Tema 2. Auditoría de Incidentes de Ciberseguridad PDF
Document Details
Uploaded by ProtectiveThallium
UNIR
Tags
Summary
This document provides an overview of incident management in cybersecurity. It covers topics such as incident analysis, containment, mitigation, and recovery. The document also discusses the importance of evolving incident response strategies to address emerging threats. It includes metrics for measuring the effectiveness of incident response processes.
Full Transcript
## Tema 2. Auditoría de incidentes de ciberseguridad ### Cuando se analiza y prioriza un incidente - El equipo de respuesta a incidentes debe notificar a las personas adecuadas para que todos los que deban participar desempeñen su papel. - Las políticas de respuesta a incidentes deben incluir disp...
## Tema 2. Auditoría de incidentes de ciberseguridad ### Cuando se analiza y prioriza un incidente - El equipo de respuesta a incidentes debe notificar a las personas adecuadas para que todos los que deban participar desempeñen su papel. - Las políticas de respuesta a incidentes deben incluir disposiciones relativas a la notificación de incidentes: como mínimo, qué debe notificarse a quién y en qué momento (por ejemplo, notificación inicial, actualizaciones periódicas del estado, etc.). - La adecuada implantación de las antedichas medidas ayudará a detectar las posibles brechas de seguridad de los Sistemas de Información de la organización y su análisis, desencadenando los procesos de tratamiento del ciberincidente y de notificación a los que hubiere lugar. ### Contención, mitigación, recuperación - La organización, en esta fase del ciberincidente -y atendiendo a su peligrosidad- deberá intentar, en primera instancia, mitigar su impacto, procediendo después a su eliminación de los sistemas afectados y tratando finalmente de recuperar el sistema al modo de funcionamiento normal. - Durante esta fase será necesario, cíclicamente, persistir en el análisis de la amenaza, de cuyos resultados se desprenderán, paulatinamente, nuevos mecanismos de contención y erradicación. - La contención es importante antes de que un incidente desborde los recursos o aumente los daños. La mayoría de los incidentes requieren contención, por lo que es una consideración importante al principio de la gestión de cada incidente. La contención proporciona tiempo para desarrollar una estrategia de reparación a medida. Una parte esencial de la contención es la toma de decisiones (por ejemplo, apagar un sistema, desconectarlo de la red, desactivar ciertas funciones). Estas decisiones son mucho más fáciles de tomar si existen estrategias y procedimientos predeterminados para contener el incidente. - Las organizaciones deben definir los riesgos aceptables para hacer frente a los incidentes y desarrollar estrategias en consecuencia. ### Una vez que se ha contenido un incidente - La erradicación o mitigación puede ser necesaria para eliminar los componentes del incidente, como la eliminación del malware y la desactivación de las cuentas de usuario violadas, así como la identificación y mitigación de todas las vulnerabilidades que fueron explotadas. - Durante la erradicación, es importante identificar todos los hosts afectados dentro de la organización para que puedan ser remediados. - En algunos incidentes, la erradicación no es necesaria o se realiza durante la recuperación. ### En la recuperación - Los administradores restablecen el funcionamiento normal de los sistemas, confirman que los sistemas funcionan con normalidad y (si procede) corrigen las vulnerabilidades para evitar incidentes similares. - La recuperación puede implicar acciones como la restauración de los sistemas a partir de copias de seguridad limpias, la reconstrucción de los sistemas desde cero, la sustitución de los archivos comprometidos por versiones limpias, la instalación de parches, el cambio de contraseñas y el refuerzo de la seguridad del perímetro de la red (por ejemplo, los conjuntos de reglas del cortafuegos, las listas de control de acceso del router de frontera, etc.). - Los