Proceso de respuesta a incidentes
El primer paso es tener un plan de respuesta a incidentes que abarque tanto procesos internos como externos para responder a incidentes de ciberseguridad. El plan debe detallar cómo su organización debe:
- Aborde los ataques que varían en función del riesgo empresarial y el impacto del incidente, que pueden variar desde un sitio web aislado que ya no está disponible hasta la puesta en peligro de credenciales a nivel de administrador.
- Defina el propósito de la respuesta, como la vuelta al servicio o el manejo de los aspectos legales o de relaciones públicas del ataque.
- Priorice el trabajo que debe realizarse en función del número de personas que deben trabajar en el incidente y sus tareas.
Consulte el artículo sobre planeamiento de respuestas a incidentes para obtener una lista de comprobación de las actividades que debe considerar incluir en su plan de respuesta a incidentes. Una vez que se haya puesto en marcha su plan de respuesta a incidentes, pruébalo periódicamente para detectar los tipos más graves de ciberataques para garantizar que su organización pueda responder de forma rápida y eficaz.
Aunque el proceso de respuesta a incidentes de cada organización puede ser diferente en función de la estructura organizativa y las capacidades y la experiencia histórica, considere el conjunto de recomendaciones y procedimientos recomendados de este artículo para responder a incidentes de seguridad.
Durante un incidente, es fundamental lo siguiente:
Mantener la calma
Los incidentes son extremadamente perturbadores y pueden llegar a estar cargados emocionalmente. Mantenga la calma y céntrese en priorizar sus esfuerzos en las acciones más impactantes en primer lugar.
No hacer ningún daño
Confirme que su respuesta se diseñó y ejecutó de forma que se evite la pérdida de datos, la pérdida de funciones críticas para la empresa y la pérdida de evidencia. Evitar decisiones puede dañar su capacidad para crear escalas de tiempo forenses, identificar la causa raíz y aprender lecciones críticas.
Implicar al departamento legal
Determine si planean involucrar a la policía para que pueda planear los procedimientos de investigación y recuperación adecuadamente.
Tenga cuidado al compartir información sobre el incidente públicamente
Confirme que todo lo que comparta con sus clientes y el público se basa en el asesoramiento de su departamento legal.
Obtener ayuda cuando sea necesario
Aproveche la experiencia y los conocimientos profundos al investigar y responder a ataques de atacantes sofisticados.
Al igual que diagnosticar y tratar una enfermedad médica, la investigación y respuesta de ciberseguridad para un incidente importante requiere defender un sistema que sea ambos:
- Es muy importante (no se puede cerrar para trabajar con él).
- Complejo (generalmente más allá de la comprensión de cualquier persona).
Durante un incidente, debes lograr estos equilibrios críticos:
Velocidad
Equilibre la necesidad de actuar rápidamente para satisfacer a las partes interesadas con el riesgo de tomar decisiones precipitadas.
Compartir información
Informe a los investigadores, las partes interesadas y los clientes en función del consejo de su departamento legal para limitar la responsabilidad y evitar establecer expectativas poco realistas.
Este artículo está diseñado para reducir el riesgo para su organización ante un incidente de ciberseguridad mediante la identificación de errores comunes que evitar y la orientación sobre qué acciones puede tomar rápidamente para reducir el riesgo y satisfacer las necesidades de las partes interesadas.
Nota
Para obtener instrucciones adicionales sobre cómo preparar su organización para ataques de ransomware y otros tipos de ataques en varias fases, consulte Preparar el plan de recuperación.
Procedimientos recomendados de respuesta
Responder a incidentes puede realizarse de forma eficaz desde el punto de vista técnico y de operaciones con estas recomendaciones.
Nota
Para obtener instrucciones detalladas adicionales del sector, consulte la Guía de manejo de incidentes de seguridad informática nist.
Técnicas
Para los aspectos técnicos de la respuesta a incidentes, estos son algunos objetivos a tener en cuenta:
Intente identificar el alcance de la operación de ataque.
La mayoría de los adversarios utilizan mecanismos de persistencia múltiple.
Identificar el objetivo del ataque, si es posible.
