SENTRIA | blog 

 

CONOCE CÓMO PUEDES GARANTIZAR LA SEGURIDAD DE TU NEGOCIO CON EL SERVICIO MANAGED DETECTION AND RESPONSE

¿Cómo gestionar, detectar y responder a ciberataques de forma acelerada ?

Netdata
23 diciembre, 2021
0 comentarios

Descubre los pasos a seguir para detectar y responder a ciberataques antes de que puedan causar un daño irreparable a tu organización.


Escrito por: Francis Parra

En el mundo de la ciberseguridad se debe partir de la premisa de que ninguna empresa está exenta de sufrir un ataque, incluso si cuenta con la mejor tecnología. 

Partiendo de esto, lo que sí necesitan las compañías para reducir el riesgo es tener un plan que les permita gestionar, detectar y responder de forma acelerada a amenazas de seguridad. 

En el transcurso de este artículo te explicaremos los pasos a tener en cuenta:

 

Plan para responder a ciberataques

Preparación

El objetivo principal de esta fase es que la organización se encuentre preparada para responder y actuar frente a un ciberataque, tomando en cuenta medidas de prevención y aseguramiento de los sistemas para reducir la superficie de ataque.

Algunas actividades importantes que debes tomar en cuenta en esa fase son:

  1. Evaluar la conformación de un Equipo de Respuesta a Incidentes -ERI, CSIRT, SOC, o MDR de acuerdo con tus necesidades, estrategia de negocio y presupuesto.
  2. Definir roles y responsabilidades a los involucrados designados.
  3. Seleccionar las herramientas y recursos tecnológicos a utilizar para la prevención, monitoreo y detección de ciberataques, en los sistemas, redes y aplicaciones de la organización. 
  4. Levantamiento de riesgos para conocer el posible impacto en caso de ciberataques.
  5. Definir el sistema de seguimiento para llevar la trazabilidad de la información, estado y evidencias de los incidentes.
  6. Definir los mecanismos de notificación de incidentes: matrices de comunicación y escalamiento, formato de reportes, entre otros. Incluyendo SLAs.

Detección y análisis de amenazas

En esta fase juega un papel muy importante contar con una herramienta de monitoreo y detección, que sea capaz de realizar correlación de eventos, Machine Learning y análisis de comportamientos para alertar cualquier comportamiento inusual y sospechoso sobre la red.

Además de contar con personal altamente calificado para analizar, investigar y determinar las acciones correctas a tomar frente a un ciberataque de cualquier categoría.

 

¿Cuáles pueden ser indicadores de la presencia de un ciberataque?

  • Alertas e informes en las herramientas de seguridad.
  • Caídas reportadas de servidores.
  • Comportamientos inusuales reportados por usuarios finales.
  • Otros funcionamientos de los sistemas fuera de lo normal.

En caso de detectar un ciberataque, debes tomar en cuenta los siguientes aspectos para recolectar la mayor cantidad de información:

  • Realizar un diagnóstico inicial (Triage) que consiste en:
    • Identificar los activos comprometidos: Usuarios, Hosts, dominios, entre otros.
    • Identificar los artefactos asociados al ciberataque: Direcciones IP, dominios, URLs, tomando en cuenta si son internos o externos.
    • Identificar los riesgos asociados al activo comprometido.
    • Categorizar el ciberataque (Malware, Phishing, DoS, Defacement, Ransomware, entre otros).
    • Asignar prioridad al ciberataque (Alto, medio o bajo).

  • Realizar una investigación y análisis preciso, basado en la actividad observada del ciberataque.

  • Analizar las acciones tomadas por los sistemas de prevención.
    • Realizar análisis de los registros asociados en las diferentes fuentes o sistemas de recolección de eventos (Firewalls, Antivirus, Active Directory, Mail servers, SIEM, XDR, entre otros).
    • Realizar Threat Intelligence.
    • Realizar análisis basado en Indicators of Compromise – IOC.
    • Documentar la información del ciberataque de acuerdo con el formato establecido.
    • Notificar el ciberataque a los responsables de acuerdo con las matrices de comunicación y escalamiento, y los tiempos de respuesta establecidos.

Respuesta: Contención, Erradicación y Recuperación

En esta fase debes ejecutar todas las actividades necesarias para evitar la propagación del incidente y disminuir el impacto sobre los activos comprometidos.

Es importante contar con una estrategia para la toma de decisiones, de manera que sean las más acertadas y oportunas. Te recomiendo realizar Playbooks con las actividades que se deban ejecutar de cara a los diferentes tipos de ciberataques.

De esta manera, contarás siempre con la información documentada y evitarás que las acciones de contención, erradicación y recuperación, tomadas por tu equipo de respuesta a incidentes no cumplan su misión.

¿Qué hacer en una fase de Respuesta?

  • Contener para detener y evitar la propagación del compromiso.
  • Erradicar para eliminar cualquier rastro del compromiso.
  • Recuperar para traer de vuelta el sistema comprometido a su estado habitual y restablecer su funcionalidad.

Si bien es cierto, las actividades de esta fase dependen del tipo de ciberataque, te dejo los siguientes ejemplos para que tengas una idea más clara de cómo hacerlo:

 

Ejemplo-estrategias-contencion–Fuente-MINTICFig. 2 – Ejemplo de estrategias de contención – Fuente: MINTIC.

 

También es importante que evalúes la conformación de un Equipo de Respuesta a Incidentes - ERI, CSIRT, SOC, o MDR de acuerdo con tus necesidades, estrategia de negocio y presupuesto. Esto te ayudará a garantizar la detección y respuesta de amenazas 7x24x365 y el manejo de incidentes de ciberseguridad en tus servicios de nube, correos electrónicos, endpoints, redes, servidores, estaciones de trabajo, etc.

<< Este contenido podría interesarte: ¿Qué es MDR? Detección y respuestas gestionadas en ciberseguridad >>

 

Lo anterior, es fundamental para tener el control de los eventos y alertas de seguridad en tu empresa y la certeza de tener un equipo enfocado las 24 horas del día en este tema. Tener unas directrices claras y lineamientos a seguir te permitirá estar preparado y responder de manera rápida, oportuna y eficiente ante un ataque. 

Todos los procesos vistos puedes documentarlos en una base de conocimiento de manera que la información quede centralizada en un mismo repositorio y sea de fácil acceso para tu equipo de respuesta a incidentes.

Recuerda que anticiparte será la mejor alternativa para poder responder a ciberataques, ya que con estas acciones puede marcar la diferencia entre contener un incidente, sufrir un daño menor o perder dinero, datos sensibles y clientes

Si necesitas ayuda para emprender este camino o fortalecer alguna de las fases, puedes contactarnos para solicitar nuestra asesoría.

 

Nueva llamada a la acción

 

MDR
Netdata
Sígueme