Tema 2. Auditoría de incidentes de ciberseguridad PDF

# Tema 2. Auditoría de incidentes de ciberseguridad ## Triage El triage es un sistema que utiliza el personal sanitario o de urgencias para racionar recursos médicos limitados cuando el número de personas que precisan asistencia supera los recursos disponibles, con el fin de tratar al mayor número de pacientes posible estableciendo prioridades. El triage es un elemento esencial de la capacidad de gestionar incidentes. El triage resulta decisivo para entender lo que se está comunicando en toda la organización. Es el vehículo por el que toda la información llega a un único punto de contacto, lo que permite adoptar una visión empresarial de la actividad y correlacionar de un modo exhaustivo todos los datos comunicados. El triage permite realizar una evaluación inicial de un informe entrante y lo registra a la espera de que se le dé curso. También constituye un punto de partida para empezar a trabajar con la documentación y con la entrada de datos de un informe o una petición, si no se ha hecho ya en el proceso de detección. La función de triage facilita una instantánea de la situación de toda la actividad comunicada (informes abiertos y cerrados, acciones pendientes, número de informes de cada tipo recibidos). Este proceso puede ayudar a identificar problemas de seguridad potenciales y a establecer prioridades de trabajo. La información recogida durante el triage también se puede usar para determinar pautas de vulnerabilidad e incidentes y generar estadísticas para los ejecutivos de alto nivel. Sólo se deben encargar del triage los miembros del equipo con más experiencia, pues el proceso requiere un conocimiento profundo de las repercusiones potenciales de los incidentes en cada parte del grupo atendido, así como la capacidad de decidir qué miembro del equipo debe encargarse del incidente. ## Paso 3. Acciones Por lo general, los incidentes sometidos a triage se incluyen en la cola de peticiones de una herramienta de tratamiento de incidentes cuyos usuarios dan los pasos siguientes. ### Resguardo de incidente El número del resguardo de incidente ya se debería haber generado en un paso previo (por ejemplo, cuando se comunicó el incidente por teléfono). Si no es así, el primer paso será crearlo, para utilizarlo en las comunicaciones posteriores sobre el incidente. ### Ciclo de vida del incidente Al tratar un accidente no se sigue una línea de pasos que al final llevan a una solución, sino un círculo de pasos que se aplican repetidamente hasta que el incidente se resuelve por fin y todas las partes implicadas disponen de toda la información necesaria. ### Informe de tratamiento de incidente Prepare informes que le ayudarán a responder a las preguntas de la dirección sobre los incidentes. También es una buena práctica escribir un documento (sólo de uso interno) sobre las <<lecciones aprendidas>>, que servirá para que el personal evite errores en el tratamiento de futuros incidentes. ### Archivo Se archivará toda la información relativa al incidente para tener un histórico y mediciones de cara a futuro que permitan mejorar nuestras capacidades ciberseguridad. ## 2.6. Fuentes e intercambio de información y etiquetado de incidentes ### Fuentes de información Las fuentes de datos representan los diversos objetos de información de nuestra infraestructura tecnológica que pueden ser recogidos por los sensibles/dispositivos que están desplegados. Las fuentes de datos también incluyen componentes de datos, que identifican propiedades/valores específicos de una fuente de datos relevantes para detectar una determinada anomalía. Una pregunta que hay que hacerse a la hora de seleccionar las fuentes de datos es si se están recopilando los datos correctos para detectar, investigar y responder efectivamente a las amenazas de la organización, puesto que no podremos detectar y analizar aquello que no “vemos”. Una vez determinado las fuentes de datos es muy importante priorizar conforme a su importancia, puesto que inicialmente no podremos integrar todas las fuentes de datos para la gestión de las diferentes ciberamenazas que se ciernen, deberá ser de una manera progresiva y conforme van madurando las capacidades de ciberseguridad de la organización, puesto que un exceso de información recogida puede desencadenar en una saturación e inabordable gestión y análisis de estas. La tabla disponible en ATTACK MITRE (s. f.) muestra algunas de las fuentes de datos a considerar para la gestión de incidentes. Accede a la tabla a través del siguiente enlace: https://attack.mitre.org/datasources/ ## Ciberinteligencia de amenazas ### ¿Qué es? La inteligencia de ciberamenazas o ciberinteligencia es en lo que se convierte la información sobre ciberamenazas una vez que ha sido recopilada, evaluada en el contexto de su