Como consultor de CSIRT, no puedo dejar de enfatizar la importancia de administrar de manera efectiva la primera hora en un incidente cr\u00edtico.<\/p>\n
Averiguar qu\u00e9 hacer es a menudo una tarea desalentadora en un incidente cr\u00edtico. Adem\u00e1s, la sensaci\u00f3n de inquietud a menudo impide que un analista de respuesta a incidentes tome decisiones efectivas. Sin embargo, mantener la cabeza fr\u00eda y las acciones planificadas son cruciales para manejar con \u00e9xito un incidente de seguridad. Este blog elaborar\u00e1 algunos puntos clave para ayudar a los lectores a facilitar mejores procedimientos de respuesta a incidentes.<\/p>\n
![\"Respuesta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647540752_557_La-hora-dorada-de-la-respuesta-a-incidentes.jpeg\" "\\"Respuesta")
<\/div>\nLa preparaci\u00f3n es esencial<\/strong><\/h2>\nAntes de asumir cualquier incidente, los analistas de seguridad necesitar\u00edan conocer una gran cantidad de informaci\u00f3n. Para empezar, los analistas de respuesta a incidentes deben familiarizarse con sus funciones y responsabilidades. La infraestructura de TI ha evolucionado r\u00e1pidamente en los \u00faltimos a\u00f1os. Por ejemplo, observamos un movimiento creciente hacia la computaci\u00f3n en la nube y el almacenamiento de datos. El entorno de TI que cambia r\u00e1pidamente requiere con frecuencia que los analistas actualicen sus conjuntos de habilidades, como aprender sobre seguridad en la nube. En consecuencia, los analistas deber\u00e1n tener pr\u00e1ctica y mantener una imagen completa de la topolog\u00eda de todos los sistemas. En el mundo real, los analistas externos del CSIRT deber\u00edan identificar r\u00e1pidamente todos los activos bajo su responsabilidad. Al mismo tiempo, los analistas internos del CSIRT tambi\u00e9n deben participar activamente en la gesti\u00f3n de vulnerabilidades y los procesos de exploraci\u00f3n de descubrimiento. <\/p>\n
La calidad de la informaci\u00f3n recopilada determina los resultados de la respuesta a incidentes. Adem\u00e1s, los analistas del CSIRT tambi\u00e9n deber\u00e1n comprender las amenazas a las que se enfrentar\u00e1n. A medida que las tecnolog\u00edas defensivas de seguridad cibern\u00e9tica se actualizan cada d\u00eda, los actores de amenazas est\u00e1n preparados para evolucionar. Por ejemplo, seg\u00fan un art\u00edculo de 2020, cuatro de los diez principales actores de ransomware activos ahora utilizan el modelo de negocio “Ransomware como servicio”. [1]. Este patr\u00f3n indica que los actores maliciosos implementar\u00e1n ransomware m\u00e1s f\u00e1cilmente debido a la falta de requisitos t\u00e9cnicos para aprovechar tales ataques. Despu\u00e9s de todo, los equipos de CSIRT deben identificar las principales amenazas que probablemente encontrar\u00e1n.<\/p>\n
Por ejemplo, un especialista de CSIRT puede ver malware com\u00fan y concluir que no existen amenazas adicionales. Pero cuando se presente esta situaci\u00f3n para escenarios m\u00e1s sensibles, como un ataque en el sector energ\u00e9tico, tendr\u00e1n que pensar cr\u00edticamente y estar atentos a m\u00e9todos de ataque no convencionales. Para prepararse de manera efectiva para la respuesta a incidentes, los analistas deben estar familiarizados con la infraestructura con la que trabajar\u00e1n y el panorama de amenazas de seguridad cibern\u00e9tica que enfrentar\u00e1n.<\/p>\n
![\"Respuesta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647540752_766_La-hora-dorada-de-la-respuesta-a-incidentes.jpeg\" "\\"Respuesta")
