Respuesta de Incidentes

¿Qué es una respuesta de incidentes ?

 

Tener un plan de respuesta acorde supondrá nuestro éxito o fracaso ante cualquier amenaza.

Planificar escenarios que comprometen nuestra seguridad entrena nuestro personal y prepara a las organizaciones a enfrentarse de forma efectiva a la hora de sufrir una intrusión real.  

El siguiente diagrama muestra el proceso continuo que debemos seguir a la hora de crear un plan efectivo sobre la respuesta de incidentes de ciberseguridad.

Preparación

Elaboraremos el esqueleto inicial preparando a la organización para establecer su respuesta de incidentes

Ejemplos:

  • Definicion del departamento de la respuesta a incidentes 
  • Apoyo y participacion de todos los departamentos de la empresa
  • Definir mecanismos de recolecta de evidencias centralizada
  • Elegir una zona horaria homogénea para todos los eventos recolectados.
  • Elaboracion posibles escenarios de amenazas basadas en un analisis de riesgos

Detección / Análisis


Habilitando mecanismos / eventos / indicadores de comportamientos sospechosos / IOC (Indicator of compromise) además de analizar cualquier otra información que aporte valor al departamento de respuesta de incidentes.

La calidad de evidencias reflejará nuestra calidad de respuesta, identificación y respuesta ágil frente las ciber amenazas.

Contener / Erradicar / Recuperar

Estos procesos son destinados a recuperar las operaciones de la organización, si hemos tenido en cuenta este apartado estratégicamente en nuestro inicio de “Preparación” obtendremos resultados positivos.

Contener las amenazas mediante procesos que se puedan adaptar en nuestra organización, mediante reglas de firewall, mediante segmentación de servicios críticos, o mecanismos previos de integridad/confidencialidad en nuestra información sensible.

Erradicar las amenazas se consigue a través del proceso de detección/análisis en la previa fase, el identificar el tipo de ataque permite al segundo nivel actuar de forma contundente, dependiendo de la infección se adaptaran unas u otras medidas de erradicar el ataque.

Recuperar es tarea del departamento TIC, dependiendo de las amenazas se deben de corregir las vulnerabilidades detectadas mediante el parcheo de estas, o corrección en el servicio/código del aplicativo vulnerado, no obstante en ciertas amenazas como por ejemplo en escenarios de “Ransomware” donde no es posible resolver el incidente con rapidez se debe activar un plan de recuperación TI, normalmente con uso de backups verificados libres de infección.

Sin embargo en este tipo de amenazas es importante averiguar:

  • Origen de infección (paciente cero, además del vector de ataque)
  • Posible atribución (quien o desde donde nos han infectado)
  • Post-explotación ( ha habido algún otro ataque una vez explotado el ransomware? )

Estas cuestiones son vitales, en muchas ocasiones ignoradas, que deben ser perseguidas para obtener posibles respuestas.

Post-incidente (buenas prácticas)

Documentar los incidentes es fundamental, además de archivar algunas de las evidencias/casos según las necesidades del cliente.

El reconocido experto de ciberseguridad Bruce Scheiner aporto al sector la similitud de la mentalidad que empleaban los pilotos del ejército del aire Americano denominado como “OODA LOOP”.

¿Qué es OODA LOOP?

O.O.D.A. (del inglés: Observe → Orient → Decide → Act) o ciclo de Boyd, tal y como lo describió por primera vez en los años cincuenta el aviador coronel y teórico de la USAF John Boyd.

 

Si aplicamos esta metodología a la ciberseguridad debemos tener capacidad de observar, orientar, decidir y actuar mientras nuestra seguridad está siendo comprometida, de lo contrario el impacto económico de sufrir un ciberataque es incalculable, la incapacidad de responder acordemente al incidente produce los siguientes daños colaterales:

  • Responsabilidades legales
  • Sanciones económicas
  • Pérdida de confianza del consumidor en la marca, proveedores, baja moral e incluso despidos de personal, fuga de talento.
  • Perdida de clientes estrategicos
  • Perdida de moral general en la marca
  • Aumento de costes TIC

NUESTRO PRODUCTO DE RESPUESTA DE INCIDENTES

“ENIGMABOX”

ENIGMABOX es una solución de respuesta de incidentes de ciberseguridad que se utiliza mediante la integración en la red del cliente a partir de una máquina virtual actuando de inmediato como un recolector de evidencias.

¿Por que ENIGMABOX?

Un departamento TIC en entornos con menos de 1000 empleados opera distinto a un entorno Enterprise, donde estos últimos disponen de soluciones de respuesta de incidentes de ciber seguridad avanzadas, robustas, con modelos maduros y departamentos propios de seguridad internos

ENIGMABOX se especializa en la recolecta de evidencias para el apoyo de primer nivel en la respuesta de incidentes de ciber seguridad para entornos con menos de 1000 empleados, esto significa que hemos automatizado el primer nivel de respuesta crítico, permitiendo poder investigar un incidente de seguridad de una manera, rápida, económica, y con garantías incluso para este tipo de entornos con dotación limitada.

CONTENER

ENIGMABOX logra contener intrusiones activas con un solo click

MACHINE LEARNING

ENIGMABOX analiza anomalias en su red alertando lo realmente vital

EVIDENCIAS

ENIGMABOX aporta datos adicionales sobre las intrusiones

Caso practico, “Iot” Internet of things – respuesta de incidentes

Una organización “ACME” es comprometida mediante un dispositivo (IOT) que ha sido vulnerado.

Enigmabox utiliza indicadores de compromiso en todos sus agentes desplegados incluyendo iOT, permitiendo en esta ocasión a la organización detectar, contener la intrusión.

Nuestras capacidades de alerta varían desde los clásicos envíos por email, administración por Telegram o avisos luminosos utilizando tecnología Philips Hue como a continuación le mostramos. 

Ver vídeo solución ENIGMABOX

Incidentes donde un dispositivo “iot” pudo ser comprometido por un atacante.

Hoja de producto ENIGMABOX

Descripción completa de nuestra solución de respuesta de incidentes de ciberseguridad ENIGMABOX.

Solicita más información sobre este y otros servicios