Introducing G2.ai, the future of software buying.Try now
Categoría de Respuesta a Incidentes

Respuesta a Incidentes: Cómo Hacer que los Incidentes Cibernéticos Sean Menos Caóticos

12 de Enero de 2021
Sagar Joshi
SJ
por Sagar Joshi

En esta publicación

En esta publicación

Todas las empresas inevitablemente enfrentan un incidente de seguridad.

Es solo cuestión de tiempo, y cuando sucede, la respuesta de tu organización impactará en la reputación, el tiempo y los ingresos de tu empresa. Para minimizar cualquier repercusión importante, debes planificar una respuesta antes de que ocurra un incidente de seguridad.

Crear un plan de respuesta a incidentes efectivo será de gran ayuda para lidiar con incidentes de seguridad y te proporcionará un marco confiable para establecer los procedimientos operativos. Asegúrate de comunicar la política de respuesta a incidentes de manera precisa a todos los equipos de la organización y trabaja para implementar la política durante un ataque cibernético real.

¿Qué es la respuesta a incidentes?

Un plan de respuesta a incidentes es un enfoque bien definido y sistemático para manejar y gestionar un incidente de seguridad de manera que cause un impacto mínimo en una organización. El enfoque está dirigido a limitar los daños y reducir el tiempo y los costos de respuesta.

Los incidentes de seguridad no son solo un problema técnico, sino que también son un problema que afecta a las empresas desde varios ángulos. Si no se manejan adecuadamente, pueden causar problemas legales, lo que resulta en la imposición de fuertes multas a tu organización, dependiendo del tipo de información o activos que se vean comprometidos.

Para evitar tales situaciones, crea una política de respuesta a incidentes para que sepas qué hacer y cómo limitar el daño si ocurre un incidente desafortunado.

Antes de profundizar en la comprensión detallada de la respuesta a incidentes, tomemos un momento para aclarar la jerga y las terminologías que usaremos en el artículo. Los gerentes de TI utilizan términos específicos basados en su experiencia previa en la industria, lo que puede crear confusión ya que otros pueden entender el significado de manera diferente.

Los términos más fundamentales aquí son evento e incidente. Un evento es cualquier ocurrencia observable en un sistema o una red, no necesariamente maliciosa. La publicación especial del Instituto Nacional de Estándares y Tecnología (NIST) define un incidente como una violación o amenaza inminente de violación de políticas de seguridad informática, políticas de uso aceptable o prácticas de seguridad estándar.

Si has trabajado en la industria de ITSM antes, puedes recordar una definición diferente de un incidente. Ambos se refieren a una interrupción no planificada en el servicio o una reducción en la calidad del servicio. Aun así, en este artículo, nos centraremos más en un incidente relacionado con la seguridad informática que compromete la ciberseguridad de una organización.

¿Por qué es importante la respuesta a incidentes?

Los hackers están evolucionando constantemente, y también lo están sus métodos. Con una variedad de vectores de ataque perfectamente capaces de converger un ataque cibernético en la vanguardia digital de tu negocio, no puedes permitirte experimentar con tu estrategia de respuesta.

Debes tener un curso de acción definido y directo antes de que ocurra un evento. En el panorama actual de amenazas cibernéticas, no es una cuestión de si ocurre una violación de seguridad. Está más inclinado hacia cuándo, y cuando ocurre un incidente de ciberseguridad, debes estar preparado.

Un plan de respuesta a incidentes te permite ser proactivo durante una crisis de seguridad y te proporciona la claridad necesaria para contenerla y ayudar a tu organización a recuperarse. Además, presiona por un enfoque preventivo. Además de sentar las bases para la respuesta, ayuda a las organizaciones a aprender de los incidentes y a implementar medidas preventivas y de remediación para evitarlos en el futuro.

