Los ataques cibernéticos aumentan diariamente tanto en la tasa de ocurrencia como en el éxito. El cibercrimen le cuesta a la economía mundial 450.000 millones de dólares anuales, y el 53 por ciento de las empresas evaluadas en el Informe de Preparación Cibernética Hiscox 2017 no estaban preparadas para un ciberataque. Con estas estadísticas en mente, está claro que la capacidad de llevar a cabo el proceso de respuesta a incidentes (IR) es fundamental para las organizaciones de todo el mundo. El proceso de IR depende en gran medida de los datos, de los analistas expertos y de una respuesta rápida a los incidentes. Discutiremos qué es la RI y por qué es importante, proporcionaremos algunos tipos de datos de ejemplo que utilizan los analistas de RI y recorreremos un escenario de RI de ejemplo.
¿Qué es la respuesta a incidentes?
El término «respuesta a incidentes» se refería originalmente al proceso por el cual una entidad utilizaba recursos para hacer frente a un incidente de seguridad declarado y recuperarse de él. Sin embargo, en la actualidad, el término se utiliza a menudo para describir el proceso general de respuesta a cualquier acontecimiento anómalo, tanto si se ha declarado un incidente oficial como si no.
Esta definición plantea otra cuestión: «Entonces, ¿qué es un incidente?» El Instituto Nacional de Stands y Tecnología (NIST) creó normas que incluyen algunas definiciones útiles. Estas son las que necesitas saber:
- Evento: Cualquier acontecimiento observable dentro de un entorno informático
- Evento adverso: Un evento cuya ocurrencia es negativa para la entidad
- Incidente: Una violación directa de las políticas de computación y/o seguridad de una compañía
Aunque estas son las definiciones oficiales, los que están en las trincheras usan un vocabulario mucho más simple. Por lo general, IR significa tomar medidas sobre cualquiera de las anteriores. De hecho, el término incidente se atribuye a menudo a un compromiso o incumplimiento de naturaleza grave.
A continuación, repasemos algunos ejemplos de cómo se ve el IR en acción:
- Una solución antivirus (AV) dispara una alerta para una muestra de software de rescate conocido – Involucrarse en IR. Si la solución AV mitigó adecuadamente la amenaza, no se necesita ninguna otra acción. Sin embargo, si la infección del rescate se extiende a múltiples hosts y los datos vitales se ven comprometidos o se pierden potencialmente, es el momento de declarar un incidente.
- Se ha identificado una amenaza persistente avanzada (APT), como un actor de amenaza patrocinado por el Estado nación, dentro de la red de participación en las IR. Tendrá que trabajar rápidamente para contener la infracción y proteger la propiedad intelectual, la información de los clientes y otros datos sensibles.
¿Por qué es tan importante el IR?
Tener capacidad de infrarrojos no sólo es importante, es crítico. Según un informe de Verizon sobre violaciones de datos, «Ningún lugar, industria u organización es a prueba de balas cuando se trata de comprometer datos». Las empresas de todo el mundo, independientemente de su tamaño, corren el riesgo de verse comprometidas. Simplemente lea los titulares o pregunte a cualquier analista de IR. Incluso un sistema de aire comprimido en un búnker a 20 millas bajo la superficie de la Tierra puede estar comprometido.
La razón por la que ninguna empresa está a salvo se debe a la rápida evolución del panorama de amenazas. Symantec, una de las principales compañías de investigación de amenazas y AV del mundo, informó de 430 millones de nuevos y únicos ejemplares de malware en 2015. Ese número aumentó un 36 por ciento con respecto a las cifras de 2014. Eso es mucho código malicioso que crea bloqueos en la superautopista de la información. Symantec también afirma que uno de cada 220 mensajes de correo electrónico contenía malware sólo en 2015.
Estas infiltraciones pueden provenir de muchas fuentes diferentes, pero recuerde, sólo se necesita un solo empleado para acceder a un correo electrónico infectado para que una empresa se vea comprometida. ¿Confiaría personalmente en cada uno de los empleados de su empresa o de las empresas asociadas para evitar las infecciones de malware? Los incidentes graves cuestan un promedio de 4 millones de dólares, lo que resulta devastador tanto para las pequeñas como para las grandes empresas.
¿Por qué los datos son importantes para la respuesta a los incidentes?
Al igual que un detective que confía en los sistemas de vigilancia, el testimonio de los testigos y las pruebas forenses para hacer un caso, IR necesita buenos datos. Los datos recogidos por las plataformas de gestión de incidentes y eventos de seguridad (SIEM) son las piezas del rompecabezas de una brecha de seguridad. Recopilar, analizar y monitorizar estos datos le permite actuar rápidamente tan pronto como se le notifica una violación y evitar que ocurra en el futuro. Entonces, ¿qué tipos de datos recogen los SIEM?
Los mejores SIEM recogen la mayor cantidad de información posible. Mientras que la auto correlación de eventos es fantástica, la recolección de datos a través de la red es fundamental. Cuando los datos están disponibles para su análisis, los analistas de IR pueden unir fragmentos de varias fuentes de datos para pintar un cuadro holístico. Si los datos no están disponibles para los equipos de IR, esta actividad no puede ocurrir.
Muchos de los datos puestos a disposición de los analistas de IR provienen de la vigilancia de la seguridad de la red (NSM). La práctica del NSM implica la recopilación y el análisis de datos de la red y del host para facilitar con el IR. ¿Qué datos están mirando los analistas? Aunque esta no es una lista exhaustiva, los siguientes son ejemplos de los tipos de datos que los analistas encuentran útiles para propósitos de IR:
- Registros de cortafuegos/proxy
- Registros del punto final
- Datos de los cables
Registros de cortafuegos/proxy
Los registros generados por los cortafuegos y los proxies son dos de los tipos de registro más útiles cuando se trata de investigar la actividad basada en la red. Estos registros son particularmente útiles cuando el propio mecanismo de registro es capaz de analizar los protocolos y aplicaciones que se utilizan en el tráfico, como lo que está disponible con un cortafuegos de próxima generación (NG).
