;preserveAspectRatio(xMidYMid)))
Al responder a un incidente, el tiempo es crítico. Necesita tomar las decisiones correctas, con base en los datos correctos, con los responsables de tomar decisiones correctos, todo en el orden correcto. Tener un proceso bien definido y eficiente es crítico. Automatizar la mayor parte posible de ese proceso reduce el tiempo y mejora la eficacia de los analistas.
Una respuesta a incidentes (IR) bien definida requiere planificación, habilidades, coordinación y automatización para garantizar una respuesta oportuna y precisa. NIST (enlace externo a ibm.com) y SANS (enlace externo a ibm.com) tienen pautas de IR que han resistido el paso del tiempo. El NIST describe un proceso de IR bien definido que consta de estas fases:
- Preparación
- Detección y análisis
- Contención, erradicación y recuperación
- Actividad posterior al incidente
Los playbooks de IBM Security® QRadar® SOAR proporcionan la capacidad de definir un proceso de IR basado en una jerarquía simple de fases, tareas y acciones. Cuando se crea un caso en QRadar SOAR, un playbook define las fases, tareas y acciones necesarias para responder.
QRadar SOAR Playbook Designer facilita la creación de un proceso estándar de respuesta a incidentes o un conjunto de tareas. Las tareas del playbook proporcionan a los analistas orientación sobre cómo completar cada tarea y el orden para realizarlas. Los puntos de decisión permiten que el proceso sea dinámico y se bifurque para incluir tareas adicionales u omitir tareas innecesarias. Durante un incidente, un analista puede agregar manualmente tareas adicionales.
El módulo Qradar SOAR Breach Response proporciona a los analistas tareas específicas de filtraciones, que cubren más de 180 regulaciones de privacidad globales, para ayudarle a cumplir con los requisitos de informes y evitar multas considerables.
Las tareas definen acciones y las acciones pueden ejecutar la automatización, a través de integraciones, con otras herramientas para acelerar el proceso de respuesta. QRadar SOAR puede integrarse con más de 300 soluciones de seguridad. Simplemente puede comenzar definiendo el conjunto de tareas y el orden de ejecución de la tarea, y luego automatizar primero las acciones ejecutadas con más frecuencia.
La detección automatizada de amenazas y la caza de amenazas proporcionan alertas que deben ser revisadas por un analista. El envío de esas alertas a QRadar SOAR crea un caso e inicia el proceso de respuesta a incidentes (IR).
Las tareas ayudan al equipo de seguridad a analizar el sistema infectado y el tráfico de red para el movimiento lateral.
Los manuales ayudan a crear el conjunto adecuado de tareas, que pueden variar según el tipo de incidente o fuente. QRadar SOAR le permite crear playbooks para diferentes tipos de ataques; los playbooks contienen lógica para desencadenar diferentes tareas en función de los atributos del ataque.
Cuanto antes se cree un caso SOAR, más podrá ayudar la automatización a ahorrar tiempo. Las tareas pueden guiar a los nuevos analistas y crear documentación de casos. La función de archivo puede ayudar a limpiar casos antiguos o falsos positivos, manteniendo el sistema limpio, pero permitiendo un registro permanente que siempre puede recuperar.
En esta fase, un analista necesita investigar y determinar si la alerta es real. La guía de tareas puede utilizar acciones para recopilar automáticamente los detalles de varias herramientas conectadas, recabando toda la información relevante. La información se agrega a las tablas de datos de casos, y esto inicia el proceso de documentación de incidentes.
El enriquecimiento puede ser tan simple como ir a un directorio LDAP para agregar el propietario de la computadora portátil al caso o reunir todos los detalles pertinentes de la fuente de alerta (por ejemplo, SIEM, EDR, nube y otras). Al automatizar el enriquecimiento con acciones del playbook, los analistas pueden enfocarse en revisar y confirmar el incidente o marcarlo como un falso positivo.
Si se perdió algún dato, completar el cuestionario de respuesta a la infracción con el número de individuos afectados y sus geografías puede ayudar a determinar las regulaciones aplicables y los tiempos de respuesta asociados y las tareas de reporte.