Las razones por las que un plan de respuesta a incidentes es importante son:

  • Proteger los datos: Los datos son la columna vertebral de las empresas. Su seguridad es esencial tanto para la organización como para sus clientes. El plan de respuesta a incidentes (IR) te ayuda a elevar la seguridad introduciendo métodos modernos en la protección de datos basados en lecciones aprendidas de incidentes anteriores.
  • Mantener la confianza: Una violación puede costarte la confianza ganada con esfuerzo de tus clientes, inversores y otras partes interesadas. El plan de respuesta a incidentes te permite abordar un incidente de violación de datos de manera adecuada y limitar su impacto lo antes posible. Te ayudará a mantener la confianza y la confianza de todas las partes interesadas involucradas.
  • Proteger los ingresos: En los incidentes de seguridad, los ingresos sufren un impacto sustancial. Ya sea en forma de un rescate en un ataque de ransomware o multas impuestas por las autoridades reguladoras, o cuando un cliente lleva su negocio a otro lugar. Para las empresas públicas, principalmente se refleja en sus precios de acciones en el mercado. Los planes de IR te capacitan para actuar sobre un incidente de manera estructurada para detener el drenaje de ingresos y manejar el ataque rápidamente.

En conclusión, cuanto más rápido manejes un incidente de seguridad con un plan bien pensado, mejor podrás ayudar a tu organización a minimizar su impacto. Tienes muchas partes móviles en un incidente de seguridad: contratistas externos, autoridades legales y gubernamentales, prensa y otros.

Un plan de respuesta a incidentes adecuado te ayudará a mantener la claridad sobre el curso de acción en tiempos estresantes. Hará que el tiempo caótico sea un poco menos agitado y mucho más efectivo.

¿Quieres aprender más sobre Software de Respuesta a Incidentes? Explora los productos de Respuesta a Incidentes.

4 fases de una respuesta a incidentes

Antes de profundizar en las cuatro fases de la respuesta a incidentes, es fundamental que tengas un plan de comunicación en su lugar, para que cuando ocurra un incidente real, no estés luchando por movilizar a tu equipo de respuesta a incidentes de seguridad informática de manera efectiva. Es aconsejable equipar a tu equipo con software de respuesta a incidentes para automatizar varios procesos y/o proporcionarles las herramientas necesarias para encontrar y resolver violaciones de seguridad.

1. Preparación

Primero, reserva un lugar donde tu equipo pueda reunirse y trabajar hacia una respuesta. Este lugar se llama comúnmente sala de guerra o centro de comando. Si tus equipos están desplegados en diferentes ubicaciones, considera tener un canal de comunicación seguro. Evita confiar en tus canales de comunicación anteriores, ya que inicialmente no sabrías si fueron comprometidos.

Consejo: Las formas tradicionales de comunicación pueden ser la mejor opción en situaciones adversas. Por ejemplo, compartir una imagen de una pizarra que contenga los detalles por correo electrónico o mensajería instantánea.

Si los miembros de tu equipo trabajan de forma remota, considera equiparlos con un software de videoconferencia seguro y utilizar sus funciones, como salas de grupos, para garantizar una colaboración efectiva.

Configura un repositorio de contactos que cubra a todos en los equipos de respuesta a incidentes y ten una persona de guardia, incluso durante la noche. Es mejor si la responsabilidad de guardia es compartida por algunos miembros que la atienden de manera rutinaria. Como se mencionó antes, un incidente de seguridad es solo cuestión de tiempo, y puede ocurrir incluso a las 3 a.m. Tener una persona de guardia garantizaría a tu organización el apoyo que necesita de tu equipo en situaciones adversas.

Durante un incidente, tus equipos necesitan un arsenal de hardware y software para combatir el ataque cibernético en curso. Es aconsejable preseleccionar esas herramientas para entrenar a tus equipos en ellas, para que estén listos para usarlas.

También puedes ayudar a prevenir un ataque cibernético equipando a la empresa con las mejores herramientas de seguridad. Normalmente, esto sería responsabilidad del personal de operaciones de TI, pero puedes agregar tus sugerencias basadas en tu experiencia y aprendizajes al manejar incidentes. Necesitarías un kit de herramientas de forense digital para realizar un análisis exhaustivo del entorno de TI.

