridad adicionales para evitar tales incidentes de seguridad en el futuro.
  • Monitorizar después del incidente: supervisa de cerca las actividades posteriores al incidente, ya que los actores de la amenaza volverán a aparecer. Recomendamos un halcón de registro de seguridad que analice los datos de SIEM para detectar cualquier signo de desconexión de indicadores que pueda haber estado asociado con el incidente anterior.
  • Actualizar inteligencia de amenazas: actualiza los feeds de inteligencia de amenazas de la organización.
  • Identifica medidas preventivas: crea nuevas iniciativas de seguridad para prevenir futuros incidentes.
  • Obtén una aceptación multifuncional: la coordinación en toda la organización es fundamental para la implementación adecuada de nuevas iniciativas de seguridad.

¿Qué debo y no debo hacer para responder a incidentes de seguridad?

Es fácil estresarse cuando hay un incidente en la organización, y esto puede llevar a tomar decisiones precipitadas por apuro. Esto es lo peor que puedes hacer durante un incidente de seguridad.

Muchas veces, las personas toman esas decisiones precipitadas sin conocer los daños que pueden ocasionar hasta que ven que el problema que originalmente estaban tratando de contener se empeora.

Lo que no debes hacer

Aquí hay una lista de cosas que NO debes hacer durante un incidente:

  1. Pánico: no te asustes. Es lo peor que puedes hacer durante un incidente. Debes mantener la calma y tener un plan de recuperación de incidentes te ayudará a lograrlo. Es extremadamente importante crear un plan sólido antes de que ocurra un incidente para garantizar que los procedimientos sean detallados y específicos.
  2. Apagar los sistemas: no apagues los sistemas infectados. Al cerrar, podrías perder datos volátiles que contienen información forense importante. Esta información puede ser esencial para determinar la línea de tiempo de lo que ocurrió. Seguir esta línea de tiempo también te dirá qué información es potencialmente robada para que puedas elegir la mejor manera de manejar los datos robados.
  3. Socializar: No discutas el incidente con otros a menos que te indiquen lo contrario. Es importante ser cauteloso con el público con el que elijes comunicarte sobre un incidente. Es mejor solo compartir información sobre la violación con aquellos que necesitan saberlo, de lo contrario la situación podría empeorar.
  4. Usar credenciales de administrador de dominio: no uses credenciales administrativas de dominio al acceder al entorno de sistemas. Los ciberdelincuentes esperan pacientemente a que un usuario con acceso a toda la empresa inicie sesión para poder capturar la contraseña y obtener un control completo sobre el entorno.
  5. Utilización de herramientas no forenses: si ejecutas un software no forense en los sistemas infectados podría sobrescribir las líneas de tiempo vinculadas al ataque en la tabla maestra de archivos. Es imprescindible no alterar la línea de tiempo para poder seguir exactamente lo que ocurrió durante el incidente.

Lo que debes hacer

En lugar de tomar decisiones apresuradas durante un incidente, las personas deben tomar algunas medidas para contener y solucionar el incidente. Recopilar tanta información sobre el incidente como sea posible es extremadamente útil.

Sigue los consejos a continuación para abordar correctamente un incidente:

  1. Recopilar datos: recopila datos volátiles y otros artefactos críticos del sistema utilizando herramientas forenses. Las herramientas forenses tienen la capacidad de conectarse al sistema sin modificar las marcas de tiempo que se encuentran en el dispositivo.
  2. Inteligencia externa: recopila inteligencia externa basada en indicadores de compromiso identificados (COI). Busca en la web información sobre MD5 específicos, direcciones IP y dominios que has descubierto durante la investigación inicial del incidente.
  3. Safeguard: Safeguard Systems y otros medios para la recopilación forense.
  4. Recopilar registros: recopila los registros apropiados. Esto puede incluir Eventos de Windows, Proxy, Netflow, Antivirus, Firewall, etc. Es importante ver la historia tanto en la red como en el punto final.

Herramientas para facilitar la respuesta a incidentes

A medida que más organizaciones comienzan a implementar programas de respuesta a incidentes, muchos se preguntan qué herramientas están disponibles para respaldar la respuesta a incidentes.

Lo que los equipos de seguridad deben saber es que muchas de las herramientas de las que disponen tienen opciones que facilitarán el análisis forense y otras acciones de respuesta a incidentes.

Estas son algunas de las formas en que puedes aprovechar tus herramientas de TI y seguridad existentes para facilitar la respuesta a incidentes.

Antivirus

Es posible que tu solución antivirus solo detecte del 10 al 15 por ciento del malware, pero los registros antivirus pueden contener indicadores críticos del ataque.

Cuando los actores de amenazas entran en tu entorno, uno de sus primeros objetivos es adquirir contraseñas ejecutando un programa de descarga de credenciales. Tu antivirus puede detectar esta actividad la primera vez y bloquear la ejecución del programa.

Pero las ejecuciones posteriores de diferentes programas de eliminación de credenciales pueden pasar desapercibidas, por lo que es importante alertar sobre cualquier actividad asociada con este tipo de herramientas maliciosas.

Tener registrado el primer intento es fundamental ya que ese podría ser el hilo único del que debes tirar para identificar un posible incidente.

Registros de SIEM

Un SIEM centralizado que ingiere registros de todos los sistemas de seguridad, como antivirus, firewall, sistemas de prevención de intrusiones, prevención de pérdida de datos, es una herramienta crítica.

Un SIEM te permite investigar en todos los dispositivos dentro de la empresa para identificar actividad maliciosa y te permite rastrear y determinar cómo una amenaza potencial obtuvo acceso.

¿Qué cajas tocaron? ¿Por qué cortafuegos pasaron o qué registros de prevención de fuga de datos pueden haberse generado cuando estaban en un sistema? Para responder a incidentes debe responderse a este tipo de preguntas y tener un SIEM facilitará hacerlo.

Registros DLP

Las soluciones de prevención de pérdida de datos proporcionan una visibilidad profunda de los movimientos de datos y eventos a nivel del sistema, lo que los convierte en otra fuente valiosa de información forense para la respuesta a incidentes.

Revisar los registros de DLP puede ayudarte a profundizar en posibles incidentes o actividades de amenazas descubiertas en tus registros de SIEM o antes en tu proceso de respuesta a incidentes.

Estos registros se convierten en una importante opción para establecer la motivación de los ciberdelincuentes, así como qué datos pueden haber sido seleccionados o comprometidos en el incidente.

Algunas soluciones DLP incluso capturarán cualquier ejecución de procesos en tus registros, otra pieza valiosa al armar el rompecabezas de «¿qué pasó?» en un incidente de seguridad.