Gestión de incidentes de ciberseguridad

Gestión de incidentes de ciberseguridad

Es el proceso que permite actuar de forma rápida ante un ataque, definiendo acciones a tomar. A modo de referencia, se puede seguir el estándar NIST 800-61r2.

De forma simplificada, dicha guía define los siguientes fases:

1. Preparación: Definir roles y responsabilidades, definir procedimientos, entrenar al personal, etc.
2. Detección y análisis: Utilizar los sistemas de control para detectar indicios de un incidente de seguridad.
   1. Identificación del incidente y su gravedad.
   2. Notificación a los encargados.
   3. Clasificación y priorización.
3. Contención de incidentes: Se detiene el ataque y se intenta retomar la operación normal.
4. Actividades post-incidente: Investigar la causa del ataque, aprender de el para evitar que vuelva a ocurrir.

Gestión de Incidentes de Seguridad

Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente. Se puede utilizar la “Guía de manejo de incidentes de seguridad informática” NIST 800-61r2

Tiene 4 fases:

1. Preparation
2. Detection & Analysis
3. Containment, Eradication & Recovery
4. Post-Incident Activity

• Estimamos las necesidades y establecemos procedimientos

• Identificar los signos inusuales que pueden generar dicho incidente. Así como el tipo de incidente y qué tan grave es

• Reportamos, notificamos y registramos el incidente

• Debemos determinar el tipo de incidente, clasificarlo y así saber que tanto nos puede afectar

• Detenemos el ataque y evitar que se propague así como recuperar los datos.

• Lecciones aprendidas. Identificamos las causas del incidente, por qué pasó y cómo podemos hacer para que no vuelva a pasar.

**NIST 800-61: **

Guía de gestión de incidentes de ciberseguridad
La gestión de incidentes es un tema crítico en la ciberseguridad . No es suficiente realizar pruebas de penetración para detectar problemas de manera preventiva o contar con sistemas automatizados de detección y prevención de intrusiones. Además, en caso de incidencia, la organización debe disponer de las herramientas necesarias para gestionarla con éxito. Con este fin, el NIST proporciona esta guía a los equipos de respuesta a incidentes de ciberseguridad , administradores de sistemas, equipos de seguridad, CISO, CIO y otros profesionales relacionados, estructurada en torno a tres temas centrales: planes de respuesta, gestión de incidentes y coordinación.

Planes de respuesta: En este sentido, las pautas del NIST abordan cómo deberían ser las políticas y los planes de respuesta a incidentes. Así como la estructura, personal y servicios de los equipos de respuesta de las organizaciones. Sus recomendaciones en este ámbito son:
• Establezca un plan formal de respuesta a incidentes para poder responder de manera rápida y efectiva cuando se violan las defensas cibernéticas.
• Diseñe una política de respuesta a incidentes que defina qué eventos se consideran incidentes y cuáles son los roles y responsabilidades de cada equipo e individuo.
• Desarrolle un plan de respuesta que tenga una hoja de ruta clara para una implementación exitosa. Debe incluir objetivos y métricas a evaluar.
• Desarrollar procedimientos de respuesta a incidentes, con pasos detallados y que cubran toda la fase del proceso.
• Políticas y planes de respuesta a incidentes y estructura, personal y servicios del equipo de respuesta.
• Estipular procedimientos de intercambio de información relacionada con incidentes. De los medios a las autoridades.
• A la hora de establecer el modelo de equipo de respuesta se deben tener en cuenta todas las ventajas y desventajas, así como los recursos y necesidades de la organización.
• Es fundamental seleccionar a los profesionales de estos equipos evaluando sus habilidades, conocimientos técnicos, habilidades comunicativas y de pensamiento crítico. Capacitarlos también es fundamental.
• Identifique otros grupos dentro de la organización que deberían participar en la gestión de incidentes. Por ejemplo, un equipo de apoyo legal o personal de gestión.
• Determine el catálogo de servicios que el equipo debe proporcionar más allá de la respuesta a incidentes. Como el monitoreo de los sistemas de detección de intrusos. O la formación de todo el personal en materia de ciberseguridad.

Administración de incidentes: La guía NIST establece las cuatro fases principales en la gestión de incidentes: preparación; detección y análisis; contención, erradicación y recuperación; y actividad posterior al incidente. Todos estos están fuertemente interrelacionados y la progresión no es meramente lineal, sino circular. Dado que el análisis posterior al incidente es clave para fortalecer la preparación. Los pasos básicos para gestionar y optimizar la detección de incidentes son esenciales en este camino. En cuanto a las recomendaciones realizadas por el instituto, podemos destacar las siguientes:
• Disponer de herramientas y software útiles para la gestión de incidencias.
• Evaluar recurrentemente los riesgos para prevenirlos.
• Identificar signos de incidentes mediante el uso de diversos sistemas de seguridad.
• Establecer mecanismos para que los actores externos reporten incidentes a la organización.
• Imponer un nivel básico de auditoría de todos los sistemas . Reforzándolo en sistemas críticos.
• Perfilado de redes y sistemas, facilita la detección de cambios en patrones e incidencias.
• Conocer los comportamientos normales de las redes, sistemas y aplicaciones, para poder detectar fácilmente cualquier otro tipo de comportamiento anómalo.
• Cree una política para registrar información de incidentes. Comience a registrar todos los datos tan pronto como sospeche que se ha producido un incidente. Y resguardarlos, ya que incluyen información sensible sobre vulnerabilidades, fallas de seguridad y usuarios.
• Correlacione eventos usando varias fuentes para obtener la mayor cantidad de información posible. En este sentido, es importante mantener sincronizada la hora de los hosts.
• Emplear una base de conocimiento confiable y consistente de información.
• Establecer un mecanismo para priorizar la gestión de incidentes, basado en factores clave como el impacto en la operación de la organización o la probabilidad de recuperación.
• Establezca estrategias de contención de incidentes de forma rápida y eficaz.

Coordinación e intercambio de información: La guía del NIST se enfoca en cómo los diferentes equipos dentro de una organización se coordinan para brindar una respuesta coordinada a un incidente. También se centra en las técnicas utilizadas para compartir datos de incidentes. Entre sus recomendaciones podemos destacar:
• Planifique previamente la coordinación de incidentes con actores externos, como otros equipos de respuesta a incidentes, autoridades o proveedores de servicios. De esta forma, cada actor conocerá su papel y la comunicación será mucho más eficiente.
• Contar con la asesoría permanente del equipo legal, para asegurar que todas las acciones de coordinación se ejecuten en cumplimiento del marco normativo.
• Intercambiar información sobre incidentes a lo largo de su ciclo de vida. Desde la preparación hasta la actividad posterior al incidente.
• Automatizar el intercambio de información, en la medida de lo posible, para hacerlo más eficiente y menos intensivo en recursos.
• Analice con precisión las ventajas y desventajas de compartir información sensible con otros actores.
• Compartir la mayor cantidad de información posible con otras organizaciones, siempre teniendo en cuenta los intereses de la organización y razones de seguridad.

Directrices NIST, aseguramiento metodológico y regulatorio: Las directrices del NIST son documentos generalistas que proporcionan una base metodológica sobre la que diseñar, planificar e implementar diversas estrategias o actuaciones en el ámbito de la ciberseguridad. A diferencia de otras guías, su contenido es genérico y por tanto no se puede aplicar directamente a un sistema o aplicación concreta. Más bien, sus recomendaciones, fases y conceptualizaciones sirven para proporcionar a los profesionales un procedimiento estandarizado al cual adherirse. En este sentido, utilizar las directrices del NIST funciona como garantía de las acciones que se ejecutan, convirtiéndose en un requisito a nivel metodológico. Además, en lo que a normativas se refiere, muchas de ellas establecen como requisito que prácticas como los servicios de pentesting estén avalados por una metodología específica como la que ofrecen las directrices del NIST . El cumplimiento de las diversas metodologías NIST por parte de los proveedores de servicios de ciberseguridad mejora la cobertura y facilita el cumplimiento normativo de las organizaciones e instituciones que contratan servicios de ciberseguridad . De esta manera, la gran cantidad de documentación generada por NIST sirve para establecer una base metodológica estándar que es reconocida y utilizada en todo el mundo. Una verdadera guía en la prevención, detección y remediación de vulnerabilidades.

Directrices NIST: una base metodológica para los analistas de ciberseguridad

El Instituto Nacional de Estándares y Tecnología (NIST) es una organización pública estadounidense dedicada a generar conocimiento, desarrollar recursos y organizar programas de capacitación en múltiples áreas. Desde la química hasta la ciberseguridad. Las pautas y los marcos del NIST se han convertido en estándares globales para la seguridad del software y el hardware que usamos todos los días. El papel del NIST como generador de conocimiento es de gran ayuda para las organizaciones y los analistas de ciberseguridad.

Gestión de Incidentes de Ciberseguridad:

El objetivo de la gestión de incidentes de ciberseguridad es minimizar el impacto negativo de un incidente de seguridad en una organización, recuperar rápidamente el servicio y restablecer la confianza en la seguridad de la información. Se pueden utilizar técnicas y herramientas para detectar y responder a incidentes de seguridad informática, y para mejorar la capacidad de una organización para manejar incidentes de seguridad en el futuro.

**NIST 800-115: **
Guía técnica para pruebas y evaluación de la seguridad de la información
La primera de las directrices del NIST ofrece una base metodológica para diseñar e implementar servicios de pruebas de penetración o pentesting avanzados . Aunque no entra en aspectos técnicos y se queda en un nivel más general, esta guía es imprescindible. Ya que establece las fases de estas metodologías y hace un amplio repaso a las características de las diferentes técnicas que pueden utilizarse para evaluar la seguridad de la información. Funciona así como una guía en el proceso, sobre la cual desarrollar y planificar metodologías específicas que se ajusten a los sistemas a estudiar ya los objetivos establecidos. El documento analiza las diversas técnicas a realizar, así como las fases de una evaluación de la seguridad.

Técnicas de revisión: Estas técnicas son pasivas y consisten en una revisión sistematizada de sistemas, aplicaciones, redes y procedimientos para detectar vulnerabilidades de seguridad. También son esenciales para recopilar información para el desarrollo de técnicas proactivas como las pruebas de penetración avanzadas. Por su propia naturaleza, representan un riesgo mínimo para los sistemas y redes que se analizan. Entre las diversas técnicas de revisión, la guía del NIST destaca:
• Revisión de la documentación. Su objetivo es evaluar los detalles técnicos de las políticas y procedimientos mediante el análisis de la documentación disponible.
• Revisión de registro. Permite evaluar que los controles de seguridad implementados registran la información de manera adecuada y detallada de acuerdo a las políticas establecidas.
• Revisión del conjunto de reglas. Mediante esta técnica se analizan las deficiencias en los controles de seguridad, analizando principalmente reglas de control de acceso y firmas, en dispositivos de red y sistemas IDS/IPS respectivamente.
• Revisión de la configuración del sistema. Se evalúa la correcta configuración de las medidas de seguridad en los sistemas (hardening) siguiendo las políticas establecidas.
• Escaneo en red. Monitorea el tráfico de red en el segmento local para obtener información. También sirve para verificar el cifrado de las comunicaciones.
• Comprobación de integridad de archivos. Se utiliza para detectar posibles manipulaciones de archivos importantes e identificar archivos no deseados, que pueden ser herramientas de los atacantes. Este tipo de característica la ofrecen las soluciones HIDS (Sistemas de detección de intrusos basados ​​en host).

Técnicas de identificación y análisis de objetivos: Con estas técnicas, los analistas de ciberseguridad identifican los dispositivos activos y sus puertos y servicios asociados y los analizan en busca de vulnerabilidades. La información recopilada se utilizará para planificar e implementar técnicas que validen la vulnerabilidad del objetivo, como servicios de pentesting o pruebas de penetración avanzadas. La guía NIST destaca cuatro técnicas de identificación y análisis de objetivos:
• Deteccion de redes. Se utiliza para identificar dispositivos en la red, determinar patrones de comunicación entre dispositivos y proporcionar información sobre la arquitectura de la red. Identificación de puertos de red, servicios y detalles del servicio.
• Escaneo de vulnerabilidades. Incluye diferentes técnicas para el análisis de vulnerabilidades en sistemas y servicios mediante el uso de herramientas tanto automatizadas como manuales.
• Escaneo inalámbrico. Esta técnica identifica dispositivos inalámbricos no autorizados y detecta señales inalámbricas fuera del perímetro de la organización. Además, posibles puertas traseras que pueden ser explotadas por actores malintencionados.

Técnicas de validación de vulnerabilidades de destino: La guía del NIST establece que estas técnicas utilizan la información generada en la identificación y análisis del objetivo para explorar en profundidad la existencia de vulnerabilidades. Estas técnicas permiten demostrar que la vulnerabilidad existe y qué ocurre cuando se explota. Por lo tanto, estas técnicas tienen un mayor impacto potencial en el sistema o red en la que se trabaja que las técnicas anteriores. Dentro de estas técnicas, NIST incluye descifrado de contraseñas y técnicas de ingeniería social como phishing y pruebas de penetración.

Pruebas de penetración: Mientras que los dos primeros se tratan de manera sucinta en la guía, las pruebas de penetración se detallan con mayor profundidad a nivel metodológico. Así, por un lado, establece las fases para el desarrollo y ejecución de este tipo de pruebas:
1. Planificación. Se establecen los protocolos de actuación, se fijan los objetivos y se crean las condiciones técnicas pertinentes para el éxito de la prueba.
2. Descubrimiento. En esta fase, las técnicas comentadas anteriormente son de gran ayuda. Ya que consiste en recopilar toda la información sobre el sistema o red de destino, para descubrir vulnerabilidades a partir de los datos recopilados.
3. Ejecución. Esta es la fase clave del proceso. Dentro de esta fase se ejecutan las siguientes acciones de ataque:
○ Ganando acceso. Incluye la explotación de vulnerabilidades para acceder a los sistemas.
○ Escalar privilegios. Se analizan tanto los privilegios de acceso obtenidos en sistemas comprometidos como las vías para obtener acceso privilegiado como administrador.
○ Movimientos laterales. Se inicia otro proceso de descubrimiento para identificar mecanismos y explotar vulnerabilidades para obtener acceso a sistemas adicionales en la infraestructura.
○ Instalación de herramientas adicionales. Incluye tareas posteriores a la explotación como herramientas para obtener información o mantener la persistencia.

Comunicación y reporte: Esta fase es transversal y se da en paralelo a las demás ya que es fundamental documentar todo el proceso, e informar sobre el avance de las pruebas durante la ejecución. Al final del proceso, se genera un informe que describe las vulnerabilidades identificadas, el procedimiento de explotación, así como el nivel de riesgo asociado y las medidas de mitigación y/o remediación propuestas.
Las siguientes son las vulnerabilidades más comunes explotadas como parte de una prueba de penetración según la publicación NIST 800-115 :
• Configuraciones incorrectas.
• Defectos del núcleo.
• Desbordamiento de búfer.
• Validación de entrada insuficiente.
• Enlaces simbólicos.
• Ataques al descriptor de archivo
• Condiciones de carrera
• Permisos de archivo y directorio incorrectos.

Evaluacion de seguridad: La guía NIST dedica dos secciones a las evaluaciones de seguridad de la información. El primero se centra en la planificación y el segundo en la ejecución. Esta compleja actividad debe tener en cuenta las características de la organización, la cantidad de sistemas y sus especificaciones, y las técnicas a utilizar para realizar el análisis de ciberseguridad. Desde el punto de vista de la planificación, el documento establece como prioridad:
• Desarrollar una política de evaluación de la seguridad.
• Priorizar y programar las evaluaciones a realizar.
• Seleccionar y personalizar técnicas de testing, ajustándolas a las características de la organización y los objetivos marcados.
• Determinar los aspectos logísticos de la evaluación.
• Desarrollar el plan de evaluación.
• Tener en cuenta los aspectos legales.
La ejecución de la evaluación de la seguridad se basa en cuatro fases, tal como se define en las directrices del NIST :
• Coordinación
• Evaluación
• Análisis
Gestión de datos: recogida, almacenamiento, transmisión y destrucción.

Gestión de incidentes de ciberseguridad

Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente.

Estándar

Es una buena práctica es basarse en estándares reconocidos por la industria, el más usado es la “Guía de manejo de incidentes de seguridad informática” NIST 800-61r2 (revisión 2)

¿Cómo responder ante un incidente de seguridad?

1. Preparación: Estimamos las necesidades y establecemos procedimientos.
2. Detección y Análisis: Es identificar los signos inusuales que pueden generar dicho incidente.
3. Identificación: Identificamos qué tipo de incidente fue y ocurrió, que tan grave puede ser.
4. Notificación: Reportamos, notificamos y registramos el incidente.
5. Clasificación y priorización: Debemos determinar el tipo de incidente, clasificarlo y así saber qué tan grave es y qué tanto nos puede afectar.
6. Contención, resolución y recuperación: Detenemos el ataque y evitar que se propague. Resolvemos el incidente. Recuperamos los datos.
7. Acciones posteriores al cierre: Lecciones aprendidas. Identificamos las causas del incidente, por qué pasó y cómo podemos hacer, para qué no vuelva a pasar.

La gestión de incidentes de ciberseguridad es el proceso de identificar, responder, y resolver eventos que comprometen la seguridad de sistemas, redes o datos dentro de una organización. Estos incidentes pueden incluir ataques de malware, intentos de acceso no autorizado, violaciones de datos, o cualquier otra actividad que ponga en riesgo la seguridad de la información. El proceso de gestión de incidentes suele seguir varios pasos clave: 1. **Preparación:** Consiste en establecer políticas, procedimientos, y herramientas para responder de manera efectiva a un incidente cuando ocurra. Esto incluye la formación del personal y la implementación de medidas preventivas. 2. **Detección e identificación:** En esta etapa, se detecta y se identifica un posible incidente mediante la monitorización continua de sistemas y redes. 3. **Contención:** Una vez identificado, el siguiente paso es contener el incidente para limitar su impacto. Esto puede involucrar la desconexión de sistemas afectados o la restricción del acceso. 4. **Erradicación:** Aquí se busca eliminar la causa del incidente, como eliminar el malware o corregir vulnerabilidades. 5. **Recuperación:** En esta fase, se restauran y verifican los sistemas afectados para asegurar que vuelvan a operar de manera segura. 6. **Lecciones aprendidas:** Después de resolver el incidente, se realiza un análisis detallado para entender qué ocurrió y cómo mejorar la respuesta futura, actualizando políticas y procedimientos si es necesario. Una gestión efectiva de incidentes de ciberseguridad es crucial para minimizar el impacto de las amenazas y proteger los activos de la organización.

<https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf>


Gestión de Incidentes de Ciberseguridad: La gestión de incidentes de seguridad es un proceso de identificar, administrar, registrar y analizar las amenazas o incidentes de seguridad ocurridos en una organización.

Los estándares mas usados es la Guía para el manejo de incidentes (NIST SP 800-61 R2).

Fases de la Guía para el manejo de incidentes (NIST SP 800-61 R2).

1. Preparación.
2. Detección y análisis.
3. Contención de incidentes.
4. Actividades Post-Incidente.

Enlace de consulta:
https://ciberseguridad.uach.mx/empresas/gestion-de-incidentes-informaticos/