Tema 4. Implementación de medidas de ciberseguridad PDF
Document Details
Uploaded by ProtectiveThallium
UNIR
Tags
Summary
Este documento presenta un resumen de los conceptos clave en la implementación de medidas de ciberseguridad. Incluye la descripción de los procesos de contención y recuperación. Explora las medidas de recuperación ante incidentes de seguridad informática.
Full Transcript
# Tema 4. Implementación de medidas de ciberseguridad ## 4.1. Introducción a la unidad formativa - La unidad formativa 4 “Contención y respuesta de incidentes de seguridad" muestra las principales actividades de las fases de contención, remediación y recuperación de un incidente de seguridad, así...
# Tema 4. Implementación de medidas de ciberseguridad ## 4.1. Introducción a la unidad formativa - La unidad formativa 4 “Contención y respuesta de incidentes de seguridad" muestra las principales actividades de las fases de contención, remediación y recuperación de un incidente de seguridad, así como los procedimientos y planes asociados. - A continuación se describen los bloques en que se ha dividido. ### Medidas de contención - Muestra diferentes estrategias de contención de incidentes, así como las principales actividades del proceso de contención. - Incide en la importancia de obtener una correcta conciencia situacional y en la obtención de evidencias mediante técnicas forenses. ### Medidas de recuperación - Explica en qué consisten los procesos de erradicación, limpieza y recuperación ante un ciberincidente. - Muestra los principales escenarios de recuperación, así como neutralizar los principales ciberincidentes. - Se establecen también métricas que pueden ayudar a mejorar la fase de recuperación. ### Procedimientos y planes de contención y recuperación - Detalla el contenido de un plan de recuperación tales como los procesos de recuperación a aplicar, los criterios de inicio y fin, la determinación de la causa raíz y la estrategia de contención y las comunicaciones. - También explica que realizar un playbook de un incidente. - Esta unidad formativa se complementa con una actividad relacionada con la realización de un playbook para un incidente de seguridad. ## 4.2. Medidas de contención de incidentes ### Contención - La contención de un incidente de ciberseguridad consiste en limitar los daños y detener al atacante. - Hay que encontrar la manera de limitar el riesgo de la organización y al mismo tiempo mantenerla en funcionamiento. - Hay que evitar que el incidente se extienda a otros sistemas, dispositivos y redes, tanto dentro de su organización como fuera de ella. ### Conciencia situacional - Tras la detección de un incidente, es esencial recopilar toda la información disponible sobre las actividades en torno al marco temporal y espacial del incidente. - La recopilación y el archivo centralizado de la información de seguridad (por ejemplo, registros del sistema, registros de la política de cortafuegos) proporciona al analista un fácil acceso a esta información. - Los factores importantes a tener en cuenta son la integridad de la información y la indexación para poder realizar búsquedas orientadas en esa ingente cantidad de información. - Podría ser necesaria una investigación forense para recoger todas las evidencias y examinar la magnitud y análisis en profundidad del ataque. - Evidencias recogidas como parte de la investigación inicial pueden utilizarse posteriormente para buscar nuevas intrusiones a gran escala en todos los dispositivos gestionados. - Disponer de un punto de gestión central que sea capaz de consultarlas puede acelerar este proceso. - También se debe verificar si se ha perdido/robado información. - Herramientas para crear y analizar imágenes de disco completas y de memoria (remotas) de una máquina sospechosa son útiles para realizar este análisis. - Durante un incidente habrá una gran presión para actuar rápidamente. - Pero para evitar errores innecesarios, es muy importante tener una conciencia situacional y pensar antes de actuar. - La organización también debe considerar de antemano el impacto que pueden tener las distintas estrategias de contención respecto a la capacidad de la organización para operar eficazmente. - Por ejemplo, desconectar un sistema crítico durante horas para adquirir imágenes de