fuente y su fiabilidad, Y analizada a través de técnicas rigurosas y estructuradas. Así la inteligencia sobre ciberamenazas proporciona un valor añadido a la información sobre ciberamenazas, que reduce la incertidumbre para la organización, al tiempo que ayuda a identificar las amenazas y las oportunidades. Requiere que los analistas identifiquen las similitudes y diferencias en grandes cantidades de información y detecten patrones para producir una inteligencia precisa, oportuna y relevante. El proceso de obtención de inteligencia es cíclico, denominado ciclo de inteligencia. En este ciclo se establecen los requisitos; la recogida de datos se planifica, se ejecuta y se evalúa; los resultados se analizan para producir inteligencia; y la inteligencia resultante se difunde y se reevalúa en el contexto de la nueva información. La parte de análisis del ciclo es lo que diferencia a la inteligencia de la recopilación y difusión de información. El análisis de la inteligencia se basa en una forma de pensar rigurosa que utiliza técnicas analíticas estructuradas para garantizar que se identifiquen y gestionen los sesgos, patrones e incertidumbres. En la inteligencia sobre ciberamenazas, el análisis suele girar en torno a la tríada formada por los actores, su intención y capacidad, teniendo en cuenta sus tácticas, técnicas y procedimientos (TTP), sus motivaciones y el acceso a los objetivos previstos. El estudio de esta tríada permite a menudo realizar evaluaciones estratégicas, operativas y tácticas informadas y orientadas al futuro. ## Tipos de inteligencia de amenazas ### La inteligencia estratégica La inteligencia estratégica evalúa elementos de información dispares para formar visiones integradas. Informa a los responsables de la toma de decisiones y de la elaboración de políticas sobre cuestiones generales o a largo plazo y/o proporciona una advertencia oportuna de las amenazas. La inteligencia estratégica sobre ciberamenazas forma una imagen general de la intención y las capacidades de las ciberamenazas maliciosas, incluidos los actores, las herramientas y las TTP, a través de la identificación de tendencias, patrones y amenazas y riesgos emergentes, con el fin de informar a los responsables de la toma de decisiones y de la elaboración de políticas o de proporcionar advertencias oportunas. ### La inteligencia operativa La inteligencia operativa evalúa incidentes específicos y potenciales relacionados con eventos, investigaciones y/o actividades, y proporciona información que puede guiar y apoyar las operaciones de respuesta. La inteligencia operativa o técnica sobre ciberamenazas proporciona inteligencia altamente especializada y técnicamente enfocada para guiar y apoyar la respuesta a incidentes específicos; dicha inteligencia suele estar relacionada con campañas, malware y/o herramientas, y puede venir en forma de informes forenses. ### La inteligencia táctica La inteligencia táctica evalúa eventos, investigaciones y/o actividades en tiempo real, y proporciona apoyo operativo diario. La inteligencia táctica sobre ciberamenazas proporciona apoyo a las operaciones y eventos cotidianos, como el desarrollo de firmas e indicadores de compromiso (IOC). A menudo implica una aplicación limitada de las técnicas tradicionales de análisis de inteligencia. ## Intercambio de información El intercambio de información sobre ciberamenazas es fundamental en la lucha contra los sofisticados ciberadversarios actuales. Como señalan los actores principales "compartir la inteligencia sobre riesgos cibernéticos y las estrategias defensivas se ha convertido en un imperativo en el panorama actual de las amenazas. Ninguna organización puede, de forma realista, permanecer aislada y ser capaz de defenderse". Para los ciberdefensores, el intercambio de amenazas ofrece una imagen más rica de la actividad del adversario y les ayuda a priorizar las ciberdefensas de su organización. La detección de una organización se convierte en la prevención de otra. Además, el intercambio de información sobre amenazas proporciona una forma de realizar avances colectivos contra adversarios que, de otro modo, serían "anónimos" y que atacan a la propia empresa; sus ataques tienen menos éxito porque sus patrones de ataque son conocidos, detectables y obstruidos por los socios que los comparten. Sin embargo, el estado actual de la práctica de compartir información sobre ciberamenazas es un proceso manual que requiere mucho tiempo o un conjunto de soluciones de automatización separadas y específicas para cada comunidad. La capacidad de compartir información sobre ciberamenazas de forma generalizada con múltiples socios y comunidades de intercambio de forma automatizada ha sido posible gracias a diferentes proyectos que han buscado la utilización de un “lenguaje común” que pueda ser