Tema 5. Detección y documentación de incidentes de ciberseguridad PDF

# Tema 5. Detección y documentación de incidentes de ciberseguridad ## ¿De qué debo informar? ## ¿En qué formato informo? ## ¿Cuál es el objetivo de los informes? Una vez que se haya respondido a estas preguntas, el informe en sí debería incluir: - Una descripción completa de la naturaleza del incidente, su historia y las medidas adoptadas para recuperarlo. - Una estimación realista del coste financiero del incidente, así como otras repercusiones en la empresa, como en términos de daños a la reputación, pérdida de control de la gestión o deterioro del crecimiento. - Recomendaciones sobre los controles mejorados o adicionales necesarios para prevenir, detectar, remediar o recuperarse de los incidentes de ciberseguridad de forma más eficaz. ## Plantilla informe posincidente El informe de análisis posterior al incidente proporciona información muy valiosa a las partes interesadas con un resumen del incidente, el impacto en la organización, así como las lecciones aprendidas y las áreas de mejora. En todos los incidentes graves es más que recomendable la elaboración de un informe de análisis posterior al incidente. En aquellos que se consideren leves dependerá de la organización y sus procesos de mejora continua. La siguiente tabla muestra un ejemplo de este tipo de informes. | Información del incidente | Fecha/Tiempo | |---|---| | Número de ticket | Ocurrido | | Identificador | Detectado | | Evento detectado | Regla activada o evento del SIEM | | Unidad de negocio afectada | Ticket creado | | Sistema Tl afectado | Ticket cerrado | | Comentarios | "Comentarios sobre el calendario de eventos para incluir la notificación a las partes interesadas internas y a las externas" | | Evaluación de la severidad e impacto | | |---|---| | Nivel de severidad funcional | Valor de la severidad | | Nivel de severidad en la información | Valor de la severidad | | Nivel de severidad en la recuperación | Valor de la severidad | | Nivel global de severidad | Valor de la severidad | | ¿Incidente mayor? | | | Vector de ataque | | | Causa raíz | "Causa o causas subyacentes a un incidente, como una vulnerabilidad no parcheada, falta de controles del sistema o de acceso" | | Información de la amenaza y análisis de las causas | | |---|---| | Caracterización de la amenaza | "Interna/externa, directa/indirecta" | | Otros ticket o eventos relacionados | "Lista de tickets relacionados" | | Reincidencia | "¿Había ocurrido antes el incident?" | | Comentarios | "Comentarios sobre el origen y el destino del incidente o la amenaza, así como la forma en que se aprovecharon las vulnerabilidades o la falta de controles de seguridad. Incluir también si el incidente o la amenaza se propagó a otras áreas de la red y cómo". | ## Métricas A modo de ejemplo, se presentan métricas susceptibles de ser recogidas en cada fase del marco de la respuesta a incidentes: - Tiempo de detección - Tiempo para informar - Tiempo de creación - Tiempo de acuse de recibo - Tiempo de notificación - Tiempo de validación - Tiempo de respuesta - Tiempo de contención - Tiempo para remediar - Tiempo de verificación - Tiempo de resolución - Información sobre el incidente ## Comunicación Algunas organizaciones están obligadas a informar a determinadas autoridades. Los departamentos gubernamentales tienen la responsabilidad de notificar los incidentes informáticos (incluidos los incidentes de ciberseguridad). En muchos casos también puede ser beneficioso informar voluntariamente a otras partes interesadas importantes, como: - Organismos encargados de hacer cumplir la ley - Equipos de respuesta a emergencias informáticas (CSIRT) - Organismos reguladores con sectores de mercado particulares - Organismos internacionales especializados, como el NIST o ENISA - Socios colaboradores - Organizaciones especializadas. Cuando se produce un incidente de ciberseguridad real, el equipo de respuesta a incidentes de ciberseguridad debe elaborar inmediatamente un plan de comunicación concreto para el incidente específico. Haga este plan de comunicación basado en los preparativos generales que ya realizó durante la fase de preparación. Básicamente se deberá responder a las preguntas que figuran a continuación, así como coordinar todas las comunicaciones externas. ¡Piensa antes de comunicar! - **With whom will your organisation communicate?** - **What info will your organisation communicate?** - **Who will communicate?** - **When will your organisation communicate?