disco y otros datos podría afectar negativamente a las operaciones de la organización. - Un tiempo de inactividad significativo podría dar lugar a pérdidas monetarias sustanciales. - Por tanto, se debe tener cuidado para minimizar las interrupciones de las operaciones de una organización. ### Estrategias - Al principio de esta fase, se tendrá que tomar una importante decisión estratégica. - ¿Desconectar los sistemas inmediatamente para recuperarse lo antes posible? - ¿O tomarse el tiempo necesario para reunir pruebas contra el ciberdelincuente que comprometió al sistema? - Probablemente se tendrá que encontrar un equilibrio entre estas dos opciones. - La decisión que tome la organización dependerá del alcance, magnitud e impacto del incidente. - Los siguientes criterios influyen en la evaluación: - ¿Qué podría ocurrir si el incidente no se contuviera? - ¿El ataque o la brecha de seguridad está causando un daño grave e inmediato? - ¿Hay daños (potenciales) y/o robo de activos? - ¿Es necesario preservar las pruebas? Y si es así, ¿qué fuentes de pruebas debe adquirir la organización? ¿Dónde se almacenarán las pruebas? ¿Cuánto tiempo deben conservarse las pruebas? - ¿Es necesario evitar alertar al hacker? - ¿Es necesario garantizar la disponibilidad del servicio o es posible la suspensión del servicio? (por ejemplo, servicios prestados internos, a partes externas) - En algunos casos no será posible volver (directamente) a la normalidad. - Cuando esto sucede, el objetivo de la contención debe ser hacer los mayores esfuerzos para volver a una situación de normalidad, es decir, conseguir que el sistema sea operativo preservando el acceso para los usuarios legítimos, mientras se bloquea al atacante. - La siguiente figura resume las principales cuestiones que debe plantearse el equipo de respuesta a incidentes antes de elegir una estrategia u otra. - **DISCONNECT?** - Will you shut down the system and/or disconnect the network in order to be able to recover as fast as possible? - **VS** - **WATCH AND LEARN?** - Will you continue operations for the time being and monitor the activity in order to be able to perform advanced forensics and gather as much evidence as possible? - **This approach does not allow for a thorough investigation. You might miss something and so the problem might reappear and you will have to start over (or worse).** - **You will alert the perpetrator that you have discovered him** - **A quick response can help reduce the window of time an attacker or malware has to spread into your system and networks.** - **This is the fastest way back to business** - **Forensics can take time, so it might take a little longer to get back to business as usual.** - **This is a more thorough approach and you are more likely to tackle the root causes of the problem and get rid of it for good** - **Gathering evidence is essential if you want to find and prosecute the attacker** - **Figura 42. Desconectar vs. continuar. Fuente: Centre for Cyber Security Belgium, s. f.** - La contención es importante antes de que un incidente desborde los recursos o aumente los daños. - La mayoría de los incidentes requieren contención, por lo que debe ser consdierado al principio de la gestión de cada incidente. - La contención proporciona tiempo para desarrollar una estrategia de reparación a medida. - Una parte esencial de la contención es la toma de decisiones (por ejemplo, apagar un sistema, desconectarlo de la red, desactivar ciertas funciones). - Estas decisiones son mucho más fáciles de tomar si existen estrategias y procedimientos predeterminados para contener el incidente. - Las organizaciones deben definir los riesgos aceptables para hacer frente a los incidentes y desarrollar estrategias en consecuencia. - Las estrategias de contención varían en función del tipo de incidente. - Por ejemplo, la estrategia de contención de una infección de malware transmitida por correo electrónico es muy diferente a la de un ataque DDoS basado en la red. - Las organizaciones deben crear estrategias de contención separadas para cada tipo de incidente importante, con criterios claramente documentados para facilitar la toma de decisiones. - Los criterios para determinar la estrategia adecuada incluyen: - Daño potencial y robo de recursos - Necesidad de