Mayday, mayday: cómo gestionar un incidente y no morir en el intento
Ponencia de Carlos Morales perteneciente al módulo Ciberseguridad para empresas de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 8 minutos
Existen muchos tipos de ciberincidentes y en cada uno hay que tener en cuenta diferentes factores y estar muy bien preparados para hacerles frente. El incident handler o gestor de incidentes debe ser capaz de mantener la calma y saber gestionar todo lo que engloba al incidente.
Fases en la gestión de un ciberincidente
Fase de preparación
Durante el estado previo a la declaración de un incidente es necesario que toda entidad esté preparada para cualquier suceso que pudiera ocurrir. Una buena anticipación y entrenamiento previo pueden ser la diferencia entre una gestión eficaz o un desastre, para lo que hace falta tener en cuenta tres pilares fundamentales: las personas, los procedimientos y la tecnología.
En algunos casos será necesario recoger evidencias que serán analizadas o utilizadas en algún proceso judicial. Los equipos de respuesta a incidentes podrían no estar familiarizados con la arquitectura afectada y, ante la necesidad de proceder a la restauración de un sistema afectado durante un incidente, se debe disponer de una imagen segura y funcional que permita volver a un estado previo y asegure la continuidad del proceso afectado.
Al existir siempre la posibilidad de que ocurran ciberincidentes, es necesario tratar de prevenirlos y prestar atención a aspectos como la formación del equipo humano, la protección del puesto de trabajo y el análisis de riesgos.
Fase de identificación
Para hacer frente de forma correcta, es importante tener claro el contexto, mantener la calma y tener empatía con el cliente. Se pueden realizar diferentes ejercicios a modo de roleplay para tratar de tomar las mejores decisiones. Para la correcta identificación, la organización debe conocer cuál es su estado normal de operación y qué sucesos forman parte de la operativa diaria, ya que así será posible identificar los casos que pueden ser considerados fuera de lo normal.
Cuando un evento requiere de un mayor análisis se podría decir que se pasa de la fase de preparación a la de identificación, sin embargo, si se descarta el evento, se volvería de nuevo a la fase de preparación hasta que un nuevo evento requiera de mayor atención. Existen vectores de ataque comunes que ayudan a identificar un incidente:
- Correo electrónico.
- Vulnerabilidades conocidas.
- Dispositivos de almacenamiento externo.
- Uso inapropiado de los activos.
- Pérdida o robo de activos.
- Vectores externos.
Fase de contención
En esta fase es vital la experiencia del equipo. Es importante mantener reuniones con el cliente para ver el progreso y las pautas que se están llevando a cabo, normalmente cada tres horas. Hay que tomar decisiones de forma rápida y contundente, así como documentar cada una de las acciones que se hacen exponiéndolas en las reuniones. Algunas de las acciones que se pueden realizar en primer lugar son las siguientes:
- Desconectar el equipo o segmento de red del resto de redes de la organización.
- Proceder a la colocación de un firewall intermedio si se trata de algún equipo que desempeña una función crítica para el negocio.
- Reubicar el recurso comprometido en una VLAN aislada.
- Considerar la aplicación de técnicas de DNS sinkholing para controlar tráfico malicioso.
- Aplicar medidas de contención más ajustadas si se conocen los detalles técnicos del tipo de ciberincidente.
Una vez tomadas las medidas iniciales para contener el problema es vital tener cuidado para no destruir información valiosa.
Fase de mitigación
La medida de mitigación más adecuada suele empezar por realizar un borrado seguro de los medios de almacenamiento comprometidos y una reinstalación del sistema, aunque, desgraciadamente, no siempre es posible. Es necesario realizar un análisis sobre el grado de exposición del activo, ya que, en muchos casos, el compromiso tiene su origen en servicios expuestos mal configurados que no deberían estar activos o que deberían haber estado correctamente protegidos.
Fase de recuperación
Cuando está todo controlado y la actividad vuelve a la normalidad, conviene pararse a reflexionar sobre lo sucedido analizando las causas del problema, pudiendo así tomar las medidas adecuadas para evitar que se produzca una situación similar.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Carlos Morales Diego
Carlos es incident responder y senior consultant en Deloitte. Es máster en Ciberinteligencia y Ciberseguridad, así como experto en Derecho Tecnológico y Forense Digital. Además, acumula más de 10 años de experiencia en el ámbito de la ciberseguridad.
¿Cuál es tu reacción?