<\/div>\nObtener procedimientos s\u00f3lidos en su lugar<\/strong><\/h2>\nSaber es s\u00f3lo la mitad de la batalla. Cuando suena la alerta, necesitamos calmarnos r\u00e1pidamente y planear responder a la primera pregunta, “\u00bfqu\u00e9 debo hacer en la primera hora?” El documento “Fases de un incidente cr\u00edtico” se refiere a la primera hora de un incidente cr\u00edtico como la “fase de crisis” y se “caracteriza por confusi\u00f3n, p\u00e1nico, prisa por llegar a la escena y estancamiento”.[2] Los analistas del CSIRT bien ensayados hacen bien en ejercitar el discernimiento en su investigaci\u00f3n. <\/p>\n
Por otro lado, en muchos escenarios, pueden ser propensos a la oscuridad de la informaci\u00f3n, la incapacidad de efectuar una soluci\u00f3n en un marco de tiempo limitado y la falta de jurisdicci\u00f3n operativa. En esos momentos, el equipo de respuesta a incidentes debe tomar el asunto en sus propias manos, expresar claramente su conocimiento profesional y seguir adelante con sus operaciones. <\/p>\n
Al realizar la investigaci\u00f3n y el an\u00e1lisis de la causa ra\u00edz, el equipo de respuesta a incidentes a menudo se atasca en encontrar las piezas faltantes del rompecabezas. Estas dificultades llevan a la duda ya la indecisi\u00f3n. <\/p>\n
En tales eventos, los analistas a menudo especulan que el incidente es causado por una o m\u00e1s posibilidades de incumplimiento sin certeza. En estas circunstancias, se recomienda que asuman la causa m\u00e1s probable y act\u00faen en consecuencia. En la primera hora, el tiempo es imperativo. Al igual que tomar un examen, donde el tiempo es limitado, omita las preguntas en las que est\u00e1 atascado primero. <\/p>\n
Hoy en d\u00eda, el proceso de contenci\u00f3n de respuesta a incidentes a menudo se simplifica debido a las tecnolog\u00edas de detecci\u00f3n y respuesta de punto final (EDR) ampliamente adoptadas, que ofrecen capacidades de contenci\u00f3n de red con solo presionar un bot\u00f3n. No obstante, incluso con las herramientas tradicionales de contenci\u00f3n de redes, contener la red no siempre es f\u00e1cil. Las personas no siempre eligen la opci\u00f3n m\u00e1s segura cuando est\u00e1 disponible. Pero como dice el refr\u00e1n, \u00a1siempre es mejor prevenir que curar!<\/p>\n
![\"Respuesta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647540752_638_La-hora-dorada-de-la-respuesta-a-incidentes.jpeg\" "\\"Respuesta")
<\/div>\nAverig\u00fce lo que realmente sucedi\u00f3 y cierre las brechas<\/strong><\/h2>\nQuiz\u00e1s despu\u00e9s de una hora, todav\u00eda faltan piezas del rompecabezas. Ahora es una buena idea tomarse un tiempo y reflexionar sobre todas las posibilidades y elaborar una lista. <\/p>\n
Por ejemplo, manej\u00e9 un incidente de seguridad en el que el atacante lanz\u00f3 un shell inverso en un servidor. Inmediatamente decid\u00ed contener el servidor y reun\u00ed todas las pruebas. Pero mis compa\u00f1eros de equipo y yo todav\u00eda no pod\u00edamos averiguar c\u00f3mo se comprometi\u00f3 el servidor, por lo que hicimos una lista de todos los servicios accesibles y examinamos los registros relevantes para cada servicio. <\/p>\n
Las especulaciones iniciales pusieron una herramienta de operaci\u00f3n de TI como indicador de compromiso. Pero eventualmente, anulamos esta especulaci\u00f3n al descartar todas las posibilidades y llegamos a la conclusi\u00f3n de que debe haber una falla de seguridad inherente en su servicio web. <\/p>\n
De vez en cuando, durante el an\u00e1lisis posterior a la infracci\u00f3n, los analistas del CSIRT pueden encontrar contratiempos al conectar los puntos. Pero la verdad siempre prevalecer\u00e1 con la suficiente paciencia y una mentalidad correcta.<\/p>\n
