Blog del CCI

jueves, 17 de junio de 2021

Prepararse para un incidente informático, Seguridad Proactiva.

 


En la actualidad cualquier empresa, de cualquier tamaño y sector, tiene un gran reto, el prepararse para potenciales incidentes que pueden poner en peligro su infraestructura, ya sean incidentes fortuitos o dirigidos, y cuya recompensa únicamente se obtiene el día que somos capaces de responder a esa amenaza de forma eficiente.

 

¿Cómo se obtiene dicha recompensa?, pues sabiendo que hemos preservado la continuidad de la actividad de nuestra organización o nuestro centro educativo, y el balance final han sido unos daños nulos o mínimos. ¡Éste debería ser nuestro objetivo, nuestra recompensa!!

 

Para ello, necesitamos una preparación previa en nuestra empresa. Y deberemos tomar medidas para poder afrontar una Ciber crisis. Y una de esas acciones, consiste en formar y entrenar a un equipo de respuesta para definir y realizar ejercicios en base a los procesos de seguridad previamente diseñados. Adquiriendo y preparando las herramientas y recursos necesarios para que el equipo pueda desempeñar sus funciones ante una situación de Ciber crisis.

 

A la hora de asignar recursos a un plan de respuesta a incidentes, la primera pregunta que debemos hacernos es si el equipo de respuesta debe ser propio o externalizado.

 

La primera opción implica disponer una mayor especialización por parte del equipo en cuanto al conocimiento e implicación que tienen con la infraestructura de la empresa, con la memoria “no” escrita, y con la arquitectura de seguridad implementada, y este es un valor a tener muy en cuenta. Siendo un activo nada despreciable, ya que muchas incidencias se atajan de forma más efectiva cuando se conoce el lugar atacado y el flujo de los procesos productivos y/o de gestión.

 

Por otro lado, una externalización del servicio supone un importante ahorro de costes fijos de personal altamente cualificado “costes directos, no sumergidos”. En contrapartida, para que un servicio externalizado de respuestas a incidentes sea eficaz, hay que documentar e inventariar toda la infraestructura técnica de la organización previamente. Asegurándonos que los registros serán fieles y seguros, y sobre todo, que siempre, siempre deberán estar actualizados.

 

La arquitectura de seguridad de una empresa, debe estar siempre perfectamente documentada y actualizada. Toda esta información debe estar a disposición del equipo de respuesta para maximizar las probabilidades de éxito en sus intervenciones. También, hay que proporcionar acceso al equipo a todas las herramientas internas. Y para garantizar que el equipo está familiarizado con nuestra organización, este debe participar o incluso organizar los ejercicios de seguridad de forma asidua. Realizando ejercicios de simulacro de forma programada, o no. Y/o de forma reactiva cuando hay modificaciones relevantes en el sistema de la empresa, indistintamente si las modificaciones han sido en IT o en OT.

 


 

Otra de las cuestiones que podemos realizar para ser proactivos, podría ser, el establecer una hoja de ruta, es decir, marcarse una serie de hitos que hay que ir cumpliendo para garantizar que tenemos un buen plan de Ciberseguridad. Un punto de partida, por ejemplo, podría ser un cuestionario que refleje el nivel de preparación frente a incidentes, efectuando un adecuado análisis de riesgos basado en algún framework. Siempre es muy importante saber desde donde partimos. Y en base a los resultados obtenidos, estableceremos prioridades para poner remedio o salvaguardas a los puntos débiles que detectemos.

 

Para ello, podemos utilizar por ejemplo, CREST https://www.crest-approved.org/, una organización sin ánimo de lucro que proporciona servicios de seguridad técnica de la información. Entre sus herramientas disponemos de forma gratuita del test de evaluación de madurez en respuesta a incidentes de Ciberseguridad,

Cyber Security Incident Response Maturity Assessment (crest-approved.org), que puede ser descargado, en dos formatos: el resumido y el extendido.

 

 

Este test consiste en una hoja de cálculo con gran cantidad de preguntas sobre las tres fases consideradas por CREST para responder a un incidente de Ciberseguridad.

 

  •         La fase uno o de preparación consta de cinco secciones.
  •         La fase dos, de respuesta, consta de cuatro.
  •         Y la fase tres consta de seis secciones.

 

Mediante este u otros métodos, que hay distintos, podemos evaluar la situación actual en la que nos encontramos, cuestión muy importante. A continuación, deberemos seleccionar las fuentes de información de las que nos nutriremos para conocer la situación real en cada momento.

 

Para ello, también podemos recurrir a la inteligencia de amenazas y colaborativa. La inteligencia sobre amenazas se divide en:

 

  •        El nivel estratégico indica formas de actuación, planes, campañas previstas del mismo tipo que las amenazas, etc.

