Como consultor de CSIRT, no puedo dejar de enfatizar la importancia de administrar de manera efectiva la primera hora en un incidente crítico.
Averiguar qué hacer es a menudo una tarea desalentadora en un incidente crítico. Además, la sensación de inquietud a menudo impide que un analista de respuesta a incidentes tome decisiones efectivas. Sin embargo, mantener la cabeza fría y las acciones planificadas son cruciales para manejar con éxito un incidente de seguridad. Este blog elaborará algunos puntos clave para ayudar a los lectores a facilitar mejores procedimientos de respuesta a incidentes.
La preparación es esencial
Antes de asumir cualquier incidente, los analistas de seguridad necesitarían conocer una gran cantidad de información. Para empezar, los analistas de respuesta a incidentes deben familiarizarse con sus funciones y responsabilidades. La infraestructura de TI ha evolucionado rápidamente en los últimos años. Por ejemplo, observamos un movimiento creciente hacia la computación en la nube y el almacenamiento de datos. El entorno de TI que cambia rápidamente requiere con frecuencia que los analistas actualicen sus conjuntos de habilidades, como aprender sobre seguridad en la nube. En consecuencia, los analistas deberán tener práctica y mantener una imagen completa de la topología de todos los sistemas. En el mundo real, los analistas externos del CSIRT deberían identificar rápidamente todos los activos bajo su responsabilidad. Al mismo tiempo, los analistas internos del CSIRT también deben participar activamente en la gestión de vulnerabilidades y los procesos de exploración de descubrimiento.
La calidad de la información recopilada determina los resultados de la respuesta a incidentes. Además, los analistas del CSIRT también deberán comprender las amenazas a las que se enfrentarán. A medida que las tecnologías defensivas de seguridad cibernética se actualizan cada día, los actores de amenazas están preparados para evolucionar. Por ejemplo, según un artículo de 2020, cuatro de los diez principales actores de ransomware activos ahora utilizan el modelo de negocio “Ransomware como servicio”. [1]. Este patrón indica que los actores maliciosos implementarán ransomware más fácilmente debido a la falta de requisitos técnicos para aprovechar tales ataques. Después de todo, los equipos de CSIRT deben identificar las principales amenazas que probablemente encontrarán.
Por ejemplo, un especialista de CSIRT puede ver malware común y concluir que no existen amenazas adicionales. Pero cuando se presente esta situación para escenarios más sensibles, como un ataque en el sector energético, tendrán que pensar críticamente y estar atentos a métodos de ataque no convencionales. Para prepararse de manera efectiva para la respuesta a incidentes, los analistas deben estar familiarizados con la infraestructura con la que trabajarán y el panorama de amenazas de seguridad cibernética que enfrentarán.
Obtener procedimientos sólidos en su lugar
Saber es sólo la mitad de la batalla. Cuando suena la alerta, necesitamos calmarnos rápidamente y planear responder a la primera pregunta, “¿qué debo hacer en la primera hora?” El documento “Fases de un incidente crítico” se refiere a la primera hora de un incidente crítico como la “fase de crisis” y se “caracteriza por confusión, pánico, prisa por llegar a la escena y estancamiento”.[2] Los analistas del CSIRT bien ensayados hacen bien en ejercitar el discernimiento en su investigación.
Por otro lado, en muchos escenarios, pueden ser propensos a la oscuridad de la información, la incapacidad de efectuar una solución en un marco de tiempo limitado y la falta de jurisdicción operativa. En esos momentos, el equipo de respuesta a incidentes debe tomar el asunto en sus propias manos, expresar claramente su conocimiento profesional y seguir adelante con sus operaciones.
Al realizar la investigación y el análisis de la causa raíz, el equipo de respuesta a incidentes a menudo se atasca en encontrar las piezas faltantes del rompecabezas. Estas dificultades llevan a la duda ya la indecisión.
En tales eventos, los analistas a menudo especulan que el incidente es causado por una o más posibilidades de incumplimiento sin certeza. En estas circunstancias, se recomienda que asuman la causa más probable y actúen en consecuencia. En la primera hora, el tiempo es imperativo. Al igual que tomar un examen, donde el tiempo es limitado, omita las preguntas en las que está atascado primero.
Hoy en día, el proceso de contención de respuesta a incidentes a menudo se simplifica debido a las tecnologías de detección y respuesta de punto final (EDR) ampliamente adoptadas, que ofrecen capacidades de contención de red con solo presionar un botón. No obstante, incluso con las herramientas tradicionales de contención de redes, contener la red no siempre es fácil. Las personas no siempre eligen la opción más segura cuando está disponible. Pero como dice el refrán, ¡siempre es mejor prevenir que curar!
Averigüe lo que realmente sucedió y cierre las brechas
Quizás después de una hora, todavía faltan piezas del rompecabezas. Ahora es una buena idea tomarse un tiempo y reflexionar sobre todas las posibilidades y elaborar una lista.
Por ejemplo, manejé un incidente de seguridad en el que el atacante lanzó un shell inverso en un servidor. Inmediatamente decidí contener el servidor y reuní todas las pruebas. Pero mis compañeros de equipo y yo todavía no podíamos averiguar cómo se comprometió el servidor, por lo que hicimos una lista de todos los servicios accesibles y examinamos los registros relevantes para cada servicio.
Las especulaciones iniciales pusieron una herramienta de operación de TI como indicador de compromiso. Pero eventualmente, anulamos esta especulación al descartar todas las posibilidades y llegamos a la conclusión de que debe haber una falla de seguridad inherente en su servicio web.
De vez en cuando, durante el análisis posterior a la infracción, los analistas del CSIRT pueden encontrar contratiempos al conectar los puntos. Pero la verdad siempre prevalecerá con la suficiente paciencia y una mentalidad correcta.
Lo que debes considerar
En conclusión, la gestión eficaz del intervalo de tiempo crucial de una hora después de un incidente crítico requiere más que aprender en el acto.
Además de las especialidades técnicas, los analistas experimentados del CSIRT también se beneficiarán de una amplia preparación sobre sus activos y sus adversarios, la priorización de tareas y la toma de decisiones rápidas cuando sea necesario, así como la capacidad de discernir hechos concretos mediante el proceso de eliminación. .
Este es solo otro extracto de las historias en el Navegador de seguridad. Allí también se pueden encontrar otras cosas interesantes, como operaciones reales de CSIRT y pentesting, así como toneladas de datos y cifras sobre el panorama de la seguridad en general. El informe completo está disponible para su descarga en el sitio web de Orange Cyberdefense, así que eche un vistazo. ¡Vale la pena!
[1] Midler, Marisa. “Amenazas de ransomware como servicio (Raas)”. SEI Blog, 5 de octubre de 2020, https://insights.sei.cmu.edu/blog/ransomware-as-a-service-raas-threats/
[2] “Fases de un Incidente Crítico”. Eddusaver, 5 de mayo de 2020, https://www.eddusaver.com/fases-de-un-incidente-critico/
Nota – Este artículo fue escrito y contribuido por Tingyang Wei, analista de seguridad de Orange Cyberdefense.