Lo que debes considerar<\/strong><\/h2>\nEn conclusi\u00f3n, la gesti\u00f3n eficaz del intervalo de tiempo crucial de una hora despu\u00e9s de un incidente cr\u00edtico requiere m\u00e1s que aprender en el acto. <\/p>\n
Adem\u00e1s de las especialidades t\u00e9cnicas, los analistas experimentados del CSIRT tambi\u00e9n se beneficiar\u00e1n de una amplia preparaci\u00f3n sobre sus activos y sus adversarios, la priorizaci\u00f3n de tareas y la toma de decisiones r\u00e1pidas cuando sea necesario, as\u00ed como la capacidad de discernir hechos concretos mediante el proceso de eliminaci\u00f3n. .<\/p>\n
Este es solo otro extracto de las historias en el Navegador de seguridad<\/a>. All\u00ed tambi\u00e9n se pueden encontrar otras cosas interesantes, como operaciones reales de CSIRT y pentesting, as\u00ed como toneladas de datos y cifras sobre el panorama de la seguridad en general. El informe completo est\u00e1 disponible para su descarga en el sitio web de Orange Cyberdefense, as\u00ed que eche un vistazo. \u00a1Vale la pena!<\/p>\n[1] Midler, Marisa. “Amenazas de ransomware como servicio (Raas)”. SEI Blog, 5 de octubre de 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n[2] “Fases de un Incidente Cr\u00edtico”. Eddusaver, 5 de mayo de 2020, https:\/\/www.eddusaver.com\/fases-de-un-incidente-critico\/<\/a><\/i><\/p>\nNota – <\/b>Este art\u00edculo fue escrito y contribuido por Tingyang Wei, analista de seguridad de Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n<\/div>\n
<\/div>\nObtener procedimientos s\u00f3lidos en su lugar<\/strong><\/h2>\nSaber es s\u00f3lo la mitad de la batalla. Cuando suena la alerta, necesitamos calmarnos r\u00e1pidamente y planear responder a la primera pregunta, “\u00bfqu\u00e9 debo hacer en la primera hora?” El documento “Fases de un incidente cr\u00edtico” se refiere a la primera hora de un incidente cr\u00edtico como la “fase de crisis” y se “caracteriza por confusi\u00f3n, p\u00e1nico, prisa por llegar a la escena y estancamiento”.[2] Los analistas del CSIRT bien ensayados hacen bien en ejercitar el discernimiento en su investigaci\u00f3n. <\/p>\n
Por otro lado, en muchos escenarios, pueden ser propensos a la oscuridad de la informaci\u00f3n, la incapacidad de efectuar una soluci\u00f3n en un marco de tiempo limitado y la falta de jurisdicci\u00f3n operativa. En esos momentos, el equipo de respuesta a incidentes debe tomar el asunto en sus propias manos, expresar claramente su conocimiento profesional y seguir adelante con sus operaciones. <\/p>\n
Al realizar la investigaci\u00f3n y el an\u00e1lisis de la causa ra\u00edz, el equipo de respuesta a incidentes a menudo se atasca en encontrar las piezas faltantes del rompecabezas. Estas dificultades llevan a la duda ya la indecisi\u00f3n. <\/p>\n
En tales eventos, los analistas a menudo especulan que el incidente es causado por una o m\u00e1s posibilidades de incumplimiento sin certeza. En estas circunstancias, se recomienda que asuman la causa m\u00e1s probable y act\u00faen en consecuencia. En la primera hora, el tiempo es imperativo. Al igual que tomar un examen, donde el tiempo es limitado, omita las preguntas en las que est\u00e1 atascado primero. <\/p>\n
Hoy en d\u00eda, el proceso de contenci\u00f3n de respuesta a incidentes a menudo se simplifica debido a las tecnolog\u00edas de detecci\u00f3n y respuesta de punto final (EDR) ampliamente adoptadas, que ofrecen capacidades de contenci\u00f3n de red con solo presionar un bot\u00f3n. No obstante, incluso con las herramientas tradicionales de contenci\u00f3n de redes, contener la red no siempre es f\u00e1cil. Las personas no siempre eligen la opci\u00f3n m\u00e1s segura cuando est\u00e1 disponible. Pero como dice el refr\u00e1n, \u00a1siempre es mejor prevenir que curar!<\/p>\n