** ## Plan de comunicación específico del incidente. Objetivos de la comunicación A la hora de abordar el plan de comunicación para un incidente hay que tener presente los objetivos perseguidos, que se pueden resumir en: - Comunicación que tiene como objetivo resolver y tratar el incidente. - Comunicación orientada al cumplimiento normativo y regulatorio. - Comunicación que pretende limitar el daño reputacional de la organización. ## Con quién y qué comunicar El primer paso en el plan de comunicación específico para el incidente es determinar con quién y qué comunicar. Para ello se deben identificar qué partes interesadas potenciales podrían verse afectadas (negativamente) por el incidente de ciberseguridad al que se enfrenta y si se está legalmente obligado a notificar a determinadas entidades gubernamentales. Por ejemplo, si ha habido pérdida o robo de datos personales (violación de datos), es aconsejable o mandatario, según el caso notificarlo a: - Los proveedores de un servicio de comunicaciones. - Las autoridades nacionales en la materia (En virtud del RGPD, existe la obligación legal de notificar cualquier violación de datos personales que sea o pueda suponer un riesgo para las personas cuyos datos se hayan visto comprometidos). - A las personas cuyos datos se hayan visto comprometidos. ## Cuándo comunicar Una vez establecido con quién se va a comunicar y qué se va a comunicar es necesario decidir cuándo se pondrá en contacto con ellos. El momento debe basarse en los objetivos de la comunicación vistos anteriormente. El momento es importante porque: - Algunas partes interesadas necesitarán información lo antes posible porque pueden ayudar a contener el incidente de ciberseguridad (por ejemplo: la alta dirección de su organización, los empleados). - Otras partes interesadas (por ejemplo: la Autoridad Nacional de Protección de Datos) deben ser contactadas dentro de un determinado plazo impuesto por la ley. - Otros (por ejemplo: los medios de comunicación) pueden ponerse en contacto con la organización, y en tal caso, se deben tener las respuestas preparadas. ## Hay que tener en cuenta que para no alertar al agresor puede ser necesario forzar una fase de no comunicación desde el momento en que se detecta el incidente hasta el momento en que se tenga una visión completa del mismo y un plan de acción. Si el agresor es alertado, probablemente se retirará y borrará todas sus huellas, o, peor aún, hará algún daño final, como robar toda la información posible de la organización o incluso instalar puertas traseras. Para evitar una filtración durante esta fase de no comunicación se puede llevar una lista reducida de personas que estén al tanto del incidente de ciberseguridad. Esto hará más fácil descubrir quién es el responsable cuando parezca que la información se haya filtrado información. ## Informar a las autoridades gubernamentales Informar a las autoridades es una parte muy específica de la comunicación. Es importante por varias razones: - Como ya se ha mencionado anteriormente, en algunos casos existe la obligación legal de informar de determinados tipos de incidentes de seguridad. - El incidente de ciberseguridad puede no ser un incidente aislado. Las autoridades pueden tener información que puede ayudar a contener el incidente más rápidamente. - Además, en caso de denunciar a las autoridades policiales y/o judiciales, permite inventariar y medir la ciberdelincuencia en el país. Un mayor conocimiento y comprensión del fenómeno y su prevalencia ayudará a mejorar el panorama general de la seguridad global, por ejemplo, mediante la elaboración de medidas preventivas y contramedidas. ## Plantilla seguimiento de la comunicación A continuación, se muestra un ejemplo del seguimiento de la comunicación en un incidente. | PLANTILLA SEGUIMIENTO COMUNICACIÓN | | |---|---| | Relación de partes interesadas | | | Internos: | | | Externos: | | | Relación de responsables de comunicación | | | Canales de comunicación interna | | | Canales de comunicación externa | | | Calendario de las comunicaciones | | | Contenido a comunicar según parte interesada | | | Comentarios | | ## 5.4. Implantación de capacidades de ciberresiliencia ### Principios básicos Los métodos de acceso a la infraestructura tecnológica de cualquier organización se han ampliado drásticamente. Los servicios en la nube, las redes sociales, los dispositivos móviles y las políticas de dispositivos móviles y las políticas de "traiga su propio dispositivo" (BYOD) han desplazado el perímetro corporativo clásico basado en cortafuegos, dispositivos y aplicaciones hasta los datos más sensibles que deben ser protegidos. Los atacantes, cada vez más creativos, expertos