Responder a las brechas de ciberseguridad

Securitylocus ayuda a su empresa a responder a las brechas de ciberseguridad.

Esta imagen tiene un atributo alt vacío; su nombre de archivo es Logo-400x400-1.jpg
Vector de logotipos de Microsoft en (. SVG, . EPS. IA. CDR. PDF) descargar gratis

Visión general

La respuesta a incidentes (IR) es la práctica de preparar a una organización para el evento de una violación de seguridad o datos a través de una multitud de medios. No todos los incidentes van a ser iguales y, como tales, los respondedores de incidentes deben tener la capacidad de reaccionar a diferentes situaciones. Esto requiere un plan cuidadosamente documentado y fácilmente ejecutable para permitir que una organización erradique rápidamente el malware, ransomware o similar.

Respuesta a una brecha de seguridad – Información general

Las seis etapas del proceso de respuesta a incidentes

CREST, una organización sin fines de lucro que garantiza la calidad de los servicios ofrecidos por las empresas de seguridad, ha desarrollado un modelo bien definido para evaluar la madurez de cada una de las seis etapas de respuesta a incidentes.

El siguiente gráfico muestra cómo este modelo aborda los controles en seis etapas del proceso de respuesta a incidentes. Vamos a ver, en detalle, los controles para cada una de estas etapas.

Gráfico de respuesta a incidentes

Preparación

La clave de la etapa de preparación es realizar un análisis cuidadoso durante las pruebas de incidentes simulados.

Esto permite a una organización crear un cronograma de respuesta a incidentes cuidadosamente construido con todas las responsabilidades asignadas a la parte interesada más adecuada.

Un plan de respuesta a incidentes también debe incluir un análisis de los recursos IR que una empresa tiene a su disposición, como listas de puertos, analizadores de protocolos, diagramas de red, etc.

Este análisis debe concluir en la preparación de un kit de herramientas de IR, listo para usar en caso de incumplimiento.

Identificación

Una organización debe asegurarse de que las defensas relativas estén en su lugar para garantizar que se identifiquen los indicadores de compromiso.

Dichos identificadores incluyen:

  • Tráfico de red saliente inusual
  • Nuevos usuarios administradores creados
  • Anomalías en la actividad de la cuenta de usuario con privilegios (primer inicio de sesión en un sistema)
  • Irregularidades geográficas (intentos de inicio de sesión no estándar)
  • Aumento del volumen de lectura de la base de datos (volcado de la base de datos)
  • Gran número de solicitudes para el mismo archivo
  • Cambios sospechosos en el registro o en los archivos del sistema
  • Parches inesperados
  • Signos de actividad DDoS

Si un equipo de seguridad de TI no siente que estos indicadores aparecerían en su sistema de seguridad, es posible que se requiera una revisión adicional.

Contención

Una vez que una organización confía en que un incidente puede / será identificado, el enfoque se centra en contener ese incidente. Una organización debe asignar cursos de acción definidos en función del impacto potencial de varios incidentes.

TI necesita examinar si tiene control de aspectos como el bloqueo de accesos no autorizados, el bloqueo de direcciones IP y de correo electrónico peligrosas o incluso el aislamiento de sistemas en la red, entre otros. Este ejercicio garantiza que la función de TI tenga un control y visibilidad completos de tales acciones.

Erradicación

El siguiente paso es eliminar la causa del incidente: esta etapa puede superponerse con la etapa de contención.

El objetivo aquí es erradicar la causa, el incidente real y el compromiso en sí. Una vez hecho esto, es imperativo que se verifique la erradicación (por ejemplo, monitoreando el tráfico y revisando los registros críticos).

El proceso de RI debe permitir pasos de erradicación tales como:

  • Eliminación del ataque de la red
  • Eliminación de malware
  • Desactivación de cuentas de usuario incumplidas
  • Identificación de vulnerabilidades que fueron explotadas
  • Mitigación de vulnerabilidades que fueron explotadas
  • ¿Existe un proceso formal para manejar la evidencia cuando se trata de un incidente?
  • ¿Hay pasos a seguir para preservar la evidencia cuando se trata del incidente?

Restauración

Se debe preparar y revisar un plan de recuperación detallado para determinar que todos los procesos de recuperación se llevan a cabo para garantizar la restauración del sistema lo antes posible, tales como: restaurar el sistema a partir de registros de respaldo, notificar a las partes interesadas relevantes y abordar vulnerabilidades identificadas similares en la red, etc.

La fase de restauración también debe considerar la validación de que los sistemas han vuelto a estar completamente operativos y protegidos.

El plan ir debe considerar incluir elementos como una prueba de penetración externa para evaluar que las correcciones restauradas son suficientes. También se debe tener en cuenta el nivel de detalle que se proporciona a las partes interesadas y el calendario para ello.

Lecciones aprendidas

Esto a menudo se considera la etapa más importante del proceso de IR, ya que las lecciones aprendidas pueden ser de gran ayuda para prevenir futuros incidentes.

En resumen, esta etapa implica:

1) Realizar una revisión posterior al incidente para identificar todas las acciones tomadas durante el curso del proceso de recuperación

2) Documentar formalmente estas lecciones, identificar dónde se aprendieron las lecciones y comunicarlas a las partes interesadas relevantes

3) Actualizar y enmendar el plan de IR existente para permitir que estas lecciones se apliquen a incidentes futuros

Conclusión

Aunque no es posible prepararse completamente para incidentes futuros desconocidos, hay elementos de un proceso de respuesta a incidentes que requieren preparación para permitir una mitigación efectiva de incidentes.

La conclusión es que un plan de respuesta a incidentes no solo debe definirse formalmente, sino que debe evaluarse periódicamente para garantizar que siga siendo efectivo.

La aplicación de un marco de respuesta a incidentes bien definido y maduro, como el desarrollado por CREST, ayuda a cubrir todos los aspectos importantes de dicha evaluación.