Registros del punto final
Los anfitriones dentro de una red se consideran puntos finales, y estos registros son cruciales. Los registros de puntos finales pueden consistir en registros basados en aplicaciones generados por procesos que se ejecutan en la caja, pero los registros de puntos finales más comúnmente asociados son los registros del sistema operativo. Los registros de eventos son los registros más asociados a los registros de puntos finales, ya que existen dentro de los entornos de Windows. Los registros de eventos como los registros de sistema, seguridad y aplicaciones proporcionan una gran cantidad de información.
Datos de los cables
Desde el punto de vista del análisis forense de la red, los datos de los cables son una importante fuente de datos. Los datos de cable son la totalidad de los datos que atraviesan la red, que incluyen los metadatos junto con las cargas útiles completas de cada transacción.
Usa el caso: ¡Data al rescate!
Los ejemplos anteriores son sólo la punta del iceberg en lo que respecta a las fuentes de datos que los analistas de IR pueden utilizar en su comercio. A medida que observamos los casos de uso, se hace evidente cómo estos datos informan nuestras decisiones y trazan la mejor respuesta a una brecha de datos.
Nuestro escenario:
Un sistema de detección de intrusos (IDS) dispara una alerta basada en la heurística que ha identificado la conectividad del Protocolo de Transferencia de Hipertexto (HTTP) de interno a externo a lo que parece ser una infraestructura controlada por el atacante.
Lo que tenemos: Una URL potencialmente maliciosa junto con una hora de evento para cuando el host interno se comunicara con la infraestructura externa.
Pasos de respuesta:
- El analista de IR busca a través de registros de proxy y/o cortafuegos para identificar la actividad basada en HTTP en la URL objetivo. Esta actividad obtiene la siguiente información: La dirección IP interna asociada a la solicitud. El tipo de solicitud HTTP enviada al servidor externo (GET, POST u otro). El código de estado HTTP devuelto por el servidor externo. En un mundo perfecto, el analista de IR podría encontrar que se realizó una solicitud GET, pero el código de respuesta fue un 404 (no encontrado), lo que significa que la acción no tuvo éxito. Sin embargo, si se devolvía un 200 (OK), el intento de acceso era exitoso.
- El analista de IR busca en los registros de puntos finales, como los registros de eventos de Windows, para determinar qué host estaba utilizando el usuario dado en el momento de la alertaSi se configura correctamente (es decir, la auditoría de la línea de comandos está habilitada en el entorno de Windows), estos registros también pueden especificar los procesos que se estaban ejecutando en el host identificado cuando se disparó la alerta. Aunque no suelen estar disponibles en la mayoría de las fuentes de registro de las empresas, estos datos pueden ayudar a determinar si la actividad de navegación general o la presencia de malware fue la responsable de la actividad de salida.
- Los datos de los cables se pueden utilizar para determinar exactamente lo que ocurrió durante la transacción HTTP. Mientras que los registros de proxy/firewall pueden revelar los tipos y respuestas de retorno de las solicitudes HTTP, los datos de los cables pueden proporcionar los artefactos a nivel forense, incluyendo los datos transmitidos dentro de la respuesta del servidor externo. Por ejemplo, digamos que la solicitud original fue una solicitud GET. Al revisar los datos del cable, el analista de IR determina la carga exacta que se entregó al usuario interno. Si tal carga útil fuera una página de Lenguaje de Marcado de Hipertexto (HTML) que contiene código que funciona como una táctica de recolección de credenciales, el analista de IR ve exactamente dónde el código POST envía los datos. Dependiendo del uso de la capa de sockets de seguridad (SSL) dentro de la infraestructura externa, junto con el potencial de descifrado de SSL dentro del entorno de red, el analista podría ver exactamente lo que el usuario introduce en el formulario de recolección de credenciales. El analista también puede descubrir si las credenciales de los usuarios fueron comprometidas o no, una distinción importante.
Mientras que nuestro ejemplo termina aquí, hay muchas otras maneras de analizar estos datos y crear una imagen clara. En última instancia, el papel de un analista de infrarrojos es coser la historia utilizando datos. Si una variedad de almacenes de datos no están disponibles, ciertas preguntas clave pueden no ser respondidas. Y aunque la captura de más datos requiere un entorno de seguridad de niveles extensos y una inversión significativa en la infraestructura de datos, esto vale la pena en más datos y un mejor plan de respuesta al alcance de la mano.
Envoltura
A medida que el número y la sofisticación de los ataques cibernéticos se acelera, también lo hará su respuesta y preparación para los incidentes. Los mejores equipos de infrarrojos tienen un equilibrio entre la disponibilidad de datos, los procesos documentados y los conocimientos técnicos. Además de dotar de personal a las funciones de IR y desarrollar procesos de IR, las organizaciones que desean protegerse de las costosas violaciones de la seguridad deben poner a disposición de quienes trabajan en IR diversas fuentes de datos. Sin estas inversiones en sistemas y fuentes de datos, los analistas de RI sólo dispondrán de unas pocas herramientas para realizar su trabajo, y los atajos en materia de seguridad darán lugar a una costosa limpieza después de que sus datos se hayan visto comprometidos.
Aprende más: Fundamentos de la respuesta a incidentes prácticos