 

En general, se trata de informes completos de distintas organizaciones públicas para beneficio general sobre ataques sufridos o investigaciones desarrolladas por ellos. Las empresas de Ciberseguridad son las más prolíficas a la hora de publicar este tipo de informes.

 

  •     En el nivel táctico, el objetivo sería intercambiar información con organismos pares: miembros de una misma asociación o amparados por un mismo organismo. Es común encontrar este tipo de comunidades formadas a partir de sectores de mercado o industriales como, por ejemplo, FS-ISAC https://www.fsisac.com/  o centro de intercambio y análisis de información de servicios financieros. A nivel operacional tenemos un clásico: los indicadores de compromiso o IOC’s.  Por ejemplo leer https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/ 

O por ejemplo recibiendo también alertas del CCN-CERT https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert.html.

 

La idea de las herramientas basadas en indicadores de compromisos sería la de aplicar configuraciones y parámetros de forma dinámica y proactiva, a firewalls, etc… y a sistemas de detección de intrusión para mejorar su capacidad de alerta y bloqueo de amenazas. Disponiendo de la información a varios niveles, manteniendo los procedimientos y tecnologías a los que recurriremos para responder a los incidentes. Y estos, a la vez, deben estar debidamente inventariados, instalados, actualizados y configurados en nuestra infraestructura para resultar útiles.

 


 

Un sistema de seguimiento de incidentes es una herramienta fundamental de acopio y comunicación de información durante la gestión de un incidente, será el punto de referencia al que acudir desde la detección del incidente hasta el cierre del mismo. Para conocer el estado y el procedimiento de respuesta, así como el impacto que el incidente está causando en la organización.

 

Los manuales de estrategia o libro de jugadas, como le dicen los anglosajones, son manuales específicos de operación utilizados para responder a incidentes específicos, sería el equivalente en argot deportivo a las jugadas ensayadas o de manual.

 

El propósito es disponer de un manual de acción de fácil acceso y ejecución, lo suficientemente ajustado a cada modelo de incidente que se contemple, o a distintas fases de estos.

 

Los kits de emergencia son lotes de herramientas y recursos preparados para poder disponer de ellos en el momento en el que salta la alarma, sin tener que pararse a hacer acopio de recursos.

 

El material más común sería una ordenador portátil, con software forense preinstalado, soportes digitales en blanco para copias de seguridad, una clonadora de discos, llaves USB, cableado de alimentación y red suplementario, y herramientas básicas para manipular hardware.

 


 

Dado que los incidentes son momentos de crisis durante los cuales las personas actúan con más estrés del habitual, es conveniente que los miembros del equipo de respuesta a incidentes, conozcan de antemano a las personas con la que van a tener que trabajar (si son externos), principalmente a los miembros de IT y OT, dado que son quienes pueden facilitarles o entorpecerles el trabajo sin quererlo.

 

También es importante que la dirección de la empresa pre-autorice al personal de seguridad para poder tomar ciertas decisiones en situaciones de crisis y disponer de una comunicación abierta y directa 24H con la propia dirección. La última fase de preparación para responder apropiadamente a incidentes de seguridad es, practicar.

 

Los ejercicios ponen a prueba los procedimientos, las fuentes de información y a los equipos permitiendo evaluar la capacidad real de respuesta y el impacto residual que causarían incidentes auténticos. Y automatizan los procesos, de forma que pasan a ser procesos normales y no eventuales o de emergencia.

 

Uno de los sitios donde podemos encontrar ejercicios prácticos y guías de entrenamiento es la web de ENISA https://www.enisa.europa.eu/,  Agencia de Ciberseguridad de la Unión Europea.


Algunos de los frameworks para implementación de sistemas de gestión de seguridad de la información:

 

Y ni que decir, que debemos disponer un riguroso procedimiento de copias de seguridad, disponer de otra copia fuera de las instalaciones habituales y fuera de la red habitual de trabajo. Incluso te aconsejaría, utilizar otro conjunto de copias ubicado en un proveedor Cloud distinto al utilizado en producción, para esas copias.

 

Os propongo:

Hacer un repaso al contenido de las diferentes webs recomendadas en el artículo, y sumergirse en sus contenidos. Una vez visitadas, reinventa tu proactividad, hazte más resiliente. Espero haber ayudado.

 

Cultura Digital.


Jorge González Gómez

Especialista IT

Miembro Profesional CCI

LinkedIn: https://es.linkedin.com/in/jrdsdp

Mail: info@skydeveloperprogrammer.com



 


Sky Developer Programmer

https://www.skydeveloperprogrammer.com