Qué es un plan de respuesta a incidentes y cómo crear uno
Un plan de respuesta a incidentes garantiza que, en caso de que se produzca una brecha de seguridad, se cuente con el personal y los procedimientos adecuados para hacer frente a una amenaza de forma eficaz. Contar con un plan de respuesta a incidentes garantiza que se pueda llevar a cabo una investigación estructurada para ofrecer una respuesta específica que contenga y remedie la amenaza.
Es viernes por la tarde y, tras una semana de trabajo constante en el servicio de asistencia técnica de su empresa, sus pensamientos se centran en esa botella de vino fría que tiene enfriando en la nevera, el acompañamiento perfecto para una noche tranquila viendo Netflix. El pensamiento se interrumpe cuando suena el teléfono de su escritorio, probablemente otro empleado solicitando un restablecimiento de contraseña.
Obtenga el EBook gratuito de Pen Testing de Entornos de Directorio Activo
Sin embargo, el pánico en la voz de la persona que llama se hace evidente rápidamente, no pueden abrir ninguno de sus archivos y están preguntando si sabes lo que es un pago en bitcoin? Probablemente no sea un gran problema, el malware en un solo portátil no es el fin del mundo. Sin embargo, cuando te das la vuelta y ves varios teléfonos sonando en la oficina, la situación parece ahora un poco más grave que un solo portátil infectado con malware. Para empeorar las cosas, un colega se inclina para decirte que un servidor que contiene datos de clientes también ha sido infectado con ransomware.
Este escenario se ha producido muchas veces en todo el mundo, la eficacia con la que respondas a esta situación depende de la respuesta a una pregunta: «¿Tienes un plan de respuesta a incidentes?»
Por qué necesitas un plan de respuesta a incidentes
Es crucial que una empresa tenga un plan de respuesta a incidentes para que bajo la presión de un incidente se puedan tomar las decisiones correctas para volver a controlar la situación. Un incidente de ciberseguridad puede ser una situación muy desalentadora, si la respuesta no se lleva a cabo de una manera orquestada entonces el resultado potencial podría resultar en un daño severo a la reputación de una marca.
Para hacer frente de manera efectiva a un incidente de ciberseguridad, su empresa necesitará un equipo especializado en la respuesta a incidentes. Algunas organizaciones llaman a este equipo Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) – hay otras permutaciones de ese acrónimo por ahí como Equipo de Respuesta a Incidentes de Seguridad (SIRT) o Equipo de Respuesta a Incidentes Informáticos (CIRT). La misión de este equipo es la misma, independientemente del nombre que reciba: poner en marcha el plan de respuesta a incidentes establecido por la empresa cuando se emite la señal del murciélago.
Si trabajas en el ámbito de la seguridad de los datos, te enfrentas a incidentes de seguridad en el día a día. De vez en cuando, un problema de seguridad menor se convierte en una situación de pánico real. Cuando se encienda la bat-señal, ¿sabrá todo el mundo qué hacer? ¿Conoce cada miembro del CSIRT su papel y sus responsabilidades y sigue el plan aprobado?
Cuando lo que está en juego es alto y la presión se intensifica, el CSIRT actuará como ha practicado. Si no hay un plan establecido, no hay garantía de que puedan responder adecuadamente a un incidente de ciberseguridad.
Sin embargo, no basta con tener un plan de IR: el equipo del CSIRT debe tener las habilidades y la experiencia necesarias para hacer frente a una situación potencialmente de alto estrés como esta. Los expertos en análisis forense digital, los analistas de malware, los gestores de incidentes y los analistas del SOC estarán muy implicados y serán los que se ocupen de la situación. Esto implicará tomar decisiones clave, realizar una investigación en profundidad, proporcionar información a las partes interesadas clave y, en última instancia, dar garantías a la alta dirección de que la situación está bajo control.
