Metodología de Notificación y Seguimiento de Incidentes de Ciberseguridad PDF

1. METODOLOGÍA DE NOTIFICACIÓN Y SEGUIMIENTO DE INCIDENTES DE CIBERSEGURIDAD Organismos de ciberseguridad: - CCN-CERT: Centro Criptológico Nacional del Centro Nacional de Inteligencia - INCIBE-CERT: Instituto Nacional de Ciberseguridad de España - CNPIC: Centro Nacional de Protección de Infraestructuras y Ciberseguridad - ESPDEF-CERT: Mando Conjunto de Ciberdefensa. Ámbito de redes y sistemas de información y telecomunicaciones de las Fuerzas Armadas 1.1. GUÍA DE NOTIFICACIÓN Y GESTIÓN DE CIBER INCIDENTES Fue aprobada en enero del 2019 y actualizada en febrero del 2020 siendo la referencia estatal sobre la notificación de ciber incidentes. También es una referencia de mínimos en el que toda entidad encuentre un esquema y la orientación precisa acerca de a quién y cómo reportar un incidente Está dirigida a: - RSI: Responsables de Seguridad de la Información - CSIRT: Computer Security Incident Response Team - SOC: Centros de operaciones de ciberseguridad - Admin de Sistemas de Información y/o Comunicación - Personal de Seguridad - Personal de apoyo técnico - Gestores del ámbito de la ciberseguridad Proporciona a los RSI las directrices para el cumplimiento de las obligaciones de reporte de incidentes de ciberseguridad. Además los organismos y empresas deberán notificar aquellos ciber incidentes acaecidos en su infraestructura tecnológica que se encuadren en: - Alcance de la norma - Niveles de peligrosidad - Niveles de impacto 1.2. METODOLOGÍA DE REPORTE 1.2.1. VENTANILLA ÚNICA DE NOTIFICACIÓN 1. El afectado enviará un correo electrónico (o ticket) al CSIRT de referencia (INCIBE-CERT o CCN–CERT) notificando el incidente 2. El CSIRT de referencia, dependiendo del incidente, pone en conocimiento del mismo al organismo receptor implicado o la autoridad nacional competente: - ESPDEF-CERT: afecta a la Defensa Nacional - CNPIC: afecta a la Infraestructura Crítica de la Ley PIC - AEPD: afecta al RGPD - CCN-CERT: incidente AAPP bajo ENS de peligrosidad muy alta o crítica - Autoridad Nacional correspondiente: incidente de obligatorio reporte según el RD Ley 3. El organismo receptor o autoridad se pone en contacto con el sujeto afectado para recabar datos del incidente 4. El afectado comunica los datos necesarios al organismo receptor o autoridad 5. Si procede, desde el CNPIC se pone la información a disposición de las Fuerzas y Cuerpos de Seguridad del Estado y Ministerio Fiscal para inciar una investigación policial y judicial 1.2.2. REPORTES → CCN-CERT: canal preferente a través de LUCIA o por mensajería cifrada → INCIBE-CERT: formulario de reporte, correo con mensajería cifrada → ESPDEF-CERT: correo mediante mensajería cifrada con clave pública PGP 2. TAXONOMÍA DE LOS CIBER INCIDENTES 2.1. CONTENIDO ABUSIVO - Spam: correo electrónico masivo no solicitado, el receptor del contenido no ha otorgado autorización válida para recibir un mensaje colectivo - Delito de odio: contenido difamatorio o discriminatorio - Contenido sexual o inadecuado: material visual 2.2. CONTENIDO DAÑINO - Sistema infectado con malware - Servidor C&C (Mando y Control): conexión con servidor de mando y control mediante malware o sistemas infectados - Distribución de malware - Configuración de malware: recurso que aloja ficheros - Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de Dominio), empleado por malware para contactar con un servidor de mando y control 2.3. OBTENCIÓN DE INFORMACIÓN - Scanning: escaneo de redes, envío de peticiones a un sistema para descubrir posibles debilidades. Se incluyen procesos de comprobación para recopilar información de alojamientos, servicio y cuantas - Sniffing: análisis de paquetes, observación y grabación del tráfico de redes - Ingeniería social: recopilación de información personal sin el uso de la tecnología 2.4. INTENTO DE INTRUSIÓN - Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado. Un XSS es un tipo de explotación que permite a los atacantes implementar scripts maliciosos en una web para ejecutar este en el navegador de un usuario para robar sus credenciales, redirigir o cualquier otra acción maliciosa - Intento de acceso con vulneración de credenciales - Ataque desconocido: usando un exploit desconocido 2.5. INTRUSIÓN - Compromiso de cuenta con privilegios: el atacante adquirió privilegios - Compromiso de cuenta sin privilegios: sistema tiene cuentas sin privilegios - Compromiso de apps: explotación de vulnerabilidades del software - Robo: intrusión fiscal 2.6. DISPONIBILIDAD - Sabotaje físico - Interrupciones por