niveles más altos de registro del sistema o de supervisión de la red suelen formar parte del proceso de recuperación. ### Posincidente - Tras el incidente, en esta fase, los responsables del organismo emitirán un Informe del Ciberincidente que detallará su causa originaria y su coste (especialmente, en términos de compromiso de información o de impacto en los servicios prestados) y las medidas que la organización debe tomar para prevenir futuros ciberincidentes de naturaleza similar. ### Una parte muy importante de la respuesta a incidentes es también la que más a menudo se omite: aprender y mejorar. - Cada equipo de respuesta a incidentes debe evolucionar para reflejar las nuevas amenazas, la mejora de la tecnología y las lecciones aprendidas. ### Métricas - A la hora de implantar la gestión de incidentes en una organización es conveniente que esté sujeto a una evaluación y proceso de mejora continua. - Para este propósito se pueden llevar a cabo desde evaluaciones internas a auditorías de cumplimiento por terceras partes. - Para estos procesos es necesario establecer métricas que nos indiquen el grado de desempeño de nuestro modelo. - En este apartado se describen algunas de las posibles métricas que pueden considerarse para este fin, extraídas del Esquena Nacional de Seguridad, CCN-STIC 817. ### Métricas de implantación | Indicador | Objetivo | Método | Caracterización | |------------|------------------------------------------------------|--------------------------|-----------------| | M 1 | Alcance del sistema de gestión de ciberincidentes | Saber si todos los sistemas de información están adscritos al servicio: contar cuántos servicios están bajo control (si se conociera cuántos servicios hay en total, se podría calcular un porcentaje). | | | | | | Objetivo: | | | | | #servicios de categoría ALTA (ENS Anexo I) | | | | | #servicios de categoría MEDIA (ENS Anexo I) | | | | | Umbral amarillo: 100% | | | | | Umbral rojo: ALTA: 4/5 (80%), MEDIA: 2/3 (67%) | | | | | Frecuencia medición: trimestral | | | | | Frecuencia reporte: anual | ### Métricas de resolución de incidentes | Indicador | Objetivo | Método | Caracterización | |------------|---------------------------------------------------|--------------------------|-----------------| | M 2 | Resolución de ciberincidentes de nivel de impacto ALTO (ENS Anexo I- afectando a sistemas de categoría ALTA) | Ser capaces de resolver prontamente incidentes de alto impacto: Se mide el tiempo que se tarda en resolver un incidente con un impacto en sistemas de categoría ALTA: desde que se notifica hasta que se resuelve. | | | | | | Objetivo: | | | | | T(50) tiempo que se tarda en cerrar el 50% de los incidentes | | | | | T(90) tiempo que se tarda en cerrar el 90% de los incidentes | | | | | Umbral amarillo: T(50) = 0 && T(90) = 0 | | | | | Umbral rojo: T(50) > 5d || T(90) > 10d | | | | | T(50) > 10d || T(90) > 20d | | | | | Frecuencia medición: anual | | | | | Frecuencia reporte: anual | | M 3 | Resolución de ciberincidentes de nivel de impacto MEDIO (ENS Anexo I - afectando a sistemas de categoría MEDIA) | Ser capaces de resolver prontamente incidentes de impacto medio:Se mide el tiempo que se tarda en resolver un incidente con un impacto en sistemas de categoría MEDIA: desde que se notifica hasta que se resuelve. | | | | | | Objetivo: | | | | | T(50) tiempo que se tarda en cerrar el 50% de los incidentes | | | | | T(90) tiempo que se tarda en cerrar el 90% de los incidentes | | | | | Umbral amarillo: T(50) = 0 && T(90) = 0 | | | | | Umbral rojo: T(50) > 10d || T(90) > 30d | | | | | T(50) > 15d || T(90) > 45d | | | | | Frecuencia medición: anual | | | | | Frecuencia reporte: anual | ### Métricas de recursos | Indicador | Objetivo | Método | Caracterización | |------------|------------------------------------------------------|--------------------------|-----------------| | M 4 | Recursos consumidos | Conocer si es necesario aumentar la fuerza de trabajo: Estimación de número de horas-hombre dedicadas a resolver incidentes de seguridad. Fórmula: #horas dedicadas a incidentes/ #horas formalmente contratadas para seguridad TIC. | | | | | | Objetivo: <20% | | | | | Umbral amarillo: 20% | | | | | Umbral rojo: 50% | | | | | Frecuencia medición: trimestral | | | | | Frecuencia reporte: anual | ### Métrica de gestión de incidentes | Indicador | Objetivo | Método | Caracterización | |------------|------------------------------------------------------|--------------------------|-----------------| | M 5 | Estado de cierre los incidentes | Ser capaces de gestionar incidentes de seguridad: Se mide el número de incidentes que han sido cerrados sin respuesta. Fórmula: # incidentes de seguridad cerrados sin respuesta / # total de incidentes notificados. | | | | | | Objetivo: <10% | | | | | Umbral amarillo: 20% | | | | | Umbral rojo: 50% | | | | | Frecuencia mediación: Trimestral | | | | | Frecuencia reporte: Anual | | M 6 | Estado de cierre los incidentes de peligrosidad MUY ALTA/ CRÍTICA | Ser capaces de gestionar incidentes de seguridad de alta peligrosidad:Se mide el número de incidentes que han sido cerrados sin respuesta. Fórmula: # incidentes de seguridad cerrados sin respuesta / # total de incidentes notificados. | | | | | | Objetivo: 0% | | | | | Umbral amarillo: 5% | | | | | Umbral rojo: 20% | | | | | Frecuencia medición: Trimestral | | | | | Frecuencia reporte: Anual | ### 2.4. CERT/CSIRT/SOC - CSIRT o Computer Security Incident Response Team (Equipo de respuesta a incidendes de seguridad informática o ciberincidentes) es el término que se utiliza en Europa para el término registrado en EE. UU. como CERT/CC (Computer emergency Response Team/Coordination Center). - Un CSIRT es un equipo de expertos en seguridad de las TI cuya principal tarea es responder a los incidentes de seguridad informática. EI CSIRT presta los servicios necesarios para ocuparse de estos incidentes y ayuda a los clientes del grupo al que atienden a recuperarse después de sufrir uno de ellos. Dependiendo el tipo de organización puede requerir tener un equipo propio y/o la prestación de estos servicios a través de terceros. - Para mitigar los riesgos y minimizar el número de respuestas necesarias, la mayor parte de los CSIRT ofrecen también a sus clientes servicios preventivos y de formación. Publican avisos sobre las vulnerabilidades del software y el hardware en uso e informan a los usuarios sobre los programas maliciosos y virus que se aprovechan de estas deficiencias. De este modo, los clientes atendidos pueden corregir y actualizar rápidamente sus sistemas. ### Algunas ventajas de tener un CSIRT es: - Disponer de una coordinación centralizada para las cuestiones relacionadas con la seguridad de las TI dentro de la organización (punto de contacto). - Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado. - Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y asistir a los usuarios que necesitan recuperarse rápidamente de algún incidente de seguridad. - Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito. - Realizar un seguimiento de los progresos conseguidos en el ámbito de la seguridad. - Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo atendido (sensibilización). - Cuando se pone en marcha un CSIRT es muy importante tener una idea clara de quiénes forman su grupo de clientes y a qué tipo de entorno se enfocarán los servicios que se presten. ### Relación entre CSIRT y SOC - Por otro lado, existe una estrecha relación entre un CSIRT y un SOC (Security Operations Centre), confundiéndose a veces estos conceptos al tener una frontera a veces difusa sobre qué debe hacer uno u otro. - Un SOC, o centro de operaciones de seguridad, es un equipo compuesto principalmente por analistas de seguridad organizados, los cuales proporciona un servicio de detección de incidentes mediante la observación de eventos técnicos en redes y sistemas, y también puede ser responsable de la respuesta y gestión de incidentes. - Digamos que el SOC es la primera línea, recibe todas las alertas, mientras que el CSIRT recibe las alertas escaladas y participa en la coordinación. - En las grandes empresas, los