¿Qué es la respuesta a incidentes?

El objetivo de la respuesta a incidentes es prevenir ciberataques antes de que ocurran y minimizar el coste y la interrupción del negocio resultantes de cualquier ciberataque que tenga lugar. La respuesta a incidentes es la parte técnica de la gestión de incidentes, que también incluye la gestión ejecutiva, de RR. HH. y legal de un incidente grave.

Lo ideal es que una organización defina los procesos y tecnologías de respuesta a incidentes en un plan formal de respuesta a incidentes (IRP) que especifique cómo identificar, contener y resolver los distintos tipos de ciberataques.

Un plan de respuesta a incidentes eficaz puede ayudar a los equipos de respuesta a ciberincidentes a detectar y contener ciberamenazas, restaurar los sistemas afectados y reducir la pérdida de ingresos, las multas reglamentarias y otros costes.

El informe "Cost of a Data Breach" de IBM reveló que contar con un equipo de respuesta a incidentes y planes formales de respuesta a los mismos permite a las organizaciones reducir el coste de una vulneración en casi medio millón de dólares estadounidenses (473 706 de dólares) de media.

Un incidente o evento de seguridad es cualquier vulneración digital o física que pone en peligro la confidencialidad, integridad o disponibilidad de los sistemas de información o datos sensibles de una organización. Los incidentes de seguridad pueden variar desde ciberataques intencionados por parte de hackers o usuarios no autorizados hasta vulneraciones involuntarias de la política de seguridad de TI por parte de usuarios legítimos autorizados.

Algunos de los incidentes de seguridad más comunes incluyen:

El ransomware es un tipo de software malicioso o malware que bloquea los datos o el dispositivo informático de una víctima y amenaza con mantenerlo bloqueado, o peor aún, a menos que la víctima pague un rescate. El último X-Force Threat Intelligence Index de IBM revela que el 20 % de los ataques a la red utilizaron ransomware y que los ataques basados en extorsión son una fuerza impulsora de la ciberdelincuencia, solo superada por el robo de datos y las fugas.

Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para compartir información confidencial, descargar software malicioso, transferir dinero o activos a personas equivocadas o realizar otras acciones perjudiciales.

Los atacantes elaboran mensajes de phishing para que parezcan o suenen como si procedieran de una organización o persona de confianza o creíble, a veces incluso de una persona que el destinatario conoce personalmente.

El phishing y las credenciales robadas o comprometidas son los dos vectores de ataque más frecuentes, según el informe "Cost of a Data Breach" de IBM. El phishing también es la forma más común de ingeniería social, un tipo de ataque que hackea la naturaleza humana, en lugar de las vulnerabilidades de la seguridad digital, para obtener acceso no autorizado a datos o activos personales o empresariales confidenciales.

En un ataque de denegación de servicio distribuido (DDoS), los hackers obtienen el control de un gran número de ordenadores y los usan para saturar la red o los servidores de una organización objetivo con tráfico, lo que hace que esos recursos no estén disponibles para los usuarios legítimos.

Los ataques a la cadena de suministro son ciberataques que se infiltran en una organización objetivo atacando a sus proveedores. Por ejemplo, esto podría incluir el robo de datos confidenciales de los sistemas o de los servicios de un proveedor para distribuir malware.

Hay dos tipos de amenazas internas. Los usuarios internos negligentes son empleados, socios u otros usuarios autorizados que comprometen intencionalmente la seguridad de la información de una organización. Los usuarios internos maliciosos son usuarios autorizados que, sin querer, ponen en peligro la seguridad al no seguir las mejores prácticas de seguridad, por ejemplo, al utilizar contraseñas débiles o almacenar datos confidenciales en lugares inseguros.

Estos implican a un atacante que primero obtiene privilegios limitados en un sistema y los utiliza para moverse lateralmente, recibiendo mayores privilegios y obteniendo acceso a datos más sensibles a lo largo del camino.

Las credenciales robadas pueden ayudar al atacante ya sea con el acceso inicial o aumentando sus privilegios. Según el X-Force Threat Intelligence Index, el abuso de cuentas válidas es la forma más común en la que los atacantes infringen los sistemas en la actualidad.

