Muchas empresas hoy en día han desarrollado un plan de Respuesta a Incidentes (IR) de Seguridad Cibernética. Es una buena práctica de seguridad preparar un plan integral de IR para ayudar a la organización a reaccionar ante un incidente de seguridad repentino de manera ordenada y racional. De lo contrario, la organización desarrollará un plan mientras responde frenéticamente al incidente, una receta propicia para los errores.
El boxeador de peso pesado Mike Tyson dijo una vez: «Todos tienen un plan hasta que reciben un puñetazo en la boca».
Un incidente de seguridad cibernética significativo es un puñetazo en la boca equivalente al equipo de seguridad cibernética y quizás a toda la organización. Al menos al principio.
Sin duda, desarrollar un plan de respuesta a incidentes es inteligente, pero solo lleva a la organización hasta cierto punto. Según la gravedad del incidente y el nivel de experiencia en seguridad cibernética dentro de la organización violada, un incidente de seguridad cibernética a menudo genera pánico y confusión dentro de la organización, con o sin plan.
Es muy inquietante tener sistemas y datos bloqueados por ransomware o no saber si un posible intruso oculto en la red continúa dañando y extrayendo datos.
Una de las primeras cosas que hacen la mayoría de las organizaciones violadas es llamar a un equipo externo experimentado de respuesta a incidentes. Muchos proveedores de IR siguen un proceso estructurado de 6 pasos definido por el Instituto SANS en un Manual del administrador de incidentes de 20 páginas. Los seis pasos descritos son:
- Preparación-revisar y codificar una política de seguridad organizacional, realizar una evaluación de riesgos, identificar activos confidenciales, definir incidentes de seguridad críticos en los que el equipo debe enfocarse y crear un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT).
- Identificación-monitorear los sistemas de TI y detectar desviaciones de las operaciones normales y ver si representan incidentes de seguridad reales. Cuando se descubra un incidente, recopile evidencia adicional, establezca su tipo y gravedad, y documente todo.
- Contención-realizar contención a corto plazo, por ejemplo, aislando el segmento de red que está bajo ataque. Luego, concéntrese en la contención a largo plazo, que implica arreglos temporales para permitir que los sistemas se utilicen en producción mientras se reconstruyen sistemas limpios.
- Erradicación-elimine el malware de todos los sistemas afectados, identifique la causa raíz del ataque y tome medidas para evitar ataques similares en el futuro.
- Recuperación-Vuelva a conectar los sistemas de producción afectados con cuidado para evitar ataques adicionales. Pruebe, verifique y supervise los sistemas afectados para asegurarse de que vuelvan a la actividad normal.
- Lecciones aprendidas-a más tardar dos semanas después del final del incidente, realice una retrospectiva del incidente. Prepare la documentación completa del incidente, investigue más a fondo el incidente, comprenda qué se hizo para contenerlo y si se podría mejorar algo en el proceso de respuesta al incidente.
Uno de los principales proveedores mundiales de respuesta a incidentes es BugSec. Las organizaciones se comunican con BugSec cuando hay un compromiso, pero la empresa (y sus proveedores de seguridad actuales) no pueden determinar con precisión cuál es el problema.
Tal vez la empresa haya sido infectada con ransomware, pero no puede averiguar cómo se implementó y si el adversario tiene acceso a la red. Quizás la empresa se dio cuenta de la propiedad intelectual robada y no sabía cómo se exfiltró la información.
La primera tarea del equipo de BugSec es descubrir qué acciones maliciosas han ocurrido y cómo el adversario pudo comprometer a la organización. Una vez que BugSec puede identificar y contener el incidente, pueden erradicar por completo todos los componentes y artefactos del ataque y luego restaurar completamente las operaciones.
¿Cómo logra BugSec la difícil tarea de identificar, contener y remediar el alcance total de un ciberataque?
La única herramienta en la que se basa BugSec para prácticamente todos los compromisos de IR es Cynet 360. Cynet ofrece su plataforma para proveedores de IR de forma gratuita. El agente de Cynet se puede implementar en miles de terminales en cuestión de horas y proporciona visibilidad inmediata de los terminales, procesos, archivos, tráfico de red, cuentas de usuario y más.
La plataforma detecta anomalías automáticamente y puede identificar rápidamente la causa raíz de un ataque y exponer su alcance completo.
Además, Cynet elimina las amenazas activas «sobre la marcha» y puede usarse para remediaciones más complejas en todo el entorno. Los libros de jugadas de remediación personalizados se pueden configurar e implementar fácilmente para erradicar por completo los componentes de ataque complejos en todo el entorno para que las operaciones se puedan restaurar rápidamente. Puede encontrar más información sobre cómo funciona BugSec con Cynet aquí.
Es posible que algún día un ciberdelincuente muy capaz le dé un puñetazo en la boca. Solo recuerde que los especialistas están listos para ayudarlo a recuperarse cuando su plan de IR parezca desmoronarse.
