Una introducció de la gestió de respostes d’incidents i seguretat de ciberseguretat

A mesura que els ciberatacs continuen creixent en volum, diversitat i sofisticació, a més de ser més pertorbadors i perjudicials, les organitzacions han d’estar preparades per manejar-les eficaçment.


A més de desplegar solucions i pràctiques de seguretat efectives, necessiten la capacitat d’identificar i abordar els atacs ràpidament, per tant, asseguren danys, interrupcions i costos mínims..

Tot sistema informàtic és un objectiu potencial d’un atac cibernètic i la majoria de la gent està d’acord en què no es tracta de si, sinó de quan passarà. No obstant això, l’impacte varia segons la rapidesa i eficàcia que es tracti el problema, per tant, la necessitat de preparar-se per respondre a les incidents.

Una resposta d’incidents de ciberseguretat (IR) fa referència a una sèrie de processos que fa una organització per abordar un atac als seus sistemes informàtics. Això requereix una combinació de les eines de programari i maquinari adequades i pràctiques com ara una planificació, procediments, formació i suport adequats per tots els membres de l’organització..

Bones pràctiques abans, durant i després dels incidents de seguretat

Quan es produeix un atac cibernètic, es poden realitzar múltiples activitats simultàniament i això pot ser agitat quan no hi hagi cap coordinació o procediments adequats de maneig d’incidents..

No obstant això, preparar-se amb antelació i establir un pla i una resposta clares i fàcils d’entendre i respondre a les incidències permeten als equips de seguretat treballar en harmonia. Això els permet concentrar-se en les tasques crítiques que limiten els danys potencials als seus sistemes informàtics, dades i reputació, a més d’evitar interrupcions innecessàries del negoci..

Prepara un pla de resposta a incidents

Un pla de resposta a incidents documenta els passos a seguir en cas d’atac o qualsevol altre problema de seguretat. Tot i que els passos reals poden variar segons l’entorn, un procés típic, basat en el marc SANS (SysAdmin, Auditoria, xarxa i seguretat), inclourà la preparació, identificació, contenció, eliminació, recuperació, notificació de l’incident i una publicació posterior. revisió d’incidents.

resposta a incidentsFlux del procés de resposta incident (basat en la plantilla NIST) Imatge NIST

La preparació inclou l’elaboració d’un pla amb informació rellevant i els procediments reals que l’equip de resposta a incidents informàtics (CIRT) seguirà per abordar l’incident..

Això inclou:

  • Equips i individus específics responsables de cada pas del procés de resposta a incidents.
  • Defineix què constitueix un incident, inclòs el que garanteix quin tipus de resposta.
  • Dades i sistemes crítics que requereixen més protecció i salvaguarda.
  • Una forma de preservar els estats afectats dels sistemes afectats amb finalitats forenses.
  • Procediments per determinar quan i a qui notificar sobre un problema de seguretat. Quan es produeixi un incident, pot ser que sigui necessari informar els usuaris afectats, els clients, els agents de la llei del personal, etc., però això diferirà d’una indústria i d’un cas a una altra..

Un pla de resposta a incidents ha de ser fàcil d’entendre i implementar, a més d’alinear-se amb altres plans i polítiques d’organització. No obstant això, l’estratègia i l’enfocament poden diferir entre diferents indústries, equips, amenaces i danys potencials. Les proves i les actualitzacions periòdiques asseguren que el pla és vàlid i eficaç.

Passos de resposta incidents quan es produeix un ciberatac

Una vegada que hi hagi un incident de seguretat, els equips haurien d’actuar de manera ràpida i eficaç per contenir-lo i evitar que es propagui a sistemes nets. A continuació es mostren les millors pràctiques per tractar problemes de seguretat. Tanmateix, aquests poden diferir segons l’entorn i l’estructura d’una organització.

Muntar o involucrar l’equip de resposta a incidents informàtics

Assegureu-vos que l’equip de CIRT multidisciplinari intern o subcontractat tingui les persones adequades amb les competències i l’experiència adequades. Seleccioneu un líder de l’equip que serà la persona central per donar orientació i assegurar-se que la resposta vagi segons el pla i els terminis. El líder també treballarà de la mà de la direcció i sobretot quan hi hagi decisions importants per prendre en relació amb les operacions.

Identifica l’incident i estableix el tipus i la font de l’atac

Després de qualsevol amenaça, l’equip d’IR ha d’actuar ràpidament per verificar si es tracta d’un problema de seguretat, intern o extern, alhora que s’assegura que el contenen el més ràpid possible. Les formes típiques de determinar quan hi ha un problema inclouen, però no limitant-se a;

  • Alertes d’eines de supervisió de seguretat, malfuncions dels sistemes, comportaments inusuals, modificacions de fitxers inesperades o inusuals, còpia o descàrrega, etc.
  • Informes d’usuaris, administradors de xarxa o sistema, personal de seguretat o tercers socis externs o clients.
  • Registres d’auditoria amb signes de comportament inusual de l’usuari o del sistema, com ara múltiples intents d’inici de sessió fallits, descàrregues de fitxers grans, ús d’alta memòria i altres anomalies..

Alerta automàtica per incidents de seguretat de VaronisAlerta automàtica per incidents de seguretat de Varonis – Imatge Varonis 

Valorar i analitzar l’impacte de l’atac

El dany que provoca un atac varia en funció del seu tipus, de l’efectivitat de la solució de seguretat i de la velocitat amb la qual l’equip respon. Molt sovint no és possible veure l’abast del dany fins després de resoldre el problema completament. L’anàlisi ha d’esbrinar el tipus d’atac, el seu impacte i els serveis que podria haver afectat.