SOC a veces se centran sólo en los servicios de supervisión y detección y luego ceden la gestión de los incidentes a un CSIRT independiente. - En las organizaciones más pequeñas, los CSIRT y los SOC suelen considerarse sinónimos. - Normalmente, los equipos SOC operan desde salas de monitorización y control, donde los analistas disponen de una información situacional de la infraestructura. - Los equipos SOC suelen evolucionar a partir de los equipos de seguridad de las tecnologías de la información (TI) que automatizan su trabajo mediante la gestión de información y eventos de seguridad (SIEM) y otras tecnologías de automatización y orquestación de la seguridad para su supervisión. - Los equipos SOC suelen centrar sus indicadores clave de rendimiento (KPI) en torno a los indicadores de calidad - velocidad de detección, amplitud de detección, cobertura, tasas de falsos positivos-, así como en los incidentes gestionados, la proporción de alertas/eventos/incidentes, el número de escaladas y la carga de trabajo por incidente ### Las principales capacidades de un SOC son relativas a: - Inteligencia de amenazas (Threat Intelligene) - SIEM - Caza de amenazas (Threat Hunting) - Equipo morado (Purple team) - Monitorización (Monitoring) - Respuesta incidente (Incident Response) - Forense (Forensics) ### Capacidades - Las principales capacidades por desplegar en un CSIRT se muestran en la siguiente figura. - A su vez, estas capacidades se componen de diferentes servicios como los que se indican. - En próximos apartados se realizará una breve descripción de estas. ### Gestión de eventos seguridad de la información - La gestión de eventos de seguridad de la información tiene como objetivo identificar incidentes de seguridad basados en la correlación y el análisis de eventos de seguridad procedentes de una amplia variedad de fuentes de datos contextuales y de eventos. - En las grandes organizaciones, esta área de servicio se asigna a veces total o parcialmente a un Centro de Operaciones de Seguridad (SOC), que además puede llevar a cabo una gestión de incidentes de seguridad de la información de primer o segundo nivel, como por ejemplo iniciar mitigaciones o ajustes de controles de seguridad. - Como cualquier servicio de gestión de incidentes de seguridad de la información depende de datos cualificados y precisos sobre los eventos de seguridad de la información, la interfaz entre un SOC y el CSIRT asignado es crucial. ### Los siguientes servicios componen esta capacidad: - Vigilancia y detección - Análisis de eventos ### Information Security Incident Management. Gestión de los incidentes de seguridad - Esta capacidad está en el corazón de cualquier CSIRT y consiste en servicios que son vitales durante un ataque o incidente. Los CSIRT deben estar preparados para para actividades relacionadas con: - Informes de incidentes de seguridad y análisis de la situación. - Análisis técnico detallado del propio incidente y de los artefactos utilizados. - Recomendación de medidas de mitigación y recuperación del incidente, y - Coordinación y colaboración con otros CSIRTs o expertos en seguridad, proveedores o PSIRTs para abordar todos los aspectos y reducir el número de ataques exitosos más adelante. - Los conocimientos especiales que pueden aportar los CSIRT también son fundamentales para hacer frente a las crisis (de seguridad de la información). - Aunque en muchos casos un CSIRT no se encargará de la gestión de la crisis, puede apoyar cualquier actividad de este tipo. Poner a disposición sus contactos, por ejemplo, puede mejorar en gran medida la aplicación de medidas de mitigación necesarias o mejores mecanismos de protección. - Aplicar los conocimientos y la infraestructura disponible para apoyar a sus integrantes es clave para mejorar la gestión global de los incidentes de seguridad de la información ### Los siguientes servicios se consideran como ofertas potenciales de esta área de servicio: - Aceptación de informes de incidentes de seguridad de la información - Análisis de incidentes de seguridad de la información - Análisis de artefactos y pruebas forenses - Mitigación y recuperación - Coordinación de incidentes de seguridad de la información - Apoyo a la gestión de crisis ### Gestión de vulnerabilidades - La capacidad de Gestión de Vulnerabilidades incluye servicios relacionados con el descubrimiento, análisis y el tratamiento de las vulnerabilidades de seguridad nuevas o notificadas en los sistemas de información. - Esta capacidad también incluye servicios relacionados con la detección y la respuesta a vulnerabilidades conocidas para evitar que sean explotadas. - Por lo tanto, abarca los servicios relacionados con las vulnerabilidades tanto nuevas como conocidas. - Aunque el término "gestión de la vulnerabilidad" se utiliza a veces para referirse al proceso de simplemente prevenir que las vulnerabilidades conocidas sean explotadas (por ejemplo, "escanear y parchear"), en el contexto de un CSIRT, esas actividades se consideran como funciones bajo un servicio llamado Respuesta a la Vulnerabilidad, que es sólo uno de los posibles servicios que un CSIRT podría proporcionar. - A veces esas funciones de respuesta a la vulnerabilidad son responsabilidad de otros roles que escanean y remedian las vulnerabilidades de seguridad. ### Los siguientes servicios se consideran ofertas de esta capacidad: - Descubrimiento / investigación de vulnerabilidades - Recepción de informes de vulnerabilidad - Análisis de vulnerabilidad - Coordinación de la vulnerabilidad - Divulgación de la vulnerabilidad - Respuesta a la vulnerabilidad - Pocos CSIRTS proporcionarán todos estos servicios, sino que proporcionarán sólo aquellos servicios en su ámbito de responsabilidad. - Por ejemplo, un CSIRT puede limitar sus servicios a conocer una nueva vulnerabilidad a partir de fuentes públicas (descubrimiento/investigación de la vulnerabilidad) o de terceros (Admisión de Informes de Vulnerabilidad) y luego emitir un aviso de seguridad a sus partes interesadas (Divulgación de Vulnerabilidad) cuando sea necesario. ### Conciencia situacional - El conocimiento de la situación comprende la capacidad de identificar, procesar, comprender y comunicar los elementos críticos de lo que está ocurriendo en el área de responsabilidad del CSIRT y sus alrededores que puede afectar al funcionamiento o a la misión de sus miembros. - El conocimiento de la situación incluye ser conocedor del estado actual, e identificar o anticipar los cambios potenciales de ese estado. - Esta capacidad también incluye la determinación de cómo reunir información relevante de diferentes áreas, cómo integrar esa información y cómo difundirla de manera oportuna para mejorar a la toma de decisiones. - Algunas organizaciones pueden establecer un equipo separado para proporcionar Conciencia de la situación, pero para otras, el equipo del CSIRT proporciona esta función basándose en su visibilidad, comprensión del contexto, capacidades técnicas, acceso a los activos, conexiones externas y la misión de prevenir incidentes. - El conocimiento de la situación no se centra únicamente en la respuesta a incidentes, es un servicio que garantiza que los datos, el análisis y las acciones estén disponibles para otros servicios como la gestión de eventos de seguridad, la gestión de incidentes y la transferencia de conocimientos. - También garantiza que la información procedente de esas otras capacidades se integre adecuadamente y se entregue a los componentes apropiados de manera oportuna. ### Los siguientes servicios son ofertas de esta área de servicio: - Adquisición de datos - Análisis y síntesis - Comunicación ### Transferencia del conocimiento - Por la naturaleza de sus servicios, Ios CSIRT están en una posición única para recoger datos relevantes, realizar análisis detallados e identificar amenazas, tendencias y riesgos, así como crear las mejores prácticas que ayuden a las organizaciones a detectar, prevenir y responder a los incidentes de seguridad. - La transmisión de estos conocimientos a sus destinatarios es fundamental para mejorar la ciberseguridad en general. ### Los siguientes servicios se