Los atacantes persistentes con frecuencia volverán para su objetivo (datos/sistemas) en un ataque futuro.
Estas son algunas sugerencias útiles:
No cargar archivos a escáneres en línea
Muchos adversarios supervisan el número de instancias de servicios como VirusTotal para detectar malware dirigido.
Considere cuidadosamente las modificaciones
A menos que se enfrente a una amenaza inminente de pérdida de datos críticos para el negocio, como eliminación, cifrado y filtrado, equilibra el riesgo de no realizar las modificaciones con el impacto empresarial proyectado. Por ejemplo, puede ser necesario cerrar temporalmente el acceso a Internet de la organización para proteger los activos críticos para la empresa durante un ataque activo.
Si los cambios son necesarios cuando el riesgo de no realizar una acción es mayor que el riesgo de hacerlo, documente la acción en un registro de cambios. Los cambios realizados durante la respuesta a incidentes se centran en interrumpir al atacante y pueden afectar negativamente al negocio. Tendrás que revertir estos cambios después del proceso de recuperación.
No investigar para siempre
Debes priorizar tus esfuerzos de investigación. Por ejemplo, solo realice análisis forenses en los puntos de conexión que los atacantes han usado o modificado realmente. Por ejemplo, en un incidente importante en el que un atacante tiene privilegios administrativos, es prácticamente imposible investigar todos los recursos potencialmente comprometidos (que pueden incluir todos los recursos de la organización).
Compartir información
Confirme que todos los equipos de investigación, incluidos todos los equipos internos e investigadores externos o proveedores de seguros, comparten sus datos entre sí, basándose en el asesoramiento de su departamento jurídico.
Acceder a la experiencia adecuada
Confirme que integra a personas con conocimientos profundos de los sistemas en la investigación, como personal interno o entidades externas como proveedores, no solo los generalistas de seguridad.
Anticipar una capacidad de respuesta reducida
Planifique para el 50% de su personal que opera al 50% de la capacidad normal debido al estrés situaciónal.
Una expectativa clave para administrar con las partes interesadas es que es posible que nunca pueda identificar el ataque inicial porque los datos requeridos para esto pueden haber sido eliminados antes de que comience la investigación, como un atacante que cubre sus huellas mediante un registro de rodado.
Operaciones
Para los aspectos de las operaciones de seguridad (SecOps) de respuesta a incidentes, estos son algunos objetivos a tener en cuenta:
Mantenerse concentrado
Confirme que mantiene el foco en los datos críticos para la empresa, el impacto para el cliente y prepararse para la corrección.
Proporcionar coordinación y claridad de roles
Establezca roles distintos para las operaciones en apoyo del equipo de crisis y confirme que los equipos técnicos, legales y de comunicaciones se mantienen informados.
Mantener la perspectiva de su negocio
Siempre debe tener en cuenta el impacto en las operaciones de los negocios por parte de los adversarios y sus propias acciones de respuesta.
Estas son algunas sugerencias útiles:
Considere el Sistema de comandos de incidentes (ICS) para la administración de crisis
Si no tiene una organización permanente que administre incidentes de seguridad, le recomendamos que use ics como estructura organizativa temporal para administrar la crisis.
Mantener intactas las operaciones diarias continuas
Asegúrese de que los SecOps normales no estén totalmente alineados para apoyar las investigaciones de incidentes. Este trabajo aún debe realizarse.
Evitar gastos despilfarro
Muchos incidentes importantes provocan la compra de herramientas de seguridad costosas bajo presión que nunca se implementan ni se usan. Si no puede implementar y usar una herramienta durante la investigación, que puede incluir la contratación y la formación de personal adicional con los conjuntos de aptitudes necesarios para operar la herramienta, aplazar la adquisición hasta después de finalizar la investigación.
Acceder a una experiencia profunda
Confirma que tienes la capacidad de escalar preguntas y problemas a expertos profundos en plataformas críticas. Esto puede requerir acceso al sistema operativo y al proveedor de aplicaciones para sistemas críticos para la empresa y componentes de toda la empresa, como equipos de escritorio y servidores.
