Gestión de Ciberincidentes en España

Questions and Answers

¿Cuál de las siguientes amenazas se clasificaría como de nivel crítico?

• Phishing
• Ciberterrorismo (correct)
• Explotación de vulnerabilidades
• Sabotaje e interrupciones

En el nivel alto de peligrosidad, ¿qué tipo de intento de intrusión se menciona?

• Robo de identidad
• Configuración de malware
• Explotación de vulnerabilidades
• Compromiso de aplicaciones (correct)

¿Qué categoría de amenazas es considerada de nivel medio?

• Sabotaje e interrupciones
• Correo no deseado (Spam)
• Ingeniería social (correct)
• Contenido sexual o violento

¿Cuál de las siguientes opciones corresponde al nivel de peligrosidad bajo?

Scanning y Sniffing (D)

¿Cuál es una consecuencia del código dañino en el nivel muy alto de peligrosidad?

Distribución de malware (A)

¿Cuál de los siguientes estados de un ciber incidente implica que no hay respuesta por parte del afectado en un periodo determinado?

Cerrado (resuelto sin respuesta) (C)

¿Qué fase inicial implica estar preparado para cualquier suceso relacionado con ciber incidentes?

Fase de preparación (C)

¿Cuál de los siguientes componentes NO es uno de los pilares a considerar en la fase de preparación?

Recuperación de datos (C)

¿Qué estado se describe como 'detección positiva pero el afectado no es vulnerable'?

Cerrado (sin impacto) (B)

¿Qué acción es esencial en la fase de identificación de ciber incidentes?

Registrar y monitorizar eventos (D)

¿Qué sucede en un estado cerrado 'sin resolución y sin repuesto' después de 60 días?

El CSIRT cierra el incidente sin intervención (B)

¿Cuál de las siguientes acciones no se recomienda para la preparación ante ciber incidentes?

Monitorización de redes sin plan previo (C)

¿Cuál de los siguientes aspectos no se menciona como parte de las capacidades para descubrir ciber incidentes?

Capacidad de respuesta rápida (D)

¿Cuál es el tiempo máximo para notificar un incidente clasificado como ALTO?

48 horas (A)

¿Qué tipo de información se debe registrar al abrir un incidente?

Fecha y hora del incidente (A), Descripción del incidente y contramedidas realizadas (C)

¿Qué acción realiza el CSIRT tras recibir una notificación de un posible ciber incidente?

Realizar un análisis inicial (D)

¿Cuál de las siguientes no es una categoría de nivel de notificación obligatoria?

MEDIO (B)

¿Qué elemento es crucial incluir al notificar un ciber incidente?

La taxonomía del incidente (B)

¿Qué debe hacerse tras abrir un incidente?

Asignar un identificador único al caso (C)

¿Qué se debe notificar en caso de contramedidas realizadas?

Las acciones realizadas hasta la notificación al CSIRT (D)

¿Qué se debe incluir en los adjuntos al notificar un ciber incidente?

Documentos que ayuden a conocer la causa del problema (C)

¿Cuál es el objetivo principal de la Guía de Notificación y Gestión de Ciber Incidentes?

Proporcionar directrices a las entidades sobre cómo gestionar incidentes de ciberseguridad (C)

¿Cuál de los siguientes organismos no está relacionado directamente con la ciberseguridad?

Instituto Nacional de Estadística (B)

¿Quiénes son los principales destinatarios de la Guía de Notificación y Gestión de Ciber Incidentes?

Personal de seguridad y técnicos de soporte (D)

¿Qué se debe hacer después de que un afectado notifique un incidente al CSIRT de referencia?

El CSIRT informa al organismo receptor o autoridad competente (B)

¿Qué criterio no se menciona como parte de los niveles para reportar ciber incidentes?

Categorías geográficas del incidente (D)

¿Qué rol desempeña el ESPDEF-CERT en la notificación de incidentes?

Actúa en casos relacionados con la Defensa Nacional (B)

¿Cuál de las siguientes entidades puede ser considerada como órgano receptor de la notificación de un incidente?

AEPD, en casos de afectar al RGPD (A)

¿Qué función tiene el CSIRT en la metodología de reporte de ciberincidentes?

Recibe notificaciones y coordina la respuesta (A)

¿Cuál de los siguientes se considera un contenido abusivo?

