No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Reg铆strate

Comienza en:

3D
22H
52M
11S

Gesti贸n de incidentes de ciberseguridad

29/37
Recursos

Aportes 7

Preguntas 1

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Una infograf铆a que puede ser relevante.

Gesti贸n de incidentes de ciberseguridad

Es el proceso que permite actuar de forma r谩pida ante un ataque, definiendo acciones a tomar. A modo de referencia, se puede seguir el est谩ndar NIST 800-61r2.

De forma simplificada, dicha gu铆a define los siguientes fases:

  1. Preparaci贸n: Definir roles y responsabilidades, definir procedimientos, entrenar al personal, etc.
  2. Detecci贸n y an谩lisis: Utilizar los sistemas de control para detectar indicios de un incidente de seguridad.
    1. Identificaci贸n del incidente y su gravedad.
    2. Notificaci贸n a los encargados.
    3. Clasificaci贸n y priorizaci贸n.
  3. Contenci贸n de incidentes: Se detiene el ataque y se intenta retomar la operaci贸n normal.
  4. Actividades post-incidente: Investigar la causa del ataque, aprender de el para evitar que vuelva a ocurrir.

Gesti贸n de Incidentes de Seguridad

Es un proceso que permite una respuesta efectiva y r谩pida a ciberataques. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente. Se puede utilizar la 鈥淕u铆a de manejo de incidentes de seguridad inform谩tica鈥 NIST 800-61r2

Tiene 4 fases:

  1. Preparation
  2. Detection & Analysis
  3. Containment, Eradication & Recovery
  4. Post-Incident Activity
  • Estimamos las necesidades y establecemos procedimientos

  • Identificar los signos inusuales que pueden generar dicho incidente. As铆 como el tipo de incidente y qu茅 tan grave es

  • Reportamos, notificamos y registramos el incidente

  • Debemos determinar el tipo de incidente, clasificarlo y as铆 saber que tanto nos puede afectar

  • Detenemos el ataque y evitar que se propague as铆 como recuperar los datos.

  • Lecciones aprendidas. Identificamos las causas del incidente, por qu茅 pas贸 y c贸mo podemos hacer para que no vuelva a pasar.

**NIST 800-61: **

Gu铆a de gesti贸n de incidentes de ciberseguridad
La gesti贸n de incidentes es un tema cr铆tico en la ciberseguridad . No es suficiente realizar pruebas de penetraci贸n para detectar problemas de manera preventiva o contar con sistemas automatizados de detecci贸n y prevenci贸n de intrusiones. Adem谩s, en caso de incidencia, la organizaci贸n debe disponer de las herramientas necesarias para gestionarla con 茅xito. Con este fin, el NIST proporciona esta gu铆a a los equipos de respuesta a incidentes de ciberseguridad , administradores de sistemas, equipos de seguridad, CISO, CIO y otros profesionales relacionados, estructurada en torno a tres temas centrales: planes de respuesta, gesti贸n de incidentes y coordinaci贸n.

Planes de respuesta: En este sentido, las pautas del NIST abordan c贸mo deber铆an ser las pol铆ticas y los planes de respuesta a incidentes. As铆 como la estructura, personal y servicios de los equipos de respuesta de las organizaciones. Sus recomendaciones en este 谩mbito son:
鈥 Establezca un plan formal de respuesta a incidentes para poder responder de manera r谩pida y efectiva cuando se violan las defensas cibern茅ticas.
鈥 Dise帽e una pol铆tica de respuesta a incidentes que defina qu茅 eventos se consideran incidentes y cu谩les son los roles y responsabilidades de cada equipo e individuo.
鈥 Desarrolle un plan de respuesta que tenga una hoja de ruta clara para una implementaci贸n exitosa. Debe incluir objetivos y m茅tricas a evaluar.
鈥 Desarrollar procedimientos de respuesta a incidentes, con pasos detallados y que cubran toda la fase del proceso.
鈥 Pol铆ticas y planes de respuesta a incidentes y estructura, personal y servicios del equipo de respuesta.
鈥 Estipular procedimientos de intercambio de informaci贸n relacionada con incidentes. De los medios a las autoridades.
鈥 A la hora de establecer el modelo de equipo de respuesta se deben tener en cuenta todas las ventajas y desventajas, as铆 como los recursos y necesidades de la organizaci贸n.
鈥 Es fundamental seleccionar a los profesionales de estos equipos evaluando sus habilidades, conocimientos t茅cnicos, habilidades comunicativas y de pensamiento cr铆tico. Capacitarlos tambi茅n es fundamental.
鈥 Identifique otros grupos dentro de la organizaci贸n que deber铆an participar en la gesti贸n de incidentes. Por ejemplo, un equipo de apoyo legal o personal de gesti贸n.
鈥 Determine el cat谩logo de servicios que el equipo debe proporcionar m谩s all谩 de la respuesta a incidentes. Como el monitoreo de los sistemas de detecci贸n de intrusos. O la formaci贸n de todo el personal en materia de ciberseguridad.

Administraci贸n de incidentes: La gu铆a NIST establece las cuatro fases principales en la gesti贸n de incidentes: preparaci贸n; detecci贸n y an谩lisis; contenci贸n, erradicaci贸n y recuperaci贸n; y actividad posterior al incidente. Todos estos est谩n fuertemente interrelacionados y la progresi贸n no es meramente lineal, sino circular. Dado que el an谩lisis posterior al incidente es clave para fortalecer la preparaci贸n. Los pasos b谩sicos para gestionar y optimizar la detecci贸n de incidentes son esenciales en este camino. En cuanto a las recomendaciones realizadas por el instituto, podemos destacar las siguientes:
鈥 Disponer de herramientas y software 煤tiles para la gesti贸n de incidencias.
鈥 Evaluar recurrentemente los riesgos para prevenirlos.
鈥 Identificar signos de incidentes mediante el uso de diversos sistemas de seguridad.
鈥 Establecer mecanismos para que los actores externos reporten incidentes a la organizaci贸n.
鈥 Imponer un nivel b谩sico de auditor铆a de todos los sistemas . Reforz谩ndolo en sistemas cr铆ticos.
鈥 Perfilado de redes y sistemas, facilita la detecci贸n de cambios en patrones e incidencias.
鈥 Conocer los comportamientos normales de las redes, sistemas y aplicaciones, para poder detectar f谩cilmente cualquier otro tipo de comportamiento an贸malo.
鈥 Cree una pol铆tica para registrar informaci贸n de incidentes. Comience a registrar todos los datos tan pronto como sospeche que se ha producido un incidente. Y resguardarlos, ya que incluyen informaci贸n sensible sobre vulnerabilidades, fallas de seguridad y usuarios.
鈥 Correlacione eventos usando varias fuentes para obtener la mayor cantidad de informaci贸n posible. En este sentido, es importante mantener sincronizada la hora de los hosts.
鈥 Emplear una base de conocimiento confiable y consistente de informaci贸n.
鈥 Establecer un mecanismo para priorizar la gesti贸n de incidentes, basado en factores clave como el impacto en la operaci贸n de la organizaci贸n o la probabilidad de recuperaci贸n.
鈥 Establezca estrategias de contenci贸n de incidentes de forma r谩pida y eficaz.

Coordinaci贸n e intercambio de informaci贸n: La gu铆a del NIST se enfoca en c贸mo los diferentes equipos dentro de una organizaci贸n se coordinan para brindar una respuesta coordinada a un incidente. Tambi茅n se centra en las t茅cnicas utilizadas para compartir datos de incidentes. Entre sus recomendaciones podemos destacar:
鈥 Planifique previamente la coordinaci贸n de incidentes con actores externos, como otros equipos de respuesta a incidentes, autoridades o proveedores de servicios. De esta forma, cada actor conocer谩 su papel y la comunicaci贸n ser谩 mucho m谩s eficiente.
鈥 Contar con la asesor铆a permanente del equipo legal, para asegurar que todas las acciones de coordinaci贸n se ejecuten en cumplimiento del marco normativo.
鈥 Intercambiar informaci贸n sobre incidentes a lo largo de su ciclo de vida. Desde la preparaci贸n hasta la actividad posterior al incidente.
鈥 Automatizar el intercambio de informaci贸n, en la medida de lo posible, para hacerlo m谩s eficiente y menos intensivo en recursos.
鈥 Analice con precisi贸n las ventajas y desventajas de compartir informaci贸n sensible con otros actores.
鈥 Compartir la mayor cantidad de informaci贸n posible con otras organizaciones, siempre teniendo en cuenta los intereses de la organizaci贸n y razones de seguridad.

Directrices NIST, aseguramiento metodol贸gico y regulatorio: Las directrices del NIST son documentos generalistas que proporcionan una base metodol贸gica sobre la que dise帽ar, planificar e implementar diversas estrategias o actuaciones en el 谩mbito de la ciberseguridad. A diferencia de otras gu铆as, su contenido es gen茅rico y por tanto no se puede aplicar directamente a un sistema o aplicaci贸n concreta. M谩s bien, sus recomendaciones, fases y conceptualizaciones sirven para proporcionar a los profesionales un procedimiento estandarizado al cual adherirse. En este sentido, utilizar las directrices del NIST funciona como garant铆a de las acciones que se ejecutan, convirti茅ndose en un requisito a nivel metodol贸gico. Adem谩s, en lo que a normativas se refiere, muchas de ellas establecen como requisito que pr谩cticas como los servicios de pentesting est茅n avalados por una metodolog铆a espec铆fica como la que ofrecen las directrices del NIST . El cumplimiento de las diversas metodolog铆as NIST por parte de los proveedores de servicios de ciberseguridad mejora la cobertura y facilita el cumplimiento normativo de las organizaciones e instituciones que contratan servicios de ciberseguridad . De esta manera, la gran cantidad de documentaci贸n generada por NIST sirve para establecer una base metodol贸gica est谩ndar que es reconocida y utilizada en todo el mundo. Una verdadera gu铆a en la prevenci贸n, detecci贸n y remediaci贸n de vulnerabilidades.

Directrices NIST: una base metodol贸gica para los analistas de ciberseguridad

El Instituto Nacional de Est谩ndares y Tecnolog铆a (NIST) es una organizaci贸n p煤blica estadounidense dedicada a generar conocimiento, desarrollar recursos y organizar programas de capacitaci贸n en m煤ltiples 谩reas. Desde la qu铆mica hasta la ciberseguridad. Las pautas y los marcos del NIST se han convertido en est谩ndares globales para la seguridad del software y el hardware que usamos todos los d铆as. El papel del NIST como generador de conocimiento es de gran ayuda para las organizaciones y los analistas de ciberseguridad.

**NIST 800-115: **
Gu铆a t茅cnica para pruebas y evaluaci贸n de la seguridad de la informaci贸n
La primera de las directrices del NIST ofrece una base metodol贸gica para dise帽ar e implementar servicios de pruebas de penetraci贸n o pentesting avanzados . Aunque no entra en aspectos t茅cnicos y se queda en un nivel m谩s general, esta gu铆a es imprescindible. Ya que establece las fases de estas metodolog铆as y hace un amplio repaso a las caracter铆sticas de las diferentes t茅cnicas que pueden utilizarse para evaluar la seguridad de la informaci贸n. Funciona as铆 como una gu铆a en el proceso, sobre la cual desarrollar y planificar metodolog铆as espec铆ficas que se ajusten a los sistemas a estudiar ya los objetivos establecidos. El documento analiza las diversas t茅cnicas a realizar, as铆 como las fases de una evaluaci贸n de la seguridad.

T茅cnicas de revisi贸n: Estas t茅cnicas son pasivas y consisten en una revisi贸n sistematizada de sistemas, aplicaciones, redes y procedimientos para detectar vulnerabilidades de seguridad. Tambi茅n son esenciales para recopilar informaci贸n para el desarrollo de t茅cnicas proactivas como las pruebas de penetraci贸n avanzadas. Por su propia naturaleza, representan un riesgo m铆nimo para los sistemas y redes que se analizan. Entre las diversas t茅cnicas de revisi贸n, la gu铆a del NIST destaca:
鈥 Revisi贸n de la documentaci贸n. Su objetivo es evaluar los detalles t茅cnicos de las pol铆ticas y procedimientos mediante el an谩lisis de la documentaci贸n disponible.
鈥 Revisi贸n de registro. Permite evaluar que los controles de seguridad implementados registran la informaci贸n de manera adecuada y detallada de acuerdo a las pol铆ticas establecidas.
鈥 Revisi贸n del conjunto de reglas. Mediante esta t茅cnica se analizan las deficiencias en los controles de seguridad, analizando principalmente reglas de control de acceso y firmas, en dispositivos de red y sistemas IDS/IPS respectivamente.
鈥 Revisi贸n de la configuraci贸n del sistema. Se eval煤a la correcta configuraci贸n de las medidas de seguridad en los sistemas (hardening) siguiendo las pol铆ticas establecidas.
鈥 Escaneo en red. Monitorea el tr谩fico de red en el segmento local para obtener informaci贸n. Tambi茅n sirve para verificar el cifrado de las comunicaciones.
鈥 Comprobaci贸n de integridad de archivos. Se utiliza para detectar posibles manipulaciones de archivos importantes e identificar archivos no deseados, que pueden ser herramientas de los atacantes. Este tipo de caracter铆stica la ofrecen las soluciones HIDS (Sistemas de detecci贸n de intrusos basados 鈥嬧媏n host).

T茅cnicas de identificaci贸n y an谩lisis de objetivos: Con estas t茅cnicas, los analistas de ciberseguridad identifican los dispositivos activos y sus puertos y servicios asociados y los analizan en busca de vulnerabilidades. La informaci贸n recopilada se utilizar谩 para planificar e implementar t茅cnicas que validen la vulnerabilidad del objetivo, como servicios de pentesting o pruebas de penetraci贸n avanzadas. La gu铆a NIST destaca cuatro t茅cnicas de identificaci贸n y an谩lisis de objetivos:
鈥 Deteccion de redes. Se utiliza para identificar dispositivos en la red, determinar patrones de comunicaci贸n entre dispositivos y proporcionar informaci贸n sobre la arquitectura de la red. Identificaci贸n de puertos de red, servicios y detalles del servicio.
鈥 Escaneo de vulnerabilidades. Incluye diferentes t茅cnicas para el an谩lisis de vulnerabilidades en sistemas y servicios mediante el uso de herramientas tanto automatizadas como manuales.
鈥 Escaneo inal谩mbrico. Esta t茅cnica identifica dispositivos inal谩mbricos no autorizados y detecta se帽ales inal谩mbricas fuera del per铆metro de la organizaci贸n. Adem谩s, posibles puertas traseras que pueden ser explotadas por actores malintencionados.

T茅cnicas de validaci贸n de vulnerabilidades de destino: La gu铆a del NIST establece que estas t茅cnicas utilizan la informaci贸n generada en la identificaci贸n y an谩lisis del objetivo para explorar en profundidad la existencia de vulnerabilidades. Estas t茅cnicas permiten demostrar que la vulnerabilidad existe y qu茅 ocurre cuando se explota. Por lo tanto, estas t茅cnicas tienen un mayor impacto potencial en el sistema o red en la que se trabaja que las t茅cnicas anteriores. Dentro de estas t茅cnicas, NIST incluye descifrado de contrase帽as y t茅cnicas de ingenier铆a social como phishing y pruebas de penetraci贸n.

Pruebas de penetraci贸n: Mientras que los dos primeros se tratan de manera sucinta en la gu铆a, las pruebas de penetraci贸n se detallan con mayor profundidad a nivel metodol贸gico. As铆, por un lado, establece las fases para el desarrollo y ejecuci贸n de este tipo de pruebas:
1. Planificaci贸n. Se establecen los protocolos de actuaci贸n, se fijan los objetivos y se crean las condiciones t茅cnicas pertinentes para el 茅xito de la prueba.
2. Descubrimiento. En esta fase, las t茅cnicas comentadas anteriormente son de gran ayuda. Ya que consiste en recopilar toda la informaci贸n sobre el sistema o red de destino, para descubrir vulnerabilidades a partir de los datos recopilados.
3. Ejecuci贸n. Esta es la fase clave del proceso. Dentro de esta fase se ejecutan las siguientes acciones de ataque:
鈼 Ganando acceso. Incluye la explotaci贸n de vulnerabilidades para acceder a los sistemas.
鈼 Escalar privilegios. Se analizan tanto los privilegios de acceso obtenidos en sistemas comprometidos como las v铆as para obtener acceso privilegiado como administrador.
鈼 Movimientos laterales. Se inicia otro proceso de descubrimiento para identificar mecanismos y explotar vulnerabilidades para obtener acceso a sistemas adicionales en la infraestructura.
鈼 Instalaci贸n de herramientas adicionales. Incluye tareas posteriores a la explotaci贸n como herramientas para obtener informaci贸n o mantener la persistencia.

Comunicaci贸n y reporte: Esta fase es transversal y se da en paralelo a las dem谩s ya que es fundamental documentar todo el proceso, e informar sobre el avance de las pruebas durante la ejecuci贸n. Al final del proceso, se genera un informe que describe las vulnerabilidades identificadas, el procedimiento de explotaci贸n, as铆 como el nivel de riesgo asociado y las medidas de mitigaci贸n y/o remediaci贸n propuestas.
Las siguientes son las vulnerabilidades m谩s comunes explotadas como parte de una prueba de penetraci贸n seg煤n la publicaci贸n NIST 800-115 :
鈥 Configuraciones incorrectas.
鈥 Defectos del n煤cleo.
鈥 Desbordamiento de b煤fer.
鈥 Validaci贸n de entrada insuficiente.
鈥 Enlaces simb贸licos.
鈥 Ataques al descriptor de archivo
鈥 Condiciones de carrera
鈥 Permisos de archivo y directorio incorrectos.

Evaluacion de seguridad: La gu铆a NIST dedica dos secciones a las evaluaciones de seguridad de la informaci贸n. El primero se centra en la planificaci贸n y el segundo en la ejecuci贸n. Esta compleja actividad debe tener en cuenta las caracter铆sticas de la organizaci贸n, la cantidad de sistemas y sus especificaciones, y las t茅cnicas a utilizar para realizar el an谩lisis de ciberseguridad. Desde el punto de vista de la planificaci贸n, el documento establece como prioridad:
鈥 Desarrollar una pol铆tica de evaluaci贸n de la seguridad.
鈥 Priorizar y programar las evaluaciones a realizar.
鈥 Seleccionar y personalizar t茅cnicas de testing, ajust谩ndolas a las caracter铆sticas de la organizaci贸n y los objetivos marcados.
鈥 Determinar los aspectos log铆sticos de la evaluaci贸n.
鈥 Desarrollar el plan de evaluaci贸n.
鈥 Tener en cuenta los aspectos legales.
La ejecuci贸n de la evaluaci贸n de la seguridad se basa en cuatro fases, tal como se define en las directrices del NIST :
鈥 Coordinaci贸n
鈥 Evaluaci贸n
鈥 An谩lisis
Gesti贸n de datos: recogida, almacenamiento, transmisi贸n y destrucci贸n.

Gesti贸n de Incidentes de Ciberseguridad:

El objetivo de la gesti贸n de incidentes de ciberseguridad es minimizar el impacto negativo de un incidente de seguridad en una organizaci贸n, recuperar r谩pidamente el servicio y restablecer la confianza en la seguridad de la informaci贸n. Se pueden utilizar t茅cnicas y herramientas para detectar y responder a incidentes de seguridad inform谩tica, y para mejorar la capacidad de una organizaci贸n para manejar incidentes de seguridad en el futuro.