preservar las pruebas - Disponibilidad del servicio (por ejemplo, conectividad de la red, servicios prestados a partes externas) - Tiempo y recursos necesarios para aplicar la estrategia - Eficacia de la estrategia (por ejemplo, contención parcial, contención total) - Duración de la solución (por ejemplo, solución de emergencia que se eliminará en cuatro horas, solución temporal que se eliminará en dos semanas, solución permanente). - Una medida que se suele tomar para contener un incidente es asegurar el perímetro alrededor del activo o activos afectados y limitar el acceso al personal autorizado durante el proceso de recopilación de evidencias para garantizar que las pruebas no se alteren. - Además, se debe elaborar una lista de todos los usuarios que tienen acceso a estos activos, porque estas personas pueden ser capaces de proporcionar contraseñas o información sobre la ubicación de datos específicos. - En el caso concreto que el activo afectado sea un ordenador conectado a una red y hayamos decido desconectar de la red, esto puede impedir que los usuarios remotos modifiquen los datos del ordenador. - Si el ordenador utiliza una conexión de red inalámbrica, el adaptador de red externo puede ser desconectado o desactivar el adaptador de red interno para cortar la conexión de red. - Si ninguna de las dos opciones es posible, apagar el punto de acceso a la red inalámbrica. - Además, podría haber más de un punto de acceso dentro del alcance del ordenador. - Algunos adaptadores de red inalámbrica intentan conectarse automáticamente a otros puntos de acceso cuando el punto de acceso principal no está disponible, por lo que contener el incidente de esta manera podría implicar la desconexión de varios puntos de acceso. - En ciertos casos, algunas organizaciones redirigen al atacante a una sandbox (una forma de contención) para poder supervisar la actividad del atacante, normalmente para reunirse pruebas adicionales. - Formas de monitorizar la actividad de un atacante que no sea sandboxing se desaconsejan. - Si una organización sabe que un sistema ha sido comprometido y permite que el ataque continúe, puede ser responsable si el atacante utiliza el sistema comprometido para atacar otros sistemas. - Si se utiliza la estrategia de contención retardada es necesario tener suficiente control para evitar que el atacante pueda escalar el acceso no autorizado o comprometer otros sistemas. - Otro problema potencial con respecto a la contención es que algunos ataques pueden causar daños adicionales cuando son contenidos. - Por ejemplo, un host comprometido puede ejecutar un proceso malicioso que hace un ping a otro host periódicamente. - Cuando el gestor de incidentes intenta contener el incidente desconectando el host comprometido de la red, los siguientes pings fallarán. - Como resultado del fallo, el proceso malicioso puede sobrescribir o cifrar todos los datos del disco duro del host. - Los administradores no deben asumir que sólo porque un host ha sido desconectado de la red, se han evitado más daños al host. ### Actividades de contención - Los atacantes pueden vigilar activamente las medidas de respuesta defensiva y cambiar sus métodos para evadir la detección y la contención. - Por lo tanto, los defensores deben obtener una imagen lo más completa de las capacidades del atacante y de sus posibles reacciones y comportamientos para evitar "avisarlo" de que ha sido descubierto. - La contención es un reto porque los defensores deben identificar de la manera más completa posible la actividad del adversario, al tiempo que consideran el riesgo de permitir que el ataque continúe hasta que se pueda determinar el conocimiento total del ataque. - A continuación, se describen las actividades claves de contención: - Aislar los sistemas y segmentos de red afectados entre sí y/o de los sistemas y redes no afectados. Si esto es necesario, considere las necesidades de la misión o del negocio y cómo proporcionar servicios para que las operaciones puedan continuar durante esta fase en la medida de lo posible. - Capturar imágenes forenses para preservar las pruebas para su uso legal (si procede) y la investigación posterior del incidente. - Actualizar las reglas de filtrado de los cortafuegos. - Bloqueo (y registro) de accesos no autorizados; bloqueo