Una brecha de seguridad puede paralizar la funcionalidad operativa, causar fugas de datos, dañar la reputación de una empresa y causar complicaciones regulatorias. Y para las amenazas que superan las defensas, las organizaciones necesitan las herramientas y los conocimientos para responder de forma rápida y eficaz. Desafortunadamente, la mayoría de las organizaciones se basan en procesos ad hoc para investigar incluso los incidentes cibernéticos más sencillos, como los ataques de phishing a los empleados. Solo el 26 % de las organizaciones tienen un plan de respuesta a incidentes en toda la empresa, según el cuarto informe anual "La organización ciberresiliente, "resumido por"Estudio de ciberresiliencia: los planes de respuesta a incidentes y la automatización de la seguridad distinguen a los de alto rendimiento" (el enlace reside fuera de ibm.com). Y debido a la brecha de habilidades, las organizaciones con las herramientas y la tecnología adecuadas podrían tener dificultades para encontrar suficientes recursos para gestionar la avalancha de incidentes de manera eficiente.
A medida que las organizaciones agregan datos integrados y fuentes de inteligencia de amenazas a sus esfuerzos de respuesta a incidentes, las oportunidades para orquestar las respuestas de una manera sofisticada crecen, comenzando con la automatización de tareas repetitivas y de bajo nivel. Se destacan tres desafíos impulsores: volumen de incidentes, trabajos sin completar y complejidad de la herramienta.
Volumen de incidentes
El volumen de incidentes de ciberseguridad está aumentando. Los profesionales de la ciberseguridad dicen que el volumen de alertas de seguridad ha aumentado en los últimos dos años. Y anteriormente, dijeron que su organización ignora una cantidad significativa de alertas de seguridad porque no pueden mantenerse al día con el volumen.¹
Brecha de habilidades
Los equipos de seguridad están luchando por cubrir los puestos vacantes. 500.000 puestos de trabajo de ciberseguridad permanecen sin cubrir en la industria a partir de 2020.²
Complejidad de la herramienta
Los equipos gestionan un entorno de seguridad complejo con una cantidad vertiginosa de herramientas desconectadas. Según ESG, el 35% de las organizaciones utilizan 26 o más tecnologías dispares de hasta 13 proveedores para operaciones y análisis de seguridad (ESG Global, SOAPA: Unifying SIEM y SOAR con IBM Security QRadar e IBM Security Resilient).
Las organizaciones pueden hacer frente a sus desafíos de tres maneras clave:
- Crear procesos de respuesta a incidentes que sean consistentes, repetibles y medibles, en lugar de ad hoc.
- Hacer de la comunicación, la coordinación y la colaboración una prioridad para toda la organización.
- Utilizar tecnología que ayude al equipo de respuesta a realizar su trabajo de forma más rápida y precisa.
Un incidente de seguridad ocurre cuando una entidad intenta obtener acceso no autorizado a la infraestructura de datos o la política de seguridad de una organización, poniendo en riesgo la información confidencial. Dentro o fuera, los atacantes constituyen la principal fuente de intentos. Los atacantes son una amenaza para las organizaciones porque pueden atacar cualquier vulnerabilidad en la infraestructura utilizando diversas técnicas en cualquier momento.
Cuatro incidentes de seguridad comunes son ataques distribuidos de denegación de servicio (DDoS), malware, ransomware, phishing y amenazas internas.
Un ataque DDoS es el intento de un atacante de congestionar el tráfico a una aplicación de destino o una aplicación de Internet, bombardeándolos con un gran volumen de solicitudes.
El malware móvil es un software no detectado creado para dañar, interrumpir u obtener acceso ilegítimo a un cliente, computadora, servidor o red informática. El ransomware, una forma de malware, amenaza con destruir o retener los datos o archivos de una víctima a menos que se pague un rescate para desencriptar y restaurar el acceso.
El phishing es un intento fraudulento, generalmente por correo electrónico, de obtener información confidencial mientras se hace pasar por una entidad o persona acreditada. Aprovecha las emociones humanas para crear una sensación de urgencia y provocar una reacción. Dado que el phishing es omnipresente en los entornos de trabajo, es una amenaza constante, y se ubica como el principal vector de infección en el IBM X-Force Threat Intelligence Index 2020.
Las amenazas internas provienen de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de ellos de forma deliberada o accidental. Las personas internas generalmente saben dónde se encuentran los datos confidenciales de una organización y, a menudo, tienen altos niveles de acceso, independientemente de si tienen intenciones maliciosas o no.
¿Cómo se reconocen exactamente los intentos como amenazas potenciales y, por lo tanto, se consideran incidentes de seguridad?
La única forma de estar al tanto de los incidentes de seguridad es a través de una recopilación exhaustiva de datos de registro. La recopilación de registros centralizados y la detección de eventos de seguridad de cualquier organización deben incluir, entre otros, esta lista de fuentes de registros:
Recopilación de datos internos
- Firewalls
- Routers y conmutadores
- Sistemas de prevención de intrusiones (IPS)
- Sistemas de flujo de red
- Filtros web
- Sistemas de prevención de pérdida de datos (DLP)
- Servidores de correo electrónico y filtros de spam
- Servidores, sistemas de gestión de bases de datos y aplicaciones
- Puntos finales
- Sistemas de seguridad física
- Sistemas de control ambiental
- Proxies
- Puntos de acceso inalámbricos
- Exploraciones de vulnerabilidades
Recopilación de datos externos
- Avisos de seguridad del proveedor: los fabricantes maduros de productos de hardware y software publican sus avisos de seguridad para advertir a sus clientes sobre amenazas y soluciones, generalmente en forma de parches, pero a veces en otras formas de reparación.
- Avisos de seguridad de código abierto: organizaciones como MITRE y Secunia publican información sobre amenazas. A veces, estos avisos se publican antes que los avisos de los fabricantes.
- Aplicación de la ley y medios de comunicación: las organizaciones de aplicación de la ley más grandes, como el Departamento de Seguridad Nacional de los EE. UU. y la Oficina Federal de Investigaciones, publican avisos para el público o las partes de confianza.
- Soluciones comerciales: fuentes de alimentación de inteligencia de amenazas, que incluyen IBM X‐Force Exchange, están disponibles en forma de avisos y feeds electrónicos.
La prevención, detección y respuesta implica mucho más que almacenar gigabytes o petabytes de datos de registro. Debe analizarse en tiempo real, de modo que las amenazas reales se puedan identificar de inmediato, lo que permite al personal responder y detener la amenaza.
Un medio eficaz para detectar amenazas es observar sistemas y redes en busca de anomalías. La observación a largo plazo del comportamiento del sistema y el tráfico de la red crea una línea de base de actividad para un programa de detección de amenazas. Siempre que aparece algo en el sistema o la red que no se ha visto antes, la aplicación de detección de amenazas genera una alerta para que el personal pueda tomar medidas e investigar.
Las anomalías se pueden descubrir mediante reglas automáticas y criterios de búsqueda específicos, pero el punto es identificar cambios significativos en la forma en que actúan las personas. Las reglas o criterios también pueden identificar la cantidad de conexiones de red que ocurren para las aplicaciones, la cantidad de datos que se transfieren entre direcciones IP locales y externas o inicios de sesión extraños durante horas inusuales. Todas estas condiciones merecen una investigación.
Uniéndolo todo con SIEM y SOAR
Un sistema de gestión de eventos e información de seguridad (SIEM) es el núcleo de todo entorno de gestión de amenazas. Al ingerir gigabytes o terabytes de datos de registro cada día, un SIEM recopila datos de registro de todo tipo de sistema y dispositivo. Ayuda a un equipo de analistas de seguridad a detectar anomalías y tendencias que pueden ser indicadores tempranos de reconocimiento de ataques, intento o explotación exitosa de vulnerabilidades, comando y control o exfiltración de datos. Luego, realiza análisis y correlación en tiempo real para alertar rápidamente al personal de actividades no deseadas que ocurren en el entorno y que requieren atención prioritaria. Cuando se determinan los incidentes de seguridad, un SIEM eleva las alertas a una herramienta de orquestación, automatización y respuesta de seguridad (SOAR) para que el equipo de respuesta a incidentes las investigue y las repare.
La automatización es un método útil de transmisión de tareas serviles y repetitivas para permitir que su equipo trabaje más rápido y priorice las alertas de mayor valor. Cuando se utiliza en una estrategia de orquestación de respuesta a incidentes más amplia, la automatización puede capacitar a un equipo de seguridad para que sea más eficiente, permitiéndoles tomar decisiones estratégicas.
Por ejemplo, en un estallido de malware, una muestra sospechosa detectada en un punto final puede tomarse automáticamente y enviarse a un agente de punto final o una plataforma de detección de amenazas de próxima generación para observar y clasificar. Según el resultado de ese análisis, se pueden poner en cola otros procesos automáticos y manuales:
- Identificar otros hosts infectados en la red y solicitar permiso para ponerlos en cuarentena
- Identificar una vulnerabilidad asociada con esa infección de malware
- Programar parches de emergencia para sistemas vulnerables o enviar las notificaciones necesarias al personal interno o a los monitores externos.
Y, en cada etapa, las solicitudes, respuestas y acciones se pueden documentar para referencia futura. Sin embargo, es importante tener en cuenta que, si bien la automatización basada en tecnología puede ahorrar tiempo, es tan fuerte como una función de respuesta a incidentes general como parte de una estrategia de respuesta a incidentes orquestada.
- ¿Se ha asegurado de que su equipo de respuesta a incidentes y las partes interesadas coordinen bien y estén adecuadamente capacitados?
- ¿Tienen las habilidades necesarias para abordar todos los aspectos del ciclo de vida de un incidente?
- ¿Tienen un medio para la colaboración y el análisis?
- ¿Cuenta con IRP bien definidos, repetibles y consistentes?
- ¿Son fáciles de actualizar y perfeccionar?
- ¿Los está probando y midiendo regularmente?
- ¿Su tecnología proporciona información valiosa e inteligencia de manera dirigida?
- ¿Le permite a su equipo tomar decisiones inteligentes y actuar rápidamente sobre esas decisiones?
¿Cómo responden las organizaciones cuando se producen incidentes o amenazas cibernéticas graves? Aunque la respuesta a incidentes de seguridad es un proceso bien conocido, muchas organizaciones no están preparadas incluso para incidentes menores. Como parte de la orquestación de respuesta a incidentes, necesitan un plan de respuesta a incidentes (IRP) eficaz.
Estos son algunos pasos estándar del plan de respuesta a incidentes que siguen las organizaciones:
Paso 1: Detección temprana
Se produce un incidente de seguridad y el sistema lo detecta. La plataforma SIEM activa una alerta y la eleva al equipo de respuesta a incidentes.
Paso 2: Análisis
Los analistas responden a los indicadores de compromiso del estudio de amenazas asociados con el incidente para determinar la legitimidad. A menudo también estudian los precursores para ver si están relacionados. Para construir una imagen completa del incidente sospechoso, los analistas pueden realizar más pruebas, clasificar las amenazas y filtrar los falsos positivos.
Paso 3: Priorización
Los analistas buscan comprender el efecto del incidente en la capacidad de la organización para continuar procesando información crítica y su efecto en la integridad y confidencialidad de los datos. Dar prioridad a un incidente ayuda a los equipos a comprender cómo administrar los recursos en los pasos posteriores.
Paso 4: Notificación
Primero, quienes responde a incidentes notifican al personal apropiado dentro de la organización. Si es necesario, la organización notifica a las partes externas, como clientes, socios comerciales, reguladores, autoridades policiales o el público en general. Por lo general, la decisión de informar a cualquier parte externa recae en un alto ejecutivo.
Paso 5: Contención y análisis forense
Quienes responden a incidentes toman medidas para detener el incidente y evitar que se repita. Además, recopilan evidencia forense para una mayor investigación y posibles procedimientos legales futuros si es necesario.
Paso 6: Recuperación
Quienes responden a incidentes eliminan el malware (erradicación) de los sistemas afectados, reconstruyen los sistemas, se recuperan de las copias de seguridad, reparan los sistemas y toman medidas para volver a las operaciones normales y evitar que incidentes similares se repitan.
Paso 7: Revisión de incidentes
Para evitar que el incidente se repita y mejorar una respuesta futura, el personal de seguridad revisa los pasos que conducen a la detección y respuesta del incidente reciente e identifica su causa raíz. Identifican aspectos que salieron bien y buscan oportunidades para mejorar sistemas, herramientas, procesos y capacitación del personal, incluidas recomendaciones de resolución y mitigación
La orquestación de la respuesta a incidentes requiere tres bloques fundamentales: personas capacitadas, procesos comprobados y tecnologías integradas. La orquestación alinea a las personas, los procesos y la tecnología adecuados para que los analistas de respuesta a incidentes comprendan quién es responsable de qué tareas, cuándo deben realizarse y cómo hacerlo. Las personas, en la forma de un equipo de respuesta a incidentes de seguridad informática (CSIRT), pueden incluir personal de recursos humanos, legal y de relaciones públicas.
La orquestación empodera a los analistas de seguridad al poner los procesos y herramientas tecnológicos de respuesta a incidentes al alcance de la mano. Pueden acceder a información importante sobre incidentes en un instante, tomar decisiones precisas y tomar medidas decisivas. Y la automatización de la tecnología aumenta la productividad de los analistas de seguridad y otras herramientas, aliviando la brecha de habilidades y el volumen de alertas.
A continuación, se muestran seis principios para la creación de una función sólida de respuesta a incidentes para la orquestación. Nota: La orquestación se aplica de manera diferente a cada organización específica. Debe mapear su panorama de amenazas único, evaluaciones de riesgos de seguridad y TI, y prioridades de la empresa.
Comprender las amenazas
Las encuestas indican que la planificación y preparación insuficientes sigue siendo la barrera más grande para la resiliencia cibernética en la actualidad. Tal vez no sea sorprendente entonces que la mayoría de las organizaciones no cuenten con un IRP adecuado. El plan debe estar estandarizado, documentado y repetible. Consulte la sección: Cómo funciona un plan básico de respuesta a incidentes.
Construir un IRP
Los analistas responden a los indicadores de compromiso del estudio de amenazas asociados con el incidente para determinar la legitimidad. A menudo también estudian los precursores para ver si están relacionados. Para construir una imagen completa del incidente sospechoso, los analistas pueden realizar más pruebas, clasificar las amenazas y filtrar los falsos positivos.
Probar y mejorar procesos
Los adversarios cibernéticos se esfuerzan continuamente por obtener nuevas ventajas, y los equipos de ciberseguridad deben hacer que mantenerse a la vanguardia sea una prioridad. Por lo tanto, los equipos deben probar y mejorar de manera proactiva los procesos de respuesta a incidentes para cumplir y superar las necesidades de seguridad de una organización.
Agregue inteligencia de amenazas
Los ciberdelincuentes trabajan juntos, colaboran y comparten información a través de la dark web. Los profesionales de la seguridad también deberían trabajar juntos. Utilice y contribuya a fuentes externas como avisos de seguridad de proveedores y de código abierto, aplicación de la ley y medios de comunicación, y soluciones comerciales.
Agilice la investigación y respuesta a incidentes
Con los procesos ad hoc, los incidentes cibernéticos pueden pasar desapercibidos durante semanas o meses, lo que permite que los actores malintencionados establezcan una cabeza de playa en las redes comprometidas que pueden ser difíciles de eliminar. Entonces, las organizaciones deberían automatizarse. Para comenzar con la automatización, agilice las tareas ineficientes, menores y que consumen mucho tiempo y que ocupan una cantidad excesiva de tiempo de los analistas y pueden automatizarse de manera segura y confiable.
