El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Responder a un incidente en materia de IT

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Si hemos implementado planes de seguridad, hemos establecido métodos de respuesta a incidentes y nos hemos preparado para responder ante ellos, solo nos queda acometer dicha tarea. En este vídeo veremos cómo y el porqué de cada fase de respuesta.

Transcripción

Basándonos en el SP800-61 del NIST, las fases operativas de respuesta a incidentes son: detección y análisis, contención y erradicación, y actividades post incidente. Como podemos observar en el gráfico, la gestión de incidentes es un proceso cíclico. Durante los incidentes se aplican procedimientos y soluciones hasta que erradicamos la amenaza y, a continuación, fuera de ese ciclo, reevaluamos el proceso para retroalimentar la fase de preparación, para mejorar los procesos de detección y análisis, y los de contención y erradicación en base a la experiencia obtenida, ya sea a través de incidentes reales o de ejercicios. La primera fase operativa es un proceso que no debe detenerse ni siquiera durante incidentes en curso: es la fase de detección y análisis. Tarea que corresponde al analista del SOC o Centro de Operaciones de Seguridad. El trabajo consiste en analizar registros y buscar evidencias de intrusiones o ataques a la infraestructura. Un proceso 24 por 7. Más allá de los propios procesos en ejecución, también hay que vigilar el tráfico en busca de conexiones entrantes o salientes que puedan revelar exfiltración de información o comunicación entre un posible malware y su centro de control. Los llamados movimientos laterales son desplazamientos entre equipos y cuentas que puede desarrollar un atacante una vez que ha penetrado en nuestra red, algo que también deber ser vigilado. La mayor dificultad de esta fase es el tedioso trabajo de análisis de registros en busca de anomalías que revelen incidentes. Además, hay que tener precaución, ya que no solo se trata de pasar por alto incidentes relevantes. El hecho de disparar falsas alarmas puede suponer también un problema de bloqueo de actividades, activación innecesaria de equipos de respuesta, etc. Incluso mediante herramientas como los sistemas de detección de intrusiones tendremos una alta tasa de falsos positivos, que el analista deberá ser capaz de descartar en base a su experiencia y a la información de que disponga. El tercer gran problema es completar los vacíos de información que puedan existir sobre un incidente y desentramar las potenciales contradicciones que distintas fuentes de información sobre el incidente puedan aportar. Las señales de que hay un incidente en curso son de dos tipos. Los precursores son señales de que algo podría ocurrir en el futuro. Un precursor clásico es un escaneo de puertos, que se correspondería con la fase activa de investigación por parte del atacante. Incluso la comunicación pública de exploits, a los que podemos ser vulnerables, sin que el fabricante del sistema haya podido generar parches de seguridad, son señales precursoras. Los indicadores son señales de que un incidente está teniendo lugar o, en el peor de los casos, que tuvo lugar sin que nos percatásemos de ello. Conexiones o intentos de conexión periódicos a IP desconocidas, pueden revelar comunicación de un malware con su centro de control, por ejemplo. Para que un analista pueda discriminar los precursores e indicadores de incidentes del comportamiento normal, debe estudiar su infraestructura en condiciones normales; debe saber cuál es el comportamiento habitual. De esta forma, las señales que puedan disparar una alarma destacarán más, tanto a los ojos de un analista como de un sistema automatizado de detección. Los sistemas modernos de análisis automatizado emplean analítica de big data para detectar intrusiones e, incluso, amenazas avanzadas persistentes de bajo perfil, cuya actividad está muy distribuida y separada en el tiempo como para levantar sospechas a ojos de un analista que trabaja de forma manual. La inspección en profundidad de paquetes de comunicaciones puede ayudarnos a determinar la actividad que se desarrolla en distintas secciones de la red, dando contexto a precursores e indicadores previamente detectados. Para capturar tráfico en momentos puntuales, se pueden usar herramientas como Wireshark con equipos conectados a puertos espejos de switches, donde se deriven copias del tráfico de ciertas VLAN o de puertos conectados del switch. Para capturas de mayor envergadura, será más aconsejable usar directamente librerías LiPK para UNIX o WinPK para Windows. El analista deberá establecer un nivel de prioridad a cada incidente que sea capaz de identificar, ya que múltiples pueden estar teniendo lugar al mismo tiempo. Ya sea por casualidad o como maniobras de distracción. no se pueden atender los incidentes tal cual llegan y distraer la labor de detección, que no debe detenerse en ningún momento. La primera medida a adoptar, al enfrentarnos a un incidente, debe ser la contención, es decir, evitar que se extienda y propague amplificando el nivel de daños. Preautorizar a los equipos de respuesta a tomar ciertas decisiones ayudará a que puedan contener los incidentes de forma rápida, sin necesidad de perderse en trámites burocráticos excesivos. Por ejemplo, deshabilitar un servicio o desconectar un sistema puede suponer un problema temporal de falta de disponibilidad, pero mantenerlo activo mientras se concede una autorización puede permitir que un ataque se propague incrementando el impacto. La mayor parte de los ataques requerirá de una investigación y recolección de evidencias, que servirán tanto para realimentar los procedimientos de seguridad como para interponer las denuncias o demandas pertinentes ante las autoridades, sin olvidar la posibilidad de generar informes que podamos compartir con las comunidades de ciberseguridad en las que participemos. Si el incidente detectado es grave, se invocarán los procesos de gestión apropiados incluyendo un equipo de respuesta con un responsable que gestione las actuaciones de contención y remediación. Un MIM, M-I-M, o equipo de gestión de incidencias importantes es un equipo autónomo que mediante reuniones periódicas comparten información sobre el incidente y toman decisiones en base a la visión global que entre todos obtienen de la situación. En los casos más graves, como hemos indicado, la investigación y los procesos deberán implicar una recolección de evidencias sobre lo ocurrido para poder cursar posteriores análisis e investigaciones, e incluso para aportarlas como pruebas a peritos informáticos en el curso de acciones judiciales. Todas las evidencias deben estar documentadas y protegidas desde su adquisición hasta la entrega a quien corresponda, garantizando que no son manipuladas en ninguna parte del proceso. Contenida la amenaza, debemos erradicarla y restaurar el estado anterior de servicios. Habrá que eliminar el malware, deshabilitar cuentas afectadas por la brecha, y detectar y corregir las vulnerabilidades que hayan sido aprovechadas durante el ataque. Esta limpieza y neutralización de vulnerabilidades hay que llevarla a cabo en todos los equipos afectados y en los que, aún no habiendo sufrido el incidente, sufran las mismas vulnerabilidades, o en los que las mismas cuentas de usuario estén activas. Obviamente, lo que en ningún momento del proceso hemos debido dejar de hacer, y que tenemos que continuar haciendo trás el cierre de la gestión de un incidente es continuar supervisando la infraestructura por si surgiesen nuevos incidentes, ya que se dan casos en los que uno o varios ataques pueden ser solo distracciones que ocupan al equipo de seguridad mientras un ataque más elaborado y oculto está teniendo lugar.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.