Santiago Rangel
Escrito por Santiago Rangel el 16 marzo, 2021

Qué hacer y qué no ante una respuesta a incidentes de ciberseguridad

Hoy en día la tecnología ha avanzado notoria y exponencialmente, causando que a su vez más brechas de seguridad se creen dentro de nuestro entorno tecnológico. Aunque las herramientas de prevención y detección avanzan, disminuyendo el riesgo de que ocurra un impacto en nuestra compañía, es imposible que lleven esa probabilidad a un 0%. Por lo que me parece de suma importancia que una organización sepa cómo responder ante estos ataques.

Principales tácticas de ataques

Actualmente podemos encontrar diferentes tipos de frameworks que nos describen diferentes tipos de pasos que un atacante puede seguir para llegar a un objetivo específico. Uno de estos marcos de trabajo es MITRE ATT&CK, que hace referencia a las distintas tácticas y técnicas para poder realizar un ataque de ciberseguridad. Como un breve resumen de lo que podemos encontrar en este framework son las tácticas que describe.

      • Reconnaissance
      • Resource Development
      • Initial Access
      • Execution
      • Persistence
      • Privilege Escalation
      • Defense evaluation
      • Defense evasion
      • Credential Access
      • Discovery
      • Lateral movement
      • Collection
      • Command and control.
      • Exfiltration
      • Impact

Pueden existir diferentes tácticas para poder realizar un ataque, pero cada atacante tiene una finalidad y es de cierta manera impactar negativamente en el triángulo de la seguridad (Confidencialidad, integridad y disponibilidad). Dentro de los principales objetivos de un atacante (no es exclusivo) se encuentran los siguientes:

      • Dañar la reputación de la compañía revelando información sensible.
      • Extorsionar a la empresa debido a que se extrajo información confidencial.
      • Generar alguna indisponibilidad de algún servicio que provee la empresa objetivo.
      • Ejecutar ataques terroristas.

¿Cómo podemos protegernos de los ataques de ciberseguridad?

El mejor método para protegernos es pensar como el atacante, identificar esos assets que pueden ser objetivo e implementar controles para protegerte de cualquier ataque. Si nos remitimos al ciclo de un incidente de ciberseguridad, la parte principal para que se pueda accionar una respuesta ante un incidente de seguridad en las primeras dos fases (Fase de planificación y, fase de detección y análisis), donde dentro del sistema se deben definir lo siguiente con respecto a los assets que tengan valor en la empresa:

      • Visibilidad: Herramientas que nos permita dar una total visibilidad de lo que está ocurriendo en nuestro ambiente sea a nivel de network o nivel de endpoint, entre uno de los productos que se recomienda están los NGFW y Cortex XDR ambos productos de Palo Alto Networks.
      • Logs centralizado: Todos almacenados dentro de una sola plataforma donde se pueda recopilar la mayor información posible para enriquecer la data y además poder aplicar machine learning cuando sea necesario. Esto se puede conseguir con Cortex Data Lake.
      • Orquestar y automatizar: Automatizar la generación de incidentes y además resolverlos según unos playbooks definidos para poder disminuir tantos los tiempos de detección y de tomas de acciones de algunos incidentes. Se puede encontrar con Cortex XSOAR herramienta de Palo Alto Networks.
      • Tener un equipo especializado y dedicado para confrontar los incidentes de ciberseguridad como los servicios de MDR.
      • Crear baselines para cada uno de los equipos que entre a nuestro sistema definiendo parámetros de seguridad mínimo que deben cumplir cada uno de ellos para que se apruebe su uso en producción.
      • Definir planes de acción en caso de que ocurra un incidente de seguridad y probar su efectividad para establecer mejoras continuas del proceso e incluirlos en las políticas de seguridad internas de la compañía.
      • Training: todos los empleados operacionales deben recibir el debido training para eliminar errores de configuración.
      • Awareness: Indicarles a los usuarios finales a qué tipo de amenazas están expuestos, como no permitir que se produzca alguna afectación y en caso de que ocurra como detectarlo y a quien notificarlo. Es importante disminuir la toma de decisiones de las personas, como la de no abrir un link de un correo phishing estableciendo tecnología que puedan mitigar la interacción de estas amenazas con el usuario. Esto lo puedes conseguir implementando tecnologías como Proofpoint. De igual forma el user awareness debe de existir en toda compañía.
      • Asegurar que se realicen backups frecuentemente de los assets más importantes de la compañía y guardar estos backups de manera muy segura.

Las acciones descritas anteriormente no son exclusivas. Dentro de las políticas internas de las organizaciones deben existir planes de emergencia que le den continuidad a las operaciones aún y cuando se esté sufriendo un ataque de ciberseguridad.

¿Qué hacer en el momento de crisis?

Como se describe anteriormente la fase de detección y análisis es muy importante para poder tomar decisiones y acciones en el periodo que estamos en presencia de un ataque de ciberseguridad. Si no se detecta, no nos daremos cuenta hasta la última fase del ataque.

Dentro de las acciones que se pueden tomar tienes desde bloquear una IP hasta apagar un servidor por completo. Por ello se debe de tener un equipo especializado que tome las mejores decisiones en el momento preciso que estas en presencia de un ataque.

A continuación te dejo unas recomendaciones al momento de presentarse un ataque de ciberseguridad:

1- Contener el ataque: evaluar  el impacto que puede generar el ataque, esto generalmente se desarrolla en la fase de  análisis. Los objetivos de la fase de contención son:

      • Evitar propagar el vector de ataque. Por ejemplo si es un ransonware o un worn no permitir que se propague y aislar el equipo de todas las conexiones de red, para que posteriormente se haga un análisis forense.
      • Si no se logró detener a tiempo la propagación del malware, detectar en cual otros equipos han logrado propagarse.
      • Detener procesos por completo para mitigar la extracción de información.
      • Bloquear IPs que tengan relación con la amenaza que se está combatiendo.
      • Tomar decisiones rápidas y concisas, recuerda que mientras más efectiva sea la contención del ataque menos impacto se generará para la compañía. 

Como anteriormente se mencionó para este tipo de escenarios es indispensable tener visibilidad y capacidad de análisis automatica con machine learning y además correlación de datos, para ello la herramienta que te  pueda ayudar en tus decisiones de contención y esta herramienta es cortex XDR y esta herramienta podría ser tu principal aliado para poder realizar estas acciones de la mejor manera.

2- Erradicación y recuperación: En esta fase debemos de eliminar cualquier rastro del atacante de los equipos y llegar a un punto de recuperación del sistema en su estado normal, algunas actividades que se  encuentran en estas fases son: Eliminar archivos, eliminar procesos, eliminar registros, cargar un snapshot de la máquina completa o de los registros devolviendolos a sus valores normales, debido a que muchos atacantes quieren persistir en el equipo y aprovechan los registros para generar persistencia, en algunos casos para poder recuperar el estado normal de la máquina se tiene que volver a instalar el sistema operativo . 

Herramientas como cortex XDR que te indican sugerencias dentro de como poder eliminar por completo las acciones que el atacante realizó en el incidente detectado, acelerando el proceso de erradicación y poder llegar a la fase de recuperación más eficientemente.

3- Mejoras continuas:  Donde se determina la causa raíz del vector de ataque y mitigarlo o disminuirlo.

Si bien parece sencillo las acciones a tomar dentro de un incidente de seguridad, hay muchos pasos que no se ejecutan de la mejor manera cuando estás operando y te los detallaré más adelante.

¿Qué no hacer en el momento de crisis?

Dentro de un incidente de seguridad se deben de tomar decisiones rápidas y precisa que en muchas ocasiones no son las más adecuadas. Por ejemplo:  

      • No apagar los equipos que se ven afectados, ya que, en la memoria volátil puede haber información importante que nos ayudará a determinar la causa raíz y al momento de apagar el equipo se pierde dicha información. Por eso se debe de tener herramientas que nos permita aislar el equipo de manera eficiente, como Cortex XDR.
      • Realizar el análisis de la amenaza mientras que el ataque está en ejecución. Lo mejor es aislar el equipo, extraer un análisis de la memoria de toda la información volátil del momento o en lo posible un backup del equipo y analizarlo en otro ambiente similar totalmente aislado del ataque.

Hablamos de las características principales que deben existir en un sistema para dar la mejor respuesta ante un incidente de seguridad, en donde debemos de empezar a cuestionar ¿Tengo las herramientas necesarias para poder responder ante un incidente? ¿Tengo el equipo de personas para poder responder oportunamente ante un incidente de seguridad? En caso de que alguna de las respuestas sea no, se puede transferir el riesgo ante entidades que trabajan para ello y además son expertos en las herramientas que brevemente se mencionaron anteriormente.

Nueva llamada a la acción

Escrito por Santiago Rangel 16 marzo, 2021
Santiago Rangel