y agresivos siguen llevando el mundo de las amenazas a nuevas áreas. Así, el panorama de las amenazas seguirá evolucionando, con nuevos e innovadores métodos de ataque capaces de adaptarse a los entornos objetivo elegidos. Además, los futuros ataques utilizarán cada vez más herramientas automatizadas para comprometer cientos de miles de ordenadores en todo el mundo. Incluso en el mundo actual no será posible prevenir todos los incidentes de ciberseguridad. A medida que los atacantes se adaptan y cambian, las organizaciones tendrán que adaptarse y cambiar también. Por lo tanto, hay que prepararse para un ataque ejecutado por un grupo avanzado, sofisticado, organizado, bien financiado y persistente. La forma de estar preparado es implementar capacidades de ciberresiliencia. Entendemos ciberresiliencia, como la capacidad de anticipar, resistir, recuperarse y adaptarse a condiciones adversas, ataques o compromisos en sistemas que incluyen recursos cibernéticos. Esta definición puede aplicarse a una variedad de entidades, incluyendo: - Un sistema - Un mecanismo, componente o elemento del sistema - Un servicio compartido, una infraestructura común o un sistema de sistemas identificado con una misión o función empresarial - Una organización completa - Un sector de infraestructuras críticas - Una nación La resistencia cibernética está surgiendo como un elemento clave en cualquier estrategia eficaz para la garantía la misión, la garantía de negocio o la resistencia operativa. Para estar mejor preparado, se debe considerar cómo: - Proteger sus datos más importantes en un entorno comprometido - Dificultar el éxito de los atacantes - Detectar que se está planeando un ataque, o que ya está en marcha - Responder a los sofisticados ataques actuales. ### Características Los aspectos claves que debe tener una estrategia de ciberresiliencia en cualquier organización son: - Centrarse en la misión o las funciones empresariales - Apoyar las misiones de la organización o las funciones de negocio con el fin de maximizar la capacidad de las organizaciones para completar las misiones críticas o esenciales o las funciones de negocio a pesar de la presencia de un adversario en sus sistemas e infraestructuras que amenazan los sistemas de misión crítica y los componentes del sistema. Desde la perspectiva de la ciberresiliencia, los elementos del sistema o los sistemas constituyentes que son menos críticos para la eficacia de la misión o del negocio pueden ser sacrificados para contener un ciberataque y maximizar la seguridad de la misión. - Asumir un entorno cambiante. Se producen cambios continuos en el entorno de las amenazas, el entorno operativo y el entorno técnico. Los actores de las APT aprenden de la experiencia. Sus motivos pueden cambiar en respuesta a factores económicos y políticos, y sus TTPs pueden convertirse en herramientas básicas para los actores de nivel inferior. Las formas de utilizar la tecnología por parte de los individuos y las organizaciones cambian debido a acontecimientos como la pandemia de COVID-19, la disponibilidad más amplia o más rentable de servicios como la computación en la nube, y la creciente familiaridad con las nuevas tecnologías y su aceptación. El entorno técnico sigue evolucionando, por ejemplo, con la rápida convergencia de la tecnología de la información y la tecnología operativa, la creciente madurez de la inteligencia artificial y el aprendizaje automático, y la transición a las arquitecturas de confianza cero. Estos cambios pueden interactuar de muchas maneras, aumentando la complejidad y reduciendo la transparencia de los sistemas, servicios, infraestructuras y ecosistemas. - Centrarse en los efectos de la amenaza persistente avanzada. La definición de ciberresiliencia abarca todas las amenazas a los sistemas que contienen recursos cibernéticos. Sin embargo, el análisis de la ciberresiliencia centra grandes esfuerzos en los efectos que la APT puede tener en el sistema de interés y, por tanto, en las misiones o funciones empresariales, la organización o las partes interesadas externas. Además de los efectos inmediatamente detectables (por ejemplo, la destrucción de datos, el mal funcionamiento de un CPD, la denegación de servicio), la APT puede producir efectos que son detectables sólo después de la observación prolongada o el análisis forense del sistema de interés (por ejemplo, la escalada de privilegios, la modificación o fabricación de datos o servicios, la exfiltración de datos). La inclusión de la ciberresiliencia en la ingeniería de seguridad de sistemas busca mitigar tales efectos, independientemente