Quizás incluir los costos de hardware y software en tu presupuesto te ayudaría a planificar el aspecto financiero del equipo de respuesta a incidentes. A continuación, necesitarás recursos técnicos e información para poder evaluar el incidente adecuadamente. Puedes realizar modelado de amenazas para planificar y optimizar las operaciones de seguridad de la red.

Estos recursos técnicos necesarios para tu equipo se pueden dividir en cinco categorías, como sigue:

  • Listas de puertos: Las listas de varios puertos, protocolos y servicios
  • Documentación: Una lista de sistemas operativos, aplicaciones, productos de seguridad y protocolos de la red a la que deseas responder
  • Líneas de base actuales: Para conocer el software que necesitarías instalar en un sistema o servidor en particular
  • Hashes criptográficos: Colección de todos los hashes criptográficos para todos los archivos críticos, incluidas tus aplicaciones de línea de base que sirven como una huella digital
  • Diagramas de red: Para permitir que los equipos de IR aceleren la respuesta en lugar de escanear y comprender la arquitectura de la red

2. Detección y análisis

Antes de poner en práctica tu plan de respuesta a incidentes, debes estar seguro de que ha ocurrido un incidente. Para detectar un incidente, tendrías que buscar precursores o indicadores.

Precursores: Son signos que indican la posibilidad de un incidente en el futuro.

Por ejemplo, si tus registros muestran que alguien ha realizado un escaneo de puertos o un escaneo de vulnerabilidades en tu sistema. Esto es un precursor, ya que los atacantes podrían escanear el sistema en busca de vulnerabilidades antes de iniciar el ataque cibernético. Además, si se encuentra una nueva vulnerabilidad de seguridad en una de las soluciones de software de terceros que utilizas, también puede considerarse un precursor. El hacker podría realizar ingeniería inversa de esta vulnerabilidad para converger un ataque en tu organización.

Indicadores: Son signos de que un incidente puede haber ocurrido o puede ocurrir ahora.

Un ejemplo de un indicador puede ser cuando tu sistema de detección de intrusiones te alerta sobre un software malicioso que intenta comunicarse desde uno de tus hosts en la red. En el mismo sentido, los signos que indican que algo malicioso está sucediendo ahora pueden tratarse como indicadores.

En la fase de detección, debes buscar los indicadores de compromiso (IOC). Estos son signos que te dicen con alta confianza que ha ocurrido un incidente. Normalmente, puedes buscar firmas de malware, URLs o nombres de dominio de sitios web maliciosos, servidores de comando y control de botnets, y muchos más.

Obtendrás estos signos de sistemas de detección y prevención de intrusiones, sistemas SIEM, sistemas antispam y antivirus, software de verificación de integridad de archivos y otras herramientas de monitoreo de terceros. También puedes aprovechar la información disponible públicamente, como las últimas vulnerabilidades actualizadas en la base de datos nacional de vulnerabilidades y otras fuentes confiables.

Ahora, una vez que hayas identificado los indicadores, el siguiente paso es realizar un análisis. Es importante ya que podrías obtener signos de un incidente de fuentes no confiables. Por ejemplo, un usuario que afirma que su sistema se ha vuelto extremadamente lento. Esto puede deberse a malware o simplemente a un programa corrupto. Debes asegurarte de que hubo una intrusión real y luego comenzar la respuesta.

Es aconsejable tener un equipo de manejadores de incidentes que puedan realizar un análisis exhaustivo de los signos.

Los manejadores de incidentes clasificarán un signo en tres categorías:

  • Benigno: Estos son falsos positivos, donde el analista ha examinado el signo y su evidencia y ha confirmado que no es un problema.
  • Malicioso: Estos son signos de que ha ocurrido un incidente real, después de lo cual el equipo comienza la respuesta al incidente.
  • Sospechoso: Estos son signos donde el analista no está seguro si son benignos o maliciosos. Estos signos son analizados posteriormente por un analista senior.