Spam enviado sin autorización (B)

¿Qué técnica permite la recopilación de información sin el uso de tecnología?

Ingeniería social (D)

¿Qué representa un ataque de denegación distribuida de servicio (DDoS)?

Sobrecarga de un servicio por múltiples solicitudes (A)

¿Cuál de los siguientes elementos se considera parte del intento de intrusión?

Explotación de vulnerabilidades conocidas (C)

¿Qué método utiliza malware para contactar con un servidor de mando y control?

Algoritmo de Generación de Dominio (DGA) (D)

¿Qué no es una consecuencia de un compromiso de cuenta sin privilegios?

Acceso a datos sensibles (C)

¿Cuál es la función principal del CCN-CERT como canal de comunicación?

Facilitar el reporte de incidentes cibernéticos (D)

El contenido inadecuado puede incluir:

Material visual sexual (B)

¿Cuál es uno de los primeros pasos en la fase de contención de un ciber incidente?

Realizar el triage y evaluar la información disponible (A)

¿Qué medida de contención a corto plazo se debe aplicar en caso de un ciber incidente?

Desconectar equipos de la red (A)

En la fase de mitigación, ¿cuál es una recomendación clave?

Identificar y eliminar el software usado por los atacantes (A)

¿Cuál es el objetivo principal de la fase de recuperación?

Volver el nivel de operación a su estado normal (C)

¿Qué se debe hacer en la fase post-incidente?

Realizar un informe que detalle la causa del incidente y medidas de prevención (D)

¿Cuál de los siguientes es un indicador recomendado para medir la gestión de incidentes?

Estado de cierre de los incidentes (B)

¿Qué acción se recomienda realizar a largo plazo tras un ciber incidente?

Aplicar parches de seguridad específicos (C)

Durante el triage de un ciber incidente, ¿qué aspectos son esenciales de evaluar?

El tipo y criticidad de la información y sistemas afectados (B)

Flashcards

Nivel de Peligrosidad: Crítico

Este nivel representa el mayor riesgo potencial, incluyendo amenazas como los ataques de actores avanzados persistentes (APT), ciberterrorismo y daños informáticos graves.

Nivel de Peligrosidad: Muy Alto

Este nivel incluye ataques de malware, intentos de intrusión y sabotaje, que pueden resultar en daños significativos.

Nivel de Peligrosidad: Alto

Este nivel agrupa amenazas como el contenido abusivo, los ataques DoS/DDoS, el acceso no autorizado a información y el phishing.

Nivel de Peligrosidad: Medio

Este nivel engloba ataques como el discurso de odio, la ingeniería social y el compromiso de cuentas con privilegios.

Nivel de Peligrosidad: Bajo

Este nivel abarca amenazas como el spam, el escaneo y el compromiso de cuentas sin privilegios.

CCN-CERT

El Centro Criptológico Nacional del Centro Nacional de Inteligencia.

Guía de Notificación y Gestión de Ciber Incidentes

La Guía de Notificación y Gestión de Ciber Incidentes, aprobada en 2019 y actualizada en 2020, es una referencia estatal para la notificación de ciber incidentes.

RSI (Responsables de Seguridad de la Información)

Los Responsables de Seguridad de la Información (RSI) son responsables de cumplir con las obligaciones de reporte de incidentes de ciberseguridad.

CSIRT

Un equipo de respuesta a incidentes de seguridad informática (CSIRT) maneja y responde a incidentes de seguridad informática.

SOC

Un centro de operaciones de ciberseguridad (SOC) monitoriza y detecta amenazas de ciberseguridad.

Ventanilla Única de Notificación

La Ventanilla Única de Notificación es un proceso de notificación centralizado para los incidentes de ciberseguridad.

ESPDEF-CERT

El ESPDEF-CERT es un organismo de ciberdefensa de las Fuerzas Armadas que recibe reportes relacionados con la Defensa Nacional.

CNPIC

El CNPIC es el centro de referencia para incidentes que afectan a la Infraestructura Crítica.

Delito de odio

Contenido difamatorio o discriminatorio que busca dañar la reputación de una persona o grupo.

Contenido sexual o inadecuado

Material visual que contiene contenido sexual explícito o inadecuado.