Orquestación
La orquestación respalda y optimiza los elementos de ciberseguridad centrados en las personas. Crea un contexto para una mejor toma de decisiones y empodera a los analistas, ya que son fundamentales para las operaciones de seguridad. Permite al equipo de respuesta a incidentes al garantizar que los humanos en el circuito sepan exactamente qué hacer cuando ocurre un incidente de seguridad y tienen los procesos y herramientas que necesitan para actuar de manera rápida, efectiva y correcta.
Casi las tres cuartas partes de las organizaciones no tienen un plan de respuesta de incidentes de ciberseguridad (RI) consistente en toda la empresa. ¹Sin embargo, las organizaciones con equipos de IR y pruebas tuvieron un costo promedio de brechas de datos USD 2,46 millones más bajo que aquellas sin equipo de IR y sin pruebas de plan de IR. Orqueste su respuesta de incidentes para unificar la organización en caso de un ciberataque.
Obtenga la protección de seguridad que su organización necesita para mejorar la preparación ante infracciones con una suscripción de retención de respuesta a incidentes de IBM Security. Cuando se relaciona con nuestro equipo élite de consultores de IR, tiene socios confiables en espera para ayudar a reducir el tiempo que lleva responder a un incidente, minimizar su impacto y ayudarlo a recuperarse más rápido antes de que se sospeche un incidente de ciberseguridad.
La detección de amenazas es solo una parte de la seguridad. También necesita una respuesta de incidentes inteligente por el volumen cada vez mayor de alertas, las diversas herramientas y la escasez de personal. Acelere la respuesta a incidentes con la automatización, la estandarización de procesos y la integración con sus herramientas de seguridad actuales.
Con el creciente número de computadoras portátiles, de escritorio y trabajadores remotos, los ciberdelincuentes sofisticados tienen aún más puertas abiertas para su organización. Desde estos puntos de entrada, a menudo pueden avanzar profundamente y pasar desapercibidos. IBM Security Managed Detection and Response (MDR) ofrece servicios integrales y continuos de prevención, detección y capacidad de respuesta rápida ante amenazas 24/7, así como otras funciones para identificar y solucionar amenazas avanzadas.
Los ataques recientes son versiones mucho más sofisticadas del malware típico. Aprovechan los exploits filtrados mediante un cifrado sólido. ¿Está a salvo de los ataques de ransomware? Aprenda a proteger los datos de su organización de las amenazas de ransomware que podrían mantenerlos como rehén.
La calidad deficiente de la inteligencia, la falta de confianza y la integración mínima con otras fuentes de datos y organizaciones crean desafíos en la capacidad de obtener información procesable para frustrar los ataques cibernéticos. Los expertos en inteligencia global de IBM pueden guiar a los clientes con un análisis líder de la industria.
Cuando se trata de violaciones de datos y ataques cibernéticos, la prevención siempre es preferible a la reparación. Lea los artículos más recientes sobre el desarrollo y prueba de un plan de respuesta a incidentes, ransomware y otras amenazas en evolución y cómo las regulaciones afectan la respuesta a incidentes.
La mayoría de las empresas se centran en la gestión de incidentes o crisis para reaccionar ante ciberataques. Ambos proporcionan diferentes aspectos de la respuesta y ambos tienen un conjunto único de objetivos. Conozca las diferencias clave entre la gestión de incidentes y la gestión de crisis para decidir qué plan de respuesta es el mejor.
Comprenda sus riesgos de ataques cibernéticos con una visualización global del panorama de las amenazas.
¹ "ESG Technical Review: Respond Analyst - The Virtual Security Analyst", Jack Poller, Enterprise Strategy Group, February 24, 2020, (enlace externo a ibm.com).
² CyberSeek, (enlace externo a ibm.com).