Con la tecnología moderna avanzando a un ritmo acelerado, dicho análisis se realiza a través de la automatización, pero aún necesitas recursos humanos reales, respirando y vivos para tomar las decisiones correctas en la gestión de este triaje. Para tomar la decisión correcta, el equipo de respuesta a incidentes debe obtener una comprensión profunda de la línea de base de los activos de TI y los puntos finales de la organización. Si sabes cómo se ve lo normal, puedes señalar rápidamente las cosas extrañas.

Tecnologías como los sistemas SIEM equipan a tu equipo con capacidades como la correlación de eventos y la inteligencia de amenazas. Puedes examinar registros a través de diferentes verticales de tu organización y predecir la posibilidad de un incidente basado en permutaciones y combinaciones de ciertas actividades.

Consejo: Considera tener una base de conocimiento centralizada de estos incidentes para compartir el conocimiento y ayudar a otros analistas que experimentan una situación similar.

Asegúrate de documentar todo: alertas, indicadores, acciones y el proceso de respuesta a incidentes llevado a cabo en el plan. Sirve como un excelente recurso de intercambio de conocimientos. Ahora que has identificado las actividades y eventos maliciosos, el siguiente paso es priorizar los incidentes con los que estás lidiando.

Puedes priorizar tu respuesta a incidentes según los requisitos de tu organización. Cada empresa tiene diferentes prioridades, y esperarían que tu estrategia de respuesta se alinee con las mismas. Algunos pueden priorizar en función del impacto funcional (efecto en las operaciones normales), impacto informativo (efecto en la disponibilidad e integridad de los datos dentro de los sistemas de TI) o esfuerzo de recuperabilidad (el esfuerzo que tomaría recuperarse del evento).

Cuando hayas priorizado la respuesta al incidente, la consideración final en la fase de detección y análisis es notificar a las personas y el procedimiento para hacerlo. El procedimiento puede incluir no notificación, correo electrónico o incluso una llamada de atención a las 3 a.m., según la gravedad del incidente. Además, planifica a quién notificarías de antemano para que puedas movilizar a tu equipo de manera efectiva.

3. Contención, erradicación y recuperación

Ahora has identificado los incidentes y los has priorizado. El siguiente paso es contener el incidente y prevenir más daños.

Hay algunas estrategias de contención que puedes usar:

  • Aislamiento: Implica desconectar el sistema afectado de una red, apagarlo o bloquear cierta funcionalidad en la máquina victimizada para limitar el daño.
  • Mitigación: Esta estrategia te da tiempo para que puedas aplicar tu metodología de erradicación y asignar recursos de manera efectiva.
  • Sandboxing: Incluye separar un sistema de otros sistemas y programas críticos.

La elección de la estrategia de contención depende en gran medida de la naturaleza del incidente, la perspectiva de la organización y el daño potencial que puede causar. El aislamiento puede ser una buena solución en ciertos casos, pero probablemente no sea la mejor para otros. Por ejemplo, si tu sistema está infectado con malware, estarías inclinado a apagarlo o desconectarlo de la red. Pero cuando la estación de trabajo sirve como el controlador de dominio, servidor de correo electrónico o servidor web, apagarlo haría más daño que bien, ya que estarías dando la bienvenida a una denegación de servicio por tu cuenta.

De manera similar, hay momentos en que el malware está programado para lidiar con el aislamiento. Si el troyano detecta que tu sistema está siendo apagado, puede cifrar tus datos e incluso eliminarlos. En tales situaciones, los respondedores avanzan con la estrategia de mitigación.

Como se mencionó anteriormente, la estrategia de mitigación te da tiempo para llevar a cabo la erradicación y asignar recursos. Para hacerlo, puedes aislar lógicamente el activo comprometido en la zona desmilitarizada (también conocida como la red DMZ), que puede separar tu red del activo comprometido y mantenerlo seguro detrás de un firewall.

