En la actualidad, la mayor parte de las empresas manejan información digital y estas deben estar preparadas para proteger dicha información, manejar los incidentes que se presenten y remediarlos.
Por lo cual es necesario que las empresas reduzcan los incidentes que ocurren en la organización y estén preparados para manejar los ataques más comunes[1], pero también deben de estar preparadas para ataques desconocidos. Esto se logra con un equipo de respuesta a incidentes.
Respuesta a incidentes
El manejo de respuesta a incidentes trata de poder manejar incidentes para poder saber que es lo que sucedió durante un incidente, para esto se debe de aplicar una metodología esta consiste en los siguientes pasos:
Preparación: En este paso se deben de evitar incidentes de seguridad, también se debe estar preparado para identificar y responder a incidentes.
Identificación: Se deben de identificar los sistemas comprometidos y aplicar contramedidas.
Contención y adquisición de evidencia: Se debe de adquirir toda la evidencia que se pueda, esto incluye información de memoria, procesos, registros, bitácoras e imágenes de disco de los sistemas. También se debe de analizar la evidencia recolectada para poder saber los eventos sucedidos y aplicar una correcta remediación
Remediación: En base a la evidencia recolectada, se deben de aplicar contramedidas que resuelvan las fallas que permitieron que ocurriera el incidente.
Seguimiento: Se debe de verificar que la remediación funcione, esto se verifica con monitoreo y auditorías.
Progresión del ataque
Para poder saber como actuar ante un incidente, se debe saber como es que actúa generalmente un atacante. Un ataque consiste en algunas fases que se enumeran a continuación.
Reconocimiento: El atacante obtiene toda la información posible de la organización o sistemas que va a comprometer.
Armamentización: Esta fase puede suceder antes o después del reconocimiento, esta fase consiste en poner contenido malicioso en un vehículo de entrega, este puede ser malware, código ofuscado, etc.
Entrega: EL contenido malicioso se hace llegar a la víctima por algún medio, por ejemplo vía correo electrónico.
Compromiso o explotación: Esta es una de las fases cruciales, ya que es cuando la víctima ejecuta el contenido malicioso o es víctima de ingeniería social. Este es el momento en que un equipo de respuesta a incidentes debería detectar que está ocurriendo un incidente.
Comando y control (C2):Esta es la fase en la que un atacante obtiene el control sobre el sistema objetivo, y desea mantenerlo y adquirir información ya sea para extraerla o seguir comprometiendo otros sistemas.
Exfiltración: Es la fase en la que el atacante extrae la información recolectada.
Conclusión
Es importante que se conozca la progresión del ataque para saber como defenderse ante estos, además de que se debe reaccionar rápidamente, ya que en el mejor de los casos un buen ataque se puede detectar hasta la fase de explotación.
[1] NIST SP 800-61