de cuándo o si pueden ser detectados. Los recursos asociados a la APT, su naturaleza sigilosa, su enfoque persistente en el objetivo de interés y su capacidad de adaptación frente a las acciones de los defensores la convierten en una amenaza altamente peligrosa. Además, la APT puede aprovechar o hacer que su comportamiento parezca resultado de otras anomalías, como un error humano, un fallo de infraestructura o un desastre natural. Al centrarse en las actividades de las APT y sus efectos potenciales, los ingenieros de sistemas producen sistemas que pueden anticipar, soportar, recuperarse y adaptarse a una amplia y diversa serie de condiciones adversas y tensiones. - Asumir que el adversario comprometerá o vulnerará el sistema o la organización. Una suposición fundamental es que no siempre se pueden mantener a los atacantes fuera de un sistema o detectarlo y eliminarlo rápidamente de ese sistema, a pesar de la calidad del diseño del sistema, la eficacia funcional de los componentes de seguridad y la fiabilidad de los componentes objetos del ataque. Este supuesto reconoce que los sistemas modernos son entidades grandes y complejas, y que los atacantes siempre podrán encontrar y explotar debilidades y defectos en los sistemas (por ejemplo, vulnerabilidades sin parches, configuraciones erróneas), entornos de operación (por ejemplo, ingeniería social, vulnerabilidad de los usuarios) y cadenas de suministro. Como resultado, un atacante puede penetrar en el sistema de una organización y lograr una presencia dentro de la infraestructura de esta. - Asumir que el atacante mantendrá su presencia en el sistema u organización. Se asume que la presencia del adversario puede ser un problema persistente y a largo plazo y reconoce que la naturaleza sigilosa de la APT hace que sea difícil para una organización estar segura de que la amenaza ha sido erradicada. También reconoce que la capacidad de adaptación de la APT implica que las mitigaciones que antes tenían éxito pueden dejar de ser efectivas. Por último, reconoce que la naturaleza persistente de la APT significa que incluso si una organización ha logrado erradicar su presencia, puede volver. En algunas situaciones, el mejor resultado que una organización puede lograr es contener el código malicioso del ataque o frenar su movimiento lateral para que la organización sea capaz de lograr su misión principal antes de perder su capacidad de misión crítica o esencial. ### Técnicas Las técnicas, en este contexto, son un conjunto de prácticas y tecnologías que pretender conseguir los objetivos de ciberresiliencia que se persiguen. La siguiente tabla muestra las principales técnicas que pueden ser utilizadas. <start_of_image>dtypes: text | TÉCNICA | PROPÓSITO | |---|---| | Conciencia situacional | Mejorar la comprensión de las dependencias entre los recursos CIS y el resto. Revela patrones o tendencias en el comportamiento del atacante | | Protección coordinada | Conseguir que las salvaguardas sean un obstáculo de creciente dificultad a medida que el ataque progresa | | Engaño | Engañar u ocultar activos críticos al atacante haciendo que éste no esté seguro de cómo proceder, retrasando el efecto del ataque, aumentando el riesgo de ser descubierto, haciendo se desvíe o desperdicie sus recursos | | Diversidad de medidas | Limitar la posibilidad de la pérdida de funciones críticas debido al fallo de componentes críticos comunes | | Posicionamiento dinámico de activos críticos | Dificultar la capacidad de un adversario para localizar, eliminar o corromper los activos de la misión o de la empresa, y hacer que el adversario dedique más tiempo y esfuerzo a encontrar los activos críticos de la organización, aumentando así la probabilidad de que el adversario revele su presencia, sus acciones y su artefacto antes de tiempo | | No persistencia | Reducir la exposición a la corrupción de la información, la modificación o el compromiso. Restringir la intrusión y el avance del adversario y eliminar potencialmente el malware o los recursos dañados del sistema | | Restricción de privilegios | Limitar el impacto y la probabilidad de que las acciones no intencionadas de las personas autorizadas comprometan la información o los servicios | | Segmentación | Limitar la capacidad del adversario para obtener credenciales | | Redundancia | Minimizar las conexiones entre los servicios de misión crítica y los no críticos | | Impredecibilidad | Aumentar la incertidumbre del atacante con respecto a las protecciones del sistema que puede encontrar, lo que le dificulta determinar el curso de acción apropiado. | ### Implementación