Además de todo esto, a menudo hay una escasez de tiempo. Las leyes de notificación de violaciones de datos son cada vez más comunes: el GDPR, por ejemplo, requiere que las empresas informen de los incidentes de seguridad de datos dentro de las 72 horas siguientes al descubrimiento.
Mi experiencia de trabajo en incidentes de ciberseguridad me ha demostrado el valor de tener un plan de respuesta a incidentes. Me han llamado de madrugada a un incidente para descubrir que se ha producido una brecha de ciberseguridad, el director general está buscando respuestas en el CSIRT y orientación sobre cómo se puede evitar el desastre. El plan de respuesta a incidentes significa que las personas adecuadas, con los conjuntos de habilidades y experiencia adecuados, estarán en esa llamada, cada uno de ellos sabe lo que se espera de ellos y qué procedimientos deben seguirse para contener y remediar con éxito la amenaza. Tener esa estructura en su lugar siempre ha demostrado ser inestimable.
Consideraciones para la planificación de la respuesta a incidentes
El plan de respuesta a incidentes se compone de criterios clave que se pueden desarrollar a medida que la postura de seguridad de una empresa madura. Hay varias consideraciones a tener en cuenta a la hora de construir un plan de respuesta a incidentes.
El respaldo de la alta dirección es primordial. La creación de un plan de respuesta a incidentes no debe ser un ejercicio de marcar casillas. Si no cuenta con el respaldo de la alta dirección, correrá el riesgo de quedar archivado hasta que sea necesario. La alta dirección debe definir lo que se necesita desde el punto de vista de los procesos y de las personas y garantizar que se proporcione todo el apoyo necesario.
Defina las partes interesadas clave. Es necesario documentar los datos de contacto de las personas y equipos clave dentro y fuera del horario laboral.
Comunicar con claridad. Debe establecerse la propiedad del envío de comunicaciones, la asignación de tareas y las acciones apropiadas. Además, hay que tener en cuenta a quién hay que incluir en cualquier comunicación de incidentes y cuántos detalles se requieren en función de la audiencia. Las tareas asignadas a los equipos de seguridad deben ser precisas y técnicas, mientras que las actualizaciones a la junta directiva deberán ser claras y estar libres de cualquier jerga técnica.
Defina qué constituye un incidente. Especifique qué sucesos pueden tratarse como si se tratara de la actividad habitual o cuándo es necesario llamar a un incidente.
- CONSEJO CLAVE: Una matriz de triaje proporcionará una comprensión de la gravedad de un incidente para que se pueda priorizar de forma rápida y correcta.
Los planes y procedimientos son importantes. Sin embargo, es el CSIRT quien ejecutará el plan de respuesta a incidentes y realizará la recuperación de los mismos. Para que el IRP se ejecute con éxito es necesario contar con las personas y los conjuntos de habilidades adecuados.
El CSIRT estará formado por varios equipos y cada papel es clave para convertir un incidente en un desastre potencial en una historia de éxito. El CSIRT es una mezcla de personal experimentado, técnico y no técnico que trabaja conjuntamente para comprender el alcance del incidente, cómo puede mitigarse y, en última instancia, remediarse. Es necesario contratar a las personas adecuadas y ponerlas en su lugar.
La automatización también es clave para la planificación de la respuesta a incidentes, entender qué herramientas de seguridad están en su lugar junto con su capacidad y cobertura significa que un cierto nivel de automatización será posible. Los controles de seguridad finamente ajustados aseguran que su primera línea de defensa, el Centro de Operaciones de Seguridad (SOC), está respondiendo a las alertas que son significativas y legítimas. Disponer de alertas fiables y ajustadas significa que algunas áreas del proceso de respuesta a incidentes pueden iniciarse automáticamente y que puede ser posible que el triaje inicial y la recopilación de pruebas de un incidente se generen automáticamente. Si su automatización está generando un gran número de falsos positivos, esto no sólo causará fatiga en un área clave de su IRP, sino que también es más probable que se pierda una alerta clave si se pierde entre el ruido de los falsos positivos.
