Get best of the week

Sistemas de clase de plataforma de respuesta a incidentes: aplicación y funciones principales

Amigos, en una publicación anterior analizamos documentos internacionales sobre gestión de riesgos de seguridad de la información, y en artículos anteriores examinamos los conceptos básicos de seguridad de la información, discutimos la legislación en el campo de la protección de datos personales y la infraestructura de información crítica . En este artículo, pasamos al plano práctico y hablamos sobre los sistemas IRP diseñados para simplificar y automatizar los procedimientos para responder a incidentes de seguridad de la información. ¡Empecemos!

imagen

Introducción


Como sabemos, en este momento, el número de incidentes de SI, especialmente en grandes empresas, es bastante grande, y cuando responden a ellos, el puntaje es literalmente minutos. Además, no todos pueden permitirse contratar una gran cantidad de especialistas altamente calificados.

Surge la pregunta: ¿cómo ayudar a los analistas de SI (principalmente en L1 y L2) a responder a incidentes y eliminar la carga rutinaria de realizar operaciones similares?

Imagine una situación en la que el sistema SIEM muestra que existe un posible ataque al sistema financiero de los servicios bancarios remotos. Los atacantes pueden robar dinero de las cuentas de la compañía en cualquier momento, y después de eso será difícil devolver el dinero. Después de haber visto dicho incidente, el analista de SOC debe recopilar una gran cantidad de información de respaldo, como el nombre del servidor atacado, el nombre del sistema financiero, aclarar el nombre y los datos de contacto de la persona responsable, y obtener información adicional de él. Si no hay duda de que este incidente es un "combate" y no un falso positivo, entonces el analista debe aislar el servidor atacado de la red de la compañía lo antes posible, bloquear la cuenta comprometida,Informe el incidente al gerente y a otras personas de acuerdo con la matriz de comunicación.

Como puede ver, hay muchas tareas, y todas deben completarse dentro del tiempo estrictamente asignado y los estándares de KPI, por ejemplo, en 10 minutos. Y justo entonces, la Plataforma de respuesta a incidentes (IRP), un sistema para automatizar la respuesta a incidentes de seguridad de la información, puede ayudar a nuestro analista. El sistema IRP ayuda a llevar a cabo una serie de operaciones de rutina para recopilar información adicional, tomar medidas urgentes para contener (contener inglés) y eliminar (erradicar el inglés) amenazas, restaurar (recuperar el inglés) el sistema atacado, notificar a las partes interesadas y también recopilar y estructurar datos Incidentes de seguridad de la información investigados. Además, IRP le permite robotizar y automatizar el mismo tipo de acciones del operador especialista IS, que realiza en respuesta a incidentes de seguridad de la información,lo que ayuda a reducir la carga de trabajo del empleado en términos de realizar operaciones de rutina. Consideremos con más detalle las tareas de responder a incidentes de seguridad de la información realizados por los sistemas IRP.

Procesos de respuesta a incidentes IS


Para comprender cómo y dónde aplicar e implementar correctamente los sistemas IRP, deberíamos ver el proceso de respuesta a incidentes de seguridad de la información en general y pensar cómo automatizarlo. Para hacer esto, pasamos a NIST SP 800-61 , Guía de manejo de incidentes de seguridad informática . De acuerdo con esto, la respuesta a incidentes de SI consiste en varios procesos interrelacionados:

  1. Formación
  2. Detección
  3. Análisis
  4. Contención / Localización
  5. Eliminación
  6. Recuperación
  7. Acciones posteriores al incidente

Considere estos procesos con más detalle en el contexto del uso de sistemas IRP para su automatización.

1. Preparación


La fase de preparación es preliminar y una de las claves. En esta etapa, todo el trabajo organizativo debe realizarse para que las acciones del equipo de respuesta a incidentes de IS estén documentadas y acordadas. Las políticas, los procedimientos y las instrucciones de respuesta deben ser lo más claros, detallados y convenientes posible para que, en el caso de un incidente de alta prioridad, los analistas del equipo de respuesta tengan una comprensión precisa de lo que se debe hacer en una situación dada. Debe realizar capacitaciones regularmente para resolver los pasos definidos en los documentos escritos, así como capacitar al personal de la empresa y al equipo de respuesta en las acciones técnicas y organizativas correctas durante el incidente.

En la etapa de preparación, también se crean y configuran playbooks o runbooks, scripts de respuesta, según los cuales el equipo de respuesta y el sistema IRP tomarán acciones predefinidas según los detalles del incidente. Por ejemplo, en el caso de un incidente de IS de alta prioridad en un sistema particularmente crítico de acuerdo con el libro de jugadas, un miembro del equipo de respuesta debe contactar al líder y a la persona responsable del sistema, y ​​la plataforma IRP debe ordenar aislar este sistema de la red de la compañía para procedimientos adicionales.

Además, en la etapa preparatoria, debe proporcionar al equipo de respuesta a incidentes todo el software y hardware necesarios (es decir, emitir computadoras portátiles, teléfonos inteligentes, instalar las utilidades necesarias en ellos) y también tomar medidas preventivas para evitar incidentes (proteger la red y los dispositivos de la empresa, Establecer herramientas de seguridad de la información, capacitar a los empleados en los conceptos básicos de seguridad de la información. En este momento, la plataforma IRP está ajustada para un uso efectivo: los sistemas de TI y las herramientas de seguridad están conectados a ella, con lo que interactuarán para responder a los incidentes. Como regla, proporcionan la conexión de aquellos sistemas que pueden proporcionar al especialista información adicional en el contexto del incidente, por ejemplo, información sobre los usuarios afectados por el incidente (detalles de contacto, posición, unidad estructural,autoridad) y dispositivos (tipo de sistema operativo, software instalado, función realizada). Además, se conectan herramientas de seguridad que, como parte de la respuesta al incidente, llevarán a cabo tareas para contener y eliminar amenazas, por ejemplo, herramientas de protección de punto final, cortafuegos y sistemas de gestión de red.

Por lo tanto, para cuando ocurra un incidente de seguridad de la información, la compañía debería estar completamente armada: los especialistas en respuesta y el sistema IRP deberían estar en plena preparación para el combate. Esta es una garantía de que incluso si ocurre un incidente, puede localizarse rápidamente y sus consecuencias no serán excesivamente destructivas.

2. Detección


En la etapa de detección, se debe determinar la lista de posibles tipos de incidentes de SI y formular una lista de signos de posibles incidentes. Las señales se pueden dividir en precursores e indicadores de incidentes de seguridad de la información:

  • un precursor es una señal de que puede ocurrir un incidente de seguridad de la información en el futuro;
  • Un indicador es una señal de que un incidente ya ha ocurrido o está ocurriendo en este momento.

Ejemplos de precursores de incidentes de seguridad de la información pueden ser un escaneo fijo de Internet de los puertos abiertos del servidor web de la compañía o la detección de vulnerabilidades en algún sistema de TI. Los ejemplos de indicadores de incidentes de seguridad de la información pueden incluir la aparición de mensajes de herramientas de protección (antivirus, firewall, etc.) sobre un posible ataque, eliminación o modificación no autorizada de datos, la aparición de errores y fallas en el funcionamiento de los sistemas de TI. Se debe prestar atención a las anomalías en el tráfico de la red: ráfagas inesperadas de cierto tipo de tráfico (por ejemplo, DNS) pueden indicar actividad maliciosa. También se debe analizar el comportamiento atípico del usuario: una conexión remota después de horas desde una ubicación inusual puede ser un signo de que una cuenta está comprometida. Por,Para maximizar el uso del sistema IRP en la etapa de detección, debe integrar la plataforma IRP con el sistema SIEM: este paquete proporcionará una transferencia "perfecta" de precursores e indicadores de incidentes desde los sistemas de TI y el equipo de seguridad de la empresa a través de SIEM directamente al sistema IRP, lo que le permitirá Detecte rápidamente los incidentes y tome las medidas adecuadas para responder a ellos en el futuro.

3. Análisis


Durante la fase de análisis de incidentes, la carga principal recae en la experiencia y los conocimientos del analista: tendrá que decidir si el incidente registrado fue "combate" o si fue un falso positivo. Se debe llevar a cabo la identificación y el procesamiento inicial (clasificación): para determinar el tipo de incidente y clasificarlo. A continuación, se determinan los indicadores de compromiso (IoC), se analiza la posible escala del incidente y los componentes de infraestructura afectados, se realiza un examen forense limitado para aclarar el tipo de incidente y los posibles pasos de respuesta adicionales.

En esta etapa, la plataforma IRP proporcionará una asistencia invaluable porque puede proporcionar información contextual importante relacionada con el incidente. Aquí hay un ejemplo: el sistema SIEM informa que el servidor web de la compañía fue atacado, y la vulnerabilidad utilizada solo se aplica a Windows. El analista, mirando la consola IRP, verá de inmediato que el servidor web atacado se está ejecutando en Linux, por lo tanto, el ataque no pudo ser exitoso. Otro ejemplo: un sistema antivirus en una de las computadoras portátiles informó una infección de virus y el posterior acceso a ciertas direcciones IP. El analista, utilizando los datos del sistema IRP, verá que también se observa una actividad de red similar en varios otros dispositivos en la red de la compañía, lo que no significa un solo virus, sino una infección masiva.El incidente tendrá un estado de mayor prioridad, se escalará de acuerdo con la matriz de escalamiento y se destinarán recursos adicionales a su eliminación. La plataforma IRP ayudará a registrar todas las acciones realizadas como parte de la respuesta, así como a automatizar la comunicación y la escalada del incidente.

4. Contención / localización


En la etapa de contención (o localización) de un incidente, la tarea principal es minimizar rápidamente el daño potencial de un incidente de IS y proporcionar un plazo para tomar una decisión sobre la eliminación de la amenaza. Esto se puede lograr, por ejemplo, activando rápidamente reglas prohibitivas más estrictas en el firewall para un dispositivo infectado, aislando el host infectado de la red local de la compañía, desconectando algunos de los servicios y funciones o, finalmente, apagando completamente el dispositivo infectado.

En esta etapa, se utiliza información sobre el incidente obtenido en la etapa de análisis, así como información sobre qué función realiza el activo de TI afectado por el incidente, porque, por ejemplo, cerrar un servidor crítico puede llevar a consecuencias negativas más significativas para la empresa que simplemente reiniciar un dispositivo no crítico servicio en el mismo. En esta situación, la plataforma IRP le dirá nuevamente qué funciones realiza el servidor, cómo y cuándo se puede apagar o aislar (siempre que esta información se haya ingresado en el IRP en la etapa de preparación). Además, en los libros de jugadas del sistema IRP, los escenarios de contención aplicables para cada tipo específico de incidente también deben incluirse en la fase de preparación. Por ejemplo, en el caso de un ataque DDoS, puede que no tenga sentido apagar los servidores atacados,y en caso de infección por virus dentro de un segmento de red, no puede aislar dispositivos en otro segmento. En la etapa de contención, también se realiza un análisis de los detalles del ataque: qué sistema fue atacado por primera vez, qué tácticas, técnicas y procedimientos usaron los atacantes, qué servidores de equipo se usaron en este ataque, etc. La información indicada será recopilada por el sistema IRP: integración con fuentes de inteligencia cibernética (feeds de inteligencia de amenazas en inglés) y motores de búsqueda especializados (por ejemplo,integración con fuentes de inteligencia cibernética (feeds de inteligencia de amenazas en inglés) y motores de búsqueda especializados (p. ej.integración con fuentes de inteligencia cibernética (feeds de inteligencia de amenazas en inglés) y motores de búsqueda especializados (p. ej.VirusTotal , Shodan , Censys , etc.) brindarán una imagen más clara y enriquecida del incidente, lo que ayudará a enfrentarlo de manera más efectiva. En algunos casos, también puede ser necesario obtener datos forenses para la informática forense posterior, y la plataforma IRP ayudará a recopilar dicha información de los dispositivos atacados.

5. Remedio


En la etapa de eliminación del incidente, ya se toman medidas activas para eliminar la amenaza de la red y evitar un nuevo ataque: se elimina el malware, se cambian las cuentas pirateadas (se pueden bloquear temporalmente, se puede cambiar la contraseña o, por ejemplo, se cambia el nombre), se instalan actualizaciones y parches para vulnerabilidades explotadas, se cambian Configuración de seguridad (por ejemplo, para bloquear la dirección IP de los crackers). Las acciones indicadas se realizan para todas las entidades afectadas por el incidente, tanto para dispositivos como para cuentas y programas.

Es extremadamente importante eliminar cuidadosamente las vulnerabilidades que fueron utilizadas por los ciberdelincuentes, ya que la mayoría de las veces, después de ingresar con éxito en una empresa, los piratas informáticos regresan con la esperanza de explotar las mismas deficiencias de su protección. Durante este proceso, la plataforma IRP dará los comandos necesarios a los medios de protección y recopilará los datos faltantes sobre todos los dispositivos afectados por el incidente. Por lo tanto, la velocidad de respuesta a un incidente de seguridad de la información en términos de eliminar la amenaza en sí aumenta significativamente cuando se utiliza un sistema IRP, que será una herramienta excelente para los analistas de seguridad de la información.

6. Recuperación


En la etapa de recuperación, debe verificar la confiabilidad de las medidas de protección tomadas, regresar los sistemas a la operación normal (como siempre), posiblemente restaurando algunos sistemas de las copias de seguridad o instalándolos y reconfigurándolos. En esta etapa, los sistemas IRP ayudarán a recordar todos los dispositivos involucrados en el incidente y la cronología de los eventos, ya que estos datos se almacenan y acumulan en el IRP durante todo el ciclo de investigación del incidente.

7. Actividades posteriores al incidente


En la etapa de las actividades posteriores al incidente (análisis posterior a la raíz), el análisis de la causa raíz debe analizarse para minimizar la probabilidad de un incidente similar en el futuro nuevamente, así como para evaluar la corrección y la oportunidad de las acciones del personal y el equipo de protección. y, posiblemente, para optimizar algunos procedimientos de respuesta y políticas de SI. En caso de un incidente grave, se debe realizar un escaneo extraordinario de la infraestructura en busca de vulnerabilidades, una prueba de lápiz y / o una auditoría no programada de seguridad de la información.

Será lógico utilizar la base de conocimiento agregada para mantener la experiencia de respuesta acumulada, que también se puede hacer en la plataforma IRP, que ya almacena información detallada sobre los incidentes de seguridad de la información y sobre las medidas de respuesta tomadas. En algunos casos, se requiere un informe oficial de incidentes, especialmente si se trata de datos importantes graves o afectados: por ejemplo, la información sobre incidentes informáticos en la infraestructura de información crítica debe enviarse al sistema estatal de SSSOPKA. Para tales fines, algunos sistemas IRP nacionales tienen una API para trabajar con el SOPKA estatal y la capacidad de generar automáticamente informes de incidentes basados ​​en plantillas creadas previamente. Como puedes verIRP es también un depósito universal de información sobre incidentes de seguridad de la información con la capacidad de robotizar la rutina de un especialista en seguridad de la información.


Resumir. Los sistemas IRP son herramientas automatizadas de respuesta a incidentes de seguridad de la información que implementan contramedidas para contrarrestar las amenazas de seguridad de la información de acuerdo con escenarios de respuesta predefinidos. Los escenarios de respuesta se denominan libros de jugadas o runbooks y representan un conjunto de tareas automatizadas para detectar amenazas y anomalías en la infraestructura protegida, responder y contener amenazas en tiempo real. Los escenarios de respuesta actúan sobre la base de reglas personalizables y tipos de incidentes, realizando ciertas acciones dependiendo de los datos entrantes del equipo de seguridad o los sistemas de información. Las plataformas IRP lo ayudan a llevar a cabo una respuesta estructurada y por diario a los incidentes de seguridad de la información según las reglas y políticas.Una vez completada la respuesta al incidente, la plataforma IRP ayudará a crear un informe sobre el incidente y las acciones tomadas para eliminarlo.

Resumiendo lo anterior, podemos concluir que el sistema IRP es una plataforma de respuesta a incidentes de seguridad cibernética diseñada para proteger la información mediante la sistematización de datos sobre incidentes de seguridad de la información y la robotización de las acciones del analista de seguridad de la información. Gracias a las plataformas IRP, los equipos de respuesta a incidentes de seguridad de la información pueden ahorrar significativamente tiempo y esfuerzo en la investigación de incidentes de seguridad de la información, lo que aumenta directamente la eficiencia operativa de los departamentos de seguridad de la información y los centros SOC.

More articles:


All Articles