causas ajenas - DoS (Denegación de Servicio) - DDoS (Denegación Distribuida de Servicio) 2.7. COMPROMISO DE LA INFORMACIÓN - Acceso no autorizado a la información - Modificación no autorizada de información - Pérdida de datos e información 2.8. FRAUDE - Uso no autorizado de recursos para propósitos inadecuados, incluyendo acciones con ánimo de lucro - Derechos de autor: ofrecimiento o instalación de software carente de licencia u otro material protegido por derechos de autor - Suplantación: tipo de ataque en el que una entidad suplanta a otra para obtener beneficios ilegítimos - Phishing: suplantación de otra entidad con la finalidad de convencer al usuario para que revele sus credenciales privadas 2.9. VULNERABLE - Criptografía débil: servicios accesibles públicamente que puedan presentar criptografía débil - Amplificador DDoS: servicio accesibles públicamente empleados para la reflexión o amplificación de ataques DDoS - Servicios con acceso potencial no deseado: Telnet: protocolo TCP/IP para establecer conexiones remotas con otros dispositivos con un sistema compatible en el acceso mediante este sistema RDP: permite que el escritorio de un equipo informático sea controlado a distancia por un usuario remoto VNC: es un software que permite ver la pantalla del ordenador servidor y controlarlo en uno o varios ordenadores clientes sin importar qué sistema operativo pueda ejecutar el cliente o el servidor - Revelación de información: acceso público a servicios en los que potencialmente pueda revelarse información sensible - Sistema vulnerable 2.10. OTROS - Ciberterrorismo: uso de redes o sistemas de información con fines de carácter terrorista - APT: ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza emplea técnicas de ingeniería social para conseguir sus objetivos - Daños informáticos PIC: borrado, dañado, alteración, supresión o inaccesibilidad de datos, programas o documentos de una infraestructura crítica. Este es aquel sistema que facilita funciones y servicios esenciales para sistemas 3. NOTIFICACIÓN DE INCIDENTES Para dicha notificación se usará como criterio de referencia el nivel de peligrosidad que se asigne a un incidente, el nivel de impacto en que se categorice un incidente podría aconsejar la comunicación del incidente. 3.1. NIVEL DE PELIGROSIDAD Este indicador determina la potencial de amenaza que supondría la materialización de un incidente en los sistemas del ente afectado → Crítico: otros, APT, ciberterrorismo y daños informáticos PIC → Muy alto: - Código dañino: distribución de malware y configuración de malware - Intento de intrusión: ataque desconocido - Intrusión: robo - Disponibilidad: sabotaje e interrupciones → Alto: - Contenido abusivo: pornografia infantil, contenido sexual o violento - Código dañino: sistema infectado, servidor C&C y malware DGA - Intrusión: compromiso de aplicaciones - Disponibilidad: DoS y DDoS - Compromiso de la información: acceso y modificación no autorizada de información y pérdida de datos - Fraude: Phishing → Medio: - Contenido abusivo: discurso de odio - Obtención de información: ingeniería social - Intento de intrusión: explotación de vulnerabilidades e intento de acceso con vulneración de credenciales - Intrusión: compromiso de cuentas con privilegios - Fraude: uso no autorizado de recursos, derechos de autor y suplantación - Vulnerable: criptografía débil, amplificador DDoS, revelación de información, sistema vulnerable… → Bajo: - Contenido abusivo: Spam - Obtenido de información: Scanning y Sniffing - Intrusión: compromiso de cuenta sin privilegios - Otros 3.2. NIVEL DE IMPACTO El indicador se se determina evaluando las consecuencias en las funciones y actividades de la organización afectada, en sus activos e individuos afectados Los criterios para determinar el impacto son: Impacto en la Seguridad Nacional o Seguridad Ciudadana Efectos en la prestación de un servicio o infraestructura crítica Tipología de la información o sistemas afectados Grado de afectación a las instalaciones de la organización Interrupción en la prestación del servicio normal de la organización Tiempo y costes propios y ajenos hasta el normal funcionamiento Pérdidas económicas Extensión geográfica afectada Daños reputacionales asociados → Crítico: - Afecta mucho a la Seguridad Nacional - Afecta a la seguridad ciudadana, con potencial peligro a la vida - Afecta a una Infraestructura Crítica - Afecta a sistemas clasificados SECRETO - Afecta a más del 90% de los sistemas de la organización - Interrupción en la prestación del servicio superior a 24 horas y superior al 50% de los usuarios - El ciber incidente precisa para resolver > 30 días/persona - Impacto económico superior al 0,1% del PIB - Extensión geográfica supranacional - Daños reputacionales muy elevados y cobertura continua en medios de comunicación internacionales → Muy alto: - Afecta a la seguridad ciudadana con potencial peligro para bienes materiales - Afecta apreciablemente a actividades oficiales o misiones extranjeras - Afecta a un servicio esencial - Afecta a sistemas clasificados RESERVADO - Afecta a más del 75% de sistemas de la organización - Interrupción en la prestación del servicio superior a 8 horas y superior al 35% de los usuarios - Precisa resolver entre 10 y 30 días/persona - Impacto económico entre 0,07% y el 0,1% del PIb - Extensión geográfica superior a 4 CCAA - Daños reputacionales a la imagen del país - Daños reputacionales elevados y cobertura continua en medios de comunicación nacionales → Alto: - Afecta a más de 50% de los sistemas de la organización - Interrupción del servicio superior a 1 hora y superior al 10% de usuarios - Impacto económico entre el 0,03% y 0,07% del PIB - Extensión geográfica superior a 3 CCAA - Daños reputacionales de difícil reparación con eco mediático y afectando a la reputación de terceros → Medio: - Afecta a más del 20% de los sistemas de la organización - Interrupción en la representación del servicio superior a 5% de usuarios - Precisa resolver entre 1 y 5 días/persona - Impacto económico entre 0,001% y 0,003% del PIB - Extensión geográfica superior a 2 CCAA - Daños reputacionales apreciables, con eco mediático → Bajo: - Afecta a los sistemas de la organización - Interrupción de la prestación de un servicio - El incidente precisa resolver menos de 1 dia/persona - Impacto económico entre 0,0001 y 0,001% del PIB - Extensión geográfica superior a 1 CCAA - Daños reputacionales puntuales, sin eco mediático 3.3. NIVELES CON NOTIFICACIÓN OBLIGATORIA Es obligatoria la notificación de todos aquellos incidentes que se categoricen con nivel CRÍTICO (inmediata), MUY ALTO (12 horas) o ALTO (48 horas) → Los CSIRT de referencia disponen de herramientas de notificación y tickets de incidentes para lograr una mejor gestión y seguimiento del incidente de los usuarios 3.4. APERTURA DEL INCIDENTE Tras recibir una notificación sobre un posible ciber incidente, el equipo técnico del CSIRT realiza un análisis inicial que determinará si debe ser gestionado - Esta apertura puede producirse por un reporte del afectado, una detección del CSIRT o por un tercero que reporta al CSIRT un incidente Si aplica la gestión del ciber incidente se registrará la información reportada y se asignará una clasificación y valores iniciales de peligrosidad e impacto que serán comunicados al remitente - El CSIRT asignará a cada caso un identificador único que estará presente en el campo asunto en todas las comunicaciones relacionadas y este podrá hacerlo con el remitente o con terceras partes para solicitar o intercambiar información adicional que agilice la resolución del problema 3.5. INFORMACIÓN A NOTIFICAR - Asunto: frase que describe de forma general el incidente - Descripción: describir con detalle lo sucedido - Afectado: indicar si el afectado es empresa o particular - Fecha y hora del incidente - Fecha y hora de la detección del accidente - Taxonomía del incidente: posible clasificación y tipo de incidente en función de la taxonomía descrita - Recursos afectados: indicar la información técnica sobre el número y tipo de activos afectados por el ciber incidente, incluyendo IP, SO, apps, versiones… - Origen del accidente: causa si se conoce. Apertura de fichero desconocido, conexión de un USB, acceso a página web maliciosa… - Contramedidas: actuaciones realizadas para resolver el ciber incidente hasta el momento de la notificación a la autoridad competente o CSIRT de referencia - Impacto: estimado, en función del nivel de afectación del ciber incidente - Adjuntos: incluir documentos que puedan aportar información que ayude a conocer la causa del problema o su resolución - Regulación afectada: ENS/RGPD/NIS/PIC/Otros 3.6. ESTADOS Y VALORES DE CIERRE Durante las distintas fases de gestión de un ciber incidente, el CSIRT de referencia mantendrá el incidente en estado abierto, realizando en coordinación con el afectado las acciones necesarias y los seguimientos adecuados. Sin embargo, una solución y cierre del ciber incidente no suponen siempre una solución satisfactoria del problema → Estados: Cerrado (resuelto sin respuesta): no hay respuesta por parte del afectado en un periodo determinado Cerrado (resuelto con