Al avanzar con la estrategia de mitigación, debes realizar una evaluación de riesgos y considerar los daños continuos que la infección va a causar en los activos comprometidos antes de erradicarla. Por otro lado, con el sandboxing, puedes redirigir las actividades del atacante a una estación de trabajo, que puede usarse para recopilar evidencia. Asegúrate de no estar violando ninguna ley, ya que varían de un lugar a otro.

Considera recopilar evidencia del incidente que responda a qué, por qué, dónde, cuándo y cómo. También es aconsejable mantener una cadena de custodia adecuada, que indique quién recopiló, controló y aseguró la evidencia. Esto sería útil si se va a involucrar a las fuerzas del orden.

Descargo de responsabilidad: Estas pautas no constituyen asesoramiento legal. Si tienes preguntas legales, consulta a un abogado con licencia.

A continuación, puedes avanzar hacia la erradicación y recuperación. La estrategia de erradicación dependerá de la fuente del incidente. Asegúrate de tener todos los detalles asociados con los incidentes, ya que importarían enormemente. Apunta a mejorar la seguridad, ya que no querrías que el incidente se repita y cuestione tu marco de seguridad nuevamente.

Puedes realizar un análisis de causa raíz, identificar la causa principal que llevó al incidente y corregirla antes de que pueda atraer más problemas.

El análisis de causa raíz se lleva a cabo en cuatro pasos como sigue:

 

  1. Definir y delimitar el incidente.
  2. Definir los eventos que juntos llevaron al incidente.
  3. Identificar una solución.
  4. Asegurarse de que la solución se haya implementado y el incidente se haya resuelto.

4. Actividad posterior al incidente

Después de que el equipo de respuesta a incidentes haya erradicado el incidente y esté trabajando con los administradores del sistema para recuperarse, entran en la fase final. Es la actividad posterior al incidente que se inicia con las lecciones aprendidas. La lección aprendida es un método formal de documentar la experiencia de manejar el incidente, lo que podrías haber hecho de manera diferente y el proceso que necesitas mejorar internamente para evitar un incidente posterior.

La actividad posterior al incidente también implicará llevar un registro de métricas como los indicadores que causan el mayor número de eventos de seguridad. Por ejemplo, supongamos que hay una serie de incidentes causados por el abuso del acceso autorizado. En ese caso, esto es un signo de amenaza interna y la necesidad eminente de introducir un sistema de detección y protección de intrusiones (IDPS).

También debes llevar un registro del tiempo para recuperarte de un incidente, iniciar el plan de respuesta y el tiempo que se tarda en informar a la alta dirección y gestionar las escalaciones para que puedas optimizar tu proceso mejor. Mide los costos asociados con el incidente, como la compensación por hora pagada a los profesionales de seguridad que manejan el incidente, la pérdida de ingresos en el tiempo de inactividad, el costo del software adicional instalado durante el incidente y también el costo total que abarca cada gasto asociado con el incidente.

Puedes medir estas métricas objetivamente, y además de estas, también puedes evaluar aspectos subjetivos del incidente, como la efectividad de tu plan de comunicación. Las métricas te ayudarán a detectar las áreas problemáticas en tu plan de respuesta a incidentes y mejorar los procesos para ofrecer mejores respuestas.
La actividad posterior al incidente también incluye retener la evidencia de un incidente. Puedes tener diferentes requisitos de retención de evidencia según cómo tu organización esté manejando el evento.

Invierte en una estrategia de respuesta a incidentes

Los beneficios de una estrategia de respuesta a incidentes superan los costos vinculados a ella, especialmente cuando se comparan con las pérdidas financieras que se acumulan en tu organización en un ataque cibernético. Con un plan de respuesta a incidentes adecuado, puedes detectar, contener, erradicar y recuperarte de un ataque sin ponerte en un mundo de confusión.

Aprende más sobre ataques cibernéticos y cómo puedes manejarlos para proteger tu reputación y salvarte de sufrir otros daños.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Explora más artículos de G2

Empresas de relaciones públicas en Austin
El mejor software PIM para un sitio de comercio electrónico
El mejor software de inteligencia de leads
Aplicación recomendada para el procesamiento de nóminas globales