Marcos de respuesta a incidentes

Los dos marcos de respuesta a incidentes más valorados en el sector fueron diseñados por el Instituto Nacional de Estándares y Tecnología (NIST) y el Instituto de Auditoría SysAdmin, Networking y Seguridad (SANS) de EE. UU., que quisieron dar a los equipos de TI una hoja de ruta inicial. Estas son las fases de cada marco:

Pasos de la respuesta a incidentes del NIST

• Paso 1: Preparación
• Paso 2: Detección y análisis
• Paso 3: Contención, erradicación y recuperación
• Paso 4: Acciones posteriores al incidente

Pasos de la respuesta a incidentes del SANS

• Paso 1: Preparación
• Paso 2: Identificación
• Paso 3: Contención
• Paso 4: Erradicación
• Paso 5: Recuperación
• Paso 6: Lecciones aprendidas

Si comparamos ambos marcos, veremos que algunos de sus pasos son idénticos, pero los llaman y estructuran de manera diferente. La mayor diferencia reside en el tercer paso. El NIST, por su parte, considera que la contención, la erradicación y la recuperación son procesos que van juntos, es decir, no hace falta contener todas las amenazas para empezar a eliminarlas.

¿Qué marco es mejor?

Algunas personas creen que existe un marco mejor que el otro. Sin embargo, es una cuestión meramente preferencial y que depende de los recursos de la empresa. Ambos proporcionan una lista de verificación para que los equipos sepan cómo empezar y por dónde seguir. En este articulo describimos en detalle los cuatro pasos del marco del NIST y explicamos por qué cada uno es importante para tu plan de respuesta a incidentes.

Paso 1: Preparación

Ninguna empresa puede improvisar una respuesta a incidentes en el momento y salir airada. Hay que contar con un plan para prevenir y gestionar este tipo de escenarios.

Construye un equipo de respuesta a incidentes de seguridad informática (CSIRT)

Para poder actuar con velocidad y contundencia durante un incidente, cada una de las personas que conforman el CSIRT debe saber cuáles son sus responsabilidades y qué decisiones le corresponde tomar.

Lo ideal es que tengan expertos con conocimientos empresariales e informáticos y con autoridad para actuar en defensa de la empresa. Debe haber profesionales con conocimientos técnicos, jurídicos, de gestión y de comunicación corporativa, así como canales de comunicación con el comité de seguridad. Todos los departamentos afectados por un incidente deben estar presentes en las comunicaciones y instrucciones claras para actuar durante y después de un incidente.

El plan también debe determinar dos cuestiones que no podemos decidir, y mucho menos debatir, en el ojo del huracán: quién está al frente y quién tiene que tomar las decisiones más importantes.

Desarrolla un plan y actualízalo

Asegúrate de que siempre exista un plan y una documentación de referencia y manténlos actualizados. Todas las personas a las que concierne alguna parte del plan deben tener acceso a este y ser notificadas siempre que se modifique. Después de un incidente, hay que activar una fase de retroalimentación para introducir todas las mejoras necesarias en el plan.

Adquiere y mantén la infraestructura y las herramientas adecuadas

Es fundamental tener las herramientas necesarias para detectar e investigar incidentes, y para obtener y conservar pruebas. Una tecnología de seguridad de endpoints es imprescindible para detectar la entrada de cualquier atacante, ya que proporciona una visibilidad total de los endpoints y recopila datos del incidente.

Sin las herramientas adecuadas (y sin saber utilizarlas) nunca sabrás cómo acceden los atacantes a tu entorno, cómo bloquear esa vía de acceso y cómo impedir que vuelvan a acceder en el futuro.

Apuesta por la mejora de destrezas y el aprendizaje constante

Asegúrate de que el equipo de respuesta a incidentes cuente con las destrezas y el aprendizaje necesarios. Esto implica ensayar el plan de respuesta a incidentes de vez en cuando, y facilitar una serie de profesionales, en plantilla o proporcionados por un tercero, que bloqueen las horas de trabajo necesarias para obtener certificaciones y recibir formaciones.

Hazte con capacidades de inteligencia sobre amenazas actualizadas

Las capacidades de inteligencia sobre amenazas ayudan a las empresas a entender qué tipo de amenazas enfrentan. La inteligencia sobre amenazas debería formar parte de cualquier protocolo de protección de endpoints y automatizar el análisis de incidentes para responder a las brechas lo antes posible. La automatización permite realizar análisis exhaustivos de amenazas en cuestión de minutos, y no de horas. De esta manera, la empresa puede aventajar amenazas avanzadas persistentes (ATP) mediante respuestas más inteligentes.

Paso 2: Detección y análisis

El segundo paso de la respuesta a incidentes consiste en determinar si se ha producido un incidente, de qué tipo y cuál es su gravedad. El NIST desglosa este paso en cinco partes:

• Busca indicios de un incidente (precursores e indicadores): los precursores y los indicadores son evidencias específicas de que un incidente está a punto de ocurrir, o de que ya está en curso.
• Analiza los indicios encontrados: una vez identificados, el equipo de respuesta tiene que determinar si son falsos positivos o un ataque real.
• Documenta el incidente: si es un ataque real, el equipo empezará a documentar toda la información relacionada con el incidente y guardará un registro de todas las acciones realizadas durante el proceso de respuesta.
• Prioriza los incidentes más graves: para el NIST, esto es lo más importante. No es viable abordar los incidentes por orden de llegada. Hay que gestionarlos según la confidencialidad de los datos afectados, el riesgo que puede suponer para la funcionalidad de la empresa y la capacidad de recuperación cuando todo haya terminado.
• Comunica que se ha producido un incidente: después de analizar y priorizar un incidente, el equipo de respuesta debería alertar a los departamentos e individuos afectados. Un plan de respuesta completo debería saber cómo elaborar un informe para comunicar el incidente.

Paso 3: Contención, erradicación y recuperación

El objetivo aquí es frenar las consecuencias de un incidente antes de que cause más daños. Una vez contenido, el equipo de respuesta puede emplear el tiempo necesario para elaborar un plan de acción con medidas que ataquen la raíz del problema y devuelvan la normalidad a los sistemas.

Desarrolla diferentes estrategias de contención, erradicación y recuperación según:

• la importancia de los recursos afectados;
• el tipo de incidente y su gravedad;
• la necesidad de conservar pruebas;
• la importancia de los recursos afectados para los procesos empresariales esenciales;
• los recursos necesarios para implementar la estrategia.

Documenta en todo momento estas estrategias y conserva pruebas de ellas. En primer lugar, para aprender del ataque y aumentar los conocimientos del equipo de seguridad; en segundo lugar, para defenderse en caso de litigio.

Paso 4: Recuperación posterior al incidente

Cada incidente es una oportunidad para aprender y mejorar, pero muchas empresas la desaprovechan. Los adversarios evolucionan constantemente y los equipos de respuesta a incidentes deben mantenerse a la vanguardia de las últimas técnicas, tácticas y procedimientos.

Después de un incidente grave, es fundamental convocar a todas las partes interesadas en una reunión para analizar qué se ha aprendido y reforzar la seguridad en general y la gestión de incidentes en particular. Si el incidente ha sido menor, esta fase no es obligatoria pero sí preferible. En el caso de ataques graves, involucra a personas de toda la empresa según corresponda y a las personas cuya cooperación sea necesaria en incidentes futuros.

Durante la reunión, examina las siguientes preguntas:

• ¿Qué ha ocurrido y cuándo?
• ¿Fue eficaz el equipo de respuesta a incidentes?
• ¿Se siguieron los protocolos establecidos?
• ¿Fueron eficaces esos protocolos?
• ¿Qué información faltó?
• ¿Qué acciones ralentizaron la recuperación?
• ¿Qué se podría haber hecho de otra manera?
• ¿Qué se puede hacer para prevenir incidentes en el futuro?
• ¿Qué precursores o indicadores deberían vigilarse en el futuro?

Las conclusiones de estas reuniones son muy útiles para formar a nuevas personas en plantilla, actualizar las directivas y los procedimientos y cultivar un conocimiento institucional que puede ser clave en incidentes futuros.

Respuesta a incidentes impulsada por CrowdStrike

El volumen de indicadores de compromiso (IOC) puede ser extremadamente alto, tanto que algunas empresas reciben millones cada día. Ante este escenario, distinguir la señal del ruido no es nada fácil. CrowdStrike está aquí para ponértelo fácil. Nuestro equipo de respuesta a incidentes adopta un enfoque basado en la ciencia que combina nuestra experiencia respondiendo a incidentes y recuperándonos de ellos con tecnología de primer nivel  para identificar atacantes al instante y expulsarlos de tu entorno.  Ayudamos a las empresas a solucionar los incidentes de ciberseguridad más peligrosos.