El tiempo es esencial durante un ataque, y automatizar las acciones ahorra tiempo y reduce la curva de aprendizaje para los nuevos analistas. Con más de 300 integraciones y soporte para estándares abiertos, la automatización de las acciones de contención es la primera prioridad. Una vez que un analista confirma el incidente, un analista puede ejecutar las acciones automática o manualmente. Las acciones en esta fase pueden desconectar un sistema o detener la ejecución de un proceso. Las integraciones con herramientas EDR, como QRadar EDR o CybeReason, también pueden desconectarse de la computadora portátil de un empleado.
Para los sistemas de TI, como una nómina o recursos humanos, las automatizaciones pueden buscar sistemas de TI y propietarios de negocios en una herramienta de gestión de activos, como ServiceNow o SAP. Las automatizaciones pueden enviar un correo electrónico a los propietarios para indicarles que el sistema está infectado y agregar a los propietarios a la tabla de datos de casos con comentarios que los propietarios recibieron por correo electrónico o Slack.
Los playbooks pueden ser dinámicos, por lo que, en caso de un objetivo de alto valor, como una computadora portátil ejecutiva, el tiempo puede ser crítico y los playbooks pueden ejecutar acciones de contención mientras el analista continúa trabajando tareas durante la fase de Enriquecimiento y Validación. Una vez confirmados los detalles del ataque, las acciones pueden automatizar las actualizaciones de una lista de bloqueo de cortafuegos mediante una integración EDR, lo que ayuda a prevenir el movimiento lateral o nuevas entradas, ahorrando tiempo a los analistas.
Durante esta fase, los equipos de seguridad pueden facilitar las acciones de recuperación restantes y comunicar la resolución de incidentes a todo el equipo. Los analistas pueden automatizar acciones para crear y rastrear solicitudes a TI para rediseñar máquinas o restaurar desde copias de respaldo.
Las integraciones bidireccionales con herramientas, como ServiceNow, permiten a los analistas crear un ticket desde QRadar SOAR y supervisar el progreso. ServiceNow puede actualizar el caso cuando se completa el ticket de ServiceNow. También puedes automatizar acciones que soliciten su solución EDR, como QRadar EDR, Carbon Black o SentinelOne, para volver a poner el sistema en línea.
Lecciones aprendidas
Los informes resumen la documentación de cada respuesta y acción tomada. Un informe del incidente resumirá la revisión para garantizar que toda la documentación adecuada forme parte del caso. En caso de filtración de datos, la revisión de la normativa aplicable ayuda a las organizaciones a cumplir los plazos de notificación asociados.
Los analistas revisan las fases y documentan cualquier problema que deba actualizarse para mejorar la respuesta ante incidentes en el futuro. Esto es cuando un analista documentaría y recomendaría mejoras, como cambiar la frecuencia de las copias de respaldo o revisar las tareas manuales agregadas al caso que deberían agregarse al playbook para futuros incidentes.
Los informes ayudan a comprender dónde se puede mejorar el proceso de respuesta a incidentes. Los equipos de seguridad pueden usar la plataforma QRadar SOAR para "Generar un informe de incidentes". Desde aquí, los analistas pueden generar un informe sobre un solo incidente o en múltiples incidentes. Pueden usar una plantilla estándar para dar formato al informe o personalizarlo para satisfacer necesidades específicas.
“Con IBM, ahora tenemos una visión precisa del mundo las 24 horas en tiempo real. Podemos ver cada endpoint, cada sistema. Y eso ha hecho que nuestra colaboración entre equipos sea mucho más eficiente”, afirma Robert Oh, director de operaciones de DDI.
“Para que un SOC sea eficaz, la capacidad de priorizar nuestra respuesta a los riesgos de seguridad más urgentes es casi tan importante como la detección. La solución QRadar ha hecho que nuestro equipo sea mucho más efectivo para abordar el panorama de amenazas”, dice Umair Shakil, jefe de la Unidad del Centro de Operaciones de Seguridad del Banco Askari.
“Nuestros servicios de ciberseguridad Netox Trust brindan visibilidad de las incógnitas [de los clientes] y nuestros playbooks les ayudan a responder cuando ocurre un ataque”, dice Marita Harju, gerente sénior de seguridad cibernética de Netox Oy.