respuesta): el afectado ha solventado la amenaza y notifica a su CSIRT de referencia el cierre del ciber incidente Cerrado (sin impacto): detección positiva pero el afectado no es vulnerable o no se ve afectado por el ciber incidente Cerrado (falso positivo): la detección ha sido errónea Cerrado (sin resolución y sin repuesto): pasado un periodo de 60 días, si el afectado no ha cerrado el ciber incidente, es cerrado por el CSIRT Cerrado (sin resolución y con respuesta): no se alcanzó solución o el afectado no sabe solventarlo incluso con las indicaciones del CSIRT Abierto: estado que va desde que el afectado notifica la amenaza al CSIRT, o bien este lo comunica al afectado, hasta que se produce el cierre del mismo 4. GESTIÓN DE INCIDENTES Es un conjunto ordenado de acciones enfocadas a prevenir en la medida de lo posible la ocurrencia de ciber incidentes y, en caso de que ocurran, restaurar los niveles de operación lo antes posible 4.1. FASE DE PREPARACIÓN Fase inicial en la que toda entidad debe estar preparada para cualquier suceso que pueda ocurrir, teniendo en cuenta tres pilares: personas, procedimientos y tecnologías → Puntos relevantes a tener en cuenta: - Información actualizada de contacto - Políticas y procedimientos actualizados - Herramientas a usar en todas las fases - Equipo humano para mejorar capacidades técnicas y operativas - Análisis de riesgos para disponer de un plan de tratamiento y control - Ciber ejercicios a fin de entrenar las capacidades y procedimientos técnicos, operativos, de gestión y coordinación 4.2. FASE DE IDENTIFICACIÓN Identificar o detectar un ciber incidente, importante monitorización completa → Una correcta identificación se basa: - Registrar y monitorizar eventos de las redes, sistemas y aplicaciones - Recolectar información situacional que permita detectar anomalías - Capacidades para descubrir ciber incidentes y comunicarlos - Recopilar y almacenar de forma segura las evidencias - Compartir información con otros equipos internos y externos de forma bidireccional para mejorar las capacidades de detección 4.3. FASE DE CONTENCIÓN Debe realizarse el triage; evaluar la información disponible, clasificar y priorizar el ciber incidente en función del tipo y criticidad de la información y sistemas afectados. Adicionalmente se identifican posibles impactos en el negocio → Se debe: - Documentar acciones, con herramientas de notificación de incidentes - Recopilar evidencias para un análisis forense de sistemas afectados y preservarlas manteniendo la cadena de custodia - Medidas de contención a corto plazo, controlando el impacto temporalmente: desconexión de equipos de la red, filtrado o aislamiento a nivel de red, redirección o bloqueo de tráfico al exterior - Medidas a largo plazo: parches de seguridad específicos, eliminar procesos sospechosos, cuentas de usuario desconocidas, cambiar contraseñas de cuentas comprometidas, aplicar filtrado adicional de red 4.4. FASE DE MITIGACIÓN Estas dependen del tipo de ciber incidente y la afectación que haya tenido → Algunas recomendaciones: - Causas y síntomas del ciber incidente para mayor eficiencia - Identificar y eliminar el software usado por los atacantes - Recuperar la última copia de seguridad limpia - Identificar servicios usados durante el ataque 4.5. FASE DE RECUPERACIÓN Consiste en devolver el nivel de operación a su estado normal y que las áreas de negocio afectadas puedan retomar su actividad. No debemos precipitarnos en la puesta en producción de sistemas implicados en ciber incidentes. Debe definirse un periodo de tiempo con medidas adicionales de monitorización de los sistemas puestos en producción 4.6. FASE POST-INCIDENTE Aprender de lo sucedido, analizando causas del problema, cómo se ha desarrollado la actividad durante la gestión del ciber incidente y los problemas asociados. Tomar las medidas para evitar una situación similar en un futuro Realizar un informe del ciber incidente que deberá detallar la causa del ciber incidente y coste, y las medidas de prevención que se deben tomar 5. MÉTRICA Métricas e indicadores de referencia recomendados para medir el nivel de implantación y eficacia del proceso de gestión de incidentes - Indicador: estado de cierre de los incidentes - Objetivo: ser capaces de gestionar los incidentes de seguridad - Indicador: estado de cierre de incidentes de peligrosidad MUY ALTA / CRÍTICA - Objetivo: ser capaces de gestionar incidentes de seguridad de peligrosidad alta

Metodología de Notificación y Seguimiento de Incidentes de Ciberseguridad PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue