¿Qué pasos dar ante un incidente de seguridad?

por Antonio Félix Sánchez-Oro, posted in Actualidad, Análisis, Ciberseguridad, Guías, SysAdmin

Esta entrada te comento los pasos, a grandes rasgos, que se deberían dar para responder eficazmente a un incidente de ciberseguridad. Estas pautas están basadas en las directrices publicadas por el prestigioso Instituto SANS y están pensadas para todo tipo de organizaciones. Lo más importante es entender la dinámica de trabajo y adaptarla a tu organización o negocio.

Si te interesa el campo de la ciberseguridad te dejo a continuación una entrada donde comento qué es la ciberseguridad y qué te puede ofrecer.

por si acaso te lo perdiste…

Comenzamos.

respuesta ante incidentes de seguridad

El primer punto a tener en cuenta cuando nos enfrentamos ante un problema de ciberseguridad es dejar que el equipo de seguridad o el equipo de respuestas a incidentes de seguridad (Computer Security Incident Response Team, CSIRT o CIRT) sea fiel al plan establecido por la organización de respuesta a incidentes de seguridad (Incident Response Plan, IRP). Si un equipo CIRT está bien entrenado y tiene las pautas bien definidas, hay que evitar entrar en pánico y dejar que se ciñan al guion. Que todo fluya según lo entrenado.

Según las recomendaciones del prestigioso Instituto SANS un buen plan de respuesta debería tener 6 fases que cada organización debe adaptar a sus necesidades.

Recomendación del Instituto SANS. 6 pasos para responder a un incidente. - Tecnógrafos
Recomendación del Instituto SANS. 6 pasos para responder a un incidente.

PREPARACIÓN

La primera fase consiste en realizar todas las acciones necesarias para estar preparado ante un incidente de ciberseguridad. Esto implica tener listo:

  • Políticas: Todas los procedimientos, prácticas y directrices que la organización ha decidido establecer para mitigar un incidente.
  • Plan de respuestas a incidentes: Este documento describe la estrategia a seguir cuando se presenta el problema de ciberseguridad. Es recomendable que incluya un apartado de priorización de incidencias, que distinga los tipos de urgencia entre distintos tipos de incidentes.
  • Procedimientos de comunicación: Cuando existe un problema de ciberseguridad es importante tener claro las directrices de comunicación interna, de cara a los usuarios de la organización, y externa. Estas directrices deben incluir qué y a quién debe el equipo CIRT dirigirse para enviar el comunicado.
  • Procesos documentados: Esto es una buena práctica que debería convertirse en imprescindible. Documentar los pasos realizados permite mejorar los procesos de respuesta en el futuro.
  • El equipo: Debe estar entrenado con simulacros para saber cómo proceder en todo momento. En el peor de los casos, en los que no se sepa cómo actuar, debe de ser conocedor del sitio o el lugar dónde poder consultar las guías técnicas o los procedimientos fijados por la empresa.
  • Controles de acceso: Es básico que los técnicos del equipo tengan acceso a todas las máquinas que necesiten para desempeñar su trabajo con normalidad.
  • Herramientas: Sin las herramientas necesarias, no importa la preparación recibida, el equipo no puede ser eficaz. Tener disponibles las herramientas adecuadas y saber usarlas es imprescindible para responder correctamente ante un incidente de ciberseguridad.
  • Entrenamiento: Si el equipo no sabe qué hacer o nunca se ha enfrentado a una situación grave que compromete a la empresa, el incidente será más doloroso de lo previsto. Tener un equipo entrenado es quizás el factor más decisivo a la hora de enfrentarse a un incidente de ciberseguridad. Es recomendable la programación anualizada de simulacros para mantener al equipo «en forma».

La preparación es esencial y determinará la probabilidad de éxito ante la respuesta al incidente. Muchas organizaciones lo van dejando. Como nunca ocurre nada…Pero ¡pluff! Ese día llega de repente, cuando menos te lo esperas, y hay que entrar en acción. Hemos detectado un incidente. Lo primero ¡no entres en pánico!

Sé que cuesta no dejarnos llevar por el miedo, pero no va a ayudar a resolver la situación. Procede según el plan.

En la siguiente entrada comento algunas buenas prácticas que pueden venirte bien en este tipo de situaciones.

POR SI ACASO TE LO PERDISTE…

IDENTIFICACIÓN DEL PROBLEMA

Durante las fases iniciales de detección y contención de un incidente que amenaza la organización, se deberá identificar el alcance del daño e intentar realizar las primeras acciones para detener y mitigar la incidencia.

La identificación de un incidente puede ser activa, estamos observando un incidente en directo, o pasivo, estamos observando ciertos comportamientos anómalos. En cualquier caso, identificar los activos afectados el crucial para contener el problema. Durante la fase de identificación es fundamental la comunicación del equipo con las personas involucradas, debiendo recopilar y documentar la mayor cantidad de información posible, para así determinar con mayor eficacia los activos involucrados en el incidente.

CONTENCIÓN DEL INCIDENTE

Una vez identificados los activos afectados, pasamos a contener el incidente. El objetivo de la fase de contención es limitar el daño y recopilar evidencias del incidente. Esto puede hacerse en primer lugar, cortando el tráfico de los equipos o servidores afectados. En una segunda instancia se puede comenzar a recabar evidencias con tu mochila de la ciberseguridad.

Es muy recomendable dejar constancia de manera legal de posibles acciones criminales que se hayan cometido contra la organización. Y documentar todas las evidencias recopiladas y los pasos que se están dando para así poder responder después a las preguntas quién, qué, dónde, por qué y cómo ha sucedido el incidente.

Para ello se deberá tener preparado el un kit de herramientas forenses para recopilar evidencias. Hace tiempo ya comentamos qué debería tener tu mochila de la ciberseguridad para actuar con rapidez en estos casos. Hay que preservar las pruebas evidénciales de un incidente de ciberseguridad para su posterior investigación.

POR SI ACASO TE LO PERDISTE…

ELIMINACIÓN DE LA AMENAZA

Ahora ya estamos en condición de pasar a la fase de eliminación de la amenaza en la cual habrá que responder en función al problema que tengamos. Si el problema está relacionado con malware, se puede responder, por ejemplo, con herramientas antivirus para desinfectar los equipos afectados o con un borrado manual del malware. En este caso también se podría responder pasando a la siguiente fase y recuperar del backup las máquinas afectadas, si las herramientas antimalware no tuvieran efecto. Si por el contrario el problema está relacionado con la denegación del servicio, habrá que configurar los firewalls para bloquear las IPs atacantes, introducir un portal cativo de espera o descartar peticiones por Round-Robin, etc.

En definitiva, la respuesta depende de la naturaleza del incidente.

RECUPERAR LA CONTINUIDAD DEL NEGOCIO

Una vez eliminada la amenaza ahora se puede comenzar a restablecer o recuperar en producción la situación anterior al incidente, recuperando así la continuidad de negocio.

Una de las posibles actuaciones en caso de pérdida de nodos es tirar de backup, como he mencionado antes, para restablecer en la mayor brevedad posible los servicios afectados. También se puede intentar recuperar los servidores afectados restableciendo manualmente los procesos afectados. La elección dependerá de la intuición del responsable o del técnico. Deberán elegir qué camino los llevará a restablecer antes el servicio, pudiendo elegir ambos paralelamente y así elegir el que llegue antes: el backup o el restablecimiento manual.

LECCIONES APRENDIDAS

La fase final de «lecciones aprendidas» se suele realizar con calma. El problema ya no existe. No obstante, esta fase es quizás la más importante ya que en ella podemos plantear con calma la serie de acontecimientos que han llevado a la organización ante un incidente de ciberseguridad. Con toda la documentación recopilada se procede a responder a las preguntas planteadas anteriormente y a realizar una cronología de lo sucedido.

Un buen ejemplo de un documento que refleja las conclusiones extraídas de un incidente podría contener la siguiente información:

  • Cómo se detecta el problema y quién lo ha detectado.
  • Alcance del problema (qué ha sido afectado y a quiénes).
  • De dónde procede el problema.
  • Cómo se ha erradicado (pasos).
  • Cómo se ha vuelto a la situación previa al incidente.
  • Por qué ha sucedido o por qué ha sido posible que sucediese el incidente.
  • Conclusiones sobre las actuaciones (en qué mejorar, en qué se ha acertado, etc.).

CONCLUSIONES

Ahora ya sabes cómo se procede ante un incidente. Obviamente, detrás de un buen plan para responder a incidentes de ciberseguridad hay mucho trabajo, tiempo y dinero invertidos. Pero esta guía puede servirte para darte una nueva visión y revisar tu plan de respuestas ante incidentes, o en el caso de que no cuentes con uno, darte una idea de cómo comenzar a elaborarlo y adaptarlo a tu organización.

Publicado por Antonio Félix Sánchez-Oro

¡Hola! Soy Antonio Félix y trabajo como técnico de seguridad de la información en el sector nuclear. Como ves, me encanta escribir sobre la actualidad tecnología y ciberseguridad. Sígueme para estar atento a las últimas novedades.