Además de un plan de respuesta a incidentes, una empresa también debe considerar tener un plan de recuperación de desastres. Mientras que un IRP está diseñado para remediar la amenaza de un incidente, un DRP está diseñado para restaurar la funcionalidad de un negocio y volver a ponerlo en línea después de un gran desastre natural o inducido por el hombre. Si la empresa no puede funcionar, el PRD describirá los pasos necesarios para que la empresa vuelva a estar en línea.
Una empresa también puede tener que considerar si está afectada por la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS). Esto es aplicable si una empresa procesa, almacena o transmite registros de datos de tarjetas de crédito de clientes.
Quién es responsable dentro de un plan de respuesta a incidentes
El CSIRT está formado por equipos especializados que tienen cada uno un papel importante a la hora de afrontar un incidente.
Los Centros de Operaciones de Seguridad (SOC) son la primera línea de defensa. Son los soldados sobre el terreno que operan 24 horas al día, 7 días a la semana. Su función es clasificar todas las alertas de seguridad, reunir las pruebas y determinar la acción adecuada. Trabajando por turnos, los analistas del SOC deben tener un amplio conocimiento de las amenazas de ciberseguridad, tendrán acceso a varias plataformas y herramientas de seguridad como las soluciones SIEM (Security Incident Event Manager) y EDR (Endpoint Detection & Response). Estas herramientas pueden generar una amplia gama de alertas que pueden variar desde ataques DDoS hasta comandos maliciosos que se están ejecutando en un dispositivo, los analistas del SOC necesitan ser capaces de entender e interpretar estos datos. Si un incidente se considera de alta prioridad o cae fuera del conjunto de habilidades del SOC, entonces su punto de escalada es el equipo de Gestión de Incidentes.
El papel de un Gestor de Incidentes me fue descrito por un colega como «El arte de arrear gatos». Su trabajo es poner los brazos alrededor de un incidente, reunir a las partes interesadas clave y conducir la discusión para determinar el mejor plan de acción. El equipo de gestión de incidentes es el general, el que recibe las pruebas, los consejos y las opiniones y el que marca el ritmo de un incidente. Identifican las tareas que hay que realizar, quién debe realizarlas y cuándo deben realizarse. Cualquier llamada y comunicación de incidentes que deba ser programada es completada por la Gestión de Incidentes.
El equipo CIRT son los soldados de Operaciones Especiales, sólo están involucrados en incidentes de alto perfil y alta prioridad y cuando no están involucrados en incidentes están refinando y desarrollando sus habilidades. Mientras que los analistas del SOC tendrán un amplio conjunto de habilidades, el equipo CIRT estará formado por individuos con habilidades e intereses especializados, como analistas de malware y expertos en forense digital. Este equipo proporciona asesoramiento técnico experto y análisis y se le asignan tareas por parte de la Gestión de Incidentes que no pueden ser llevadas a cabo por el SOC.
El equipo de Inteligencia de Amenazas son los exploradores que evalúan y comprenden el panorama de las ciberamenazas. Si el incidente está relacionado con un servidor comprometido que contiene datos confidenciales, entonces rastrearán la web oscura en busca de pruebas de que los datos están a la venta. Si el incidente está relacionado con una infección de malware, el equipo de inteligencia llevará a cabo una investigación OSINT (Opensource Intelligence) sobre la familia de malware y aconsejará sobre la probabilidad de que se trate de un ataque dirigido contra su organización.
6 pasos para crear un plan de respuesta a incidentes
SANS publicó hace unos años su Incident Handler’s Handbook, que sigue siendo el estándar para los planes de IR. Es un marco de 6 pasos que puede utilizar para construir el plan específico de su empresa.