També és una bona pràctica buscar qualsevol rastre que pugui deixar l’atacant i recopilar la informació que ajudarà a determinar la línia de temps de les activitats. Es tracta d’analitzar tots els components dels sistemes afectats, captar rellevants per als forenses i determinar què podria haver passat en cada etapa.

Segons l’extensió de l’atac i les troballes, pot ser necessari escalar la incidència a l’equip pertinent.

Reteniment, eliminació d’amenaça i recuperació

La fase de contenció inclou bloquejar la propagació de l’atac així com restaurar els sistemes a l’estat inicial de l’operació. L’ideal seria que l’equip CIRT hauria d’identificar l’amenaça i la causa principal, eliminar totes les amenaces bloquejant o desconnectant sistemes compromesos, netejant el malware o el virus, bloquejant els usuaris maliciosos i restablint els serveis..

També haurien d’establir i abordar les vulnerabilitats que els atacants explotaven per evitar futures ocurrències del mateix. Una contenció típica inclou mesures a curt i llarg termini, així com una còpia de seguretat de l’estat actual.

Abans de restaurar una còpia de seguretat neta o netejar els sistemes, és important conservar una còpia de l’estat dels sistemes afectats. Això és necessari per preservar l’estat actual, que pot ser útil quan es tracta de forenses. Un cop feta una còpia de seguretat, el següent pas és la restauració dels serveis pertorbats. Els equips poden aconseguir-ho en dues fases:

  • Comproveu els sistemes i el component de xarxa per comprovar que tots funcionen correctament
  • Torneu a revisar tots els components que estaven infectats o compromesos i, després, netejats o restaurats per assegurar-los que ara estiguin segurs, nets i operatius..

Notificar i informar

L’equip de resposta a la incidència fa l’anàlisi, respon i informa. Han d’explorar la causa fonamental de l’incident, documentar les troballes de l’impacte, com van resoldre el problema, l’estratègia de recuperació alhora que van passar la informació rellevant a la direcció, altres equips, usuaris i proveïdors de tercers..

Comunicacions amb agències i proveïdors externsComunicacions amb agències i proveïdors externs Image NIST

Si la violació toca dades sensibles que requereixin notificacions a les autoritats legals, l’equip hauria d’iniciar-ho i seguir els procediments establerts en la seva política informàtica..

Normalment, un atac resulta en robatori, mal ús, corrupció o qualsevol altra activitat no autoritzada en dades confidencials com informació confidencial, personal, privada i empresarial. Per aquest motiu, és fonamental informar als afectats perquè puguin prendre precaucions i protegir les seves dades crítiques com ara informació financera, personal i altra informació confidencial.

Per exemple, si un atacant aconsegueix accedir als comptes d’usuari, els equips de seguretat haurien de notificar-los i demanar-los que canviïn la seva contrasenya.

Feu una revisió posterior a l’incident

La resolució d’un incident també ofereix lliçons apreses, i els equips poden analitzar la seva solució de seguretat i abordar els enllaços febles prevenir un incident similar en el futurAlgunes de les millores inclouen desplegar millors solucions de seguretat i control per a amenaces internes i externes, il·luminar el personal i els usuaris sobre amenaces de seguretat com ara phishing, correu brossa, programari maliciós i altres que haurien d’evitar..

Altres mesures de protecció estan utilitzant les eines de seguretat més recents i efectives, la revisió dels servidors, la resposta a totes les vulnerabilitats dels ordinadors client i servidor, etc..

Estudi de casos de resposta al incident del Banc d’Àsia del NIC del Nepal

La capacitat o la resposta de detecció inadecuades poden causar danys i pèrdues excessives. Un exemple és el cas del NIC Asia Bank del Nepal, que va perdre i recuperar alguns diners després d’un compromís del procés empresarial el 2017. Els atacants van comprometre el SWIFT i van transferir fraudulentament fons del banc a diversos comptes al Regne Unit, Japó, Singapur i els EUA..

Per sort, les autoritats van detectar les transaccions il·legals, però només van aconseguir recuperar una part dels diners robats. Podria haver-hi un millor sistema d’alerta, els equips de seguretat haurien detectat l’incident en una etapa anterior, potser abans que els atacants triomfessin en el compromís del procés empresarial..

Com que es tractava d’un problema complex de seguretat que implicava altres països, el banc havia d’informar les autoritats policials i de recerca. A més, l’abast estava més enllà de l’equip de resposta a incidents interns del banc i, per tant, de la presència d’equips externs de KPMG, del banc central i d’altres.

Una investigació forense d’equips externs del seu banc central va establir que l’incident podria haver estat de mala pràctica privilegiada que exposava sistemes crítics.

Segons un informe, els sis operadors llavors havien utilitzat l’ordinador del sistema SWIFT dedicat per a altres tasques no relacionades. Pot ser que això hagi exposat el sistema SWIFT, per tant, permetria als atacants comprometre’l. Després de l’incident, el banc va transferir els sis empleats a altres departaments menys sensibles.

Lliçons apreses: El banc hauria d’haver desplegat un sistema de vigilància i alerta eficaç a més de crear consciència de seguretat adequada entre els empleats i fer complir polítiques estrictes.

Conclusió

Una resposta d’incidents ben planificada, un bon equip i les eines i pràctiques de seguretat rellevants proporcionen a la vostra organització la capacitat d’actuar ràpidament i d’abordar una àmplia gamma de problemes de seguretat. Això redueix els danys, interrupcions del servei, robatori de dades, pèrdua de reputació i possibles passius.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map