Proceso de respuesta a incidentes

  • Artículo
  • Tiempo de lectura: 16 minutos

El primer paso es tener un plan de respuesta a incidentes que abarque procesos internos y externos para responder a incidentes de ciberseguridad. El plan debe incluir cómo:

  • Ataques de dirección que varían según el riesgo empresarial y el impacto del incidente, que puede variar de un sitio web aislado que ya no está disponible para el compromiso de las credenciales de nivel de administrador.
  • Defina el propósito de la respuesta, como un retorno al servicio o para controlar los aspectos legales o de relaciones públicas del ataque.
  • Priorice el trabajo que debe realizarse en términos de cuántas personas deben estar trabajando en el incidente y sus tareas.

Vea el artículo de planeación de respuesta a incidentes para obtener una lista de las actividades que debe considerar incluir en su plan de respuesta a incidentes. Una vez que el plan de respuesta a incidentes esté en su lugar, pruebe periódicamente los tipos más graves de ciberataques para asegurarse de que su organización puede responder de forma rápida y eficiente.

Aunque el proceso de respuesta a incidentes de cada organización puede ser diferente en función de la estructura y las capacidades de la organización, tenga en cuenta el conjunto de recomendaciones y procedimientos recomendados de este artículo para responder a incidentes de seguridad.

Durante un incidente, es fundamental:

  • Mantener la calma

    Los incidentes son muy molestos y pueden llegar a ser cargados emocionalmente. Mantenga la calma y céntrate primero en priorizar tus esfuerzos en las acciones más impactantes.

  • No hacer daño

    Confirme que su respuesta está diseñada y ejecutada de forma que evite la pérdida de datos, la pérdida de funcionalidad crítica para la empresa y la pérdida de evidencia. Evitar decisiones puede dañar su capacidad para crear escalas de tiempo forenses, identificar la causa raíz y aprender lecciones críticas.

  • Implicar a su departamento legal

    Determine si planean involucrar a las fuerzas del orden para que pueda planear los procedimientos de investigación y recuperación de forma adecuada.

  • Tenga cuidado al compartir información sobre el incidente públicamente

    Confirme que cualquier cosa que comparta con sus clientes y el público se basa en los consejos de su departamento legal.

  • Obtener ayuda cuando sea necesario

    Aproveche la experiencia y la experiencia a la hora de investigar y responder a los ataques de atacantes sofisticados.

Al igual que diagnosticar y tratar una enfermedad médica, la investigación de ciberseguridad y la respuesta ante un incidente importante requieren defender un sistema que sea el siguiente:

  • De importancia crítica (no se puede cerrar para trabajar en él).
  • Complejo (normalmente más allá de la comprensión de cualquier persona).

Durante un incidente, debe encontrar estos saldos críticos:

  • Velocidad

    Equilibra la necesidad de actuar rápidamente para satisfacer a las partes interesadas con el riesgo de tomar decisiones precipitadas.

  • Compartir información

    Informe a los investigadores, las partes interesadas y los clientes en función del consejo de su departamento legal para limitar la responsabilidad y evitar establecer expectativas poco realistas.

Este artículo está diseñado para reducir el riesgo para su organización de un incidente de ciberseguridad identificando errores comunes para evitar y proporcionando instrucciones sobre qué acciones puede tomar rápidamente que reduzcan el riesgo y satisfagan las necesidades de las partes interesadas.

Nota

Para obtener instrucciones adicionales sobre cómo preparar su organización para ransomware y otros tipos de ataques de varias fases, vea Preparar el plan de recuperación.

Procedimientos recomendados de respuesta

La respuesta a incidentes se puede realizar de forma eficaz desde el punto de vista técnico y de operaciones con estas recomendaciones.

Nota

Para obtener instrucciones detalladas adicionales del sector, vea la Guía de administración de incidentes de seguridad del equipo NIST.

Técnico

Para los aspectos técnicos de la respuesta a incidentes, estos son algunos objetivos a tener en cuenta:

  • Intente identificar el ámbito de la operación de ataque.

    La mayoría de los adversarios usan varios mecanismos de persistencia.

