Respuesta ante incidentes (Incident Response)

Aunque las defensas de ciberseguridad detienen muchos ataques, nunca hay una garantía del 100% de que se vayan a atrapar a todos los intrusos. Cuando un atacante explota una vulnerabilidad, la organización debe primero reconocer el suceso y luego utilizar un equipo de respuesta ante incidentes (Incident Response Team o IRP) para contenerlo y erradicarlo.

La respuesta ante incidentes (Incident Response) es un enfoque sistemático y planificado en el que se basan las organizaciones para identificar, gestionar y recuperarse de las ciberamenazas. Es la serie de acciones que una organización lleva a cabo cuando se enfrenta a una vulneración de la ciberseguridad. Al igual que ocurre con la prevención de datos y otras soluciones de protección contra amenazas, la respuesta ante incidentes es una piedra angular de cualquier programa de ciberseguridad empresarial, y su importancia no puede pasarse por alto.

Un plan de respuesta ante incidentes (Incident Response Plan o IRP) es una guía paso a paso que describe lo que debe hacer una organización tras una incidencia de ciberseguridad. El plan incluye la ejecución de cada paso, la definición de las personas implicadas en la respuesta y de los equipos responsables de la recuperación de datos, y la investigación de lo sucedido y de quién podría ser el responsable.

El objetivo principal de la respuesta ante incidentes es manejar las situaciones de forma que se limiten los daños y se reduzcan el tiempo y los costes de recuperación. Una respuesta eficaz a los incidentes también puede ayudar a prevenir futuras amenazas y mitigar los intentos de los actores de amenazas de utilizar alternativas de puerta trasera.

Las secuelas de una vulneración de datos pueden ser un momento estresante y ajetreado para todos los implicados. Un plan de respuesta ante incidentes y recuperación en caso de catástrofe que establezca todos los pasos necesarios evita errores costosos y garantiza que no se pase nada por alto. Pero no todas las empresas tienen un plan hasta que ya se ha producido una vulneración.

El SANS Institute describe seis pasos principales durante la respuesta a una incidencia y ofrece una visión general de lo que hay que hacer durante una respuesta. Los seis pasos siguientes deben incluirse en un plan de respuesta ante incidentes:

1. Preparación: Establecer y mantener un plan de respuesta ante incidentes, seleccionar y formar un equipo de respuesta ante incidentes, y adquirir y configurar las herramientas y recursos necesarios. Una preparación adecuada garantiza que la organización pueda responder con rapidez y eficacia cuando se produzca una incidencia.
2. Identificación: Saber que se ha producido una incidencia requiere una supervisión y un análisis adecuados. Posteriormente, identificar la incidencia implica investigar los registros, las pistas de auditoría, los errores, la información de autenticación y los informes del cortafuegos.
3. Contención: La rápida contención de un atacante es fundamental. Un buen equipo de respuesta ante incidentes impedirá que la amenaza persista. No es inusual que un atacante persistente tenga múltiples puertas traseras en caso de ser detectado. Una rápida detección de la amenaza conduce a una contención más eficaz, haciendo que sea menos probable que el atacante cree puertas traseras adicionales. La contención suele realizarse en dos fases:
   1. Contención a corto plazo: Acciones inmediatas para limitar rápidamente la propagación y el impacto, como aislar el segmento de red afectado.
   2. Contención a largo plazo: Soluciones más permanentes que garanticen que la amenaza no pueda expandirse o persistir.
4. Erradicación: La erradicación elimina por completo una amenaza del entorno. La contención y la erradicación rápidas reducen el grado de daño y de robo de datos. La erradicación es un procedimiento delicado que elimina la amenaza, pero evita comprometer el entorno de producción para preservar la productividad.
5. Recuperación: Una vez eliminada la amenaza, es posible que la organización necesite recuperar los datos y realizar cambios en el sistema para volver a un estado normal. La ejecución de este paso podría resultar prolongada para cambios significativos como la recuperación de datos tras su destrucción. Puede ser necesario realizar pruebas tras los incidentes de ciberseguridad para garantizar que el entorno de producción está libre de la vulnerabilidad.
6. Lecciones aprendidas: Si no se revisa lo que salió mal, es probable que se repitan los mismos errores. Las lecciones aprendidas reflejan las mejoras realizadas durante la respuesta a la incidencia y son necesarias para garantizar que el mismo ataque no tenga éxito.

Las organizaciones a menudo se apoyan en diversas herramientas y tecnologías para sustentar sus estrategias de respuesta ante incidentes, incluidos los sistemas de gestión de eventos e información de seguridad (SIEM), los sistemas de detección de intrusiones (IDS) y otras plataformas especializadas.

Una incidencia de ciberseguridad puede costar a las organizaciones millones por concepto de descubrimiento, contención y las secuelas legales de la pérdida de registros a manos de un atacante. Una gestión eficaz de los incidentes reduce tanto el tiempo que un atacante persiste en la red como el número de incidentes futuras. Numerosas empresas prominentes han gestionado mal la respuesta ante incidentes, y eso les ha costado indemnizaciones legales, multas y regulaciones gubernamentales adicionales.

Además de minimizar los daños, los costes y el tiempo de recuperación asociados a un ciberataque, la respuesta ante incidentes es vital para garantizar la continuidad del negocio tras una crisis de seguridad, como una vulneración de datos. Un plan de respuesta ante incidentes también proporciona un apoyo inestimable para el éxito de los litigios, documentación de auditoría y conocimientos históricos para alimentar el proceso de evaluación de riesgos. Con una respuesta adecuada a los incidentes en marcha, las organizaciones pueden mejorar su postura de seguridad mediante la identificación de áreas de mejora y el desarrollo de métodos de seguridad más fuertes para prevenir incidentes similares en el futuro.

Un plan de respuesta ante incidentes es un proceso documentado y sistemático que define cómo debe gestionar una organización una incidencia de ciberseguridad. Es un conjunto de instrucciones para ayudar a los equipos a detectar, responder y recuperarse de los incidentes de seguridad de la red. Un IRP es el “manual práctico” de una organización para escenarios de incidentes específicos y la documentación que especifica qué amenazas, exploits y situaciones califican como incidentes de seguridad procesables y qué hacer cuando ocurren.

Los componentes clave de un plan de respuesta ante incidentes comprenden:

• Crear un equipo de respuesta ante incidentes y determinar las funciones y responsabilidades para llevar a cabo las actividades de respuesta.
• Identificar y establecer las herramientas y recursos necesarios para detectar y responder a los incidentes.
• Reconocer los signos de una incidencia y distinguir entre una incidencia real y una falsa alarma.
• Esbozar medidas a corto y largo plazo para garantizar que la amenaza no reaparezca ni se extienda, al tiempo que se aborda la causa raíz.
• Documentar las acciones específicas necesarias en cada etapa del proceso de respuesta ante incidentes y registrar todos los datos relevantes de la incidencia para su posterior análisis.
• Enumerar los pasos para resolver los incidentes de seguridad, restablecer el funcionamiento normal de los sistemas, investigar la causa principal y comunicar el suceso a todas las partes implicadas.
• Modificar el plan de respuesta ante incidentes basándose en lo aprendido de la incidencia para hacer frente a futuras amenazas con mayor eficacia.

El plan de respuesta ante incidentes debe ser lo suficientemente sencillo como para que el equipo lo entienda y tome las medidas necesarias bajo la presión de un ciberataque real.

Un equipo de respuesta ante incidentes (Incident Response Team o IRT) es fundamental durante una vulneración de datos. El equipo puede reducir y contener los daños más rápidamente que el personal no familiarizado con la respuesta a amenazas. Cuanto más tiempo persista un atacante en una red, más compleja será la respuesta debido al aumento en los malwares y las puertas traseras (back door) dejadas por el atacante. El equipo está formado por profesionales de TI y expertos en seguridad familiarizados con el funcionamiento de los atacantes.

Como su nombre indica, un equipo de respuesta ante incidentes se encarga de limpiar y asegurar el entorno de la red tras un ataque exitoso. Un equipo de respuesta ante incidentes informáticas (CIRT, del inglés “Computer Incident Response Team”) puede estar formado por varias partes interesadas clave de la organización o subcontratarse a una agencia profesional. Suelen estar formados por personal informático, incluidos administradores de bases de datos, personal de operaciones y desarrolladores. A continuación, se enumeran varios miembros potenciales del equipo:

• Equipo gerencial clave: La gerencia es el único grupo de personas que puede tomar decisiones durante una respuesta. Pueden permitir el acceso a los recursos de la red o realizar cambios en el entorno de producción.
• Auditores de TI: Los auditores se aseguran de que se siguen los procedimientos previos a la incidencia, pero también ayudan a identificar qué salió mal y cómo detener un ataque en el futuro.
• Seguridad de la información: El personal de SI ayuda a identificar el exploit y si la vulnerabilidad existe. También pueden asesorar al personal informático sobre futuros protocolos y procedimientos de seguridad de la información.
• Abogados: Los abogados asesoran a la organización sobre la adopción de las medidas adecuadas para evitar responsabilidades legales.
• Recursos humanos: En caso de amenazas internas, el personal de recursos humanos asesora sobre la gestión de los problemas de los empleados.
• Relaciones públicas: Si la vulneración de datos requiere un anuncio a los clientes, un equipo de relaciones públicas creará la comunicación necesaria para informar al público en general sobre la incidencia.
• Auditor financiero: Un auditor financiero evaluará y determinará las consecuencias monetarias para las organizaciones.

La respuesta ante incidentes también implica el aprovechamiento de tecnologías específicas para detectar incidentes. Estas son algunas de las tecnologías de respuesta ante incidentes más utilizadas:

• Gestión de eventos e información de seguridad (SIEM): Estas tecnologías ayudan a detectar amenazas potenciales y proporcionan inteligencia procesable para ayudar en la respuesta ante incidentes.
• Organización, automatización y respuesta de seguridad (SOAR): Las herramientas SOAR automatizan los flujos de trabajo de respuesta ante incidentes, como la recopilación y correlación de datos de seguridad, la detección de incidentes en tiempo real y la respuesta a ataques en curso.
• Sistemas de detección de intrusiones (IDS): Los IDS supervisan el tráfico de la red o las actividades del sistema en busca de acciones malintencionadas o vulneraciones de las políticas. Pueden estar basados en la red para supervisar el tráfico o en el host para supervisar las actividades individuales del sistema.
• Detección y respuesta de puntos de contacto (EDR): Las soluciones de EDR supervisan los puntos de contacto en busca de actividades sospechosas y proporcionan alertas en tiempo real para ayudar a la respuesta ante incidentes.
• Análisis del tráfico de red (NTA): Las herramientas de NTA supervisan el tráfico de red en busca de actividades sospechosas y proporcionan alertas en tiempo real para ayudar en la respuesta ante incidentes.
• Tecnología de engaño: Consiste en desplegar señuelos, como honeypots, dentro de la red. Estos señuelos imitan activos reales para atrapar y estudiar a los atacantes, proporcionando información sobre sus técnicas y herramientas sin arriesgar los activos genuinos.
• Escáneres de vulnerabilidad: Los escáneres de vulnerabilidad ayudan a identificar vulnerabilidades en los sistemas y aplicaciones de una organización, lo que ayuda a la respuesta ante incidentes al identificar posibles vectores de ataque.
• Herramientas forenses: Las tecnologías forenses ayudan a los equipos de respuesta ante incidentes a investigar los incidentes, analizando los registros del sistema, los volcados de memoria y otros datos para identificar la causa raíz de la incidencia.

Estas tecnologías se utilizan con procesos y marcos de respuesta ante incidentes para detectar y responder a las ciberamenazas y los incidentes de seguridad.

Los incidentes de seguridad abarcan una amplia gama de actividades malintencionadas que pueden comprometer la integridad, confidencialidad o disponibilidad de la información de una organización. Reconocer los tipos de incidentes es crucial para formular una respuesta adecuada. He aquí los tipos más comunes de incidentes de seguridad y una breve descripción de cada uno:

• Infecciones por malware: Esto incluye virus, troyanos, gusanos, ransomware y spyware. Estas variantes de software malintencionado se infiltran, dañan o explotan sistemas y datos, a veces manteniendo la información como rehén hasta que se paga un rescate.
• Ataques de phishing: Los ciberatacantes utilizan correos electrónicos, mensajes o sitios web engañosos que suplantan la identidad de entidades legítimas para engañar a las personas con el fin de que revelen información confidencial, como credenciales de inicio de sesión o datos financieros.
• Ataques de denegación de servicio distribuido (DDoS): Los atacantes inundan un sistema, servidor o recurso de red con tráfico, abrumándolo para que no esté disponible para los usuarios. Los ataques DDoS implican múltiples sistemas comprometidos que tienen como objetivo un único sistema.
• Acceso no autorizado: Cuando alguien obtiene acceso no autorizado a un sistema, red o datos, a menudo explotando vulnerabilidades o utilizando credenciales robadas.
• Amenazas internas: Acciones malintencionadas realizadas por individuos dentro de la organización, como empleados, contratistas o socios comerciales. Estos individuos disponen de información privilegiada sobre las prácticas de seguridad, los datos y los sistemas informáticos de la organización.
• Vulneraciones de datos: Incidentes en las que individuos no autorizados copian, transmiten, ven, roban o utilizan datos delicados, protegidos o confidenciales. Esto puede incluir datos personales, propiedad intelectual o información financiera.
• Errores de configuración: Errores involuntarios en la configuración de los ajustes de seguridad, bases de datos, servicios en la nube o dispositivos de red, que pueden exponer información delicada o crear vulnerabilidades que los atacantes pueden explotar.
• Robo físico o pérdida: Esto implica el robo físico de dispositivos como ordenadores portátiles, teléfonos inteligentes o soportes de almacenamiento que contengan datos delicados. También incluye situaciones en las que dichos dispositivos se pierden y posiblemente son encontrados por individuos con intenciones malintencionadas.
• Escalada de privilegios: Incidentes en los que los atacantes obtienen un acceso elevado a recursos que normalmente están restringidos, lo que les permite controlar sistemas o datos a los que no deberían acceder.
• Ingeniería social: Tácticas de manipulación utilizadas por los atacantes para engañar y convencer a los individuos de que divulguen información confidencial o realicen acciones que comprometan la seguridad.
• Ataques Man-in-the-Middle (MitM): Los atacantes interceptan y retransmiten en secreto la comunicación entre dos partes. Pueden escuchar a escondidas o manipular los datos para engañar a las partes implicadas.

Identificar el tipo de incidencia es el primer paso en el proceso de respuesta ante incidentes. Cada tipo de incidencia puede requerir un enfoque distinto, pero comprender la naturaleza de la amenaza ayuda a los equipos a elaborar las contramedidas más eficaces.

Lo ideal sería que una organización nunca tuviera que enfrentarse a una incidencia de ciberseguridad. Aunque ninguna ciberdefensa es 100% segura, una organización puede tomar las precauciones necesarias para evitar convertirse en una víctima. Todos los administradores entienden lo básico: Un cortafuegos protege del tráfico exterior, la gestión de identidades y los controles de acceso evitan las amenazas y los accesos no autorizados, y la seguridad física salvaguarda los activos. Lo que algunos administradores no implementan es la supervisión y la detección de intrusiones.

La monitorización de la red, la monitorización de la seguridad en la nube y la detección de intrusiones alertan a los administradores de un posible ataque. Por lo general, la alerta pasa a un analista para que la revise más a fondo a fin de evitar falsos positivos. Demasiados falsos positivos conducen al agotamiento mental del analista, lo que significa que las numerosas alertas de falsos positivos podrían restar importancia a una posible amenaza real. La monitorización debe ser lo más precisa posible para que los analistas puedan ocuparse de una brecha lo antes posible.

Las herramientas de detección de intrusiones son un componente de la supervisión. Las herramientas de supervisión registran los incidentes, y la detección de intrusiones con inteligencia artificial determina si se está produciendo un ataque. Si la intrusión es persistente, un atacante podría acceder a la red durante meses. A veces, los atacantes exfiltran datos lentamente para evitar ser detectados, por lo que es importante mantener la supervisión de los datos delicados basándose en las solicitudes de acceso de referencia y en cualquier intento de autorización inusual.

Incluso cuando están armadas con las herramientas de prevención adecuadas, las organizaciones deben revisar anualmente un plan de respuesta ante incidentes para asegurarse de que contiene documentación e información precisas. Un plan de respuesta ante incidentes es fundamental para el éxito de la empresa, y puede ahorrar millones por concepto de honorarios legales, indemnizaciones a clientes y pérdida de datos.

Como punto central de las soluciones de respuesta ante incidentes, Threat Response de Proofpoint es una plataforma de organización, automatización y respuesta de seguridad (SOAR) que ayuda a las organizaciones a responder más rápida y eficazmente al dinámico panorama de las amenazas. Threat Response recopila alertas de diversas fuentes y las enriquece y agrupa automáticamente en incidentes en cuestión de segundos.

La plataforma rodea las alertas de seguridad con datos contextuales enriquecidos para ayudar a los equipos de seguridad a comprender el “quién, qué y dónde” de los ataques, priorizar y clasificar rápidamente los eventos entrantes y automatizar los flujos de trabajo y las acciones de respuesta, como las acciones de cuarentena y contención en toda la infraestructura de seguridad. Threat Response también proporciona recopilación de datos forenses y verificación de IOC, ayudando a los analistas a tomar acciones de respuesta con sólo pulsar un botón, identificando áreas para investigaciones adicionales o activando la respuesta automatizada.

Las organizaciones confían en Threat Response para salvar la brecha entre la detección de amenazas y la respuesta rápida, proporcionando datos contextuales profundos para cada incidencia, así como el apoyo a una variedad de opciones de aplicación de la red. Es un activo vital que ayuda a los equipos de respuesta ante incidentes a detectar y responder a las ciberamenazas y a los incidentes de seguridad con mayor rapidez y a reducir la pérdida de ingresos, las multas por infracciones a la regulación y otros costes asociados a estas amenazas. Obtenga más información sobre Threat Response o póngase en contacto con Proofpoint.