Qué es un incidente en el mundo de la ciberseguridad

Un incidente de seguridad informática es una violación o amenaza inminente de violación de las políticas de seguridad informática, políticas de uso aceptable o prácticas de seguridad estándar. Ejemplos de incidentes de ciberseguridad incluyen intentos de phishing, ataques por fuerza bruta contra un servicio que la empresa utiliza y la compromisión de un servidor.

Qué es un incidente en el mundo de la ciberseguridad - Seguridad | Imagen 1 Newsmatic

VER: Google Chrome: Consejos de seguridad y diseño de interfaz que debes conocer (Newsmatic Premium)

Índice de Contenido
  1. ¿Qué es un CSIRT? ¿Qué es un CERT?
  2. Los 6 pasos para un manejo exitoso de incidentes de seguridad
    1. Preparación
    2. Identificación
    3. Contención
    4. Erradicación
    5. Recuperación
    6. Lecciones aprendidas

¿Qué es un CSIRT? ¿Qué es un CERT?

La mayoría de los incidentes de ciberseguridad son fáciles y sencillos de describir, pero su solución suele ser compleja e involucra varias acciones en un corto período de tiempo por parte de profesionales de TI experimentados. Aquí es donde entran en juego los CSIRT/CERT.

Un CSIRT es un Equipo de Respuesta a Incidentes de Seguridad Informática y un CERT es un Equipo de Respuesta a Emergencias Informáticas. Básicamente, es lo mismo, pero el acrónimo CERT es una marca registrada de la Universidad Carnegie Mellon.

Los CSIRTs son entidades estructuradas que brindan diferentes servicios a sus clientes, como la empresa para la que trabajan o empresas externalizadas que podrían contratar sus servicios. Estos servicios varían ampliamente de un CSIRT a otro. Si bien el núcleo de un equipo CSIRT casi siempre es coordinar y llevar a cabo la respuesta operativa ante incidentes, algunos equipos también pueden brindar servicios educativos y preventivos.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Estos equipos también varían mucho en cuanto a su personal, desde CSIRTs pequeños compuestos por un par de personas, algunos incluso solo implicados a tiempo parcial, hasta estructuras con docenas de empleados con capacidad para hacer frente a incidentes las 24 horas, los 7 días de la semana.

Los 6 pasos para un manejo exitoso de incidentes de seguridad

Algunos incidentes requieren expertise especializado, como las infames APT (amenazas persistentes avanzadas) como operaciones de ciberespionaje. En esos casos, los responsables del incidente deben encontrar la compromisión inicial de la red, encontrar todo el malware y las herramientas instaladas por los atacantes (que pueden estar en una sola computadora de miles), encontrar otros elementos como nuevas cuentas de usuario creadas por el atacante en el Directorio Activo, determinar qué datos ha sido sustraídos de la empresa y mucho más.

Estos incidentes requieren verdadero conocimiento especializado de varias personas trabajando a tiempo completo durante días o semanas, de manera estructurada, para aprovechar al máximo el tiempo disponible.

Para ayudar a manejar este tipo de incidentes, el Instituto SANS, cuyo objetivo es capacitar a los profesionales de la ciberseguridad con las habilidades y el conocimiento práctico que necesitan, ha desarrollado una lista de pasos para un manejo adecuado de incidentes (Figura A). Veamos en detalle cómo ayudan estos pasos en la respuesta a incidentes.

Figura A

Qué es un incidente en el mundo de la ciberseguridad - Seguridad | Imagen 2 Newsmatic

Cómo proteger tu computadora de los virus: métodos y consejos

Preparación

El primer paso, conocido como preparación, es el único paso que se puede realizar sin que haya ocurrido ningún incidente; por lo tanto, es recomendable invertir mucho tiempo en ello antes de que ocurra algo grave en la empresa.

Consiste en preparar al CSIRT para poder lanzar una respuesta de incidente adecuada y sentirse cómodo trabajando en ella. Puede no ser tan fácil como parece, dependiendo de la infraestructura y el tamaño de la empresa.

Implica:

  • Definir políticas, reglas y prácticas para guiar los procesos de seguridad.
  • Desarrollar planes de respuesta a incidentes para cada tipo de incidente que pueda afectar a la empresa.
  • Tener un plan de comunicación preciso: las personas a contactar interna y externamente, cómo comunicarse con ellos, etc.
  • Tener las herramientas de respuesta a incidentes listas y actualizadas en todo momento. Esto también implica dedicar tiempo a probar nuevas herramientas, seleccionar nuevas y mantener conocimiento sobre su uso. Además, todas las herramientas deben estar disponibles y listas para los responsables del incidente en caso de que sea necesario trasladarse físicamente a otros lugares para manejar el incidente.
  • Realizar entrenamientos regulares sobre incidentes simulados para asegurarse de que todos los miembros del CSIRT y cualquier persona externa obligatoria sepan cómo reaccionar y manejar los casos.

Identificación

En esta fase, se descubre o se informa al CSIRT sobre un incidente. Aquí se realizan varias acciones, en particular:

  • Identificar el incidente con precisión y verificar cuidadosamente que realmente se trata de un incidente real y no de una detección falsa.
  • Definir el alcance del incidente y su investigación.
  • Configurar la monitorización.
  • Detectar incidentes mediante la correlación y el análisis de múltiples datos de los puntos finales (actividad de monitorización, registros de eventos, etc.) y en la red (análisis de archivos de registro, mensajes de error, etc.).
  • Asignar responsables del incidente.
  • Comenzar a documentar el caso.

Contención

El objetivo en esta etapa es limitar los daños actuales resultantes del incidente y prevenir cualquier daño adicional.

El primer paso generalmente consiste en evitar que el atacante siga comunicándose con la red comprometida. Esto se puede lograr mediante el aislamiento de segmentos de red o dispositivos afectados por el incidente.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

VER: Brecha de contraseñas: Por qué la cultura popular y las contraseñas no funcionan juntos (PDF gratuito) (Newsmatic)

El segundo paso es crear copias de seguridad y preservar evidencia del incidente para futuras investigaciones si el incidente tiene carácter criminal.

El último paso es aplicar soluciones a los sistemas y dispositivos afectados para permitir que vuelvan a estar en línea. Esto implica corregir vulnerabilidades, eliminar accesos fraudulentos y, al mismo tiempo, prepararse para la siguiente fase.

Dado que siempre existe la posibilidad de que se hayan establecido varias puertas traseras y que una o más no hayan sido descubiertas, es importante realizar estas acciones de manera oportuna y pasar rápidamente a la siguiente fase.

Erradicación

Ha llegado el momento de eliminar todos los artefactos encontrados del incidente y asegurarse de que no vuelvan a ocurrir.

Puede parecer suficiente con eliminar todo el malware y las puertas traseras descubiertas, cambiar todas las contraseñas de usuario, aplicar correcciones de seguridad y parchear todos los sistemas. Por supuesto, es la forma más cómoda y económica para que una empresa vuelva a una situación normal, pero no se recomienda. Dependiendo de cómo esté construida la red, qué archivos de registro tenga, qué archivos de registro podría faltarle, qué archivos de registro podrían haber sido manipulados por un atacante y qué tan sigiloso ha sido algún malware, es posible que un atacante pueda volver a un sistema restaurado de esta manera.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

La forma recomendada de erradicar todo lo malo del incidente es, de hecho, reinstalar completamente los sistemas afectados a partir de una imagen segura e implementar de inmediato las últimas correcciones de seguridad.

Recuperación

Es el momento de poner todos los sistemas de vuelta en producción, luego de verificar que todos están parcheados y fortificados en la medida de lo posible.

En algunos casos, puede significar reinstalar completamente el Directorio Activo y cambiar todas las contraseñas de los empleados, y hacer todo lo posible para evitar que ocurra el mismo incidente nuevamente.

Es necesario definir y comenzar aquí una monitorización cuidadosa durante un período de tiempo definido, para observar cualquier comportamiento anormal.

Lecciones aprendidas

Después de pasar varios días o semanas en un incidente, ciertamente se siente bien saber que se ha manejado adecuadamente y que la amenaza está definitivamente eliminada. Pero hay un último esfuerzo por hacer, y es uno de los más importantes: la fase de lecciones aprendidas.

Poco después de que se complete la recuperación y todo vuelva a la normalidad, todas las personas involucradas en el incidente deben reunirse y discutirlo. ¿Qué han aprendido? ¿Qué fue difícil? ¿Qué se podría hacer mejor la próxima vez que ocurra un incidente similar?

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Toda la documentación escrita durante el incidente debe completarse y responder tantas preguntas como sea posible sobre las preguntas qué-dónde-por qué-cómo-quién.

Cada incidente debe ser visto como una oportunidad para mejorar todo el proceso de manejo de incidentes en la empresa.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Qué es un incidente en el mundo de la ciberseguridad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.