¿Está segura tu empresa?

Procedimientos de detección y respuesta frente a incidentes de ciberseguridad

1. Es importante contar con procedimientos de detección y respuesta frente a incidentes de ciberseguridad y buenas prácticas para acometerlos.

2. Los mapas de amenazas son un tipo de control preventivo que impiden y detectan problemas de seguridad.

3. La empresa Sqrrl de AWS estimó en 205 días el plazo medio que un equipo blue team necesita para localizar un intruso en los sistemas de activos de una organización.

4. Un blue team es un equipo de expertos que realiza un análisis continuado de los sistemas de información para garantizar la seguridad y verificar la efectividad de cada medida de seguridad desplegada.

5. Las APT constituyen un ejemplo de amenaza que puede romper cualquier sistema de ciberseguridad centrado en el factor humano.

6. Un procedimiento de análisis de amenazas y la configuración de nuestro mapa corporativo requieren una estrategia adecuada.

7. Disponer de una herramienta SIEM permite almacenar e interpretar registros relativos al sistema de ciberseguridad y establecer alertas sobre anomalías o patrones de comportamiento sospechosos.

8. El SIEM nos permitirá desarrollar tareas como la agregación de datos, la correlación mediante búsqueda de atributos comunes, el control de cumplimiento efectivo de los umbrales previstos en nuestros procedimientos de seguridad, y el almacenamiento de registros que permitan análisis de series históricas.

9. Es necesario establecer un listado de actividades/comportamientos sospechosos a partir de la recopilación de datos y telemetrías de comportamiento de los usuarios.

10. Disponer de herramientas de protección de puestos de usuario permite interpretar las amenazas en tiempo real y correlacionarlas con anomalías de redes y otras áreas de interés en materia de monitorización preventiva.

11. La monitorización de proxy nos permite obtener indicadores sobre tráfico enviado a través de servidores proxy o firewalls y programar registros de cualquier tipo de patrones de exfiltración en los datos.

12. Es necesario establecer una estrategia para proteger los activos alineados con la criticidad de los activos de acuerdo con la postura de seguridad y disponer de herramientas que permitan mejorar la capacidad de detección y elaboración de mapas de amenazas.Cómo monitorizar y analizar amenazas informáticas para proteger tu empresa

13. La monitorización y análisis de amenazas es esencial para proteger la seguridad de una empresa.

14. Se pueden utilizar herramientas como SIEM para recopilar y analizar registros de eventos de seguridad.

15. Las soluciones SIEM modernas pueden correlacionar previamente los registros de seguridad para identificar amenazas sin necesidad de una ingesta de datos completa.

16. Es importante monitorizar el movimiento lateral y los intentos de inicio de sesión con credenciales explícitas.

17. También es importante detectar registros de usuarios añadidos a grupos de usuarios con privilegios de acceso.

18. Los sistemas EDR son herramientas de monitorización de puestos de trabajo que se centran en el comportamiento del usuario y la telemetría.

19. El software antivirus tiene limitaciones y se debe monitorizar otros registros para detectar intrusiones.

20. Las técnicas Yara permiten realizar análisis de malware basado en formas.

21. Si una empresa no tiene recursos suficientes para adquirir una solución SIEM comercial, puede utilizar herramientas de código abierto como Sysmon y la pila ELK.

22. Es importante tener un equipo de blue team bien preparado y coordinado para realizar el análisis de amenazas.

23. El equipo debe tener roles de supervisión, control de host, análisis de forense, análisis de inteligencia y respuesta a incidentes.

24. La monitorización y análisis de amenazas debe ser constante y actualizada para mantener la seguridad de la empresa.