  • Identifique el objetivo del ataque, si es posible.

    Los atacantes persistentes con frecuencia volverán por su objetivo (datos/sistemas) en un ataque futuro.

Estas son algunas sugerencias útiles:

  • No cargar archivos en escáneres en línea

    Muchos adversarios supervisan el recuento de instancias en servicios como VirusTotal para descubrir malware dirigido.

  • Considere cuidadosamente las modificaciones

    A menos que se enfrente a una amenaza inminente de pérdida de datos críticos para la empresa (como eliminación, cifrado y exfiltración), equilibra el riesgo de no realizar la modificación con el impacto empresarial proyectado. Por ejemplo, puede que sea necesario cerrar temporalmente el acceso a Internet de su organización para proteger los activos críticos de la empresa durante un ataque activo.

    Si los cambios son necesarios cuando el riesgo de no realizar una acción es mayor que el riesgo de realizarla, documente la acción en un registro de cambios. Los cambios realizados durante la respuesta a incidentes se centran en interrumpir al atacante y pueden afectar negativamente a la empresa. Tendrá que revertir estos cambios después del proceso de recuperación.

  • No investigar para siempre

    Debe priorizar despiadadomente sus esfuerzos de investigación. Por ejemplo, solo realice análisis forenses en puntos de conexión que los atacantes han usado o modificado realmente. En un incidente importante en el que un atacante tiene privilegios administrativos, es prácticamente imposible investigar todos los recursos potencialmente comprometidos (que pueden incluir todos los recursos de la organización).

  • Compartir información

    Confirme que todos los equipos de investigación, incluidos todos los equipos internos y los investigadores externos o los proveedores de seguros, comparten sus datos entre sí, basándose en los consejos de su departamento legal.

  • Obtener acceso a la experiencia adecuada

    Confirme que integra a personas con un profundo conocimiento de los sistemas en la investigación, como personal interno o entidades externas como proveedores, no solo a los generalistas de seguridad.

  • Anticipar una capacidad de respuesta reducida

    Planee para el 50 % del personal que opera al 50 % de la capacidad normal debido al estrés situacional.

Una expectativa clave para administrar con las partes interesadas es que es posible que nunca pueda identificar el ataque inicial, ya que los datos necesarios para esto pueden haber sido eliminados antes de que se inicie la investigación, como un atacante que cubre sus pistas mediante la realización de registros.

Operaciones

Para los aspectos de las operaciones de seguridad de la respuesta a incidentes, estos son algunos de los objetivos que debe tener en cuenta:

  • Mantener el foco

    Confirme que mantiene el foco en los datos críticos para la empresa, en el impacto de los clientes y en prepararse para la corrección.

  • Proporcionar coordinación y claridad de roles

    Establezca roles distintos para las operaciones en apoyo del equipo de crisis y confirme que los equipos técnicos, legales y de comunicaciones se mantienen informados.

  • Mantener la perspectiva de su empresa

    Siempre debe tener en cuenta el impacto en las operaciones empresariales tanto por acciones adversas como por sus propias acciones de respuesta.

Estas son algunas sugerencias útiles:

  • Considere el Sistema de comandos de incidentes (ICS) para la administración de crisis

    Si no tiene una organización permanente que administre incidentes de seguridad, le recomendamos que use el ICS como una estructura organizativa temporal para administrar la crisis.

  • Mantener intactas las operaciones diarias en curso

    Asegúrese de que las operaciones de seguridad normales no están completamente marginadas para admitir investigaciones de incidentes. Este trabajo aún debe realizarse.

  • Evitar gastos despistes

    Muchos incidentes importantes se desenlace en la compra de herramientas de seguridad costosas bajo presión que nunca se implementan o usan. Si no puede implementar y usar una herramienta durante la investigación (que puede incluir la contratación y formación de personal adicional con los conjuntos de aptitudes necesarios para operar la herramienta), aplazar la adquisición hasta después de finalizar la investigación.

  • Obtener acceso a conocimientos profundos

    Confirme que tiene la capacidad de escalar preguntas y problemas a expertos profundos en plataformas críticas. Esto puede requerir acceso al sistema operativo y al proveedor de aplicaciones para sistemas críticos para la empresa y componentes de toda la empresa, como equipos de escritorio y servidores.

  • Establecer flujos de información

    Establezca directrices y expectativas claras para el flujo de información entre los jefes de respuesta a incidentes sénior y las partes interesadas de la organización. Vea Planeamiento de respuesta a incidentes para obtener más información.

Procedimientos recomendados de recuperación

La recuperación de incidentes se puede realizar de forma eficaz desde el punto de vista técnico y de operaciones con estas recomendaciones.

Técnico

Para los aspectos técnicos de la recuperación de un incidente, estos son algunos objetivos a tener en cuenta:

  • No hervir el océano

    Limite el ámbito de respuesta para que la operación de recuperación se pueda ejecutar en un plazo de 24 horas o menos. Planee un fin de semana para tener en cuenta las contingencias y las acciones correctivas.

  • Evitar distracciones

    Aplazar las inversiones de seguridad a largo plazo, como implementar nuevos y grandes sistemas de seguridad complejos o reemplazar soluciones contra malware hasta después de la operación de recuperación. Cualquier cosa que no tenga un impacto directo e inmediato en la operación de recuperación actual es una distracción.

Estas son algunas sugerencias útiles:

  • Nunca restablezca todas las contraseñas a la vez

    Los restablecimientos de contraseña deben centrarse primero en las cuentas en peligro conocidas en función de su investigación y son potencialmente cuentas de administrador o de servicio. Si se garantiza, las contraseñas de usuario solo se deben restablecer de forma organizada y controlada.

  • Consolidar la ejecución de tareas de recuperación

    A menos que se enfrente a una amenaza inminente de pérdida de datos críticos para la empresa, debe planear una operación consolidada para corregir rápidamente todos los recursos en peligro (como anfitriones y cuentas) en lugar de corregir los recursos en peligro a medida que los encuentre. Comprimir esta ventana de tiempo hará que sea difícil para los operadores de ataque adaptarse y mantener la persistencia.

  • Usar herramientas existentes

    Investigue y use las capacidades de las herramientas que ya ha implementado antes de intentar implementar y aprender una nueva herramienta durante una recuperación.

  • Evite avisar a su adversaria

    Como práctica, debe tomar medidas para limitar la información disponible para los adversarios sobre la operación de recuperación. Los adversarios suelen tener acceso a todos los datos de producción y el correo electrónico en un incidente de ciberseguridad importante. Pero, en realidad, la mayoría de los atacantes no tienen tiempo para supervisar todas sus comunicaciones.

    El Centro de operaciones de seguridad (SOC) de Microsoft ha usado un espacio empresarial de no producción Microsoft 365 para una comunicación y colaboración seguras para los miembros del equipo de respuesta a incidentes.

Operaciones

Para los aspectos de las operaciones de recuperación de un incidente, estos son algunos objetivos a tener en cuenta:

  • Tener un plan claro y un ámbito limitado

    Trabaje en estrecha colaboración con los equipos técnicos para crear un plan claro con un ámbito limitado. Aunque los planes pueden cambiar en función de la actividad de los adversarios o de la nueva información, debe trabajar diligentemente para limitar la expansión del ámbito y realizar tareas adicionales.

  • Tener la propiedad del plan clara

    Las operaciones de recuperación implican a muchas personas que hacen muchas tareas diferentes a la vez, por lo que designe un director de proyecto para la operación para que la toma de decisiones clara y la información definitiva fluya entre el equipo de crisis.

  • Mantener las comunicaciones de las partes interesadas

    Trabaje con equipos de comunicación para proporcionar actualizaciones a tiempo y una administración activa de las expectativas para las partes interesadas de la organización.

Estas son algunas sugerencias útiles:

  • Conocer sus capacidades y límites

    Administrar incidentes de seguridad importantes es muy difícil, muy complejo y nuevo para muchos profesionales del sector. Si sus equipos están abrumados o no confían en lo que debe hacer a continuación, considere la posibilidad de aportar experiencia de organizaciones externas o servicios profesionales.

  • Capturar las lecciones aprendidas

    Cree y mejore continuamente los manuales específicos de roles para las operaciones de seguridad, incluso si es su primer incidente sin ningún procedimiento escrito.

Las comunicaciones a nivel ejecutivo y de nivel de junta para la respuesta a incidentes pueden ser difíciles si no se practican ni se anticipan. Asegúrese de que tiene un plan de comunicación para administrar los informes de progreso y las expectativas de recuperación.

Proceso de respuesta a incidentes

Tenga en cuenta esta guía general sobre el proceso de respuesta a incidentes para sus operaciones de seguridad y el personal.

1. Decidir y actuar

Después de que una herramienta de detección de amenazas como Microsoft Sentinel Microsoft 365 Defender detecta un ataque probable, crea un incidente. La medición del tiempo medio de confirmación (MTTA) de la capacidad de respuesta de SOC comienza con el momento en que el personal de seguridad ha observado este ataque.

Un analista en turnos es delegado o toma la propiedad del incidente y realiza un análisis inicial. La marca de tiempo para esto es el final de la medida de capacidad de respuesta de MTTA y comienza la medida Hora media de corrección (MTTR).

A medida que el analista propietario del incidente desarrolla un nivel suficientemente alto de confianza para que comprendan la historia y el alcance del ataque, pueden cambiar rápidamente a planear y ejecutar acciones de limpieza.

Según la naturaleza y el alcance del ataque, los analistas pueden limpiar los artefactos de ataque a medida que van (como correos electrónicos, puntos de conexión e identidades) o pueden crear una lista de recursos comprometidos para limpiar todos a la vez (conocido como Big Bang).

  • Limpiar a medida que vaya

    Para la mayoría de los incidentes típicos que se detectan al principio de la operación de ataque, los analistas pueden limpiar rápidamente los artefactos a medida que los encuentren. Esto pone al adversario en desventaja e impide que avance con la siguiente fase de su ataque.

  • Prepararse para un Big Bang

    Este enfoque es adecuado para un escenario en el que un adversario ya se ha establecido en y establecido mecanismos de acceso redundantes a su entorno. Esto se ve con frecuencia en incidentes de clientes investigados por el equipo de detección y respuesta (DART)de Microsoft. En este enfoque, los analistas deben evitar avisar al adversario hasta que se descubra completamente la presencia del atacante, ya que la sorpresa puede ayudar a interrumpir completamente su operación.

    Microsoft ha aprendido que la corrección parcial a menudo desvía a un adversario, lo que les da la oportunidad de reaccionar y empeorar rápidamente el incidente. Por ejemplo, el atacante puede propagar el ataque más lejos, cambiar sus métodos de acceso para evitar la detección, cubrir sus pistas e infligir datos y daños al sistema y la destrucción por venganza.

    Limpiar correos electrónicos malintencionados y suplantación de identidad (phishing) a menudo se puede hacer sin avisar al atacante, pero limpiar el malware del host y recuperar el control de las cuentas tiene una gran probabilidad de descubrimiento.

No son decisiones fáciles de tomar y no hay ningún sustituto para la experiencia al realizar estas llamadas de juicio. Un entorno de trabajo colaborativo y una cultura en su SOC ayudan a garantizar que los analistas puedan aprovechar la experiencia de los demás.

Los pasos de respuesta específicos dependen de la naturaleza del ataque, pero los procedimientos más comunes que usan los analistas pueden incluir:

  • Puntos de conexión de cliente (dispositivos)

    Aísle el punto de conexión y póngase en contacto con el usuario o las operaciones de TI/departamento de soporte técnico para iniciar un procedimiento de reinstalación.

  • Servidor o aplicaciones

    Trabaje con las operaciones de TI y los propietarios de aplicaciones para organizar la corrección rápida de estos recursos.

  • Cuentas de usuario

    Reclame el control deshabilitando la cuenta y restableciendo la contraseña de las cuentas en peligro. Estos procedimientos podrían evolucionar a medida que los usuarios cambian a la autenticación sin contraseña mediante Windows Hello u otra forma de autenticación multifactor (MFA). Un paso independiente es expirar todos los tokens de autenticación de la cuenta con Microsoft Defender para aplicaciones en la nube.

    Los analistas también pueden revisar el número de teléfono del método MFA y la inscripción del dispositivo para asegurarse de que no se ha secuestrada ponerse en contacto con el usuario y restablecer esta información según sea necesario.

  • Cuentas de servicio

    Debido al alto riesgo de impacto empresarial o de servicio, los analistas deben trabajar con el propietario del registro de la cuenta de servicio, resonar en las operaciones de TI según sea necesario, para organizar la corrección rápida de estos recursos.

  • Correos electrónicos

    Elimine el correo electrónico de ataque o suplantación de identidad (phishing) y, a veces, ójalos para evitar que los usuarios recuperen los correos electrónicos eliminados. Guarde siempre una copia del correo electrónico original para buscar posteriormente análisis posteriores al ataque, como encabezados, contenido y scripts o datos adjuntos.

  • Otros

    Puede ejecutar acciones personalizadas en función de la naturaleza del ataque, como revocar tokens de aplicación y volver a configurar servidores y servicios.

2. Limpieza posterior al incidente

Como no se beneficia de lecciones aprendidas hasta que cambie acciones futuras, integre siempre toda la información útil que se haya aprendido de la investigación en sus operaciones de seguridad.

Determine las conexiones entre incidentes pasados y futuros por los mismos actores o métodos de amenazas y capture estos aprendizajes para evitar que se repitan retrasos manuales de análisis y trabajo en el futuro.

Estos aprendizajes pueden tomar una serie de formas, pero las prácticas comunes incluyen el análisis de:

  • Indicadores de compromiso (IoCs).

    Registre los ioCs aplicables, como hashes de archivo, direcciones IP malintencionadas y atributos de correo electrónico en sus sistemas de inteligencia de amenazas de SOC.

  • Vulnerabilidades desconocidas o no apareadas.

    Los analistas pueden iniciar procesos para asegurarse de que se aplican las revisiones de seguridad que faltan, se corrigen los errores de configuración y los proveedores (incluido Microsoft) están informados de vulnerabilidades de "día cero" para que puedan crear y distribuir revisiones de seguridad.

  • Acciones internas como habilitar el registro de activos que cubren sus recursos locales y basados en la nube.

    Revise las líneas base de seguridad existentes y considere la posibilidad de agregar o cambiar controles de seguridad. Por ejemplo, consulte la Azure Active Directory de operaciones de seguridad para obtener información sobre cómo habilitar el nivel adecuado de auditoría en el directorio antes de que ocurra el siguiente incidente.

Revise los procesos de respuesta para identificar y resolver los espacios encontrados durante el incidente.

Recursos de respuesta a incidentes

Recursos de seguridad clave de Microsoft

Recurso Descripción
Informe de defensa digital de Microsoft 2021 Un informe que abarca los aprendizajes de expertos en seguridad, profesionales y defensores de Microsoft para que las personas de todas partes puedan defenderse de las ciberamenazas.
Arquitecturas de referencia de ciberseguridad de Microsoft Un conjunto de diagramas de arquitectura visual que muestran las capacidades de ciberseguridad de Microsoft y su integración con plataformas de nube de Microsoft, como Microsoft 365 y Microsoft Azure y aplicaciones en la nube de terceros.
Descarga de infografía de cuestión de minutos Información general sobre cómo el equipo de SecOps de Microsoft responde a incidentes para mitigar los ataques en curso.
Operaciones de seguridad de Azure Cloud Adoption Framework Instrucciones estratégicas para los líderes que establecen o modernizan una función de operación de seguridad.
Procedimientos recomendados de seguridad de Microsoft para operaciones de seguridad Cómo usar mejor el centro de SecOps para moverse más rápido que los atacantes dirigidos a su organización.
Modelo de seguridad en la nube de Microsoft para arquitectos de TI Seguridad en todos los servicios y plataformas en la nube de Microsoft para el acceso a identidades y dispositivos, protección contra amenazas y protección de información.
Documentación de seguridad de Microsoft Instrucciones de seguridad adicionales de Microsoft.