En un ataque MITM, el actor de amenazas intercepta una comunicación, a menudo un correo electrónico que contiene información confidencial, como nombres de usuario o contraseñas, y roba o altera esa comunicación. El atacante utiliza la información robada directamente o inyecta malware para reenviarlo al destinatario previsto.

Los esfuerzos de una organización para gestionar los incidentes normalmente se guían por un plan de respuesta a incidentes. Por lo general, los planes los crea y ejecuta un equipo de respuesta a incidentes de seguridad informática (CSIRT) compuesto por partes interesadas de toda la organización.

El equipo de CSIRT podría incluir al director de seguridad de la información (CISO), el centro de operaciones de seguridad (SOC), analistas de seguridad y personal de TI. También puede incluir a representantes de la dirección ejecutiva, jurídicos, de recursos humanos, de cumplimiento normativo, de gestión de riesgos y, posiblemente, a terceros expertos de los proveedores de servicios.

El informe "Cost of a Data Breach" señala que "al invertir en la preparación para la respuesta, las organizaciones pueden ayudar a reducir los efectos costosos y disruptivos de las vulneraciones de datos, respaldar la continuidad operativa y ayudar a preservar sus relaciones con clientes, socios y otras partes interesadas clave".

Un plan de respuesta a incidentes suele incluir:

•  Una guía de estrategias de respuesta a incidentes que incluye las funciones y responsabilidades de cada miembro del CSIRT a lo largo del ciclo de vida de la respuesta a incidentes.

• Las soluciones de seguridad, software, hardware y otras tecnologías instaladas en toda la empresa.

• Un plan de continuidad de negocio que describe los procedimientos para restaurar los sistemas y datos cruciales lo más rápido posible en caso de interrupción.

• Una metodología de respuesta a incidentes que detalla los pasos específicos que deben darse en cada fase del proceso de respuesta a incidentes, y quién debe hacerlo.

• Un plan de comunicaciones para informar a los líderes de la empresa, empleados, clientes y las fuerzas del orden sobre los incidentes.

• Instrucciones para recopilar y documentar información sobre incidentes para su revisión post mortem y, en caso necesario, para procedimientos legales.

El CSIRT puede redactar diferentes planes de respuesta a incidentes para diferentes tipos de casos, ya que cada tipo puede requerir una respuesta única. Muchas organizaciones tienen planes específicos de respuesta a incidentes relacionados con ataques DDoS, malware, ransomware, phishing y amenazas internas.

Disponer de planes de respuesta a incidentes personalizados para el entorno o entornos de una organización es clave para reducir el tiempo de respuesta, corrección y recuperación de un ataque.

Algunas organizaciones complementan los CSIRT internos con socios externos que brindan servicios de respuesta a incidentes. Estos socios a menudo trabajan de manera regular y ayudan con diversos aspectos del proceso general de gestión de incidentes, incluida la preparación y ejecución de planes de respuesta a incidentes.

La mayoría de los planes de respuesta a incidentes siguen el mismo marco general basado en los modelos desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST)¹ y el Instituto SANS². Los pasos comunes de respuesta a incidentes incluyen:

Esta primera fase de respuesta a incidentes también es continua. El CSIRT selecciona los mejores procedimientos, herramientas y técnicas posibles para responder, identificar, contener y recuperarse de un incidente lo más rápido posible y con una interrupción mínima del negocio.

Mediante una evaluación periódica de riesgos, el CSIRT identifica el entorno empresarial que debe protegerse, las posibles vulnerabilidades de la red y los diversos tipos de incidentes de seguridad que suponen un riesgo para la misma. El equipo prioriza cada tipo de incidente en función de su impacto potencial en la organización.

El CSIRT puede hacer un "juego de guerra" de varias estrategias de ataque diferentes y luego crear plantillas de las respuestas más efectivas para acelerar la acción durante un ataque real. Se puede realizar un seguimiento del tiempo de respuesta para establecer métricas para futuros ejercicios y posibles ataques. Sobre la base de una evaluación de riesgos completa, el CSIRT podría actualizar los planes de respuesta a incidentes existentes o redactar otros nuevos.

Durante esta fase, los miembros del equipo de seguridad monitorizan la red en busca de actividades sospechosas y posibles amenazas. Analizan los datos, las notificaciones y las alertas recopilados de los registros de los dispositivos y de diversas herramientas de seguridad (software antivirus, firewalls) para identificar los incidentes en curso. El equipo trabaja para filtrar los falsos positivos de incidentes reales, clasificando las alertas reales en orden de gravedad.

Hoy en día, la mayoría de las organizaciones utilizan una o más soluciones de seguridad, como la gestión de eventos e información de seguridad (SIEM) y la detección y respuesta de endpoints (EDR), para monitorizar los eventos de seguridad en tiempo real y automatizar los esfuerzos de respuesta (véase la sección "Tecnologías de respuesta a incidentes" para más información).

El plan de comunicación también entra en juego durante esta fase. Cuando el CSIRT haya determinado el tipo de amenaza o vulneración con la que se enfrenta, notificará al personal adecuado y luego pasará a la siguiente etapa del proceso de respuesta a incidentes.

El equipo de respuesta a incidentes toma medidas para evitar que la vulneración u otra actividad maliciosa causen más daños a la red. Los planes de respuesta a incidentes de emergencia entran entonces en acción. Hay dos categorías de actividades de contención:

• Las medidas de mitigación a corto plazo se centran en evitar que la amenaza actual se propague aislando los sistemas afectados, por ejemplo, desconectando los dispositivos infectados.

• Las medidas de mitigación a largo plazo se centran en proteger los sistemas no afectados mediante la colocación de controles de seguridad más estrictos a su alrededor, como la segmentación de las bases de datos confidenciales del resto de la red.

En esta etapa, el CSIRT podría crear copias de seguridad de los sistemas afectados y no afectados para evitar pérdidas de datos adicionales y obtener pruebas forenses del incidente para su estudio en el futuro.

Después de que se haya contenido la amenaza, el equipo pasa a la corrección y a la eliminación completas de la amenaza del sistema. Esto podría incluir la eliminación de malware o la expulsión de la red de un usuario no autorizado o malintencionado. El equipo también revisa los sistemas afectados y no afectados para ayudar a garantizar que no queden rastros de la vulneración.

Cuando el equipo de respuesta a incidentes está seguro de que la amenaza se ha erradicado por completo, restaura los sistemas afectados a sus operaciones normales. Esta corrección podría implicar la implementación de parches, la reconstrucción de sistemas a partir de copias de seguridad y la puesta en línea de sistemas y dispositivos. Se conserva un registro del ataque y su resolución para su análisis y mejora del sistema.

A lo largo de cada fase del proceso de respuesta a incidentes, el CSIRT recopila pruebas de la vulneración y documenta los pasos que da para contener y erradicar la amenaza. En esta etapa, el CSIRT revisa esta información para comprender mejor el incidente y recopilar “lecciones aprendidas”. El CSIRT trata de determinar la causa raíz del ataque, identificar cómo logró penetrar en la red y resolver las vulnerabilidades para que no se vuelvan a producir incidentes de este tipo.

El CSIRT también revisa lo que salió bien y busca oportunidades para mejorar los sistemas, las herramientas y los procesos para fortalecer las iniciativas de respuesta a incidentes contra futuros ataques. En función de las circunstancias de la infracción, las fuerzas del orden también podrían participar en la investigación posterior al incidente.

Además de describir los pasos que deben dar los CSIRT durante un incidente de seguridad, los planes de respuesta a incidentes suelen describir las soluciones de seguridad que los equipos de respuesta a incidentes deben utilizar para implementar o automatizar flujos de trabajo clave, como la recopilación y correlación de datos de seguridad, la detección de incidentes en tiempo real y la respuesta a ataques en curso.

Algunas de las tecnologías de respuesta a incidentes más utilizadas incluyen:

Las soluciones de ASM automatizan el descubrimiento, el análisis, la corrección y la monitorización continuos de vulnerabilidades y posibles vectores de ataque en todos los activos de la superficie de ataque de una organización. La ASM puede descubrir activos de red previamente no monitorizados y mapear relaciones entre activos.

La EDR es un software diseñado para proteger automáticamente a los usuarios, los dispositivos de endpoints y los activos de TI de una organización contra ciberamenazas que eluden el software antivirus y otras herramientas tradicionales de seguridad de endpoints.

La EDR recopila datos continuamente de todos los endpoints de la red. También analiza los datos en tiempo real en busca de indicios de ciberamenazas conocidas o sospechosas y puede responder automáticamente para prevenir o minimizar los daños de las amenazas que identifique.

SIEM agrega y correlaciona datos de eventos de seguridad procedentes de diversas herramientas de seguridad internas (por ejemplo,firewalls, escáneres de vulnerabilidades e inteligencia de amenazas) y de dispositivos de la red.

La SIEM puede ayudar a los equipos de respuesta a incidentes a combatir la “fatiga de alertas” al distinguir los indicadores de amenazas reales del enorme volumen de notificaciones que generan las herramientas de seguridad.

La SOAR permite a los equipos de seguridad definir guías de estrategias, flujos de trabajo formalizados que coordinan diferentes operaciones y herramientas de seguridad en respuesta a incidentes de seguridad. Las plataformas de SOAR también pueden automatizar partes de estos flujos de trabajo cuando sea posible.

UEBA utiliza análisis de comportamiento, algoritmos de machine learning y automatización para identificar comportamientos anormales y potencialmente peligrosos de usuarios y dispositivos.

El UEBA es eficaz para identificar amenazas internas (es decir, usuarios internos o hackers que utilizan credenciales comprometidas) que pueden eludir otras herramientas de seguridad porque imitan el tráfico de red autorizado. Las funciones UEBA suelen estar incluidas en las soluciones SIEM, EDR y XDR.

La XDR es una tecnología de ciberseguridad que unifica las herramientas, los puntos de control, las fuentes de datos y telemetría y los análisis en todo el entorno de TI híbrido. La XDR crea un sistema empresarial único y central para la prevención, detección y respuesta a amenazas. La XDR puede ayudar a los equipos de seguridad y a los SOC sobrecargados a hacer más con menos, ya que elimina los silos entre las herramientas de seguridad y automatiza las respuestas a lo largo de toda la cadena de eliminación de ciberamenazas.

La inteligencia artificial (IA) puede ayudar a las organizaciones a montar una defensa más sólida contra las ciberamenazas, del mismo modo que los ladrones de datos y los hackers utilizan la IA para potenciar sus ataques.

El ahorro de costes que supone el uso de protección adicional con IA puede ser significativo. Según el informe "Cost of a Data Breach" de IBM, las organizaciones que utilizan soluciones de seguridad impulsadas por IA pueden ahorrar hasta 2,2 millones de dólares en costes de vulneración.

Los sistemas de seguridad de nivel empresarial con IA pueden mejorar las capacidades de respuesta a incidentes mediante:

Los sistemas con IA pueden acelerar la detección y mitigación de amenazas mediante la monitorización de enormes volúmenes de datos para acelerar la búsqueda de patrones de tráfico o comportamientos de los usuarios sospechosos.

Los sistemas con IA pueden respaldar procesos de respuesta a incidentes más proactivos proporcionando conocimientos en tiempo real al equipo de ciberseguridad, automatizando la clasificación de incidentes, coordinando las defensas contra las ciberamenazas e incluso aislando los sistemas atacados.

El análisis de riesgos con IA puede producir resúmenes de incidentes para acelerar las investigaciones de alertas y ayudar a encontrar la causa raíz de un fallo. Estos resúmenes de incidentes pueden ayudar a pronosticar qué amenazas tienen más probabilidades de ocurrir en el futuro para que el equipo de respuesta a incidentes pueda ajustar un plan más sólido para enfrentarse a esas amenazas.