equipo de respuesta a incidentes cibernéticos

Una guía práctica para crear un equipo de respuesta a incidentes cibernéticos

Aunque existen varias soluciones de gestión de amenazas y riesgos que ayudan a su personal a hacer frente a eventos de seguridad de bajo nivel mediante la automatización de las respuestas, las amenazas de alto nivel (ataques sofisticados y sigilosos), incluidas las amenazas persistentes avanzadas (APT), requieren un equipo de respuesta a incidentes cibernéticos, equipado y listo para actuar con rapidez.

Este equipo podría serlo:

  • Un equipo permanente dentro de un centro de operaciones de seguridad (SOC)
  • Uno que reúne a los actores clave dentro de la función de TI y seguridad de una organización de tamaño pequeño y mediano.
  • Un equipo externo que entra en paracaídas cuando se le pide.

Independientemente de la procedencia del equipo, su plan de respuesta a incidentes debe definir su equipo de respuesta a incidentes y sus funciones/responsabilidades. Un plan de respuesta a incidentes bien detallado que incluya funciones definidas dentro de su equipo puede ahorrar más que unos cuantos dolores de cabeza (sin mencionar millones de dólares, datos y un desastre de relaciones públicas) cuando ocurren incidentes de seguridad. Este post cubre los aspectos básicos de la respuesta a incidentes de ciberseguridad y cómo crear un equipo de respuesta a incidentes.

¿Qué es un plan de respuesta a incidentes cibernéticos?

El término "respuesta a incidentes cibernéticos" se refiere a un enfoque organizado para tratar (responder a) los incidentes de ciberseguridad. La respuesta a incidentes (IR) debe ejecutarse de manera que se mitiguen los daños, se reduzca el tiempo de recuperación y se minimicen los costos. El conjunto de instrucciones que una organización utiliza para guiar a su equipo de respuesta a incidentes cuando se produce un evento de seguridad (es decir, una violación de la seguridad) es el Plan de Respuesta a Incidentes.

Un plan de RI documentado ayuda a las organizaciones a responder rápidamente agilizando las decisiones, esbozando los procesos y definiendo el uso apropiado de las tecnologías disponibles.

Hay seis fases, según la definición de SANS, de respuesta a incidentes que usted debe planear:

  1. Preparación: preparar al personal de seguridad para manejar posibles incidentes. Esto incluye entrenamiento, equipamiento y práctica.
  2. Identificación-detectar y decidir si un incidente cumple las condiciones para ser considerado un incidente de seguridad por la organización, y su gravedad.
  3. Contención: contención del incidente mediante el aislamiento de sistemas comprometidos para evitar daños futuros.
  4. Erradicación: detectar la causa del incidente y eliminar las amenazas de los sistemas afectados.
  5. Recuperar: restaurar los sistemas afectados y asegurarse de que no quede ninguna amenaza.
  6. Lecciones aprendidas: analizar los registros de incidentes, actualizar el plan de respuesta y completar la documentación del incidente.
proceso de respuesta a incidentes sans
Proceso de Respuesta a Incidentes de Seguridad Cibernética

Su plan de RI debe incluir las siguientes secciones:

  • Resumen del plan
  • Funciones y responsabilidades
  • Lista de incidentes que requieren acción
  • Visión general de la situación de seguridad y de la infraestructura de la red
  • Procedimientos de detección, investigación y contención
  • Plan de erradicación y capacidades
  • Plan de recuperación (¿cuánto tiempo le llevará restaurar las copias de seguridad?)
  • Protocolo de notificación de infracciones
  • Una lista actualizada de llamadas
  • Tareas de seguimiento

Los detalles del plan deben profundizar en las siguientes áreas:

  • Detalles del equipo de respuesta a incidentes Los miembros del equipo de respuesta son empleados y/o miembros de terceros. Es crucial que todos los miembros del equipo de respuesta a incidentes sean mencionados en detalle en el plan de RI, incluyendo sus funciones y responsabilidades en caso de un incidente, y la capacitación que se lleve a cabo al respecto. Es especialmente importante separar las funciones de los gestores de incidentes de las responsabilidades de los gestores de recursos.

  • Información del sistema y de la red Estos incluyen los diagramas de flujo de red y de datos y el inventario de hardware. Es importante saber cómo un adversario podría moverse potencialmente a través de su red desde un host o sistema particularmente comprometido.