<\/div>\nAverig\u00fce lo que realmente sucedi\u00f3 y cierre las brechas<\/strong><\/h2>\nQuiz\u00e1s despu\u00e9s de una hora, todav\u00eda faltan piezas del rompecabezas. Ahora es una buena idea tomarse un tiempo y reflexionar sobre todas las posibilidades y elaborar una lista. <\/p>\n
Por ejemplo, manej\u00e9 un incidente de seguridad en el que el atacante lanz\u00f3 un shell inverso en un servidor. Inmediatamente decid\u00ed contener el servidor y reun\u00ed todas las pruebas. Pero mis compa\u00f1eros de equipo y yo todav\u00eda no pod\u00edamos averiguar c\u00f3mo se comprometi\u00f3 el servidor, por lo que hicimos una lista de todos los servicios accesibles y examinamos los registros relevantes para cada servicio. <\/p>\n
Las especulaciones iniciales pusieron una herramienta de operaci\u00f3n de TI como indicador de compromiso. Pero eventualmente, anulamos esta especulaci\u00f3n al descartar todas las posibilidades y llegamos a la conclusi\u00f3n de que debe haber una falla de seguridad inherente en su servicio web. <\/p>\n
De vez en cuando, durante el an\u00e1lisis posterior a la infracci\u00f3n, los analistas del CSIRT pueden encontrar contratiempos al conectar los puntos. Pero la verdad siempre prevalecer\u00e1 con la suficiente paciencia y una mentalidad correcta.<\/p>\n
Lo que debes considerar<\/strong><\/h2>\nEn conclusi\u00f3n, la gesti\u00f3n eficaz del intervalo de tiempo crucial de una hora despu\u00e9s de un incidente cr\u00edtico requiere m\u00e1s que aprender en el acto. <\/p>\n
Adem\u00e1s de las especialidades t\u00e9cnicas, los analistas experimentados del CSIRT tambi\u00e9n se beneficiar\u00e1n de una amplia preparaci\u00f3n sobre sus activos y sus adversarios, la priorizaci\u00f3n de tareas y la toma de decisiones r\u00e1pidas cuando sea necesario, as\u00ed como la capacidad de discernir hechos concretos mediante el proceso de eliminaci\u00f3n. .<\/p>\n
Este es solo otro extracto de las historias en el Navegador de seguridad<\/a>. All\u00ed tambi\u00e9n se pueden encontrar otras cosas interesantes, como operaciones reales de CSIRT y pentesting, as\u00ed como toneladas de datos y cifras sobre el panorama de la seguridad en general. El informe completo est\u00e1 disponible para su descarga en el sitio web de Orange Cyberdefense, as\u00ed que eche un vistazo. \u00a1Vale la pena!<\/p>\n[1] Midler, Marisa. “Amenazas de ransomware como servicio (Raas)”. SEI Blog, 5 de octubre de 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n[2] “Fases de un Incidente Cr\u00edtico”. Eddusaver, 5 de mayo de 2020, https:\/\/www.eddusaver.com\/fases-de-un-incidente-critico\/<\/a><\/i><\/p>\nNota – <\/b>Este art\u00edculo fue escrito y contribuido por Tingyang Wei, analista de seguridad de Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n<\/div>\n
<\/div>\nAverig\u00fce lo que realmente sucedi\u00f3 y cierre las brechas<\/strong><\/h2>\nQuiz\u00e1s despu\u00e9s de una hora, todav\u00eda faltan piezas del rompecabezas. Ahora es una buena idea tomarse un tiempo y reflexionar sobre todas las posibilidades y elaborar una lista. <\/p>\n
Por ejemplo, manej\u00e9 un incidente de seguridad en el que el atacante lanz\u00f3 un shell inverso en un servidor. Inmediatamente decid\u00ed contener el servidor y reun\u00ed todas las pruebas. Pero mis compa\u00f1eros de equipo y yo todav\u00eda no pod\u00edamos averiguar c\u00f3mo se comprometi\u00f3 el servidor, por lo que hicimos una lista de todos los servicios accesibles y examinamos los registros relevantes para cada servicio. <\/p>\n
