Escrito por: Santiago Rangel
Hoy en día la tecnología ha avanzado notoria y exponencialmente, causando que a su vez más brechas de seguridad se creen dentro de nuestro entorno tecnológico. Aunque las herramientas de prevención y detección avanzan, disminuyendo el riesgo de que ocurra un impacto en nuestra compañía, es imposible que lleven esa probabilidad a un 0%. Por lo que me parece de suma importancia que una organización sepa cómo responder ante estos ataques.
Actualmente podemos encontrar diferentes tipos de frameworks que nos describen diferentes tipos de pasos que un atacante puede seguir para llegar a un objetivo específico. Uno de estos marcos de trabajo es MITRE ATT&CK, que hace referencia a las distintas tácticas y técnicas para poder realizar un ataque de ciberseguridad. Como un breve resumen de lo que podemos encontrar en este framework son las tácticas que describe.
Pueden existir diferentes tácticas para poder realizar un ataque, pero cada atacante tiene una finalidad y es de cierta manera impactar negativamente en el triángulo de la seguridad (Confidencialidad, integridad y disponibilidad). Dentro de los principales objetivos de un atacante (no es exclusivo) se encuentran los siguientes:
<<Lee también: ¿Cómo anticiparse a los ciberataques con un MDR?>>
El mejor método para protegernos es pensar como el atacante, identificar esos assets que pueden ser objetivo e implementar controles para protegerte de cualquier ataque. Si nos remitimos al ciclo de un incidente de ciberseguridad, la parte principal para que se pueda accionar una respuesta ante un incidente de seguridad en las primeras dos fases (Fase de planificación y, fase de detección y análisis), donde dentro del sistema se deben definir lo siguiente con respecto a los assets que tengan valor en la empresa:
Las acciones descritas anteriormente no son exclusivas. Dentro de las políticas internas de las organizaciones deben existir planes de emergencia que le den continuidad a las operaciones aún y cuando se esté sufriendo un ataque de ciberseguridad.
Como se describe anteriormente la fase de detección y análisis es muy importante para poder tomar decisiones y acciones en el periodo que estamos en presencia de un ataque de ciberseguridad. Si no se detecta, no nos daremos cuenta hasta la última fase del ataque.
Dentro de las acciones que se pueden tomar tienes desde bloquear una IP hasta apagar un servidor por completo. Por ello se debe de tener un equipo especializado que tome las mejores decisiones en el momento preciso que estas en presencia de un ataque.
A continuación te dejo unas recomendaciones al momento de presentarse un ataque de ciberseguridad:
1. Contener el ataque: evaluar el impacto que puede generar el ataque, esto generalmente se desarrolla en la fase de análisis. Los objetivos de la fase de contención son:
Como anteriormente se mencionó para este tipo de escenarios es indispensable tener visibilidad y capacidad de análisis automatica con machine learning y además correlación de datos, para ello la herramienta que te pueda ayudar en tus decisiones de contención y esta herramienta es cortex XDR y esta herramienta podría ser tu principal aliado para poder realizar estas acciones de la mejor manera.
2. Erradicación y recuperación: En esta fase debemos de eliminar cualquier rastro del atacante de los equipos y llegar a un punto de recuperación del sistema en su estado normal, algunas actividades que se encuentran en estas fases son: Eliminar archivos, eliminar procesos, eliminar registros, cargar un snapshot de la máquina completa o de los registros devolviendolos a sus valores normales, debido a que muchos atacantes quieren persistir en el equipo y aprovechan los registros para generar persistencia, en algunos casos para poder recuperar el estado normal de la máquina se tiene que volver a instalar el sistema operativo.
Herramientas como cortex XDR que te indican sugerencias dentro de como poder eliminar por completo las acciones que el atacante realizó en el incidente detectado, acelerando el proceso de erradicación y poder llegar a la fase de recuperación más eficientemente.
3. Mejoras continuas: Donde se determina la causa raíz del vector de ataque y mitigarlo o disminuirlo.
Si bien parece sencillo las acciones a tomar dentro de un incidente de seguridad, hay muchos pasos que no se ejecutan de la mejor manera cuando estás operando y te los detallaré más adelante.
Dentro de un incidente de seguridad se deben de tomar decisiones rápidas y precisa que en muchas ocasiones no son las más adecuadas. Por ejemplo:
Hablamos de las características principales que deben existir en un sistema para dar la mejor respuesta ante un incidente de seguridad, en donde debemos de empezar a cuestionar ¿Tengo las herramientas necesarias para poder responder ante un incidente? ¿Tengo el equipo de personas para poder responder oportunamente ante un incidente de seguridad? En caso de que alguna de las respuestas sea no, se puede transferir el riesgo ante entidades que trabajan para ello y además son expertos en las herramientas que brevemente se mencionaron anteriormente.
Netdata es reconocido como uno de los mejores partner de servicio de ciberseguridad en todo el mundo, nombrado por fabricantes líderes del mercado. Nuestro talentoso equipo respalda una amplia gama de servicios de seguridad de red y nube, servicios de identidad, implementación de tecnología, gestión de amenazas y respuesta a incidentes de ciberseguridad.
Todos los derechos reservados © Netdata 2024 | Políticas de seguridad | Política para el manejo de datos personales | Política de calidad