Establecer flujos de información
Establezca una guía clara y expectativas para el flujo de información entre los coordinadores sénior de respuesta a incidentes y las partes interesadas de la organización. Consulte planificación de respuestas a incidentes para obtener más información.
Procedimientos recomendados de recuperación
La recuperación de incidentes puede realizarse de forma eficaz desde el punto de vista técnico y de operaciones con estas recomendaciones.
Técnicas
Para los aspectos técnicos de la recuperación de un incidente, estos son algunos objetivos a tener en cuenta:
No hervir el océano
Limite el ámbito de respuesta para que la operación de recuperación se pueda ejecutar en 24 horas o menos. Planee un fin de semana para tener en cuenta las contingencias y acciones correctivas.
Evitar distracciones
Aplazar inversiones de seguridad a largo plazo como implementar nuevos sistemas de seguridad grandes y complejos o reemplazar soluciones antimalware hasta después de la operación de recuperación. Todo lo que no tenga un impacto directo e inmediato en la operación de recuperación actual es una distracción.
Estas son algunas sugerencias útiles:
Nunca restablezcas todas las contraseñas a la vez
Los restablecimientos de contraseñas deberían centrarse primero en las cuentas en peligro conocidas en función de su investigación y son cuentas de administrador o de servicio potencialmente. Si se garantiza, las contraseñas de usuario deben restablecerse solo de forma preconfigurada y controlada.
Consolidar la ejecución de tareas de recuperación
A menos que se enfrente a una amenaza inminente de pérdida de datos críticos para la empresa, debe planear una operación consolidada para corregir rápidamente todos los recursos comprometidos (como hosts y cuentas) frente a la corrección de recursos comprometidos a medida que los encuentre. Comprimir este intervalo de tiempo dificultará que los operadores de ataque se adapten y mantengan la persistencia.
Usar herramientas existentes
Investigue y use las capacidades de las herramientas que ya ha implementado antes de intentar implementar y aprender una nueva herramienta durante una recuperación.
Evita inclinar a tu adversario
Como práctica, debe tomar medidas para limitar la información disponible para los adversarios sobre la operación de recuperación. Los adversarios normalmente tienen acceso a todos los datos de producción y correo electrónico en un incidente importante de ciberseguridad. Sin embargo, en realidad, la mayoría de los atacantes no tienen tiempo para supervisar todas las comunicaciones.
El Centro de operaciones de seguridad (SOC) de Microsoft ha usado un espacio empresarial de Microsoft 365 de no producción para una comunicación y colaboración seguras para los miembros del equipo de respuesta a incidentes.
Operaciones
Para los aspectos operativos de la recuperación de un incidente, estos son algunos objetivos a tener en cuenta:
Tener un plan claro y un ámbito limitado
Trabaje estrechamente con sus equipos técnicos para crear un plan claro con ámbito limitado. Aunque los planes pueden cambiar en función de la actividad adversaria o de nueva información, debe trabajar diligentemente para limitar la expansión del ámbito y asumir tareas adicionales.
Tener clara la propiedad del plan
Las operaciones de recuperación implican a muchas personas que realizan muchas tareas diferentes a la vez, por lo que se designa un jefe de proyecto para la operación para que la toma de decisiones clara y la información definitiva fluya entre el equipo de crisis.
Mantener las comunicaciones de las partes interesadas
Trabaje con equipos de comunicación para proporcionar actualizaciones oportunas y administración activa de expectativas para las partes interesadas de la organización.
Estas son algunas sugerencias útiles:
Conocer sus capacidades y límites
Administrar incidentes de seguridad importantes es muy difícil, muy complejo y nuevo para muchos profesionales de la industria. Considere la posibilidad de incorporar experiencia de organizaciones externas o servicios profesionales si sus equipos están abrumados o no están seguros de qué hacer a continuación.
Capturar las lecciones aprendidas
Cree y mejore continuamente los manuales específicos de roles para SecOps, incluso si es su primer incidente sin ningún procedimiento escrito.
Las comunicaciones a nivel ejecutivo y de la junta para la respuesta a incidentes pueden ser difíciles si no se practican o se anticipan. Asegúrese de que tiene un plan de comunicación para administrar los informes de progreso y las expectativas de recuperación.
