Detección y respuesta, gestión de incidentes de extremo a extremo

Publicado el 02 mayo 2023 por Ferranmunoz @ferran_munoz

Ante el resurgimiento y la variedad de ciberataques, las organizaciones y empresas deben adaptar su estrategia y planificar para lo peor. La detección y respuesta a través de la implementación de un SOC (gestionado o no) y un CERT (interno o externo) ya no es una opción.

En un contexto de alta actividad desde hace varios años, las necesidades de ciberseguridad son cada vez mayores. Es necesario que las empresas establezcan estrategias para anticiparse y reaccionar ante los ciberataques. El temido evento de compromiso debe, hoy, ser parte integral de los riesgos identificados y se debe prever un plan de mitigación.

Detectar un incidente lo antes posible permite reducir significativamente su magnitud. La implementación de medios de detección, junto con medios de reacción, permite una gestión óptima de los ciberataques. Este tipo de dispositivos que requieren muchos recursos y habilidades específicas, es interesante externalizar este servicio a empresas especializadas.

Detección o establecimiento de un SOC

El SOC (Centro de Operaciones de Seguridad o centro de seguridad operativa) es un servicio integrado por técnicos encargados de la supervisión, detección y análisis de alertas de incidentes de seguridad.

Para llevar a cabo estas misiones, el SOC se basa en procedimientos técnicos y organizativos, pero también en herramientas para monitorear los sistemas (terminales y servidores), la red, la nube, etc. Los eventos sospechosos de varias fuentes se enriquecen y correlacionan para permitir detección y análisis rápidos y eficientes.

La implementación de un SOC permite gestionar la supervisión de los logs gracias a las tecnologías SIEM (Gerente de eventos de seguridad de la información), para correlacionar información relacionada con amenazas conocidas que son posibles gracias a la Inteligencia de amenazas cibernéticas (CTI), para realizar un primer nivel de respuesta a incidentes con antivirus de nueva generación – del tipo EDR (Detección y respuesta de punto final) o para automatizar acciones de procesamiento tras un incidente de seguridad – habilitado por soluciones tipo SOAR (Orquestación de seguridad, automatización y respuesta).

Con el fin de detectar y reaccionar lo más rápido posible, adaptándonos a las necesidades de cada uno, estos servicios se ofrecen a menudo en días laborables y también 24/7/365.

Reacción o movilización de un CERT

Los equipos de respuesta a incidentes de ciberseguridad, conocidos como CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) o CERT (Equipo de Respuesta a Emergencias Informáticas), están formados por expertos en análisis forense y gestión de crisis. Estos especialistas pueden ser contactados las 24 horas del día, los 7 días de la semana para intervenir en cualquier tipo de incidencia. Su muy alta disponibilidad y habilidades de vanguardia los convierten en una unidad de respuesta de emergencia por derecho propio.

En caso de solicitud, los analistas intervienen directamente sobre el Sistema de Información afectado para recopilar los rastros dejados por el atacante y analizarlos. El objetivo final es reconstruir con precisión el modus operandi del ataque. El análisis pormenorizado del compromiso permite detectar cualquier efecto secundario que estaría ligado al mismo, y que podría impactar en los empleados, secretos profesionales o incluso en los clientes externos de la empresa víctima.

La reactividad y la velocidad de intervención son los elementos clave de esta actividad. Es necesario tomar todas las medidas aguas arriba de un incidente para permitir la intervención más rápida. Ahora se hace necesaria la elección de una empresa especializada en respuesta a incidentes.

¿Por qué elegir al mismo actor para su futuro SOC/CERT?

En caso de externalizar los métodos de detección y respuesta a incidentes de seguridad, la elección de una empresa puede resultar difícil dada la cantidad de jugadores presentes en la actualidad.

Más allá del costo financiero del servicio, es interesante buscar una empresa que ofrezca tanto un servicio de detección (SOC) como un servicio de respuesta a incidentes (CSIRT/CERT).

De hecho, se pueden encontrar varios problemas durante la respuesta a un incidente cuando los actores SOC y CERT no son de la misma empresa: períodos de aviso prolongados, recuperación de información sobre el incidente más compleja (segregación de datos entre clientes no siempre efectiva para permitir un óptimo investigación), posibles tensiones durante los intercambios relacionados con la responsabilidad del incidente y los hallazgos, etc.

El hecho de contratar las dos vertientes, detección y respuesta, con un único actor, no solo simplifica la gestión de estas dos actividades, sino que también facilita y acelera los intercambios entre los dos equipos en caso de incidencia que requiera un escalado.

Además, la estrecha colaboración dentro de la misma empresa permite la mejora continua del servicio prestado. Este intercambio constante permite crear nuevos escenarios de detección de amenazas con el SOC, desarrollados con la información anonimizada recopilada durante las distintas intervenciones del CERT. Esto garantiza capacidades de detección actualizadas complementadas con indicadores de compromiso recientes y relevantes.
____________________________

par Louis Leschallier de LisleGerente CERT en Sinetis,
et Pablo GerfaultConsultor de Seguridad Operacional en Sinetis

¡Felicitaciones, se ha suscrito con éxito a nuestro boletín de noticias!

[