proceso de respuesta a incidentes de seguridad cibernética

Planificación IR: Los 6 Pasos Críticos de Respuesta a Incidentes de Seguridad Cibernética

This post was last updated on agosto 27th, 2021 at 05:21 pm

Our data, services, and infrastructures are attacked constantly by ransomware, malware, cyber attackers…the list goes on. Despite our best efforts to stop them, most organizations will experience the dreadful outcomes of a data breach. When this happens, you initiate your (hopefully, updated and well-practiced) cyber security incident response plan.

El Proceso de Respuesta a Incidentes

Su proceso de respuesta a incidentes de seguridad cibernética es el ciclo de vida completo (y el ciclo de retroalimentación) de una investigación de incidentes de seguridad. Tras la detección de un ataque o una alerta de una de sus herramientas de protección o detección (EDR, SIEM, AV, etc.), su equipo de seguridad debe emprender inmediatamente un proceso de infrarrojos bien definido para verificar y detectar el problema.

En la mayoría de los casos, la herramienta de protección (como el software antivirus o una plataforma de detección y respuesta de puntos finales) funcionó. En otros casos, sólo captó parte de un ataque de varias etapas o detectó el uso de una herramienta posteriorcomprometimiento como Mimikatz. Además, si la primera alerta de seguridad que recibe se encuentra en una herramienta posteriorcomprometimiento, esto es preocupante, ya que significa que el troyano original de acceso remoto probablemente siga dando al atacante acceso continuo a su red y a su entorno de TI.

El NIST tiene un proceso de IR fuerte y básico que se describe en la siguiente tabla:

Proceso de respuesta a incidentes de seguridad cibernética de SANS

Este modelo de respuesta a incidentes de seguridad cibernética está disponible en el NIST en su Guía de Manejo de Incidentes de Ordenadores (PDF). Para pequeños equipos de seguridad (o tiendas de un solo punto), ofrecemos un proceso ligeramente más definido que incluye varias opciones técnicas utilizando herramientas y procesos como Infocyte HUNT. Infocyte se especializa en simplificar y optimizar los pasos dos y tres del diagrama de proceso IR anterior: detección, análisis, contención, erradicación y recuperación.

Los Seis Pasos del Proceso de Respuesta a Incidentes de Seguridad Cibernética

Paso 1: Validar (Identificación)

Las alertas de seguridad deben ser validadas, especialmente si provienen de un sensor pasivo como un IDS de red. Los falsos positivos (falsas alarmas)[enlace al blog del Infocitario "Falsos positivos / Falsos negativos"] son comunes y deben distinguirse de las amenazas reales. Los clientes de Infocyte generalmente revisarán los datos disponibles proporcionados por la herramienta de detección y/o realizarán una inmersión profunda en el host utilizando Infocyte HUNT.

Haga las siguientes preguntas:

  • ¿Es un ataque real?
  • ¿Tuvo éxito el intento de ataque?
  • ¿Qué pasó en el punto final/servidor que fue atacado?
  • ¿Cuál es la gravedad del malware o de la actividad alertada? (La mayoría de la información general y los productos son pobres en esto, ya que lo que es importante para una empresa puede no serlo para otra).

Con las respuestas a estas cuatro preguntas, su equipo de seguridad puede proceder al paso 2, Triaje e identificación.

Paso 2: Triaje (Identificación)

Si una parte del ataque se ejecuta con éxito, es importante determinar el alcance del incidente, ya que el movimiento lateral es un primer paso común para los atacantes. Tienes que preguntarte: ¿Es este el único sistema afectado? Necesitará una forma rápida de encontrar su respuesta y, de nuevo, Infocyte puede venir al rescate con un rápido triaje forense en sistemas dentro de la misma subred. Reúna también cualquier evidencia efímera como troncos en este momento (¡algunos troncos se vuelcan rápidamente!) si planea investigar más tarde.

Nota: Este paso a menudo se omite o nunca se menciona. Si no estás rastreando tu red después de uncomprometimiento, estás jugando al whack-a-mole, lo que hace que sea fácil para los atacantes permanecer en tu red.

Echa un vistazo a nuestro guía práctica para elaborar un plan de respuesta a incidentes de seguridad cibernética.

Paso 3: Contención

Una vez validados y con alcance, querrá detener la hemorragia y eliminar el acceso del atacante. Si su proceso de triaje no incluye Infocyte, es posible que desee comenzar esto más temprano como paso 2 para el primer sistema que encontró. La mayoría de los productos antivirus tienen una capacidad de cuarentena de malware, pero esto generalmente sólo funciona con malware definido y puede que no ponga en cuarentena todas las etapas del ataque (los troyanos modernos son multi-etapas y pueden ser capaces de recuperarse de una etapa que está siendo mitigada o capturada).

Lo importante es contener los hosts infectados y, si es posible, bloquear el acceso a cualquier dirección de red del atacante en su puerta de enlace, si procede.

Paso 4: Recuperación

Quieres volver a los negocios tan pronto como sea posible. Si un empleado se vio afectado, hágalo volver a trabajar. Si toda la red o el controlador de dominio se ha apoderado de él, es probable que tenga que reconstruir el dominio. La mayoría de las organizaciones todavía implementan procedimientos de borrado y recarga porque la corrección de software no es infalible.

Paso 5: Investigación (Opcional)

Las investigaciones determinan la causa raíz e identifican detalles adicionales si algo fue robado o afectado. Desafortunadamente, las investigaciones son costosas, consumen mucho tiempo y a menudo requieren un nivel muy alto de habilidades. Sin embargo, debe inspeccionar los sistemas y reunir varias fuentes de registro para crear una línea de tiempo completa del ataque. Si usted es un equipo pequeño con recursos limitados, considere cuidadosamente si se trata de un ataque que necesita investigar. En cualquier caso, usted debe terminar su recuperación lo antes posible y seguir adelante - habrá muchos más ataques en el futuro.

Nota: Siempre recupérate y vuelve al trabajo antes de comenzar cualquier proceso de investigación largo.

Paso 6: Endurecimiento

Las investigaciones de respuesta a incidentes de seguridad cibernética son útiles no sólo para el caso poco común de que usted encuentre al atacante y sea capaz de procesarlo. También proporcionan una oportunidad para descubrir cómo ocurrió el ataque y endurecer su red contra futuros incidentes de seguridad.

Las lecciones aprendidas del incidente pueden proporcionar una base para desarrollar defensas adicionales que ayuden a asegurar mejores resultados en el futuro. Por ejemplo, si el correo electrónico era el vector, probablemente puede justificar la formación en phishing para los empleados o un filtro de correo electrónico actualizado.

Recomendaciones de seguimiento

Por último, una tarea que a menudo se pierde u olvida después de un incidente es la revalidación o "certificación". Muchas organizaciones son golpeadas varias veces después de un incidente porque no lograron alcanzar el alcance adecuado o porque el vector de entrada aún estaba disponible para un ataque repetido. Se recomienda a los clientes de Infocitos que realicen el paso de triaje de nuevo en sus redes periódicamente (también llamado comprometimientoevaluación) para asegurarse de que la red no tenga ningún acceso no autorizado persistente.

Solicite una demostración de Infocyte para conocer cómo nuestra galardonada plataforma ayuda a los equipos de seguridad durante la respuesta a incidentes de seguridad cibernética.

Test out Infocyte's endpoint + Microsoft 365 detection and response platform for free. Sign-up for our community edition here and get started in minutes: