¿Cómo de fuerte es tu plan de respuesta ante ciberataques?

Hay muchas cosas que pueden salir mal cuando respondemos a un ciberataque, por lo que es vital tener un plan de acción para mitigar y tratar cualquier daño. Un sólido plan de respuesta a ciberataques debe seguir 6 pasos: preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas.

Los elementos específicos de un plan de respuesta a un ciberataque variarán según la compañía y el incidente, pero todos los planes deben basarse en que sus equipos de respuesta puedan hacer frente a una amenaza  de manera eficiente y oportuna, asegurando que el tiempo de permanencia se mantenga al mínimo y se fomente la proactividad.

Durante la fase de respuesta de la investigación, tu empresa no tiene tiempo para formular un plan: tus equipos ya deben saber a quién involucrar, qué tecnología usar y qué pasos tomar . Sin tener un libro de jugadas o un plan en marcha, los procedimientos de respuesta a la investigación nos quedaríamos cortos y se perderían datos críticos que nos ayudarían a prepararnos para el próximo ataque.

A continuación intentaremos resumir los pilares centrales de un plan de respuesta a incidentes.

Preparación

El primer paso es la preparación y esta etapa se centra en las personas, los procesos y la tecnología, y en saber lo que ya tenemos instalado, incluidas las listas de contactos para las partes interesadas internas y externas.

Debemos tener una lista que incluya los sistemas, software y procesos involucrados en las siguientes áreas clave de preparación:

• Punto final: aquí podemos incluir cualquier antivirus o sistema HIPS que tengamos instalado y, en general, cualquier solución de software.
• Red: en la preparación de la red incluimos la seguridad del correo electrónico y la documentación del perímetro.
• Administración de registros: en esta área se encontraría la revisión de registros y cómo interactúa con la plataforma de alertas para permitir una investigación.
• Política: incluye la recopilación y conservación de datos.

El punto clave de la etapa de preparación es documentar lo que tenemos para familiarizarnos con nuestras capacidades y el valor de cada componente individual.

Con esto tendremos la oportunidad de mejorar los procesos a lo largo del tiempo si no funcionan, y nos ofrecerá más datos de manera adecuada, la identificación de las brechas y los puntos débiles.

Identificación

Cuando ocurre un incidente, necesitamos averiguar todo lo que podamos sobre él para asegurarnos de que se toman las medidas adecuadas. En primer lugar, el plan de respuesta a incidentes debe distinguir claramente entre un evento de seguridad y un incidente de seguridad.

• Evento de seguridad: cualquier ocurrencia observable en un sistema o red. Por ejemplo, los usuarios que se conectan a un recurso compartido de archivos remoto o reciben un correo electrónico no deseado.
• Incidente de seguridad: violación o amenaza inminente de violación de las políticas de seguridad del ordenador, políticas de uso aceptable o prácticas de seguridad estándar.

Si implementamos unos buenos procesos de identificación, nos será más fácil tratar de responder a las siguientes preguntas: ¿Cuál es el alcance del incidente?; ¿Cómo se descubrió?; ¿Qué áreas han sido impactadas?; ¿Afecta a las operaciones?; ¿Por qué ocurrió el incidente?

Contención

El siguiente paso es la contención que debe promulgarse tan pronto como se determine la escala de la infracción. Aquí lo más importante es detener el incumplimiento, asegurándonos de que no se propague y dañe otras áreas de nuestro negocio. El proceso de contención es una solución a corto plazo.

• A corto plazo: el objetivo clave es limitar el alcance del incidente y reducir los daños. Desde una perspectiva de punto final, esto significará aislamiento. Desde la perspectiva de la red, algunos pasos que podemos seguir incluyen el bloqueo de dominios y direcciones IP y el aprovechamiento de la VLAN forense.

Erradicación

El objetivo de esta etapa es eliminar todos los remanentes identificados del incidente. Esto implica eliminar códigos maliciosos y personal irresponsable. Se debe completar un análisis forense completo con registros que se mantienen durante el proceso. Es una solución a medio y largo plazo.

• A largo plazo: incluyen la eliminación de la cuenta, la eliminación de malware, la desactivación de los servicios no utilizados, la garantía de que los sistemas estén parcheados y actualizados.

Recuperación

Este proceso no se trata solo de restaurar y poner nuestros sistemas en línea, sino de garantizar que se solucionen las brechas. Debemos garantizar que todas las políticas y procedimientos de la empresa se implementen de manera efectiva.

Como resultado de la implementación correcta de la estrategia, aumenta la posibilidad de que la amenaza haya sido completamente erradicada y no se prolongue en nuestra red.

Este proceso puede incluir:

• Implementar IOCs desde el incidente y revisar las alertas.
• Rastreo de IPs y dominios bloqueados para asegurar que los bloques sean efectivos.
• Extracción de archivos DAT actualizados a los motores AV.

Lecciones aprendidas

Ahora debemos tomar todo y actualizar nuestros procesos de respuesta de incidencias. Los elementos principales son la comprensión de las brechas, las tendencias y la priorización de los planes a largo y corto plazo. Los equipos de respuesta a incidentes a menudo omiten este paso, ya que ya se ha hecho el trabajo pesado, pero al omitir este paso solo te preparas para cometer los mismos errores en caso de tener otro ciberataque.

 

Fuente: https://www.cshub.com