  • Esta sección debe incluir un modelo para completar un informe de admisión de incidentes con una descripción detallada del incidente y los archivos comprometidos.
  • Lecciones aprendidas
    Dos preguntas que deben hacerse después de un incidente son cómo evitar que ocurran incidentes similares y qué se puede mejorar en el plan de respuesta a incidentes. Pregunte qué funcionó y qué no, cómo respondió el personal y qué partes del plan necesitan una actualización.
  • La presentación de informes a terceros y a las autoridades
    Debe incluir políticas sobre cuándo y cómo presentar informes a las autoridades, a los terceros, a los proveedores y a los usuarios. La mayoría de los informes de incidentes se rigen por normas reglamentarias.

Cómo crear un equipo eficaz de respuesta a incidentes cibernéticos

Quién es quién dentro de un plan de respuesta a incidentes.

Estas son las funciones básicas de un equipo de RI con sus responsabilidades básicas. Sin embargo, nada está escrito en piedra, por lo que las responsabilidades reales varían mucho de una organización a otra.

  • El líder del equipo coordina todas las actividades del equipo de respuesta a incidentes.
  • Comunicaciones: gestiona las comunicaciones en toda la organización y con terceros. Deben estar capacitados o apoyados por relaciones públicas.
  • Investigador líder: recopila y analiza pruebas técnicas, determina la causa del ataque y dirige a otros analistas y componentes de TI para que implementen la recuperación de sistemas y servicios.
  • Analistas/Investigadores-apoyan al investigador proporcionando la información sobre amenazas y el contexto de un incidente. Los analistas ciberforenses pueden ser necesarios para realizar autopsias profundas en sistemas comprometidos.
  • Representación legal: es esencial contar con orientación legal y de recursos humanos para abordar los posibles cargos penales derivados del incidente.

Un equipo puede estar formado por miembros de origen interno, miembros parcial o totalmente subcontratados en función de las necesidades. Los terceros pueden, por ejemplo, proporcionar expertos que profundicen más en la investigación forense o que ayuden a manejar las comunicaciones entre el público y los clientes.

¿Dónde debe estar ubicado el equipo?

Los miembros del CSIRT a menudo están distribuidos geográficamente para asegurar la cobertura de la mayor parte de la zona horaria. Esto asegura que alguien pueda estar en guardia y disponible en cualquier momento del día. La redundancia es obligatoria, con delegados designados cuando los miembros del equipo no están disponibles. Las organizaciones pequeñas suelen beneficiarse de la externalización de las funciones de respuesta a incidentes para cubrir los períodos fuera del horario laboral o de vacaciones, pero éstas suelen requerir que los retenedores garanticen el tiempo de respuesta.

¿Cuál es el papel de la automatización en la respuesta a incidentes de ciberseguridad?

Con la falta de profesionales experimentados para cubrir estas funciones, la automatización está encabezando la lista de iniciativas en operaciones de seguridad, especialmente la nueva disciplina de DevSecOps que está llegando a la escena de la nube. La automatización desempeña un papel crucial para que estos equipos puedan seguir proporcionando un trabajo de calidad seguro, sin comprometer la calidad. Las últimas tendencias en la respuesta automatizada a incidentes se implementan utilizando libros de texto que son flujos de trabajo sin código que ejecutan muchas de las tareas repetitivas automáticamente una vez que se inician.

Para muchos escenarios de respuesta, sin embargo, no hay sustituto para un analista humano experimentado, ya que no todo puede ser totalmente automatizado. La respuesta a los incidentes puede variar mucho de un incidente a otro y a menudo tendrá que tomar decisiones con información limitada.

Recapitulación

Un CIRST eficaz puede ayudar a responder rápidamente a los incidentes de seguridad, mitigando el daño causado a la organización. Por lo tanto, definir y construir su CIRST es un paso importante que no puede tomarse a la ligera.

Dependiendo del tamaño y las necesidades de su organización, una combinación de personal interno con expertos en ciberseguridad de terceros puede ser una opción. Otras empresas subcontratan sus servicios de seguridad gestionados a un proveedor de MDR, lo que les proporciona tranquilidad las 24 horas del día y permite a su equipo de TI concentrar su tiempo en otro lugar.

Independientemente de cómo decida formar su equipo de RI, ahora ya sabe cuáles son las principales funciones y responsabilidades que deben cubrir, así como algunas de las mejores prácticas para desarrollar una sólida política de respuesta a incidentes.