Descubre los pasos a seguir para detectar y responder a ciberataques antes de que puedan causar un daño irreparable a tu organización.
Escrito por: Francis Parra
En el mundo de la ciberseguridad se debe partir de la premisa de que ninguna empresa está exenta de sufrir un ataque, incluso si cuenta con la mejor tecnología.
Partiendo de esto, lo que sí necesitan las compañías para reducir el riesgo es tener un plan que les permita gestionar, detectar y responder de forma acelerada a amenazas de seguridad.
En el transcurso de este artículo te explicaremos los pasos a tener en cuenta:
Preparación
El objetivo principal de esta fase es que la organización se encuentre preparada para responder y actuar frente a un ciberataque, tomando en cuenta medidas de prevención y aseguramiento de los sistemas para reducir la superficie de ataque.
Algunas actividades importantes que debes tomar en cuenta en esa fase son:
Detección y análisis de amenazas
En esta fase juega un papel muy importante contar con una herramienta de monitoreo y detección, que sea capaz de realizar correlación de eventos, Machine Learning y análisis de comportamientos para alertar cualquier comportamiento inusual y sospechoso sobre la red.
Además de contar con personal altamente calificado para analizar, investigar y determinar las acciones correctas a tomar frente a un ciberataque de cualquier categoría.
¿Cuáles pueden ser indicadores de la presencia de un ciberataque?
- Alertas e informes en las herramientas de seguridad.
- Caídas reportadas de servidores.
- Comportamientos inusuales reportados por usuarios finales.
- Otros funcionamientos de los sistemas fuera de lo normal.
En caso de detectar un ciberataque, debes tomar en cuenta los siguientes aspectos para recolectar la mayor cantidad de información:
En esta fase debes ejecutar todas las actividades necesarias para evitar la propagación del incidente y disminuir el impacto sobre los activos comprometidos.
Es importante contar con una estrategia para la toma de decisiones, de manera que sean las más acertadas y oportunas. Te recomiendo realizar Playbooks con las actividades que se deban ejecutar de cara a los diferentes tipos de ciberataques.
De esta manera, contarás siempre con la información documentada y evitarás que las acciones de contención, erradicación y recuperación, tomadas por tu equipo de respuesta a incidentes no cumplan su misión.
¿Qué hacer en una fase de Respuesta?
Si bien es cierto, las actividades de esta fase dependen del tipo de ciberataque, te dejo los siguientes ejemplos para que tengas una idea más clara de cómo hacerlo:
Fig. 2 – Ejemplo de estrategias de contención – Fuente: MINTIC.
También es importante que evalúes la conformación de un Equipo de Respuesta a Incidentes - ERI, CSIRT, SOC, o MDR de acuerdo con tus necesidades, estrategia de negocio y presupuesto. Esto te ayudará a garantizar la detección y respuesta de amenazas 7x24x365 y el manejo de incidentes de ciberseguridad en tus servicios de nube, correos electrónicos, endpoints, redes, servidores, estaciones de trabajo, etc.
Lo anterior, es fundamental para tener el control de los eventos y alertas de seguridad en tu empresa y la certeza de tener un equipo enfocado las 24 horas del día en este tema. Tener unas directrices claras y lineamientos a seguir te permitirá estar preparado y responder de manera rápida, oportuna y eficiente ante un ataque.
Todos los procesos vistos puedes documentarlos en una base de conocimiento de manera que la información quede centralizada en un mismo repositorio y sea de fácil acceso para tu equipo de respuesta a incidentes.
Recuerda que anticiparte será la mejor alternativa para poder responder a ciberataques, ya que con estas acciones puede marcar la diferencia entre contener un incidente, sufrir un daño menor o perder dinero, datos sensibles y clientes.
Si necesitas ayuda para emprender este camino o fortalecer alguna de las fases, puedes contactarnos para solicitar nuestra asesoría.
SENTRIA es un servicio de gestión, detección y respuesta totalmente integrado con tecnologías líderes de Palo Alto Networks para potenciar tu equipo de SecOps 24/7 y ayudarlos a anticipar ciberataques en tus entornos de nube, híbridos y en premisas. Combinando la experiencia de Netdata, el partner de Palo Alto Networks más capacitado en todo el mundo, redefinímos la forma en que se prestan los servicios de seguridad.
Todos los derechos reservados © Netdata 2022