Las especulaciones iniciales pusieron una herramienta de operaci\u00f3n de TI como indicador de compromiso. Pero eventualmente, anulamos esta especulaci\u00f3n al descartar todas las posibilidades y llegamos a la conclusi\u00f3n de que debe haber una falla de seguridad inherente en su servicio web. <\/p>\n
De vez en cuando, durante el an\u00e1lisis posterior a la infracci\u00f3n, los analistas del CSIRT pueden encontrar contratiempos al conectar los puntos. Pero la verdad siempre prevalecer\u00e1 con la suficiente paciencia y una mentalidad correcta.<\/p>\n
Lo que debes considerar<\/strong><\/h2>\nEn conclusi\u00f3n, la gesti\u00f3n eficaz del intervalo de tiempo crucial de una hora despu\u00e9s de un incidente cr\u00edtico requiere m\u00e1s que aprender en el acto. <\/p>\n
Adem\u00e1s de las especialidades t\u00e9cnicas, los analistas experimentados del CSIRT tambi\u00e9n se beneficiar\u00e1n de una amplia preparaci\u00f3n sobre sus activos y sus adversarios, la priorizaci\u00f3n de tareas y la toma de decisiones r\u00e1pidas cuando sea necesario, as\u00ed como la capacidad de discernir hechos concretos mediante el proceso de eliminaci\u00f3n. .<\/p>\n
Este es solo otro extracto de las historias en el Navegador de seguridad<\/a>. All\u00ed tambi\u00e9n se pueden encontrar otras cosas interesantes, como operaciones reales de CSIRT y pentesting, as\u00ed como toneladas de datos y cifras sobre el panorama de la seguridad en general. El informe completo est\u00e1 disponible para su descarga en el sitio web de Orange Cyberdefense, as\u00ed que eche un vistazo. \u00a1Vale la pena!<\/p>\n[1] Midler, Marisa. “Amenazas de ransomware como servicio (Raas)”. SEI Blog, 5 de octubre de 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n[2] “Fases de un Incidente Cr\u00edtico”. Eddusaver, 5 de mayo de 2020, https:\/\/www.eddusaver.com\/fases-de-un-incidente-critico\/<\/a><\/i><\/p>\nNota – <\/b>Este art\u00edculo fue escrito y contribuido por Tingyang Wei, analista de seguridad de Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n<\/div>\n
En conclusi\u00f3n, la gesti\u00f3n eficaz del intervalo de tiempo crucial de una hora despu\u00e9s de un incidente cr\u00edtico requiere m\u00e1s que aprender en el acto. <\/p>\n
Adem\u00e1s de las especialidades t\u00e9cnicas, los analistas experimentados del CSIRT tambi\u00e9n se beneficiar\u00e1n de una amplia preparaci\u00f3n sobre sus activos y sus adversarios, la priorizaci\u00f3n de tareas y la toma de decisiones r\u00e1pidas cuando sea necesario, as\u00ed como la capacidad de discernir hechos concretos mediante el proceso de eliminaci\u00f3n. .<\/p>\n
Este es solo otro extracto de las historias en el Navegador de seguridad<\/a>. All\u00ed tambi\u00e9n se pueden encontrar otras cosas interesantes, como operaciones reales de CSIRT y pentesting, as\u00ed como toneladas de datos y cifras sobre el panorama de la seguridad en general. El informe completo est\u00e1 disponible para su descarga en el sitio web de Orange Cyberdefense, as\u00ed que eche un vistazo. \u00a1Vale la pena!<\/p>\n [1] Midler, Marisa. “Amenazas de ransomware como servicio (Raas)”. SEI Blog, 5 de octubre de 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n [2] “Fases de un Incidente Cr\u00edtico”. Eddusaver, 5 de mayo de 2020, https:\/\/www.eddusaver.com\/fases-de-un-incidente-critico\/<\/a><\/i><\/p>\n Nota – <\/b>Este art\u00edculo fue escrito y contribuido por Tingyang Wei, analista de seguridad de Orange Cyberdefense.<\/i><\/p>\n <\/p>\n<\/div>\n