Los incidentes de seguridad y las violaciones de datos pueden tener efectos muy perturbadores y devastadores para una organización. De hecho, según el informe anual Cost of a Data Breach Report de Ponemon Institute, el coste medio total de una violación de datos se acerca a los 3,92 millones de dólares, con una media de 25.575 registros robados o comprometidos. Recuperar los datos perdidos es sólo una parte de la ecuación. Hay que sumarle el tiempo de inactividad y el daño reputacional.
Parte del reto es que las estrategias modernas de ciberataque implican nuevas técnicas y tecnologías diseñadas para evadir la detección. Por ello, no sólo las violaciones de datos iniciales pasan a veces desapercibidas, sino que el tiempo medio de permanencia de una violación es a veces de 209 días. Una preparación adecuada puede reducir considerablemente los costes. El Instituto Nacional de Estándares y Tecnología ha identificado varios pasos críticos para gestionar un evento de ciberseguridad como parte del Proceso de Respuesta a Incidentes de Ciberseguridad del NIST.
Los aspectos a tener en cuenta a la hora de crear un plan de incidentes de seguridad engloban la preparación y análisis de las brechas de seguridad de datos e incidentes de seguridad y su posterior gestión.
La preparación para un incidente eliminará la confusión y los pasos en falso. La primera etapa es identificar cuál es el equipo de respuesta a incidentes, que debe incluir miembros del equipo técnico, consultores, ejecutivos, al equipo de comunicación, equipo jurídico, fuerzas del orden, etc.
También será necesario establecer una cadena de mando entre todos los miembros del equipo para poder coordinar las respuestas al incidente. Además de contar con la tecnología adecuada se necesitan otros equipos para responder a un incidente. Gran parte de ese equipo deberá residir fuera de la red para que no se vea comprometido en caso de un ataque de ransomware o similar. Del mismo modo, es necesario disponer de copias de seguridad periódicas de los datos y sistemas y almacenarlas fuera de la red, así como realizar simulacros rutinarios de recuperación de sistemas y datos para que el restablecimiento de los sistemas online sea un proceso fluido y sin contratiempos.
Para determinar qué tecnología se necesitará, también hay que conocer los tipos de datos que tenemos en nuestro entorno y cómo fluyen. Se tendrán que identificar los procesos empresariales críticos, los activos sobre los que se asientan esos procesos y si están sujetos a algún tipo de regulación.
Para luchar contra la limitada visibilidad en la red distribuida, las herramientas de seguridad y sistemas de detección de anomalías deben ser capaces de compartir información para detectar eventos que de otro modo pasarían desapercibidos.
Esto requiere herramientas de seguridad integradas y un sistema centralizado para analizar y correlacionar los datos. Siempre que sea posible, las operaciones del NOC y del SOC deben estar estrechamente integradas para que los sistemas de seguridad tengan una mejor oportunidad de evaluar los datos de la red en tiempo real y detectar comportamientos sospechosos.
Para prepararse para las violaciones de datos y los incidentes de seguridad recomendamos que el equipo de respuesta a incidentes contemple estos pasos: identificar los datos y recursos comprometidos, revise los requisitos normativos que deben cumplirse, determine si es necesario ponerse en contacto con las autoridades, conserve las pruebas en caso de que el incidente se convierta en un problema legal., gestione la cuarentena y la redundancia, rastree la cadena de ataque y forme a sus empleados.
Por otro lado, para evitar la propagación lateral de un incidente a través de la red, las organizaciones deberían contar ya con una segmentación basada en la intención y con políticas de confianza cero. La segmentación basada en la intención separa lógicamente los sistemas, los dispositivos y los datos en función de los requisitos de la empresa, y es fundamental para prevenir un incidente en todo el sistema.
Una vez que se ha detectado el malware u otros elementos de una infracción, hay que asegurarse de que se eliminan por completo de la red. Las herramientas que modifican las bibliotecas, archivos compartidos, aplicaciones o el código -técnica conocida como living off the land– pueden hacer que sea especialmente difícil identificar y eliminar todos los elementos de un ataque. Como resultado, será necesario realizar rápidas mitigaciones para garantizar que el atacante no pueda volver a comprometer el sistema. Esto se logra tomando la información obtenida de los pasos anteriores y abordando inmediatamente los problemas que condujeron a la brecha, como la reconfiguración de un dispositivo, la instalación de un parche que faltara o el restablecimiento de las credenciales comprometidas.
Por último, una vez que se ha contenido y erradicado un incidente, la recuperación debe llevarse a cabo utilizando copias de seguridad realizadas antes del incidente. Los equipos de TI deben ser conscientes de que puede ser difícil eliminar totalmente las amenazas que consiguieron introducirse en los sistemas, especialmente las diseñadas para evadir la detección, por lo que siempre es buena idea aumentar la supervisión de la seguridad durante varias semanas después de la recuperación de una brecha para asegurarse de que la amenaza se elimina por completo.
Para gestionar las brechas de seguridad una vez que se ha producido este incidente, es necesario incorporar a las políticas de seguridad las lecciones aprendidas, reparar los puntos de peligro, encontrar y eliminar el malware oculto y reforzar los casos de la misma debilidad en otras partes de la red.
También es el momento en el que puede ser necesario no sólo examinar a fondo las herramientas y sistemas de seguridad que tenemos instaladas, sino también a las personas y los procesos.
La visibilidad es un elemento crítico de ese proceso. A menudo existen lagunas entre los dispositivos de seguridad, y habrá que evaluar dónde se rompieron las comunicaciones entre sistemas. La falta de correlación de eventos detectados por distintos dispositivos, puede dar lugar a un incidente grave que puede pasar desapercibido durante meses.
Para hacer frente a este reto no sólo se necesita una seguridad coherente en toda la red distribuida, sino también herramientas diseñadas para compartir y correlacionar la información sobre amenazas en tiempo real.
Por último, las lecciones aprendidas deben convertirse en educación para los diferentes grupos de la organización. Si la brecha comenzó con un ataque de phishing, por ejemplo, todos los empleados deben recibir más formación para prevenir futuros incidentes. Del mismo modo, una brecha debida a un fallo en una aplicación desarrollada internamente debería desencadenar una formación sobre las mejores prácticas de seguridad para sus equipos de DevOps.
A menudo, las organizaciones requieren un cambio de mentalidad. Podemos empezar asumiendo que nuestra organización puede haber sido ya vulnerada. Si eso es cierto, ¿qué problemas existen en la arquitectura de seguridad que le impiden verlo? ¿Son sus soluciones capaces de detectar los comportamientos anómalos más sutiles? Responder a estas preguntas, combinado con juegos de guerra regulares, simulacros de respuesta a incidentes, evaluaciones de las capacidades tecnológicas de seguridad actuales y la formación continua, ayudará a minimizar el impacto de un eventual incidente de ciberseguridad.
Fortinet
SE Manager
