Las organizaciones confían en la respuesta a incidentes para asegurarse de que están al tanto de inmediato de los incidentes de seguridad, lo que permite una acción rápida para minimizar los daños. También tienen como objetivo evitar ataques de seguimiento o futuros incidentes relacionados.
El Instituto SANS proporciona investigación y educación sobre seguridad de la información. En el próximo seminario web, describiremosen detalle, seis componentes de un plan de respuesta a incidentes SANS, incluidos elementos tales como preparación, identificación, contención y erradicación.
Los 6 pasos de un IR completo
- Preparación: Esta es la primera fase e implica revisar las medidas y políticas de seguridad existentes; realizar evaluaciones de riesgo para encontrar vulnerabilidades potenciales; y establecer un plan de comunicación que establezca protocolos y alerte al personal sobre posibles riesgos de seguridad. Durante las festividades, la etapa de preparación de su plan de RI es crucial, ya que le brinda la oportunidad de comunicar las amenazas específicas de las festividades y poner las ruedas en marcha para abordar dichas amenazas a medida que se identifican.
- Identificación: La etapa de identificación es cuando se ha identificado un incidente, ya sea que haya ocurrido o esté actualmente en progreso. Esto puede ocurrir de varias maneras: por un equipo interno, un consultor externo o un proveedor de servicios gestionados o, en el peor de los casos, porque el incidente ha provocado una filtración de datos o una infiltración de su red. Debido a que muchos hacks de seguridad cibernética de vacaciones involucran las credenciales del usuario final, vale la pena activar los mecanismos de seguridad que monitorean cómo se accede a sus redes.
- Contención: El objetivo de la etapa de contención es minimizar el daño causado por un incidente de seguridad. Este paso varía según el incidente y puede incluir protocolos como aislar un dispositivo, deshabilitar cuentas de correo electrónico o desconectar sistemas vulnerables de la red principal. Debido a que las acciones de contención a menudo tienen implicaciones comerciales graves, es imperativo que las decisiones a corto y largo plazo se determinen con anticipación para que no haya problemas de última hora para abordar el problema de seguridad.
- Erradicación: Una vez que haya contenido el incidente de seguridad, el siguiente paso es asegurarse de que la amenaza se haya eliminado por completo. Esto también puede implicar medidas de investigación para averiguar quién, qué, cuándo, dónde y por qué ocurrió el incidente. La erradicación puede implicar procedimientos de limpieza del disco, restauración de sistemas a una versión de copia de seguridad limpia o creación de imágenes completas del disco. La etapa de erradicación también puede incluir la eliminación de archivos maliciosos, la modificación de claves de registro y, posiblemente, la reinstalación de sistemas operativos.
- Recuperación: La etapa de recuperación es la luz al final del túnel, lo que le permite a su organización volver a la normalidad. Al igual que la contención, es mejor establecer protocolos de recuperación de antemano para que se tomen las medidas adecuadas para garantizar que los sistemas sean seguros.
- Lecciones aprendidas: Durante la fase de lecciones aprendidas, deberá documentar lo que sucedió y observar cómo funcionó su estrategia de RI en cada paso. Este es un momento clave para considerar detalles como cuánto tiempo llevó detectar y contener el incidente. ¿Hubo algún signo de malware persistente o sistemas comprometidos después de la erradicación? ¿Fue una estafa relacionada con un esquema de piratas informáticos de vacaciones? Y si es así, ¿qué puedes hacer para prevenirlo el próximo año?
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
Cómo los equipos de seguridad Lean pueden estresarse menos
Incorporar las mejores prácticas en su estrategia de IR es una cosa. Pero construir y luego implementar estas mejores prácticas es más fácil decirlo que hacerlo cuando no tiene el tiempo o los recursos.
Los líderes de equipos de seguridad más pequeños enfrentan desafíos adicionales provocados por esta falta de recursos. Los presupuestos mínimos, combinados con la falta de personal suficiente para administrar las operaciones de seguridad, están dejando a muchos equipos de seguridad reducidos sintiéndose resignados a la idea de que no podrán mantener a su organización a salvo de la avalancha de ataques demasiado común. Afortunadamente, existen recursos para los equipos de seguridad en esta situación exacta. Servicios de respuesta a incidentes de Cynet ofrece una combinación única de la experiencia de seguridad de Cynet junto con tecnología patentada que permite una respuesta rápida y precisa a incidentes.
About the Author