Malware

Software que se instala en un sistema sin el conocimiento del usuario, con el objetivo de dañarlo o robar información.

Servidor C&C (Mando y Control)

Servidor que controla y da instrucciones a las computadoras infectadas con malware.

Sniffing

Analizar paquetes de datos en una red para observar y registrar el tráfico de información.

Ingeniería social

Recopilación de información personal sin utilizar tecnología, por ejemplo, a través de engaños o manipulación.

Explotación de vulnerabilidades conocidas

Aprovechar vulnerabilidades conocidas en un sistema para acceder a él o interrumpir su funcionamiento.

Niveles de Notificación

Los incidentes se categorizan como CRÍTICO, MUY ALTO o ALTO, con tiempos específicos de notificación (inmediata, 12 horas o 48 horas).

Herramientas de Notificación CSIRT

Los equipos de respuesta a incidentes (CSIRT) utilizan herramientas especiales para gestionar y controlar los incidentes.

Apertura de un Incidente

Tras la notificación, el CSIRT realiza un análisis inicial para determinar si es un ciberincidente que necesita gestión.

Registro e Información Inicial

Un ciberincidente se registra y se le asigna una clasificación de peligrosidad e impacto, que se comunica al informante.

Identificador Único del Incidente

El CSIRT asigna un identificador único a cada incidente para facilitar la comunicación.

Información a Notificar

El CSIRT necesita información detallada del incidente, como el tipo de evento, la fecha, el impacto y las acciones tomadas.

Estados y Valores de Cierre

El CSIRT mantiene el incidente en estado abierto durante todas las fases de gestión, tomando las acciones necesarias.

Regulación Afectada

La normativa específica para cada tipo de incidente (como ENS, GDPR, NIS) debe estar definida e identificada.

Gestión de incidentes

Una etapa en la gestión de ciber incidentes donde se ponen en marcha las acciones necesarias para prevenir que sucedan o, en caso de que ocurran, restaurar las operaciones lo antes posible.

Fase de preparación

Fase en la que se preparan las herramientas y protocolos para responder a un posible ciber incidente. Abarca aspectos como la formación del equipo, la actualización de contactos y la creación de planes de acción.

Fase de identificación

Fase en la que se identifiquen o detecten los ciber incidentes. Es esencial una monitorización completa del sistema para encontrar anomalías.

Cerrado (resuelto con respuesta)

Indica que el ciber incidente ha sido resuelto y no hay ninguna amenaza activa. Esto significa que el afectado ha solucionado el problema y lo ha notificado al CSIRT.

Cerrado (sin impacto)

Este estado se aplica cuando, a pesar de la detección del ciber incidente, el afectado no es vulnerable o no se ve afectado por la amenaza.

Cerrado (falso positivo)

Define el estado del ciber incidente cuando se identifica una amenaza, pero el afectado ha estado monitoreando los sistemas y aplicaciones y no se ha detectado un incidente real.

Cerrado (sin resolución y sin respuesta)

El incidente se cierra después de 60 días si el afectado no ha proporcionado información sobre la resolución del incidente.

Cerrado (sin resolución y con respuesta)

Se utiliza cuando el afectado no pudo resolver el ciber incidente, incluso con la ayuda del CSIRT, o no pudo solucionar el problema por sí mismo.

Fase de Contención

La fase consiste en identificar y evaluar el incidente, clasificar la criticidad y priorizar la respuesta, considerando los sistemas y la información afectados. Se buscan impactos en el negocio e incluye acciones como la recopilación de evidencia y la documentación de las medidas tomadas.

Documentar Acciones

Consiste en documentar las acciones tomadas durante la gestión del incidente, incluyendo las herramientas de notificación utilizadas y la recopilación de evidencia para una investigación forense. Se busca mantener la cadena de custodia de la evidencia.

Preservar la Cadena de Custodia

Se busca garantizar que la evidencia del incidente no se contamine. Se requiere seguir un protocolo específico para preservar la evidencia.

Medidas de Contención a Corto Plazo

Medidas a corto plazo para limitar el impacto del incidente. Pueden incluir desconectar equipos de la red, filtrar o aislar la red, o redirigir o bloquear el tráfico externo.

Medidas de Contención a Largo Plazo

Medidas a largo plazo para eliminar la causa del incidente. Pueden incluir aplicar parches de seguridad, eliminar procesos sospechosos, cambiar contraseñas comprometidas, o aplicar filtros de red adicionales.