de fuentes de malware. - Cerrar puertos específicos y servidores de correo u otros servidores y servicios relevantes. - Cambiar las contraseñas de los administradores del sistema, rotar las claves privadas y los secretos de las cuentas de servicio/aplicación cuando se sospeche un compromiso y revocar el acceso privilegiado. - Dirigir al adversario a una sandbox para supervisar la actividad, reunir pruebas adicionales e identificar vectores de ataque. - Hay que asegurarse de que el alcance de la contención abarca todos los incidentes y actividades relacionados. - Si se encuentran nuevos indicios de peligro, es necesario volver a analizar el incidente. - Si la contención es satisfactoria (es decir, no hay nuevos indicios de peligro), hay que conservar las pruebas para su consulta o para la investigación judicial, y ajustar las herramientas de detección antes de pasar a la erradicación y recuperación. ### Recopilación de evidencias #### Aspectos legales - Si se quiere atajar el problema de raíz e identificar al autor para procesarlo tendrá que preservar las pruebas. - Para reunir las pruebas, la investigación forense debe realizarse antes de erradicar el incidente. - Si no se dispone de los conocimientos necesarios para llevar a cabo una investigación forense existen servicios especializados externos. - Para que sean admisibles en los tribunales, las pruebas deben recogerse de acuerdo con procedimientos que se ajusten a todas las leyes y reglamentos aplicables. - Hay que evitar comprometer las pruebas. - Algunas recomendaciones al respecto son: - No apagar inmediatamente el servidor. - Si apagas el servidor, vacías la memoria del mismo. Esto significa que no podrá realizar un análisis forense de la memoria, porque no tendrá nada que analizar. - Podrías estar destruyendo pruebas cruciales, porque la memoria RAM suele contener muchos rastros de malware. Antes de apagar el servidor, hay que volcarlo en una unidad USB. - No desconectar inmediatamente el servidor de internet - Un apagado inmediato hace imposible determinar el grado de compromiso de la infraestructura, porque un servidor apagado y aislado de Internet ya no se comunica con su servidor de mando y control en Internet o con otras estaciones de trabajo/servidores infectados en su red. - Podría estar alertando al ciberdelincuente del hecho de que ha sido descubierto y, en esta etapa, eso no es una buena idea. - No restaurar el sistema a partir de una copia de seguridad a menos que se esté seguro de que la copia de seguridad no está infectada - La copia de seguridad puede estar infectada. Los ATP pueden infectar su red durante un largo período sin que sea descubierto. Esto hace que el riesgo de infección de una copia de seguridad sea probable. La instalación de una copia de seguridad infectada podría recrear la infección. - No reinstalar en el mismo servidor sin una copia forense ## 4.3. Medidas de recuperación de incidentes ### Erradicación y sanitización - El objetivo de esta fase es permitir la vuelta a la normalidad de las operaciones eliminando los artefactos del incidente (por ejemplo, eliminando el código malicioso, volviendo a crear imágenes de los sistemas infectados) y mitigando las vulnerabilidades u otras condiciones que fueron explotadas. - Antes de pasar a la erradicación, hay que asegurarse de que se han contabilizado todos los medios de acceso persistente a la red, que la actividad del adversario está suficientemente contenida y que se han recogido todas las pruebas. - Esto suele ser un proceso iterativo. - También puede implicar reforzar o modificar el entorno para proteger los sistemas objetivo si se conoce la causa raíz de la intrusión y/o el vector de ataque inicial. - Es posible que las acciones de erradicación y recuperación se ejecuten simultáneamente. - Es necesario tomar medidas para eliminar todos los activos comprometidos y evitar que el atacante mantenga su presencia en el entorno. - Los atacantes suelen tener múltiples accesos de puerta trasera persistentes en los sistemas y redes y pueden volver a las zonas "limpias" si la erradicación no está bien orquestada y/o no es lo suficientemente estricta. - Por lo tanto, los planes de erradicación deben estar bien formulados y coordinados antes de su ejecución. - No hay que realizar la limpieza