Tema 4. Implementación de Medidas de Ciberseguridad - PDF

Summary

Este documento trata sobre la implementación de medidas de ciberseguridad, incluyendo la contención y recuperación de incidentes. Se describen diferentes estrategias de contención, la importancia de la conciencia situacional, y las técnicas forenses para la recopilación de evidencias. Se discute la necesidad de planes y procedimientos para la contención y recuperación, incluyendo la toma de decisiones estratégicas en incidentes.

Full Transcript

# Tema 4. Implementación de medidas de ciberseguridad ## 4.1. Introducción a la unidad formativa La unidad formativa 4 "Contención y respuesta de incidentes de seguridad" muestra las principales actividades de las fases de contención, remediación y recuperación de un incidente de seguridad, así co...

# Tema 4. Implementación de medidas de ciberseguridad ## 4.1. Introducción a la unidad formativa La unidad formativa 4 "Contención y respuesta de incidentes de seguridad" muestra las principales actividades de las fases de contención, remediación y recuperación de un incidente de seguridad, así como los procedimientos y planes asociados. A continuación se describen los bloques en que se ha dividido. - **Medidas de contención:** muestra diferentes estrategias de contención de incidentes, así como las principales actividades del proceso de contención. Además, incide en la importancia de obtener una correcta conciencia situacional y en la obtención de evidencias mediante técnicas forenses. - **Medidas de recuperación:** explica en qué consisten los procesos de erradicación, limpieza y recuperación ante un ciberincidente. Muestra los principales escenarios de recuperación, así como neutralizar los principales ciberincidentes. Se establecen también métricas que pueden ayudar a mejorar la fase de recuperación. - **Procedimientos y planes de contención y recuperación:** detalla el contenido de un plan de recuperación tales como los procesos de recuperación a aplicar, los criterios de inicio y fin, la determinación de la causa raíz y la estrategia de contención y las comunicaciones. También explica que realizar un playbook de un incidente. Esta unidad formativa se complementa con una actividad relacionada con la realización de un playbook para un incidente de seguridad. ## 4.2. Medidas de contención de incidentes ### Contención La contención de un incidente de ciberseguridad consiste en limitar los daños y detener al atacante. Hay que encontrar la manera de limitar el riesgo de la organización y al mismo tiempo mantenerla en funcionamiento. Hay que evitar que el incidente se extienda a otros sistemas, dispositivos y redes, tanto dentro de su organización como fuera de ella. ### Conciencia situacional Tras la detección de un incidente, es esencial recopilar toda la información disponible sobre las actividades en torno al marco temporal y espacial del incidente. La recopilación el archivo centralizado de la información de seguridad (por ejemplo, registros del sistema, registros de la política de cortafuegos) proporciona al analista un fácil acceso a esta información. Los factores importantes a tener en cuenta son la integridad de la información y la indexación para poder realizar búsquedas orientadas en esa ingente cantidad de información. Podría ser necesaria una investigación forense para recoger todas las evidencias y examinar la magnitud y análisis en profundidad del ataque. Evidencias recogidas como parte de la investigación inicial pueden utilizarse posteriormente para buscar nuevas intrusiones a gran escala en todos los dispositivos gestionados. Disponer de un punto de gestión central que sea capaz de consultarlas puede acelerar este proceso. También se debe verificar si se ha perdido/robado información. Herramientas para crear y analizar imágenes de disco completas y de memoria (remotas) de una máquina sospechosa son útiles para realizar este análisis. Durante un incidente habrá una gran presión para actuar rápidamente. Pero para evitar errores innecesarios, es muy importante tener una conciencia situacional y pensar antes de actuar. La organización también debe considerar de antemano el impacto que pueden tener las distintas estrategias de contención respecto la capacidad de la organización para operar eficazmente. Por ejemplo, desconectar un sistema crítico durante horas para adquirir imágenes de disco y otros datos podría afectar negativamente las operaciones de la organización. Un tiempo de inactividad significativo podría dar lugar a pérdidas monetarias sustanciales. Por tanto, se debe tener cuidado para minimizar las interrupciones de las operaciones de una organización. ### Estrategias Al principio de esta fase, se tendrá que tomar una importante decisión estratégica -¿Desconectar los sistemas inmediatamente para recuperarse lo antes posible? ¿O tomarse el tiempo necesario para reunir pruebas contra el ciberdelincuente que comprometió al sistema? Probablemente se tendrá que encontrar un equilibrio entre estas dos opciones. La decisión que tome la organización dependerá del alcance, magnitud e impacto del incidente. Los siguientes criterios influyen en la evaluación: - ¿Qué podría ocurrir si el incidente no se contuviera? - ¿El ataque o la brecha de seguridad está causando un daño grave e inmediato? - ¿Hay daños (potenciales) y/o robo de activos? - ¿Es necesario preservar las pruebas? Y si es así, ¿qué fuentes de pruebas debe adquirir la organización? ¿Dónde se almacenarán las pruebas? ¿Cuánto tiempo deben conservarse las pruebas? - ¿Es necesario evitar alertar al hacker? - ¿Es necesario garantizar la disponibilidad del servicio o es posible la suspensión del servicio? (por ejemplo, servicios prestados internos, a partes externas) En algunos casos no será posible volver (directamente) a la normalidad. Cuando esto sucede, el objetivo de la contención debe ser hacer los mayores esfuerzos para volver a una situación de normalidad, es decir, conseguir que el sistema sea operativo preservando el acceso para los usuarios legítimos, mientras se bloquea al atacante. La siguiente figura resume las principales cuestiones que debe plantearse el equipo de respuesta a incidentes antes de elegir una estrategia u otra. - **DISCONNECT?** Will you shut down the system and/or disconnect the network in order to be able to recover as fast as possible? VS **WATCH AND LEARN?** Will you continue operations for the time being and monitor the activity in order to be able to perform advanced forensics and gather as much evidence as possible? - **You will alert the perpetrator that you have discovered him** This approach does not allow for a thorough investigation. You might miss something and so the problem might reappear and you will have to start over (or worse). - **A quick response can help reduce the window of time an attacker or malware has to spread into your system and networks.** This is the fastest way back to business - **Forensics can take time, so it might take a little longer to get back to business as usual.** This is a more thorough approach and you are more likely to tackle the root causes of the problem and get rid of it for good - **Gathering evidence is essential if you want to find and prosecute the attacker** La contención es importante antes de que un incidente desborde los recursos o aumente los daños. La mayoría de los incidentes requieren contención, por lo que debe ser consdierado al principio de la gestión de cada incidente. La contención proporciona tiempo para desarrollar una estrategia de reparación a medida. Una parte esencial de la contención es la toma de decisiones (por ejemplo, apagar un sistema, desconectarlo de la red, desactivar ciertas funciones). Estas decisiones son mucho más fáciles de tomar si existen estrategias y procedimientos predeterminados para contener el incidente. Las organizaciones deben definir los riesgos aceptables para hacer frente a los incidentes y desarrollar estrategias en consecuencia. Las estrategias de contención varían en función del tipo de incidente. Por ejemplo, la estrategia de contención de una infección de malware transmitida por correo electrónico es muy diferente a la de un ataque DDoS basado en la red. Las organizaciones deben crear estrategias de contención separadas para cada tipo de incidente importante, con criterios claramente documentados para facilitar la toma de decisiones. Los criterios para determinar la estrategia adecuada incluyen: - Daño potencial y robo de recursos - Necesidad de preservar las pruebas - Disponibilidad del servicio (por ejemplo, conectividad de la red, servicios prestados a partes externas) - Tiempo y recursos necesarios para aplicar la estrategia - Eficacia de la estrategia (por ejemplo, contención parcial, contención total) - Duración de la solución (por ejemplo, solución de emergencia que se eliminará en cuatro horas, solución temporal que se eliminará en dos semanas, solución permanente). Una medida que se suele tomar para contener un incidente es asegurar el perímetro alrededor del activo o activos afectados y limitar el acceso al personal autorizado durante el proceso de recopilación de evidencias para garantizar que las pruebas no se alteren. Además, se debe elaborar una lista de todos los usuarios que tienen acceso a estos activos, porque estas personas pueden ser capaces de proporcionar contraseñas o información sobre la ubicación de datos específicos. En el caso concreto que el activo afectado sea un ordenador conectado a una red y hayamos decido desconectar de la red, esto puede impedir que los usuarios remotos modifiquen los datos del ordenador. Si el ordenador utiliza una conexión de red inalámbrica, el adaptador de red externo puede ser desconectado o desactivar el adaptador de red interno para cortar la conexión de red. Si ninguna de las dos opciones es posible, apagar el punto de acceso a la red inalámbrica. Además, podría haber más de un punto de acceso dentro del alcance del ordenador. Algunos adaptadores de red inalámbrica intentan conectarse automáticamente a otros puntos de acceso cuando el punto de acceso principal no está disponible, por lo que contener el incidente de esta manera podría implicar la desconexión de varios puntos de acceso. En ciertos casos, algunas organizaciones redirigen al atacante a una sandbox (una forma de contención) para poder supervisar la actividad del atacante, normalmente para reunir pruebas adicionales. Formas de monitorizar la actividad de un atacante que no sea sandboxing se desaconsejan. Si una organización sabe que un sistema ha sido comprometido y permite que el ataque continúe, puede ser responsable si el atacante utiliza el sistema comprometido para atacar otros sistemas. Si se utiliza la estrategia de contención retardada es necesario tener suficiente control para evitar que el atacante pueda escalar el acceso no autorizado o comprometer otros sistemas. Otro problema potencial con respecto a la contención es que algunos ataques pueden causar daños adicionales cuando son contenidos. Por ejemplo, un host comprometido puede ejecutar un proceso malicioso que hace un ping a otro host periódicamente. Cuando el gestor de incidentes intenta contener el incidente desconectando el host comprometido de la red, los siguientes pings fallarán. Como resultado del fallo, el proceso malicioso puede sobrescribir o cifrar todos los datos del disco duro del host. Los administradores no deben asumir que sólo porque un host ha sido desconectado de la red, se han evitado más daños al host.

Use Quizgecko on...
Browser
Browser