Fase de Mitigación

Esta fase busca identificar las causas y síntomas del incidente para comprender su origen y la forma en que se desarrolló. Se busca eliminar el software malicioso usado por los atacantes y recuperar la última copia de seguridad limpia.

Fase de Recuperación

Busca restaurar el nivel de operación a su estado normal, permitiendo que las áreas de negocio afectadas retomen su actividad. Se debe definir un período de tiempo con medidas adicionales de monitorización de los sistemas antes de la puesta en producción.

Fase Post-Incidente

Analizar el incidente para identificar las causas y lecciones aprendidas. Se elabora un informe detallado que incluye la descripción del incidente, su costo, y las medidas de prevención para evitar situaciones similares.

Study Notes

Metodología de Notificación y Seguimiento de Incidentes de Ciberseguridad

• La Guía de Notificación y Gestión de Ciberincidentes (2019-2020) es la referencia estatal sobre notificaciones de ciberincidentes en España. Ofrece un marco para reportar incidentes.
• Destinatarios: Responsables de Seguridad (RSI), Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), Centros de Operaciones de Ciberseguridad (SOC), personal de apoyo técnico, gestores de ciberseguridad.
• La guía proporciona directrices a los RSI para cumplir con las obligaciones de notificación de incidentes.
• Los organismos deben notificar ciberincidentes que afecten a su infraestructura tecnológica, incluyendo su alcance, nivel de peligrosidad e impacto.
• La Ventanilla Única de Notificación (correo electrónico o ticket al CSIRT de referencia) es el primer paso.
• El CSIRT de referencia (INCIBE-CERT o CCN-CERT) evalúa el incidente y lo comunica al organismo receptor/autoridad competente (ESPDEF-CERT, CNPIC, AEPD, CCN-CERT según el nivel del incidente).
• El organismo receptor/autoridad se comunica con el afectado para obtener datos del incidente.
• Los datos necesarios son compartidos con las autoridades competentes.
• Se pueden iniciar investigaciones policiales o judiciales, según corresponda.

Taxonomía de Ciberincidentes

• Contenido Abusivo: Spam, delitos de odio, contenido sexual o inadecuado.
• Contenido Dañino: Malware, servidores Command & Control (C&C).
• Obtención de información: Scanning, Sniffing, Ingeniería Social.
• Intento de Intrusión: Explotación de Vulnerabilidades.
• Intrusión: Compromiso de cuanta o robo de información.
• Disponibilidad: Denegación de Servicio (DoS), Denegación de Servicio Distribuida (DDoS), sabotaje físico.
• Compromiso de Información: Acceso no autorizado, modificación o pérdida de datos.
• Fraude: Uso no autorizado de recursos, suplantación, fraudes.
• Vulnerabilidades: Criptografía débil, sistemas vulnerables.
• Otros: Ciberterrorismo, amenazas persistentes avanzadas (APT), daños a infraestructuras críticas (PIC).

Niveles de Peligrosidad e Impacto

• Nivel de Peligrosidad: determina la potencial amenaza que un incidente puede representar (Crítico, Muy Alto, Alto, Medio, Bajo).
• Nivel de Impacto: mide las consecuencias del incidente en la organización afectada (Crítico, considera impactos en seguridad nacional, ciudadanía, servicios esenciales. Afecta a la vida, o infraestructuras críticas).
• Importantes impactos reputacionales, económicos o geográficos se consideran criterios para establecer los niveles.
• Es obligatoria la notificación de incidentes con niveles CRÍTICO (inmediata), MUY ALTO (12 horas) o ALTO (48 horas).

Gestión de Incidentes

• La gestión de incidentes se realiza en fases (Preparación, Identificación, Contención, Mitigación, Recuperación, Post-Incidente).
• La fase de preparación implica la definición de políticas, procedimientos y recursos humanos para afrontar posibles incidentes.
• La fase de identificación se centra en la detección y análisis del ciberincidente.
• La fase de contención limita el alcance del incidente.
• La fase de mitigación reduce los efectos del incidente.
• La fase de recuperación restaura los servicios y actividades afectadas.
• El proceso post-incidente busca aprender de la experiencia para prevenir futuros incidentes.