o sanitización antes de tener una visión completa del incidente. - Esto significa que se debe empezar por determinar su causa raíz. - No es una tarea fácil. - Además, se deben revisar al menos todas las máquinas con la misma vulnerabilidad ya que también pueden estar infectadas. - Cuando se tome la decisión de empezar a erradicar el incidente, es importante ser rápido, sincronizado y minucioso, para dar al atacante la menor oportunidad posible de responder. - La erradicación puede adoptar muchas formas. - A menudo incluye acciones como: - Ejecutar un escáner de virus o spyware para eliminar los archivos y servicios ofensivos - Actualizar las firmas - Borrar el malware - Desactivación de las cuentas de usuario infectadas - Cambiar las contraseñas de las cuentas de usuario infectadas - Identificación y mitigación de todas las vulnerabilidades explotadas - Identificar las brechas de seguridad y corregirlas - Informar a los empleados sobre la amenaza y darles instrucciones sobre lo que deben evitar en el futuro - Informar a las partes interesadas externas, como los medios de comunicación, clientes y organismos oficiales. - También es importante informar a la alta dirección sobre los resultados de la erradicación y la limpieza y la situación de la red. - Los archivos individuales pueden ser puestos en cuarentena o eliminados de los sistemas por la solución antivirus. - Los correos electrónicos de phishing pueden ser retenidos en la pasarela de correo mediante el bloqueo basado en el remitente, en el servidor de correo origen o en partes del contenido. - Los indicadores basados en la IP y el dominio pueden bloquearse en función del tráfico de red, añadiéndolos a listas de acceso, políticas de cortafuegos o proxy. - Por lo tanto, es importante tener la capacidad necesaria para implementar estos cambios ad hoc. ### Recuperación - Cuando hablamos de recuperación, nos referimos a la restauración del sistema o sistemas para volver a la normalidad y (si es el caso) remediar las vulnerabilidades para evitar incidentes similares. - Hay múltiples formas de restaurar tras un incidente de ciberseguridad. - Todas ellas tienen un impacto diferente en el tiempo de recuperación, las limitaciones de costes o la pérdida de datos. - La siguiente tabla muestra los escenarios de recuperación genéricos a los que nos podemos enfrentar: | ESCENARIOS | Tiempo de recuperación | Coste | Pérdida de información | Observaciones | |---|---|---|---|---| | Limpieza de los artefactos maliciosos y reemplazo de los archivos comprometidos con versiones "limpias" | Rápido | Balance adecuado coste/efectividad | | Pueden quedar partes comprometidas sin descubrir | | Restauración desde backup | Normal | Balance adecuado coste/efectividad | | Solo posible si se tiene una adecuada política de backups | | Reconfiguración del sistema desde cero | Lento | Muy costoso | Se puede perder información | Es la única forma de asegurar al 100% que la infraestructura está limpia | - **Tabla 27. Escenarios de recuperación. Fuente: elaboración propia.** En esta fase de recuperación, a modo resumen, se deben llevar al menos las siguientes actividades: - El análisis forense es un proceso de investigación que tiene por objetivo el esclarecimiento de los hechos ocurridos de acuerdo con las evidencias recogidas durante el ataque debiendo responder a: - Qué se ha alterado - Cómo se ha alterado - Quién ha realizado el ataque. - Para responder a la primera de las preguntas, hay que ser capaz de detectar los accesos o cambios no autorizados que se han realizado en el sistema. - Estos cambios no tienen que consistir únicamente en la alteración física de un fichero, modificándolo o eliminándolo, también hay que ser capaces de saber qué ficheros fueron accedidos, aunque sólo se trate de la lectura y/o copia de estos. - Un ejemplo de acceso no autorizado, podría ser el acceso a la información del teléfono móvil de una persona; como ha sucedido con el teléfono de algunos famosos, en los que un atacante accede a los datos contenidos en el mismo, sin alterarlos. - Respecto a cómo se ha alterado, lo que se busca es reconstruir los pasos dados por el autor de los hechos para llegar a comprender cómo hizo lo que hizo, y ser capaces de evitar en un futuro que el método utilizado para realizar