En el anterior artículo de esta serie, se introdujo la necesidad de prepararse frente a los incidentes de ciberseguridad, comenzando con una fase de preparación que incluye personas, protocolos, servicios y actividades que han de ser probados en forma de simulacros o tests. En este segundo artículo de la serie continuaremos con las otras tres etapas del ciclo de vida de los ciberincidentes definidas en el documento NIST SP 800-61: Computer Security Incident Handling Guide.
Tras la fase de preparación, en la que se documentarán todos los posibles escenarios de ciberincidentes y la forma de responder de nuestra organización ante ellos, lo que incluirá los diferentes test y simulacros de situaciones parecidas a las que pueden suceder en realidad, la organización deberá permanecer alerta y preparada.
La siguiente fase que el documento “NIST SP 800-61: Computer Security Incident Handling Guide” define en el ciclo de vida del ciberincidente es la de Detección y Análisis. Esta fase, como su nombre indica, se produce la detección del ciberincidente y se analiza para asegurar que se clasifica adecuadamente para darle la respuesta apropiada. Detectar una ataque de ransomware y aplicarle una medida de protección adecuada para un ataque de denegación de servicio distribuido, además de inútil y un desperdicio, es un suicidio desde el punto de vista organizativo.
Para la detección y análisis del ciberincidente se pueden utilizar diferentes técnicas o herramientas, dependiendo del tipo de que se trate:
- Detectores de humo, frente a incendios de cualquier tipo.
- Detectores de humedad o temperatura, frente a inundaciones o sobrecalentamiento de salas de servidores.
- Correlación de eventos de los sistemas de la organización, para localizar patrones identificados previamente por los diferentes equipos de analistas de ciberseguridad como indicadores de diferentes tipos de ataques.
- Monitorización de los sistemas y del tráfico de las redes de la organización.
- Integración de la monitorización y la correlación en sistemas SIEM (Security Information and Event Management), que además proporcionan funciones ‘extra’ que van a ser muy útiles en fases posteriores.
- Servicios de analistas de seguridad integrados en los SOC (Security Operations Centre), que descartan falsos positivos, y operan y mantienen actualizadas las herramientas de detección y análisis con las que cuente la organización.
El ciberincidente se habrá registrado correctamente en los sistemas de gestión de la compañía, y toda la información recopilada por el equipo de respuesta se encontrará disponible allí para las siguietnes actividades o fases. La salida de esta fase es una adecuada identificación del incidente y la recomendación de qué protocolos de respuesta hay que aplicar en la fase siguiente. Dicha fase, según la NIST SP 800-61, es la de Contención, Erradicación y Respuesta.
La contención del incidente, igual que ocurre con un incendio forestal, consiste en aplicar las medidas establecidas en la planificación para que los daños que produzca el incidente ya no puedan aumentar. Hablamos de cualquier tipo de perjuicio, tal como cifrado de ficheros, exfiltración de información, destrucción de información o equipos, reputacionales, o intrusiones para control a largo plazo de los sistemas y redes de la organización, como las que ejecutan las Amenazas Persistentes Avanzadas (o APTs, de sus siglas en inglés).
La erradicación consistirá en eliminar la parte activa de la amenaza, sea ésta un incendio, una inundación, un virus, un troyano, una consola de acceso remoto no autorizada, o credenciales fraudulentas o sesiones abiertas en determinados servicios como resultado del incidente. A este respecto, es importante ser capaces de conocer todos aquellos sistemas comprometidos por la acción del atacante. Atacante que, por cierto, puede ser un sistema automatizado o un humano que reaccione ante las acciones del personal de seguridad de la organización. Se puede ver esta subfase como la primera en la que, tras su finalización, el equipo de respuesta a incidentes de la organización puede comenzar a respirar con menos estrés.
La respuesta al incidente, como siguiente subfase, puede ser de varios tipos, y dependerá de los diferentes enfoques disponibles. Por ejemplo, puede estar protocolizado que no se debe pagar un rescate ante un ataque de ransomware, sino que hay que denunciar judicialmente y pedir el apoyo de un CERT (Computer Emergency Response Team) de referencia. La respuesta, cuando el ataque se produce a ciertos sistemas de alto valor estratégico, puede incluso ser pasar al contraataque, dejando fuera de servicio los sistemas del atacante, o, en algunos casos (los menos, lamentablemente), la detención de los autores o instigadores del ataque. Es importante que los roles implicados en cada uno de los protocolos de respuesta a ciberincidentes conozcan el alcance y las consecuencias de las actividades que realicen, o de su omisión a realizarlas, ya que alguno de ellos puede acabar mal si se hace lo que no debe [1]. De ahí la importancia de que todas las actividades estén adecuadamente definidas, con los roles asociados para su ejecución, y la asignación de roles a personas internas o externas de la organización se mantenga actualizada. Se dio el caso de una empresa que no quiso pagar ante un ataque de ransomware, pese a las amenazas y a que no isponía de copias de seguridad adecuadas. Cuando los operadores del ransomware cumplieron su amenaza de exfiltrar toda la información de la compañía que habían cifrado y sustraido, dicha empresa sólo tuvo que descargarse su propia información y retomar su actividad, reforzando eso sí las medidas de seguridad. Pero este caso es como que nos toque la lotería, y no es significativo estadísticamente hablando, porque no disponer de copias de seguridad es, en sí mismo, una prueba de la inexistencia de planificación alguna ante incidentes de este tipo.
Finalmente, la NIST SP 800-61 establece como última fase del ciclo de vida de los ciberincidentes todas las actividades post-incidente. Entre estas actividades hay una de especial interés, sobre todo para nosotros, amantes de las buenas prácticas: las lecciones aprendidas del ciberincidente. En un briefing, el equipo de respuesta y los diferentes roles implicados en el ciberincidente extraen del análisis posterior del mismo las conclusiones oportunas, enfocándose en la mejora continua de los protocolos y del desempeño del equipo en la ejecución de todas las tareas. Cualquier lección aprendida que permita que mejoren los resultados de la organización ante futuros ataques similares es bienvenida, incorporada al protocolo, en su caso, y testeada en los simulacros posteriores planificados. Y si encima ese conocimiento destilado se comparte (con la prevenciones oportunas) con otros miembros de la comunidad global de ciberseguridad, aún mejor. Todo lo que sea ponérselo más difícil a los ciberdelincuentes de todo pelaje siempre será bienvenido.
Prepárense para afrontar los ciberataques. ¡La siguiente víctima podemos ser cualquiera de nosotros!
Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.