Ciberseguridad Tema 4: Medidas de Implementación

Study Notes

Introducción a la unidad formativa 4: Muestra las actividades de las fases de contención, remediación y recuperación de incidentes de seguridad, con los procedimientos y planes asociados.
Medidas de contención: Describe diferentes estrategias de contención de incidentes, las actividades del proceso de contención, la importancia de la conciencia situacional y la obtención de evidencia forense.
Medidas de recuperación: Explica los procesos de erradicación, limpieza y recuperación ante ciberincidentes, mostrando escenarios de recuperación y métricas de mejora.
Procedimientos y planes de contención y recuperación: Detalla el contenido de un plan de recuperación, incluyendo los procesos de recuperación, criterios de inicio y fin de un incidente, la identificación de la causa raíz, la estrategia de contención y comunicaciones. Explica la realización de un playbook para incidentes de seguridad.

Contención: Consiste en limitar los daños y detener al atacante, manteniendo la organización en funcionamiento, evitando que el incidente se extienda a otros sistemas o redes.
Conciencia situacional: Recopilar toda la información disponible tras la detección de un incidente, con registros del sistema, registros de política de cortafuegos y otros datos de seguridad. Se debe asegurar la integridad y la indexación de la información para poder realizar búsquedas orientadas.
Evidencias: Recopilar evidencias y analizar la magnitud del ataque, realizar una investigación forense.
Gestión de dispositivos: Disponer de un punto de gestión central para consultar las evidencias, acelerar el proceso y verificar si se ha robado o perdido información. Se recomienda el uso de herramientas para crear y analizar imágenes de disco.

Estrategias: La organización debe considerar el impacto de las estrategias de contención en su capacidad operativa, evaluando posibles daños y costos. Algunos criterios para la evaluación son: ¿Qué podría ocurrir si el incidente no se contuviera? ¿Hay daños o robo de activos? ¿Es necesario preservar las pruebas? y ¿Es necesario evitar alertar al atacante?.
Priorización: Es esencial tomar una decisión estratégica sobre cómo proceder, si desconectar inmediatamente los sistemas o recopilar primero toda la información.
Minimizar interrupciones: Minimizar el tiempo de inactividad del sistema para evitar pérdidas monetarias.
Mantenimiento de la operación: Priorizar que la organización pueda seguir operando de forma eficaz.

Disponer de mecanismos para la suspensión del servicio: Es posible que no sea posible retornar a la normalidad, y el objetivo es mantener, en la medida de lo posible, la operación con acceso para usuarios válidos, e impedir el acceso al atacante.
Evidencias: La obtención de las evidencias y el análisis para determinar la causa raíz es esencial en una investigación forense.
Análisis forense: Es un proceso de investigación para determinar qué se ha alterado, cómo se ha alterado y quién lo ha realizado.
Protección de Datos: Es importante la preservación de pruebas para la investigación.
Actualización de cortafuegos: Actualizar las reglas de filtrado de los cortafuegos para evitar intrusiones.

Erradicación y sanitización: Eliminación de los artefactos del incidente, como el código malicioso, para retornar a la normalidad las operaciones.
Conciencia situacional: Asegurarse de todos los medios de acceso persistente a la red han sido contabilizados y la actividad del adversario contenida.
Medidas: Identificar y mitigar las vulnerabilidades explotadas, informar a partes afectadas external e internas (incluyendo medios de comunicación, clientes y entidades gubernamentales), y realizar la limpieza o sanitización de sistemas afectados.
Restauración: Hay distintos escenarios para la recuperación, desde la limpieza de los artefactos maliciosos al reemplazo de archivos con versiones limpias, hasta la reconstrucción total del sistema.

Plan de recuperación: Un componente crucial para la recuperación ante incidentes, estableciendo procedimientos, roles y responsabilidades para abordar incidentes futuros.
Puntos clave: El plan debe incluir una lista de las partes afectadas, criterios de inicio y fin, comunicación efectiva, y procesos a seguir.
Autoridad y personal: Definir a los responsables de activar el plan, miembros del equipo, contacto, y preparación previa para implementar el plan.
Acuerdos de nivel de servicio: Especificar compromisos de disponibilidad y servicios.
Almacenamiento: Detalles sobre el almacenamiento fuera de las instalaciones para seguridad en caso de cifrado de datos (ransomware).
Información: Detalles de las tareas y recuperación de instalaciones físicas y digitales. Incluye cómo se comunicará con el personal externo o interno.