Preparación
La preparación para cualquier incidente de seguridad potencial es clave para una respuesta exitosa. Recomiendo encarecidamente el desarrollo de algunos libros de jugadas que proporcionen orientación al SOC al clasificar un incidente, estos darán instrucciones claras sobre cómo priorizar un incidente y cuándo deben ser escalados. Deben ser de alto nivel y centrarse en áreas específicas como DDoS, malware, amenaza interna, acceso no autorizado y phishing. Los manuales y procedimientos deben probarse con las personas y equipos que los utilizarán. Los ejercicios de mesa son una excelente manera de solidificar los conocimientos y ver si se pueden hacer mejoras.
Identificación
Sólo se puede eliminar con éxito una amenaza de seguridad una vez que se conoce el tamaño y el alcance de un incidente. Empiece con el «paciente cero», el dispositivo inicial comprometido. El objetivo es entender la causa raíz del compromiso, sin embargo, no se centre sólo en el dispositivo, ¿podría la amenaza haberse extendido y movido lateralmente?
La verdadera identificación de un incidente viene de la recopilación de indicadores útiles de compromiso (IOC). En lugar de limitarse a reconstruir el dispositivo originalmente infectado, busque identificar cualquier IOC único que pueda ser utilizado para buscar en todo su patrimonio otras pruebas de compromiso. Si el incidente se relaciona con una infección de malware, entonces haga las siguientes preguntas: ¿qué conexiones de red genera el malware? ¿Se conecta el malware a algún dominio? ¿Qué archivos se crean en el disco? ¿Qué procesos en ejecución se han creado? ¿Se ha creado alguna clave de registro única? Estos datos se pueden utilizar para buscar más pruebas de compromiso e identificar otros equipos infectados en su propiedad.
Contención
Una vez que se ha identificado con éxito el alcance de un incidente, puede comenzar el proceso de contención. Aquí es donde los dispositivos comprometidos dentro de la finca se aíslan del resto de la red para detener la propagación de un ataque.
La contención a corto plazo se puede utilizar para aislar un dispositivo que está siendo objeto de tráfico de ataque. La contención a largo plazo puede ser necesaria cuando se requiere un análisis en profundidad que puede llevar mucho tiempo. Esto puede implicar la toma de una imagen del dispositivo y la realización de análisis forenses del disco duro. Esto puede generar más COIs y la fase de identificación puede necesitar ser revisada.
Erradicación
Una vez que el incidente es contenido con éxito, entonces la erradicación de la amenaza puede comenzar. Esto variará dependiendo de lo que haya causado que un dispositivo se vea comprometido. Parchear los dispositivos, desarmar el malware o desactivar las cuentas comprometidas son ejemplos de lo que puede ser necesario en la fase de erradicación de un incidente.
Recuperación
El objetivo de la fase de recuperación de un incidente es restaurar el servicio normal de la empresa. Si se dispone de copias de seguridad limpias, éstas pueden utilizarse para restaurar el servicio. Alternativamente, cualquier dispositivo comprometido necesitará ser reconstruido para asegurar una recuperación limpia. Es posible que haya que implementar una supervisión adicional de los dispositivos afectados.
Lecciones aprendidas
Una vez que la amenaza ha sido completamente remediada, el siguiente paso consistirá en responder a la pregunta «¿cómo evitamos que esto vuelva a suceder?». Debe celebrarse una reunión conocida como revisión posterior al incidente (PIR) en la que participen representantes de todos los equipos implicados en el incidente. Esta es la plataforma para debatir lo que ha ido bien durante el incidente y lo que se puede mejorar. Aquí es donde se perfecciona el plan de respuesta a incidentes basándose en el resultado del PIR, y se modifican los procedimientos y los libros de jugadas para reflejar los cambios acordados.
Mejores prácticas del plan de respuesta a incidentes
Crear libros de jugadas. La creación de libros de juego guiará al SOC sobre cómo clasificar los distintos incidentes y recopilar las pruebas pertinentes. Céntrese en los principales escenarios de ataque a los que se enfrentan las empresas: malware, DDoS, acceso no autorizado, phishing y amenaza interna. Estos documentos deben describir lo que desencadena una escalada al equipo de Gestión de Incidentes y aconsejar sobre las pruebas que deben reunirse. Manténgalos a alto nivel, no deben ser demasiado granulares para que se vuelvan demasiado complejos.
Realice ejercicios de ciberamenazas. Prepárese para la cosa real por wargaming algunos escenarios de ataque, esto puede ser incluso tan simple como la organización de algunos ejercicios de mesa. La creación de algunos escenarios de ataque que pueden ser discutidos por los equipos pertinentes es una gran manera de poner a prueba cualquier libro de jugadas que se han puesto en marcha, esto también ayudará a identificar las lagunas en un plan de respuesta a incidentes y debe ser revisado al menos una vez al año.
Iniciar la caza de amenazas. Esperar a que se dispare una alerta en una plataforma nueva y brillante es una cosa, pero buscar proactivamente la actividad sospechosa es donde los equipos de respuesta a incidentes comienzan a madurar. No sólo es probable que se encuentre un compromiso potencial antes, sino que los individuos que están realizando estas investigaciones ad hoc están desarrollando su mentalidad de investigación. Estas habilidades y este tipo de mentalidad es exactamente lo que se requiere durante la fase de identificación de un incidente, consultando el tráfico de la red, buscando puertos poco comunes y procesos inusuales para entender el tamaño de un incidente. Si el SOC tiene una sólida comprensión de lo que parece «normal», es mucho más fácil detectar la actividad maliciosa.
Plantillas de planes de respuesta a incidentes
Crear un plan de incidentes puede parecer bastante desalentador. Sin embargo, el uso de una plantilla proporcionará estructura y dirección sobre cómo desarrollar un plan de respuesta a incidentes exitoso.
Guía de planificación del NCSC – El NCSC (Centro Nacional de Ciberseguridad) es una organización del gobierno británico que proporciona apoyo de ciberseguridad a organizaciones críticas del Reino Unido. Como autoridad principal en materia de ciberseguridad, sus recomendaciones resultarán muy valiosas a la hora de planificar un plan de respuesta a incidentes.
Plantilla de respuesta a incidentes de Sysnet – Describe cómo reconocer un incidente de seguridad, las funciones y responsabilidades de las partes interesadas clave, los pasos del plan de respuesta a incidentes y lo que hay que tener en cuenta para los distintos tipos de incidentes.
Incidentresponse.com ha proporcionado varias plantillas de libros de jugadas que cubren escenarios como el malware, el phishing, el acceso no autorizado, y todos están asignados al marco de respuesta a incidentes del NIST. Estos serán documentos independientes, pero deben ser referenciados en el plan de respuesta a incidentes.
Para ayudar a entender cuándo se utilizaría un plan de respuesta a incidentes, el seminario web de respuesta a incidentes de Varonis muestra una simulación de ataque en vivo. Durante esta simulación, nuestros analistas de seguridad hacen un breve recorrido por Varonis para Office 365, ejecutan el ataque desde la intrusión hasta la escalada de privilegios y la exfiltración, y luego le muestran cómo usar DatAlert para detectar y responder.
¿Qué hacer tras un ciberincidente?
El polvo se asienta, los malos han sido derrotados y el equipo CSIRT ha seguido el plan IR al pie de la letra. ¿Y ahora qué? Hacer un balance y reabastecerse para el próximo encuentro.
Reforzar el plan de IR o buscar mejorar la monitorización que ya está en marcha, ¿hay algún registro adicional que no estaba disponible durante un incidente y necesita ser habilitado? Hay una brecha en las habilidades dentro del equipo de seguridad? ¿Es necesario revisar la política de parches de la empresa? Revisar y perfeccionar constantemente el proceso de incidentes garantiza que no sólo se mejorará la respuesta a un incidente, sino que también se reducirá la superficie de ataque. Si se realizan controles y mejoras adicionales en la postura de seguridad de una empresa, esto se traducirá en última instancia en menos incidentes de seguridad.