consideran ofertas de esta capacidad en particular: - Concienciación - Formación y educación - Ejercicios - Asesoramiento técnico y politico ### Servicios - Son muchos los servicios que un CSIRT puede prestar, pero los CSIRT no suelen prestar todos los servicios, sino para que algunos de ellos se apoyan en terceros. - Así pues, la selección del conjunto adecuado de servicios constituye una decisión crucial. - Los servicios que hemos visto antes asociados a las diferentes capacidades se suelen diferenciar entre servicios reactivos, servicios proactivos y servicios de gestión de la calidad de la seguridad. - La siguiente tabla muestra un ejemplo de típicos servicios agrupados por estas categorías. | SERVICIOS REACTIVOS | SERVICIOS PROACTIVOS | SERVICOS DE GESTIÓN | SERVICIOS ANÁLISIS DE DATOS | |------------------------|------------------------|------------------------|------------------------------| | Alertas y advertencias | Comunicados | Análisis de riesgos | Análisis de instancias | | Tratamiento de incidentes | Observatorio de Tecnología | Continuidad del negocio y | Respuesta a las instancias | | Análisis de incidentes | Evaluaciones o auditorías de la seguridad | recuperación tras un desastre | Consultoría de seguridad | | Apoyo a la respuesta a Incidentes | Configuración y mantenimiento de la seguridad | Sensibilización Educación / Formación | Coordinación de la respuesta a las instancias | | Coordinación de la respuesta a incidentes | Desarrollo de herramientas de seguridad | Evaluacion o certificacion de productos | | | Respuesta a incidentes in situ | Servicios de detección de intrusos | | | | Tratamiento de la Vulnerabilidad | Difusión de información relacionada con la seguridad | | | | Análisis de la Vulnerabilidad | | | | | Respuesta a la Vulnerabilidad | | | | | Coordinación de la respuesta a la vulnerabilidad | | | | - Los servicios proactivos están orientados a la prevención de incidentes mediante la sensibilización y la formación, mientras que los reactivos se centran en el tratamiento de los incidentes y la mitigación de los daños resultantes. - El análisis de datos incluye el análisis de cualquier fichero u objeto encontrado en un sistema que pueda intervenir en acciones maliciosas, como virus, gusanos, secuencias de comandos, troyanos, etc. - También incluye el tratamiento y la difusión de la información resultante entre los proveedores y otros interesados, con el fin de evitar que el software malicioso se siga extendiendo y mitigar los riesgos. - Los servicios de gestión de la seguridad y la calidad tienen objetivos a más largo plazo e incluyen la consultoría, concienciación de la organización, medidas de tipo formativo y mejora continua. ### Organización - En el caso de CSIRT grandes, de más de 10 personas, las áreas funcionales técnicas propias de seguridad deben diseñarse en función de los servicios o de las actividades que se llevan a cabo. - Por otro lado, hay que tener en cuenta el tipo de operación que se presta, si es 8/7, 24/7 u otro. - Hay que tener en cuenta que el trabajo en turnos de 24 horas al día puede resultar muy caro, ya que se necesitan seis equipos para cubrir los turnos de 8 horas, incluidos los días festivos. - Por ello, los CSIRT suelen utilizar uno de los siguientes procedimientos operativos: - Operar sólo durante el horario laboral normal. - Tener a alguien de guardia para supervisar las llamadas y escalarlas en su caso. - Subcontratar la supervisión del registro nocturno y de fin de semana a un tercero para el triaje inicial. - Confiar en las operaciones existentes del centro de operaciones de la red (NOC), normalmente en 24/7, para procesar las llamadas iniciales de acuerdo con los procedimientos operativos básicos típicos y llamar a los expertos de guardia. - La siguiente figura muestra una posible organización de un CSIRT. ### Roles - A modo de ejemplo se indica la definición del rol relativo a la respuesta a incidentes: - Incident Handling Unit - Threat Analysis Unit - Artifact Analysis Unit - Security Monitoring Unit - Awareness and training Unit