Proceso de respuesta a incidentes
Tenga en cuenta estas instrucciones generales sobre el proceso de respuesta a incidentes para su SecOps y el personal.
1. Decidir y actuar
Después de que una herramienta de detección de amenazas como Microsoft Centinela o Microsoft 365 Defender detecte un ataque probable, crea un incidente. La medición del tiempo medio de confirmación (MTTA) de la capacidad de respuesta de SOC comienza con el tiempo que su personal de seguridad observa este ataque.
Un analista de turnos es delegado o toma la propiedad del incidente y realiza un análisis inicial. La marca de tiempo para esto es el final de la medición de capacidad de respuesta de MTTA y comienza la medición de Hora media de corrección (MTTR).
Como el analista propietario del incidente desarrolla un alto nivel de confianza suficiente para que comprendan la historia y el alcance del ataque, pueden cambiar rápidamente a planear y ejecutar acciones de limpieza.
Según la naturaleza y el alcance del ataque, los analistas pueden limpiar los artefactos de ataque a medida que van avanzando (como correos electrónicos, puntos de conexión e identidades) o pueden crear una lista de recursos comprometidos para limpiar todo a la vez (conocido como un Big Bang)
Limpiar sobre la marcha
Para la mayoría de los incidentes típicos que se detectan al principio de la operación de ataque, los analistas pueden limpiar rápidamente los artefactos a medida que los encuentran. Esto pone al adversario en desventaja y les impide avanzar en la siguiente etapa de su ataque.
Prepararse para un Big Bang
Este enfoque es apropiado para un escenario en el que un adversario ya ha establecido mecanismos de acceso redundantes en su entorno. Esto se observa con frecuencia en incidentes de clientes investigados por el Equipo de detección y respuesta de Microsoft (DART). En este enfoque, los analistas deben evitar avisar al adversario hasta que se descubra por completo la presencia del atacante, ya que la sorpresa puede ayudar a interrumpir completamente su operación.
Microsoft ha aprendido que la corrección parcial suele ayudar a los adversarios, lo que les da la oportunidad de reaccionar y empeorar rápidamente el incidente. Por ejemplo, el atacante puede extender aún más el ataque, cambiar sus métodos de acceso para evadir la detección, cubrir sus huellas e infligir datos y daños al sistema y la destrucción por venganza.
A menudo, la limpieza de correos electrónicos malintencionados y de suplantación de identidad se puede realizar sin avisar al atacante, pero limpiar el malware del host y reclamar el control de las cuentas tiene una gran posibilidad de ser descubierto.
No son decisiones fáciles de tomar y no hay ningún sustituto para la experiencia en la realización de estas llamadas de juicio. Un entorno de trabajo colaborativo y cultura en su SOC ayuda a garantizar que los analistas puedan aprovechar la experiencia de los demás.
Los pasos de respuesta específicos dependen de la naturaleza del ataque, pero los procedimientos más comunes utilizados por los analistas pueden incluir:
Puntos de conexión de cliente (dispositivos)
Aísle el punto de conexión y póngase en contacto con el usuario o con el departamento de soporte técnico o de operaciones de TI para iniciar un procedimiento de reinstalación.
Servidor o aplicaciones
Trabaje con propietarios de aplicaciones y operaciones de TI para organizar la corrección rápida de estos recursos.
Cuentas de usuario
Recupera el control deshabilitando la cuenta y restableciendo la contraseña de las cuentas en peligro. Estos procedimientos podrían evolucionar a medida que los usuarios pasan a la autenticación sin contraseña mediante Windows Hello u otra forma de autenticación multifactor (MFA). Un paso independiente es expirar todos los tokens de autenticación de la cuenta con Microsoft Defender for Cloud Apps.
Los analistas también pueden revisar el número de teléfono del método MFA y la inscripción del dispositivo para asegurarse de que no se ha secuestrado poniéndose en contacto con el usuario y restablecer esta información según sea necesario.
Cuentas de servicio
Debido al alto riesgo de impacto en el servicio o en el negocio, los analistas deben trabajar con el propietario de la cuenta de servicio de registro, retrocediendo en las operaciones de TI según sea necesario, para organizar la rápida corrección de estos recursos.
Correos electrónicos
Elimine el ataque o el correo electrónico de suplantación de identidad (phishing) y, a veces, bórrelos para impedir que los usuarios recuperen los correos electrónicos eliminados. Guarde siempre una copia del correo electrónico original para realizar búsquedas posteriores al análisis, como encabezados, contenido, scripts o datos adjuntos.
Otro
Puede ejecutar acciones personalizadas basadas en la naturaleza del ataque, como revocar tokens de aplicación y reconfigurar servidores y servicios.
2. Limpieza posterior a incidentes
Como no se beneficia de las lecciones aprendidas hasta que cambia las acciones futuras, integre siempre cualquier información útil aprendida de la investigación en su SecOps.
Determine las conexiones entre incidentes pasados y futuros por los mismos actores o métodos de amenazas y capture estos aprendizajes para evitar que se repitan retrasos manuales de trabajo y análisis en el futuro.
Estos aprendizajes pueden adoptar varias formas, pero las prácticas comunes incluyen el análisis de:
Indicadores de compromiso (IO).
Grabe todos los ioCs aplicables, como hashes de archivo, direcciones IP malintencionadas y atributos de correo electrónico, en sus sistemas de inteligencia de amenazas SOC.
Vulnerabilidades desconocidas o sin parchear.
Los analistas pueden iniciar procesos para asegurarse de que se apliquen las revisiones de seguridad que faltan, se corrija el error de configuración y se informe a los proveedores (incluido Microsoft) de las vulnerabilidades de "día cero" para que puedan crear y distribuir revisiones de seguridad.
Acciones internas como habilitar el registro en activos que cubren los recursos locales y basados en la nube.
Revise las líneas base de seguridad existentes y considere la posibilidad de agregar o cambiar controles de seguridad. Por ejemplo, consulte la guía Azure Active Directory de operaciones de seguridad para obtener información sobre cómo habilitar el nivel adecuado de auditoría en el directorio antes de que se produzca el siguiente incidente.
Revise los procesos de respuesta para identificar y resolver las brechas encontradas durante el incidente.
Recursos de respuesta a incidentes
- Información general sobre los productos y recursos de seguridad de Microsoft para analistas experimentados y nuevos roles
- Planeamiento de su SOC
- Playbooks para obtener instrucciones detalladas sobre cómo responder a métodos de ataque comunes
- Microsoft 365 Defender respuesta a incidentes
- Microsoft Defender for Cloud (Azure)
- Respuesta a incidentes de Microsoft Centinela
Recursos de seguridad clave de Microsoft
| Recursos | Descripción |
|---|---|
| Informe de defensa digital de Microsoft 2021 | Un informe que abarca los aprendizajes de expertos en seguridad, profesionales y defensores de Microsoft para empoderar a las personas de todas partes para defenderse de las amenazas cibernéticas. |
| Arquitecturas de referencia de ciberseguridad de Microsoft | Un conjunto de diagramas de arquitectura visual que muestran las capacidades de ciberseguridad de Microsoft y su integración con plataformas de nube de Microsoft, como Microsoft 365 y Microsoft Azure y aplicaciones y plataformas de nube de terceros. |
| Descarga infografía de minutos | Información general sobre cómo el equipo de SecOps de Microsoft realiza las respuestas ante incidentes para mitigar los ataques en curso. |
| Operaciones de seguridad de Azure Cloud Adoption Framework | Orientación estratégica para líderes que establecen o modernizarán una función de operación de seguridad. |
| Procedimientos recomendados de seguridad de Microsoft para operaciones de seguridad | Cómo usar mejor tu centro de SecOps para moverte más rápido que los atacantes destinados a tu organización. |
| Modelo de seguridad en la nube de Microsoft para arquitectos de TI | Seguridad en plataformas y servicios en la nube de Microsoft para el acceso a identidades y dispositivos, protección contra amenazas y protección de la información. |
| Documentación de seguridad de Microsoft | Instrucciones de seguridad adicionales de Microsoft. |