la alteración se repita. - La última pregunta plantea el reto de saber quién fue el autor material del ataque. - Hay que decir que cada vez resulta más complicado la atribución de los ataques cibernéticos. - A la hora de realizar análisis forenses durante la respuesta a un incidente, una consideración importante es cómo y cuándo se debe contener el incidente. Aislar los sistemas pertinentes de las influencias externas puede ser necesario para evitar más daños al sistema y sus datos o para preservar las pruebas. - En muchos casos el analista debe trabajar con el equipo de respuesta a incidentes para tomar una decisión de contención (por ejemplo, desconectar los cables de la red, desenchufar la energía, apagar un host, etc.). - Esta decisión debe basarse en las políticas y procedimientos existentes relativos a la contención de incidentes, también a la evaluación del riesgo que plantea el incidente, de modo que la estrategia de contención elegida sea la combinación de estrategias que mitiguen suficientemente el riesgo y mantengan la integridad de las posibles evidencias. ### Etapas de un análisis forense - La recolección de las evidencias es el primer paso que se da a la hora de realizar un análisis forense. - Consiste en obtener las evidencias que consideremos de interés de manera que posteriormente puedan ser analizadas. - Asemejando el hecho al ámbito forense tradicional, la recolección de las evidencias sería algo así como la recogida de una muestra de sangre dentro de la escena de un crimen. - La diferencia es que la escena del crimen no es la habitación de un domicilio, sino que es un equipo informático y las pruebas que tenemos que recoger puede ser desde un sencillo archivo de logs, hasta el disco (o discos) duro completo. - La recolección de las evidencias tiene que hacerse con medios que aseguren, en la medida de lo posible, la no modificación de estas. - La preservación tiene por objeto garantizar que lo que se analiza es lo mismo que previamente se había recolectado. - Por ejemplo, realizar una imagen o clonado de un dispositivo con medios certificados es una garantía que lo que se copia es imagen fiel y exacta de lo ocurrido. - Se suelen utilizar funciones resumen o hash (como MD o SHA1), de tal forma que se realiza la función resumen digital a la evidencia original y a la copia, debiendo ambos resúmenes coincidir. - Por último, se realiza la presentación e informe de lo ocurrido, incluyendo la descripción del equipo, parte de la red, dispositivos, información afectada, etc, los procedimientos realizados en el análisis forense y sus resultados, y las conclusiones a las que se ha llegado en base a los resultados obtenidos. - La siguiente figura muestra el proceso. - **Recolectar Preservar Analizar Presentar** **Figura 43. Fases del proceso forense. Fuente: elaboración propia.** - Como parte del proceso de elaboración de informes los analistas deben identificar cualquier problema que deba ser subsanado, como deficiencias en las políticas o errores de procedimiento. - Muchos equipos forenses y de respuesta a incidentes realizan revisiones formales después de cada evento importante. - Dichas revisiones incluyen las mejoras en las directrices y procedimientos, y normalmente se aprueban e implementan cambios después de cada revisión. - Por ejemplo, un problema común es que a muchas organizaciones les resulta muy costoso mantener listas actualizadas del personal con el que hay que ponerse en contacto en relación con cada tipo de incidente que pueda ocurrir. - Otro problema es qué hacer con los gigabytes o terabytes de datos recogidos durante una investigación, y cómo mejorar los controles de seguridad (por ejemplo, auditoría, registro, detección de intrusiones) para registrar datos adicionales que serían útiles para futuras investigaciones. - Las revisiones formales pueden ayudar a identificar formas de mejorar estos procesos. - Una vez que se implementan los cambios en las directrices y procedimientos, todos los miembros del equipo deben ser informados de los cambios y se les recuerda con frecuencia los procedimientos adecuados a seguir. - Los equipos suelen contar con mecanismos formales para el seguimiento de los cambios y la identificación de las versiones actuales de cada documento de proceso y procedimiento.