entendido por la comunidad. Para este fin, se han desarrollado algunos lenguajes de intercambio siendo los más utilizados: MISP, TAXXI, etc. En los siguientes apartados se describen brevemente los más importantes. ## TAXII TAXII (Trusted Automated eXcchange of Indicator Information) es un proyecto para desarrollar servicios estándar e intercambios de mensajes para facilitar el intercambio de información sobre ciberamenazas a través de los límites de la organización y del producto/servicio. El intercambio de información sobre ciberamenazas, o intercambio de amenazas, consiste en el intercambio de datos procesables sobre ciberamenazas -desde direcciones IP utilizadas por el adversario, x-mailers y malware hasta vulnerabilidades descubiertas y acciones defensivas. TAXII define mecanismos técnicos para el intercambio de información sobre ciberamenazas que son aplicables a una amplia gama de necesidades de intercambio, pero lo suficientemente flexibles como para apoyar los modelos existentes de intercambio de información sobre ciberamenazas. En concreto, TAXII define los servicios y los intercambios de mensajes que pueden formar parte de una infraestructura de intercambio automatizado. TAXII permite a las organizaciones lograr un mejor conocimiento de la situación sobre las amenazas emergentes y les permite compartir fácilmente la información que consideren a terceras partes, todo ello utilizando un único conjunto de herramientas comunes. Implementa los siguientes modelos de intercambio de información: * **Hub and Spoke** Hub and Spoke is a sharing model where one organization functions as the central clearinghouse for information, or hub, coordinating information exchange between partner organizations, or spokes. Spokes can produce and/or consume information from the Hub. * **Source/Subscriber** Source/Subscriber is a sharing model where one organization functions as the single source of information and sends that information to subscribers. * **Peer to Peer** Peer to Peer is a sharing model where two or more organizations share information directly with one another. A Peer to Peer sharing model may be ad-hoc, where information exchange is not coordinated ahead of time and is done on an as-needed basis, may be well defined with legal agreements and established procedures, or somewhere in the middle. ## MISP MISP es una plataforma de inteligencia de amenazas basada en una solución de software de código abierto para recopilar, almacenar, distribuir y compartir indicadores de ciberseguridad e información de inteligencia sobre amenazas, incidentes de ciberseguridad y análisis de malware; detectando y previniendo ataques, fraudes o amenazas contra infraestructuras TIC, organizaciones 0 personas. MISP está diseñado por y para los analistas de incidentes, los profesionales de la seguridad y las TIC o los analistas de malware para apoyar sus operaciones diarias para compartir información estructurada de manera eficiente. El objetivo de MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad a nivel mundial. MISP proporciona funcionalidades para apoyar el intercambio de información, el consumo de dicha información por parte de los Sistemas de Detección de Intrusos de Red (NIDS), SIEMs, etc. **Compartir con humanos** Los datos que almacena están inmediatamente disponibles para la comunidad. Almacene la identificación del evento en su sistema de tickets. **Compartir con máquinas** Mediante la generación de reglas Snort/Suricata/Bro/Zeek IDS, STIX, OpenIOC, exportaciones de texto o csv; MISP permite importar automáticamente los datos a los sistemas de detección, lo que resulta en una mejor y más rápida detección de intrusiones. La importación de datos también puede realizarse de varias maneras: importación de texto libre, OpenIOC, importación por lotes, importación de resultados de sandbox o utilizando las plantillas preconfiguradas o personalizadas. **Compartir el análisis y la correlación** Cuando se añaden nuevos datos, MISP muestra inmediatamente las relaciones con otros observables e indicadores. Esto da lugar a un análisis más eficiente, pero también permite tener una mejor imagen de las TTP, las campañas relacionadas y la atribución. Algunas de las características más importantes de esta plataforma son: * **Una eficiente base de datos de IoC** (Indicator of Compromise. Indicador de compromiso son pistas o evidencias de una brecha de seguridad) e indicadores que permite almacenar información técnica y no técnica sobre muestras de malware, incidentes, atacantes e inteligencia. * **Correlación automática que encuentra relaciones entre atributos e indicadores de malware, campañas de ataques o análisis.** El motor de correlación incluye la correlación entre atributos y correlaciones más avanzadas como la correlación Fuzzy hashing o la coincidencia de bloques CIDR (Classless Inter-Domain Routing. Protocolo que asigna direcciones IP a un bloque). La correlación también se puede activar o desactivar por atributo. * **Un modelo de datos flexible en el que se pueden expresar y enlazar objetos complejos para expresar la inteligencia sobre amenazas, incidentes o elementos conectados.** * **Funcionalidad de compartición incorporada para facilitar la compartición de datos utilizando diferentes modelos de distribución.** MISP puede sincronizar automáticamente eventos y atributos entre diferentes MISP. Se pueden utilizar funcionalidades avanzadas de filtrado para cumplir con la política de compartición de cada organización, incluyendo una capacidad flexible de grupos de compartición y mecanismos de distribución a nivel de atributos. * **Una interfaz de usuario intuitiva para que los usuarios finales puedan crear, actualizar y colaborar en los eventos y atributos/indicadores.** Una interfaz gráfica para navegar sin problemas entre los eventos y sus correlaciones. Una funcionalidad de gráfico de eventos para crear y ver relaciones entre objetos y atributos. Funcionalidades avanzadas de filtrado y lista de avisos para ayudar a los analistas a aportar eventos y atributos. * **Almacenamiento de datos en un formato estructurado** (que permite el uso automatizado de la base de datos para diversos fines) con un amplio soporte de indicadores de ciberseguridad junto con indicadores de fraude como en el sector financiero. * **Exportación:** generación de IDS (Suricata, Snort y Bro son soportados por defecto), OpenIOC, texto plano, CSV, MISP XML 0 JSON de salida para integrar con otros sistemas (IDS de red, IDS de host, herramientas personalizadas) * **Importación:** importación masiva, importación por lotes, importación de texto libre, importación desde OpenIOC, GFI sandbox, ThreatConnect CSV o formato MISP. Herramienta flexible de importación de texto libre para facilitar la integración de informes no estructurados en MISP. * **Importación de feeds:** permite importar e integrar feeds de MISP y cualquier feed de threatintel u OSINT de terceros. Muchos feeds por defecto están incluidos en la instalación estándar de MISP. * **API flexible para integrar MISP con sus propias soluciones.** MISP se incluye con PyMISP, que es una biblioteca Python flexible para obtener, añadir o actualizar los atributos de los eventos, manejar muestras de malware o buscar atributos. * **La taxonomía es ajustable para clasificar y etiquetar eventos siguiendo sus propios esquemas de clasificación o taxonomías existentes.** La taxonomía puede ser local para un MISP, pero también se puede compartir entre las instancias de MISP. MISP viene con un conjunto predeterminado de taxonomías y esquemas de clasificación bien conocidos para soportar la clasificación estándar utilizada por ENISA, Europol, DHS, CSIRTs o muchas otras organizaciones. * **Vocabularios de inteligencia llamados MISP galaxia y agrupados con actores de amenazas existentes, malware, RAT, ransomware o MITRE ATT&CK que pueden ser fácilmente vinculados con eventos en MISP.** * **Compatibilidad con STIX:** exportación de datos en formato STIX (XML y JSON), incluida la exportación/importación en formato STIX 2.0. **Ejemplo de un diagrama de contexto MISP:** [Descripción del diagrama: Dibujo similar a un diagrama de flujo con las siguientes flechas: - Los usuarios se conectan con la interfaz de usuario de MISP. - MISP se conecta con una base de datos. - MISP se conecta con una API que a su vez conecta con los formatos XML y JSON de MISP, OpenIOC, STIX, Suricata, Snort, CSV. - La API conecta con la función GFI import.] ## Ticketing Gestionar la comunicación con múltiples partes interesadas, ya sean los organismos públicos, los CSIRT/CERT nacionales e internacionales, los homólogos de otros equipos de seguridad que colaboran en las respuestas, otros equipos internos que coordinan las contramedidas y los medios de comunicación, requiere de un entorno lo más automatizado posible que nos permita gestionar flujos de trabajo de gestión de incidentes para los equipos de seguridad, entre otras funciona: * Colas separadas para el triage, de informes de incidentes, gestión de incidentes, investigación y contramedidas. * Mantenga una comunicación clara con acciones de respuesta individuales y masivas. * Flujos de trabajo paralelos pero con personal diferente. Mantiene los datos de los tickets separados para el personal que atiende a varios clientes diferentes. * Los tickets registran toda la actividad, almacenan información personalizada en campos personalizados y hacen un seguimiento de las fechas clave para cumplir con los SLA. Algunas características que se les pide a estos entornos de gestión de tickets son: * Tablero de incidencias dedicado con listados preconfigurados de los tickets más vencidos. Se puede editar para mostrar los tickets más importantes de un vistazo. * Búsqueda de tickets en cualquier atributo de metadatos, incluyendo estado, fechas, usuarios vinculados y campos personalizados. * Genere informes de actividad en formato HTML, texto u hoja de cálculo. * Vinculación conveniente de los tickets relacionados con un incidente: * La página de incidentes muestra todos los informes de incidentes, investigaciones y tickets de contramedidas vinculados junto con el estado actual de cada uno. * Análisis sintáctico automático y población de los campos personalizados de IP para los informes relacionados con la red. * Cambio de estado en cascada que permite que acciones como resolver se apliquen a los tickets vinculados. * Respuesta a un único interlocutor o respuesta a todas las partes interesadas vinculadas a todos los tickets de un incidente. * Fusión/división de incidentes para un manejo flexible a medida que se desarrolla un incidente. * API,s que permitan la alimentación automática de datos desde sistemas externos como Splunk, ArcSight, Nagios, Squil y Qualys. * Cree varias colas de informes de incidentes para separar los informes entrantes. La siguiente tabla muestra un resumen de las funciones principales a la hora de gestionar un ticket. **Ejemplo de diagrama que describe las fases de gestión de un ticket:** * **Alta incidente** El ticket llega al sistema a través de diferentes medios: correo electrónico/portal web o es creado manualmente. * **Incident Report Ticket** El ticket es creado por el gestor después de verificar los hechos y obtener todos los detalles del ticket de la incidencia (triage). * **Incident Ticket** El ticket es investigado por el analista. ## RTIR Request Tracker for Incident Response (RTIR) es un proyecto open source para la gestión de incidentes que proporciona colas y flujos de trabajo preconfigurados diseñados para equipos de respuesta a incidentes. Es la herramienta elegida por muchos equipos CERT y CSIRT de todo el mundo. RTIR dispone de herramientas para correlacionar los datos clave de los informes de incidentes, tanto de personas como de herramientas automatizadas, para encontrar patrones y vincular múltiples informes de incidentes con una causa raíz común. En la siguiente figura se muestra los componentes principales de RTIR. **Diagrama del flujo de trabajo de respuesta a incidentes en RTIR:** [Descripción del diagrama: Dibujo similar a un diagrama de flujo con las siguientes flechas: - Un usuario usa la interfaz web, envia un correo electrónico o utiliza una API para introducir un nuevo informe de incidente. - Un informe de incidente se envía a un sistema de monitorización. - Un informe de incidente es confirmado y se envia a un sistema que genera el ticket del incidente. - El ticket del incidente se envía a una investigación, con diferentes posibilidades: - Se genera una causa raíz. - Se corrobora con personas que resuelven el incidente. - Se comparte la información. - Se envían pasos inmediatos, se hace un seguimiento de soluciones temporales y se implementan contramedidas. ## Incidentes: Una vez que haya verificado que un nuevo Informe de Incidente es válido, puede crear un nuevo Incidente a partir de él, o enlazar el IR a un Incidente existente. RTIR rellena la información relevante del Informe de Incidente, así que no hay necesidad de cortar y pegar. Si recibe múltiples informes sobre el mismo asunto, puede enlazar todos estos informes al mismo Incidente principal, para mantenerlos juntos. ## Investigación: A partir de un incidente existente, puede lanzar una investigación a una parte externa, pidiéndole que investigue y/o solucione un problema. Una vez más, la información relevante del incidente se rellena cuando se crea la nueva investigación, por lo que no es necesario cortar y pegar. ## Contramedidas: Las contramedidas se utilizan para rastrear cualquier bloqueo colocado en los límites de la red. Puede crearlas a partir de un Incidente existente. Algunos sitios no requieren contramedidas, por lo que pueden ser desactivadas por su Administrador. Las contramedidas tienen varios estados: pendientes de activar, activas, pendientes de eliminar, eliminadas. Estos estados pueden establecerse desde los submenús de las páginas de visualización de billetes. ## LUCIA Otro ejemplo de este tipo de herramientas es LUCIA, solución basada en RTIR que el CCN-CERT ha desarrollado en el ámbito de las administraciones públicas. [Descripción de la imagen: Imagen de un logo con un diseño minimalista de la letra L en letra cursiva, con el texto "Lucia" en la parte inferior de la letra L, seguido de las palabras "CN CERT" en una línea separada debajo.]

Tema 2. Auditoría de incidentes de ciberseguridad PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue