;preserveAspectRatio(xMidYMid)))
Al responder a un incidente, el tiempo es crucial. Debe tomar las decisiones correctas, en función de los datos correctos, con los responsables de la toma de decisiones correctos, todo en el orden correcto. Tener un proceso bien definido y eficiente es crucial. Automatizar la mayor parte posible de ese proceso reduce el tiempo y mejora la eficacia de los analistas.
Una respuesta a incidentes (IR) bien definida requiere planificación, habilidades, coordinación y automatización para garantizar una respuesta oportuna y precisa. NIST (el enlace reside fuera de ibm.com) y SANS (el enlace reside fuera de ibm.com) tienen directrices IR que han superado las pruebas de tiempo. NIST describe un proceso IR bien definido que tiene estas fases:
- Preparación
- Detección y análisis
- Contención, erradicación y recuperación
- Actividad posterior al incidente
Las guías de estrategias de IBM® Security QRadar SOAR proporcionan la capacidad de definir un proceso de IR basado en una jerarquía simple de fases, tareas y acciones. Cuando se crea un caso en SOAR de QRadar, una guía de estrategias define las fases, las tareas y las acciones necesarias para responder.
QRadar SOAR Playbook Designer facilita la creación de un proceso estándar de respuesta a incidentes o un conjunto de tareas. Las tareas del Playbook o guía de estrategias proporcionan a los analistas orientación sobre cómo completar cada tarea y el orden para realizarlas. Los puntos de decisión permiten que el proceso sea dinámico y se ramifique para incluir tareas adicionales u omitir tareas innecesarias. Durante un incidente, un analista puede agregar manualmente tareas adicionales.
El módulo Qradar SOAR Breach Response proporciona a los analistas tareas específicas para cada infracción, que cubren más de 180 normativas globales sobre privacidad, para ayudarle a cumplir los requisitos de elaboración de informes y evitar cuantiosas multas.
Las tareas definen acciones, y las acciones pueden ejecutarse de forma automatizada -mediante integraciones- con otras herramientas para acelerar el proceso de respuesta. QRadar SOAR puede integrarse con más de 300 soluciones de seguridad. Puede empezar simplemente definiendo el conjunto de tareas y el orden de ejecución de las mismas, y después automatizar primero las acciones que se ejecutan con más frecuencia.
La detección y la búsqueda automatizadas de amenazas proporcionan alertas que un analista debe revisar. El envío de esas alertas a QRadar SOAR crea un caso e inicia el proceso de respuesta a incidentes (IR).
Las tareas ayudan al equipo de seguridad a analizar el sistema infectado y analizar el tráfico de red para el movimiento lateral.
Los manuales ayudan a crear el conjunto correcto de tareas, que pueden variar según el tipo de incidente o la fuente. QRadar SOAR le permite crear guías de estrategias das para diferentes tipos de ataques; las guías de estrategias contienen lógica para activar diferentes tareas en función de los atributos del ataque.
Cuanto antes se cree un caso SOAR, más podrá ayudar la automatización a ahorrar tiempo. Las tareas pueden guiar a los nuevos analistas y crear documentación de casos. La función de archivado puede ayudar a limpiar casos antiguos o falsos positivos, manteniendo el sistema limpio, pero permitiendo un registro permanente que siempre puede recuperar.
En esta fase, un analista necesita investigar y determinar si la alerta es real. La guía de tareas puede utilizar acciones para recopilar automáticamente los detalles de varias herramientas conectadas y recopilar toda la información relevante. La información se agrega a las tablas de datos de casos y esto inicia el proceso de documentación del incidente.
El enriquecimiento puede ser tan simple como ir a un directorio LDAP para agregar el propietario del ordenador portátil al caso o recopilar todos los detalles pertinentes de la fuente de alertas (por ejemplo, SIEM, EDR (detección y respuesta de endpoints), nube y más). Al automatizar el enriquecimiento con acciones de la guía de estrategias, los analistas pueden centrarse en revisar y confirmar el incidente o marcarlo como falso positivo.
Si se perdió algún dato, completar el cuestionario de respuesta a la infracción con la cantidad de personas afectadas y sus ubicaciones geográficas puede ayudar a determinar las regulaciones aplicables y los tiempos de respuesta y las tareas de presentación de informes asociados.
El tiempo es esencial durante un ataque y la automatización de acciones ahorra tiempo y reduce la curva de aprendizaje de los nuevos analistas. Con más de 300 integraciones y soporte para estándares abiertos, la automatización de las acciones de contención es la primera prioridad. Una vez que un analista confirma el incidente, las acciones pueden ejecutarse automáticamente o manualmente por un analista. Las acciones en esta fase pueden desconectar un sistema o impedir que se ejecute un proceso. Las integraciones con herramientas EDR (detección y respuesta de endpoints), como QRadar EDR o Cybereason, también pueden desconectar el ordenador portátil de un empleado.
En el caso de sistemas de TI, como el de nóminas o el de recursos humanos, las automatizaciones pueden buscar a los propietarios de los sistemas informáticos y empresariales en una herramienta de gestión de activos como ServiceNow o SAP. Las automatizaciones pueden enviar un correo electrónico a los propietarios para decirles que el sistema está infectado y agregar los propietarios a la tabla de datos de casos con comentarios que los propietarios recibieron mediante correo electrónico o Slack.
Las guías de estrategias pueden ser dinámicas, por lo que, en el caso de un objetivo de alto valor, como un ordenador portátil ejecutivo, el tiempo puede ser crucial y las guías de estrategias pueden ejecutar acciones de contención mientras el analista continúa realizando tareas durante la fase de Enriquecimiento y Validación. Una vez confirmados los detalles del ataque, las acciones pueden automatizar las actualizaciones de una lista de bloqueo de firewall mediante una integración EDR (detección y respuesta de endpoints), lo que ayuda a prevenir el movimiento lateral o la reentrada, ahorrando tiempo a los analistas.
Durante esta fase, los equipos de seguridad pueden facilitar las acciones de recuperación restantes y comunicar la resolución de incidentes a todo el equipo. Los analistas pueden automatizar las acciones para crear y realizar un seguimiento de las solicitudes de TI para volver a crear imágenes de las máquinas o realizar restauraciones a partir de copias de seguridad.
Las integraciones bidireccionales con herramientas como ServiceNow permiten a los analistas crear un ticket a partir de QRadar SOAR y supervisar el progreso. ServiceNow puede actualizar el caso cuando se completa el ticket de ServiceNow. También puede automatizar acciones que soliciten su solución EDR (detección y respuesta de endpoints), como QRadar EDR, Carbon Black o SentinelOne, para volver a conectar el sistema.
Lecciones aprendidas
Los informes resumen la documentación de cada respuesta y acción adoptada. Un informe del incidente resumirá la revisión para garantizar que toda la documentación adecuada forme parte del caso. En caso de vulneración de datos, la revisión de la normativa aplicable ayuda a las organizaciones a cumplir los plazos de notificación asociados.
Los analistas revisan las fases y documentan cualquier problema que deba actualizarse para mejorar la respuesta a incidentes en el futuro. Aquí es cuando un analista documentaría y recomendaría mejoras, como cambiar la frecuencia de las copias de seguridad o revisar las tareas manuales agregadas al caso que deberían agregarse a la guía de estrategias para incidentes futuros.
Los informes ayudan a comprender dónde se puede mejorar el proceso de respuesta a incidentes. Los equipos de seguridad pueden utilizar la plataforma SOAR de QRadar para "Generar informe de incidentes". Desde aquí, los analistas pueden generar un informe sobre un solo incidente o en varios. Pueden usar una plantilla estándar para dar formato al informe o personalizarlo para satisfacer necesidades específicas.
"Con IBM, ahora tenemos una visión precisa del mundo las 24 horas del día en tiempo real. Podemos ver cada endpoint, cada sistema. Y eso hizo que nuestra colaboración entre equipos fuera mucho más eficiente", dice Robert Oh, director de operaciones, DDI.
"Para que un SOC sea efectivo, la capacidad de priorizar nuestra respuesta a los riesgos de seguridad más urgentes es casi tan importante como la detección. La solución QRadar... ha hecho que nuestro equipo sea mucho más eficaz a la hora de abordar el panorama de amenazas, " afirma Umair Shakil, jefe de la unidad del centro de operaciones de seguridad de Askari Bank.
"Nuestros servicios de ciberseguridad Netox Trust brindan visibilidad de las incógnitas [de los clientes] y nuestras guías de estrategias les ayudan a responder cuando ocurre un ataque", dice Marita Harju, gerente sénior de seguridad cibernética de Netox Oy.