de capacidades Este apartado muestra algunos enfoques a la hora de implementar las técnicas vista en el apartado anterior. Entendamos por enfoque de ciberresiliencia el conjunto de tecnologías y procesos que implementa las capacidades objetivo. La siguiente tabla enumera para cada técnica de ciberresiliencia, los enfoques representativos que pueden utilizarse para implementar la técnica y ejemplos representativos de tecnologías y prácticas relativamente maduras, aunque deben entenderse como no exhaustivo ni completo. dtyptes: text | TÉCNICA | ENFOQUE | EJEMPLOS | |---|---|---| | Conciencia situacional | Conocimiento de los recursos dinámicamente | Mantener un mapa de red en tiempo real | | | Conocimiento de amenazas en tiempo real | Integrar el estado de salud de los activos | | | | Ingesta de incidentes y amenazas | | Protección coordinada | Defensa en profundidad monitorizada | Combinar sistemas de detección de intrusión a nivel de red y de host | | | | Implantar niveles incrementales de protección para el acceso a recursos críticos | | | | Emplear herramientas unificadas de gestión de acceso de identidades y credenciales | | | | Emplear herramientas de análisis de privilegios | | | | Utilizar machine learning para verificar las políticas de control de acceso | | | Orquestación | Coordinar la gestión de incidentes con los procesos de negocio y continuidad del negocio | | | | Realizar las modificaciones de software de forma consistente y coordinada | | | | Llevar a cabo análisis de cobertura de sensores desplegados | | | Auto-retos | Utilizar ciber playbooks | | | | Realizar test del hardware | | | | Realizar ejercicios de entrenamiento | | | Ofuscación | Llevar a cabo test de penetración y ejercicios de red team | | | | Emplear inyección de fallos en la infraestructura | | | | Encriptar datos almacenados | | | | Encriptar datos en tránsito | | | Desinformación | Utilizar redes privadas virtuales | | | | Emplear máscaras, hash | | | | Añadir información de relleno a la información útil | | | Confusión | Crear falsos tokens y credenciales | | | Diversidad arquitectónica | Establecer honeypots, honeynets | | | | Mantener un entorno de engaño | | | | Desplegar diferentes SSOO | | | | Realizar auditorías de sistema y de logs | | | Diversidad de la información | Soportar múltiples protocolos estándar | | | | Utilizar múltiples fuentes de datos | | | Diversidad de caminos | Establecer servicios de comunicación con diferentes proveedores | | | | Emplear protocolos de comunicación alternativos | | | | Utilizar canales fuera de banda | | Posicionamiento dinámico de activos críticos | Redistribución de la sensorización y demás activos | Recolocar los sensores | | | Funcinalidad distribuida | Redistribuir las funciones en diferentes sistemas | | | Información no persistente | Borrar la información de alta valor después de ser procesada | | | Servicios no persistentes | Utilizar passwords de un solo uso para activos críticos | | | | Refrescar servicios utilizando virtualización | | | | Emplear finalización de sesión por inactividad | | | Conectividad no persistente | Implementar redes definidas por software | | | | Emplear desconexión de red por inactividad | | Restricción de privilegios | Implementar mínimo privilegio | Emplear restricciones de acceso basado en localización | | | | Requerir multi-autorización para servicios críticos | | | | Emplear control de acceso basado en rol, en atributo | | | Acceso basado en atributo | Utilizar máscaras dinámicas | | | | Emplear aprovisionamiento de cuentas dinámico | | | Privilegios dinámicos | Implementar revocación dinámica de accesos | | Segmentación | Propósito | Utilizar listas de usuarios permitidos para instalación de software | | | | Utilizar lista de usuarios para restringir comunicaciones a determinadas direcciones | | | Restricción | Asegurar que las cuentas privilegiadas no son utilizadas para funciones no privilegiadas | | | | Configurar solo capacidades esenciales | | Redundancia | Backup protegido | Proteger el sistema de backup | | | | Incrementar la monitorización durante las operaciones de restauración | | | Replicación | Mantener más de un almacén de datos | | | | Proporcionar mecanismos alternativos de seguridad | | | Impredecibilidad | Impredecibilidad temporal | Realizar las tareas rutinarias a diferentes horas del día | | | | Cambiar roles y responsabilidades | | | | Impredecibilidad contextual | Utilizar enmascaramiento aleatorio |

Tema 5. Detección y documentación de incidentes de ciberseguridad PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue