Gestión de Incidentes de Ciberseguridad según NIST 861 Revisión 2

Clase 29 de 37 • Curso de Seguridad Informática para Equipos Técnicos

Resumen

¿Cómo gestionar incidentes de ciberseguridad de manera eficaz?

La gestión de incidentes de ciberseguridad es un aspecto crucial para cualquier empresa que desee proteger sus activos digitales y mantener su operatividad. Este proceso, basado en estándares internacionales como el NIST 861 R2, proporciona directrices esenciales para actuar de manera rápida y efectiva frente a ciberataques. Al implementar un plan de gestión de incidentes, las organizaciones pueden identificar vulnerabilidades, reducir impactos y mejorar la resiliencia frente a amenazas actuales y futuras.

¿Cuáles son las fases del proceso de gestión de incidentes de ciberseguridad?

El estándar NIST 861, reconocido ampliamente en la industria, establece un modelo de cuatro fases que deben seguirse para responder a incidentes de ciberseguridad de manera eficaz. A continuación, se detalla cada uno de estos pasos:

¿Qué debe incluirse en la fase de preparación?

La fase de preparación es fundamental ya que sienta las bases para enfrentar cualquier incidente de seguridad que pueda ocurrir. Este es el momento de establecer políticas, procedimientos y recursos que ayudarán a la organización a ser proactiva en caso de un ataque. Algunos elementos cruciales incluyen:

Planificación y definición de roles: Asignar responsabilidades claras a los miembros del equipo de respuesta.
Capacitación y concienciación: Asegurarse de que todo el personal esté capacitado para reconocer y reportar amenazas.
Revisión y actualización de software y sistemas: Implementar parches de seguridad de manera adecuada.
Simulaciones de ataque: Realizar pruebas regulares para evaluar la eficacia del plan de respuesta.

¿Cómo se realiza la detección y análisis de incidentes?

Durante la fase de detección y análisis, las organizaciones deben monitorear activamente su red y sistemas para identificar actividades inusuales que puedan indicar un incidente de seguridad. Utilizar herramientas como sistemas SIEM (Security Information and Event Management) es esencial. En esta fase:

Monitoreo continuo: Implementar tecnologías para detectar anomalías de manera automática.
Análisis de eventos: Evaluar los datos recopilados para determinar la naturaleza del incidente.
Evaluación del impacto: Calcular la gravedad del incidente y su potencial impacto organizacional.

¿En qué consiste la contención, resolución y recuperación?

Cuando un incidente ha sido clasificado y priorizado, es crucial pasar a la acción para minimizar el daño. El objetivo es detener el ataque, restaurar la operación normal de la empresa y mitigar el impacto futuro. Algunas acciones clave incluyen:

Contención del incidente: Implementar medidas temporales para detener la propagación del ataque.
Erradicación de la amenaza: Eliminar los elementos dañinos y reforzar las defensas afectadas.
Recuperación del sistema: Restablecer los sistemas a su estado normal asegurándose de que estén libres de vulnerabilidades.

¿Qué acciones se toman post-incidente?

Una vez que el incidente ha sido manejado, es crucial aprender de lo sucedido para mejorar las estrategias de defensa. Esta fase implica:

Revisión y documentación: Analizar el incidente para identificar fallas o debilidades en el sistema de seguridad.
Lecciones aprendidas: Decidir qué medidas preventivas pueden implementarse para evitar ataques similares en el futuro.
Actualización de políticas: Modificar políticas y procedimientos conforme a las lecciones aprendidas para fortalecer la postura de ciberseguridad.

La gestión eficaz de incidentes de ciberseguridad no solo protege los activos de la empresa, sino que también asegura la confianza y la continuidad del negocio. Adaptar las mejores prácticas basadas en estándares reconocidos, como el NIST, y mantener una postura de seguridad proactiva es esencial para todas las organizaciones en el entorno digital actual.

Juan José Álvarez Pérez

student•

Gestión de incidentes de ciberseguridad

Es el proceso que permite actuar de forma rápida ante un ataque, definiendo acciones a tomar. A modo de referencia, se puede seguir el estándar NIST 800-61r2.

De forma simplificada, dicha guía define los siguientes fases:

Preparación: Definir roles y responsabilidades, definir procedimientos, entrenar al personal, etc.
Detección y análisis: Utilizar los sistemas de control para detectar indicios de un incidente de seguridad.
1. Identificación del incidente y su gravedad.
2. Notificación a los encargados.
3. Clasificación y priorización.
Contención de incidentes: Se detiene el ataque y se intenta retomar la operación normal.
Actividades post-incidente: Investigar la causa del ataque, aprender de el para evitar que vuelva a ocurrir.

Alan Martínez

student•

gracias por el resumen bro!!

Juan Pablo Suaza Alvarez

student•

Gracias por el aporte =)

Alejandro Vargas

student•

++Gestión de Incidentes de Seguridad++

Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente. Se puede utilizar la "Guía de manejo de incidentes de seguridad informática" NIST 800-61r2

Tiene 4 fases:

Preparation
Detection & Analysis
Containment, Eradication & Recovery
Post-Incident Activity

Estimamos las necesidades y establecemos procedimientos
Identificar los signos inusuales que pueden generar dicho incidente. Así como el tipo de incidente y qué tan grave es
Reportamos, notificamos y registramos el incidente
Debemos determinar el tipo de incidente, clasificarlo y así saber que tanto nos puede afectar
Detenemos el ataque y evitar que se propague así como recuperar los datos.
Lecciones aprendidas. Identificamos las causas del incidente, por qué pasó y cómo podemos hacer para que no vuelva a pasar.

Laprovittera Carlos

student•

**NIST 800-61: **

Guía de gestión de incidentes de ciberseguridad La gestión de incidentes es un tema crítico en la ciberseguridad . No es suficiente realizar pruebas de penetración para detectar problemas de manera preventiva o contar con sistemas automatizados de detección y prevención de intrusiones. Además, en caso de incidencia, la organización debe disponer de las herramientas necesarias para gestionarla con éxito. Con este fin, el NIST proporciona esta guía a los equipos de respuesta a incidentes de ciberseguridad , administradores de sistemas, equipos de seguridad, CISO, CIO y otros profesionales relacionados, estructurada en torno a tres temas centrales: planes de respuesta, gestión de incidentes y coordinación.

Planes de respuesta: En este sentido, las pautas del NIST abordan cómo deberían ser las políticas y los planes de respuesta a incidentes. Así como la estructura, personal y servicios de los equipos de respuesta de las organizaciones. Sus recomendaciones en este ámbito son: • Establezca un plan formal de respuesta a incidentes para poder responder de manera rápida y efectiva cuando se violan las defensas cibernéticas. • Diseñe una política de respuesta a incidentes que defina qué eventos se consideran incidentes y cuáles son los roles y responsabilidades de cada equipo e individuo. • Desarrolle un plan de respuesta que tenga una hoja de ruta clara para una implementación exitosa. Debe incluir objetivos y métricas a evaluar. • Desarrollar procedimientos de respuesta a incidentes, con pasos detallados y que cubran toda la fase del proceso. • Políticas y planes de respuesta a incidentes y estructura, personal y servicios del equipo de respuesta. • Estipular procedimientos de intercambio de información relacionada con incidentes. De los medios a las autoridades. • A la hora de establecer el modelo de equipo de respuesta se deben tener en cuenta todas las ventajas y desventajas, así como los recursos y necesidades de la organización. • Es fundamental seleccionar a los profesionales de estos equipos evaluando sus habilidades, conocimientos técnicos, habilidades comunicativas y de pensamiento crítico. Capacitarlos también es fundamental. • Identifique otros grupos dentro de la organización que deberían participar en la gestión de incidentes. Por ejemplo, un equipo de apoyo legal o personal de gestión. • Determine el catálogo de servicios que el equipo debe proporcionar más allá de la respuesta a incidentes. Como el monitoreo de los sistemas de detección de intrusos. O la formación de todo el personal en materia de ciberseguridad.

Administración de incidentes: La guía NIST establece las cuatro fases principales en la gestión de incidentes: preparación; detección y análisis; contención, erradicación y recuperación; y actividad posterior al incidente. Todos estos están fuertemente interrelacionados y la progresión no es meramente lineal, sino circular. Dado que el análisis posterior al incidente es clave para fortalecer la preparación. Los pasos básicos para gestionar y optimizar la detección de incidentes son esenciales en este camino. En cuanto a las recomendaciones realizadas por el instituto, podemos destacar las siguientes: • Disponer de herramientas y software útiles para la gestión de incidencias. • Evaluar recurrentemente los riesgos para prevenirlos. • Identificar signos de incidentes mediante el uso de diversos sistemas de seguridad. • Establecer mecanismos para que los actores externos reporten incidentes a la organización. • Imponer un nivel básico de auditoría de todos los sistemas . Reforzándolo en sistemas críticos. • Perfilado de redes y sistemas, facilita la detección de cambios en patrones e incidencias. • Conocer los comportamientos normales de las redes, sistemas y aplicaciones, para poder detectar fácilmente cualquier otro tipo de comportamiento anómalo. • Cree una política para registrar información de incidentes. Comience a registrar todos los datos tan pronto como sospeche que se ha producido un incidente. Y resguardarlos, ya que incluyen información sensible sobre vulnerabilidades, fallas de seguridad y usuarios. • Correlacione eventos usando varias fuentes para obtener la mayor cantidad de información posible. En este sentido, es importante mantener sincronizada la hora de los hosts. • Emplear una base de conocimiento confiable y consistente de información. • Establecer un mecanismo para priorizar la gestión de incidentes, basado en factores clave como el impacto en la operación de la organización o la probabilidad de recuperación. • Establezca estrategias de contención de incidentes de forma rápida y eficaz.

Coordinación e intercambio de información: La guía del NIST se enfoca en cómo los diferentes equipos dentro de una organización se coordinan para brindar una respuesta coordinada a un incidente. También se centra en las técnicas utilizadas para compartir datos de incidentes. Entre sus recomendaciones podemos destacar: • Planifique previamente la coordinación de incidentes con actores externos, como otros equipos de respuesta a incidentes, autoridades o proveedores de servicios. De esta forma, cada actor conocerá su papel y la comunicación será mucho más eficiente. • Contar con la asesoría permanente del equipo legal, para asegurar que todas las acciones de coordinación se ejecuten en cumplimiento del marco normativo. • Intercambiar información sobre incidentes a lo largo de su ciclo de vida. Desde la preparación hasta la actividad posterior al incidente. • Automatizar el intercambio de información, en la medida de lo posible, para hacerlo más eficiente y menos intensivo en recursos. • Analice con precisión las ventajas y desventajas de compartir información sensible con otros actores. • Compartir la mayor cantidad de información posible con otras organizaciones, siempre teniendo en cuenta los intereses de la organización y razones de seguridad.

Directrices NIST, aseguramiento metodológico y regulatorio: Las directrices del NIST son documentos generalistas que proporcionan una base metodológica sobre la que diseñar, planificar e implementar diversas estrategias o actuaciones en el ámbito de la ciberseguridad. A diferencia de otras guías, su contenido es genérico y por tanto no se puede aplicar directamente a un sistema o aplicación concreta. Más bien, sus recomendaciones, fases y conceptualizaciones sirven para proporcionar a los profesionales un procedimiento estandarizado al cual adherirse. En este sentido, utilizar las directrices del NIST funciona como garantía de las acciones que se ejecutan, convirtiéndose en un requisito a nivel metodológico. Además, en lo que a normativas se refiere, muchas de ellas establecen como requisito que prácticas como los servicios de pentesting estén avalados por una metodología específica como la que ofrecen las directrices del NIST . El cumplimiento de las diversas metodologías NIST por parte de los proveedores de servicios de ciberseguridad mejora la cobertura y facilita el cumplimiento normativo de las organizaciones e instituciones que contratan servicios de ciberseguridad . De esta manera, la gran cantidad de documentación generada por NIST sirve para establecer una base metodológica estándar que es reconocida y utilizada en todo el mundo. Una verdadera guía en la prevención, detección y remediación de vulnerabilidades.

Jonathan Christopher Bertoni Montecinos

student•

Gestión de Incidentes de Ciberseguridad:

El objetivo de la gestión de incidentes de ciberseguridad es minimizar el impacto negativo de un incidente de seguridad en una organización, recuperar rápidamente el servicio y restablecer la confianza en la seguridad de la información. Se pueden utilizar técnicas y herramientas para detectar y responder a incidentes de seguridad informática, y para mejorar la capacidad de una organización para manejar incidentes de seguridad en el futuro.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Laprovittera Carlos

student•

Directrices NIST: una base metodológica para los analistas de ciberseguridad

El Instituto Nacional de Estándares y Tecnología (NIST) es una organización pública estadounidense dedicada a generar conocimiento, desarrollar recursos y organizar programas de capacitación en múltiples áreas. Desde la química hasta la ciberseguridad. Las pautas y los marcos del NIST se han convertido en estándares globales para la seguridad del software y el hardware que usamos todos los días. El papel del NIST como generador de conocimiento es de gran ayuda para las organizaciones y los analistas de ciberseguridad.

Dilan Bocanegra

student•

Gracias por el aporte

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Alfredo Gómez Delgado

student•

¿podrian compartir esa guia en la sección de recursos? gracias

Diego Ademir Duarte Santana

Team Platzi•

Esta te sirve: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

Laprovittera Carlos

student•

**NIST 800-115: ** Guía técnica para pruebas y evaluación de la seguridad de la información La primera de las directrices del NIST ofrece una base metodológica para diseñar e implementar servicios de pruebas de penetración o pentesting avanzados . Aunque no entra en aspectos técnicos y se queda en un nivel más general, esta guía es imprescindible. Ya que establece las fases de estas metodologías y hace un amplio repaso a las características de las diferentes técnicas que pueden utilizarse para evaluar la seguridad de la información. Funciona así como una guía en el proceso, sobre la cual desarrollar y planificar metodologías específicas que se ajusten a los sistemas a estudiar ya los objetivos establecidos. El documento analiza las diversas técnicas a realizar, así como las fases de una evaluación de la seguridad.

Técnicas de revisión: Estas técnicas son pasivas y consisten en una revisión sistematizada de sistemas, aplicaciones, redes y procedimientos para detectar vulnerabilidades de seguridad. También son esenciales para recopilar información para el desarrollo de técnicas proactivas como las pruebas de penetración avanzadas. Por su propia naturaleza, representan un riesgo mínimo para los sistemas y redes que se analizan. Entre las diversas técnicas de revisión, la guía del NIST destaca: • Revisión de la documentación. Su objetivo es evaluar los detalles técnicos de las políticas y procedimientos mediante el análisis de la documentación disponible. • Revisión de registro. Permite evaluar que los controles de seguridad implementados registran la información de manera adecuada y detallada de acuerdo a las políticas establecidas. • Revisión del conjunto de reglas. Mediante esta técnica se analizan las deficiencias en los controles de seguridad, analizando principalmente reglas de control de acceso y firmas, en dispositivos de red y sistemas IDS/IPS respectivamente. • Revisión de la configuración del sistema. Se evalúa la correcta configuración de las medidas de seguridad en los sistemas (hardening) siguiendo las políticas establecidas. • Escaneo en red. Monitorea el tráfico de red en el segmento local para obtener información. También sirve para verificar el cifrado de las comunicaciones. • Comprobación de integridad de archivos. Se utiliza para detectar posibles manipulaciones de archivos importantes e identificar archivos no deseados, que pueden ser herramientas de los atacantes. Este tipo de característica la ofrecen las soluciones HIDS (Sistemas de detección de intrusos basados en host).

Técnicas de identificación y análisis de objetivos: Con estas técnicas, los analistas de ciberseguridad identifican los dispositivos activos y sus puertos y servicios asociados y los analizan en busca de vulnerabilidades. La información recopilada se utilizará para planificar e implementar técnicas que validen la vulnerabilidad del objetivo, como servicios de pentesting o pruebas de penetración avanzadas. La guía NIST destaca cuatro técnicas de identificación y análisis de objetivos: • Deteccion de redes. Se utiliza para identificar dispositivos en la red, determinar patrones de comunicación entre dispositivos y proporcionar información sobre la arquitectura de la red. Identificación de puertos de red, servicios y detalles del servicio. • Escaneo de vulnerabilidades. Incluye diferentes técnicas para el análisis de vulnerabilidades en sistemas y servicios mediante el uso de herramientas tanto automatizadas como manuales. • Escaneo inalámbrico. Esta técnica identifica dispositivos inalámbricos no autorizados y detecta señales inalámbricas fuera del perímetro de la organización. Además, posibles puertas traseras que pueden ser explotadas por actores malintencionados.

Técnicas de validación de vulnerabilidades de destino: La guía del NIST establece que estas técnicas utilizan la información generada en la identificación y análisis del objetivo para explorar en profundidad la existencia de vulnerabilidades. Estas técnicas permiten demostrar que la vulnerabilidad existe y qué ocurre cuando se explota. Por lo tanto, estas técnicas tienen un mayor impacto potencial en el sistema o red en la que se trabaja que las técnicas anteriores. Dentro de estas técnicas, NIST incluye descifrado de contraseñas y técnicas de ingeniería social como phishing y pruebas de penetración.

Pruebas de penetración: Mientras que los dos primeros se tratan de manera sucinta en la guía, las pruebas de penetración se detallan con mayor profundidad a nivel metodológico. Así, por un lado, establece las fases para el desarrollo y ejecución de este tipo de pruebas: 1. Planificación. Se establecen los protocolos de actuación, se fijan los objetivos y se crean las condiciones técnicas pertinentes para el éxito de la prueba. 2. Descubrimiento. En esta fase, las técnicas comentadas anteriormente son de gran ayuda. Ya que consiste en recopilar toda la información sobre el sistema o red de destino, para descubrir vulnerabilidades a partir de los datos recopilados. 3. Ejecución. Esta es la fase clave del proceso. Dentro de esta fase se ejecutan las siguientes acciones de ataque: ○ Ganando acceso. Incluye la explotación de vulnerabilidades para acceder a los sistemas. ○ Escalar privilegios. Se analizan tanto los privilegios de acceso obtenidos en sistemas comprometidos como las vías para obtener acceso privilegiado como administrador. ○ Movimientos laterales. Se inicia otro proceso de descubrimiento para identificar mecanismos y explotar vulnerabilidades para obtener acceso a sistemas adicionales en la infraestructura. ○ Instalación de herramientas adicionales. Incluye tareas posteriores a la explotación como herramientas para obtener información o mantener la persistencia.

Comunicación y reporte: Esta fase es transversal y se da en paralelo a las demás ya que es fundamental documentar todo el proceso, e informar sobre el avance de las pruebas durante la ejecución. Al final del proceso, se genera un informe que describe las vulnerabilidades identificadas, el procedimiento de explotación, así como el nivel de riesgo asociado y las medidas de mitigación y/o remediación propuestas. Las siguientes son las vulnerabilidades más comunes explotadas como parte de una prueba de penetración según la publicación NIST 800-115 : • Configuraciones incorrectas. • Defectos del núcleo. • Desbordamiento de búfer. • Validación de entrada insuficiente. • Enlaces simbólicos. • Ataques al descriptor de archivo • Condiciones de carrera • Permisos de archivo y directorio incorrectos.

Evaluacion de seguridad: La guía NIST dedica dos secciones a las evaluaciones de seguridad de la información. El primero se centra en la planificación y el segundo en la ejecución. Esta compleja actividad debe tener en cuenta las características de la organización, la cantidad de sistemas y sus especificaciones, y las técnicas a utilizar para realizar el análisis de ciberseguridad. Desde el punto de vista de la planificación, el documento establece como prioridad: • Desarrollar una política de evaluación de la seguridad. • Priorizar y programar las evaluaciones a realizar. • Seleccionar y personalizar técnicas de testing, ajustándolas a las características de la organización y los objetivos marcados. • Determinar los aspectos logísticos de la evaluación. • Desarrollar el plan de evaluación. • Tener en cuenta los aspectos legales. La ejecución de la evaluación de la seguridad se basa en cuatro fases, tal como se define en las directrices del NIST : • Coordinación • Evaluación • Análisis Gestión de datos: recogida, almacenamiento, transmisión y destrucción.

Christian Gómez

student•

Gestión de incidentes de ciberseguridad

Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente.

Estándar

Es una buena práctica es basarse en estándares reconocidos por la industria, el más usado es la “Guía de manejo de incidentes de seguridad informática” NIST 800-61r2 (revisión 2)

¿Cómo responder ante un incidente de seguridad?

Preparación: Estimamos las necesidades y establecemos procedimientos.
Detección y Análisis: Es identificar los signos inusuales que pueden generar dicho incidente.
Identificación: Identificamos qué tipo de incidente fue y ocurrió, que tan grave puede ser.
Notificación: Reportamos, notificamos y registramos el incidente.
Clasificación y priorización: Debemos determinar el tipo de incidente, clasificarlo y así saber qué tan grave es y qué tanto nos puede afectar.
Contención, resolución y recuperación: Detenemos el ataque y evitar que se propague. Resolvemos el incidente. Recuperamos los datos.
Acciones posteriores al cierre: Lecciones aprendidas. Identificamos las causas del incidente, por qué pasó y cómo podemos hacer, para qué no vuelva a pasar.

Juan Velandia

student•

Ahora hay una 3ra revisión del NIST 861: https://doi.org/10.6028/NIST.SP.800-61r3

Guillermo Alomia Monjaraz

student•

Jhon Sebastian Zuluaga Castañeda

student•

La gestión de incidentes de ciberseguridad es el proceso de identificar, responder, y resolver eventos que comprometen la seguridad de sistemas, redes o datos dentro de una organización. Estos incidentes pueden incluir ataques de malware, intentos de acceso no autorizado, violaciones de datos, o cualquier otra actividad que ponga en riesgo la seguridad de la información.

El proceso de gestión de incidentes suele seguir varios pasos clave:

Preparación: Consiste en establecer políticas, procedimientos, y herramientas para responder de manera efectiva a un incidente cuando ocurra. Esto incluye la formación del personal y la implementación de medidas preventivas.
Detección e identificación: En esta etapa, se detecta y se identifica un posible incidente mediante la monitorización continua de sistemas y redes.
Contención: Una vez identificado, el siguiente paso es contener el incidente para limitar su impacto. Esto puede involucrar la desconexión de sistemas afectados o la restricción del acceso.
Erradicación: Aquí se busca eliminar la causa del incidente, como eliminar el malware o corregir vulnerabilidades.
Recuperación: En esta fase, se restauran y verifican los sistemas afectados para asegurar que vuelvan a operar de manera segura.
Lecciones aprendidas: Después de resolver el incidente, se realiza un análisis detallado para entender qué ocurrió y cómo mejorar la respuesta futura, actualizando políticas y procedimientos si es necesario.

Una gestión efectiva de incidentes de ciberseguridad es crucial para minimizar el impacto de las amenazas y proteger los activos de la organización.

Alfonso Piedrasanta García

student•

https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

Juan Santana

student•

John Fredy Ramirez Bedoya

student•

Gestión de Incidentes de Ciberseguridad: La gestión de incidentes de seguridad es un proceso de identificar, administrar, registrar y analizar las amenazas o incidentes de seguridad ocurridos en una organización.

Los estándares mas usados es la Guía para el manejo de incidentes (NIST SP 800-61 R2).

Fases de la Guía para el manejo de incidentes (NIST SP 800-61 R2).

Preparación.
Detección y análisis.
Contención de incidentes.
Actividades Post-Incidente.

Enlace de consulta: https://ciberseguridad.uach.mx/empresas/gestion-de-incidentes-informaticos/