Mi IBM Iniciar sesión Suscríbase
¿Qué es la respuesta a incidentes?

¿Qué es la respuesta a incidentes?

Explorar la solución de respuesta a incidentes de IBM Suscríbase al boletín de Think
Ilustración con collage de pictogramas de nubes, teléfono móvil, huella digital, marca de verificación

Actualizado: 20 de agosto de 2024 
Colaboradores: Jim Holdsworth, Matthew Kosinski

¿Qué es la respuesta a incidentes?

¿Qué es la respuesta a incidentes?

Una respuesta ante incidentes (a veces, llamada respuesta ante incidentes de seguridad cibernética) se refiere a los procesos y tecnologías de una organización para detectar y responder a amenazas cibernéticas, violaciones de seguridad o ciberataques. Un plan formal de respuesta a incidentes permite a los equipos de ciberseguridad limitar o prevenir daños.

El objetivo de la respuesta a incidentes es prevenir los ataques cibernéticos antes de que ocurran y minimizar el costo y la interrupción del negocio resultantes de cualquier ataque cibernético que ocurra. La respuesta a incidentes es la parte técnica de la gestión de incidentes, que también incluye la gestión ejecutiva, de RR. HH. y legal de un incidente grave.

Idealmente, una organización define los procesos y tecnologías de respuesta a incidentes en un plan formal de respuesta a incidentes (IRP) que especifica cómo deben identificarse, contenerse y resolverse los diferentes tipos de ataques cibernéticos.

Un plan eficaz de respuesta a incidentes puede ayudar a los equipos de respuesta a incidentes cibernéticos a detectar y contener amenazas cibernéticas, restaurar los sistemas afectados y reducir la pérdida de ingresos, las multas regulatorias y otros costos.

El Informe del costo de una filtración de datos de IBM encontró que tener un equipo de respuesta a incidentes y planes formales de respuesta a incidentes permite a las organizaciones reducir el costo de una filtración en casi medio millón de dólares estadounidenses (USD 473,706) en promedio.

¿Qué son los incidentes de seguridad?

¿Qué son los incidentes de seguridad?

Un incidente de seguridad, o evento de seguridad, es cualquier ruptura digital o física que ponga en peligro la confidencialidad, integridad o disponibilidad de los sistemas de información o datos sensibles de una organización. Los incidentes de seguridad pueden variar desde ataques cibernéticos intencionales por parte de hackers o usuarios no autorizados, hasta violaciones involuntarias de la política de seguridad de TI por parte de usuarios autorizados legítimos.

Algunos de los incidentes de seguridad más comunes incluyen:

  • Ransomware
  • Phishing e ingeniería social
  • Ataques DDoS
  • Ataque a la cadena de suministro
  • Amenazas internas
  • Ataques de escalada de privilegios
  • Ataques de intermediario  

Ransomware

El ransomware es un tipo de software malicioso, o malware, que bloquea los datos o el dispositivo informático de una víctima y amenaza con mantenerlos bloqueados, o algo peor, a menos que la víctima pague un rescate. El último X-Force Threat Intelligence Index de IBM informa que el 20 % de los ataques a la red emplearon ransomware y que los ataques basados en extorsión son una fuerza impulsora de los delitos cibernéticos, solo superados por el robo y las filtraciones de datos.

Phishing e ingeniería social

Los ataques de Phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software maligno, transfieran dinero o activos a las personas equivocadas o tomen otras medidas perjudiciales  .

Los atacantes elaboran mensajes de phishing para que parezcan o suenen como si procedieran de una organización o individuo de confianza y creíble, a veces incluso una persona que el destinatario conoce personalmente.

El phishing y las credenciales robadas o comprometidas son los dos vectores de ataque más frecuentes, según el informe sobre el costo de una filtración de datos de IBM. El phishing también es la forma más común de ingeniería social: un tipo de ataque hacia la naturaleza humana, en lugar de las vulnerabilidades de seguridad digital, para obtener acceso no autorizado a datos o activos confidenciales, personales o empresariales.

Ataques DDoS

En un ataque de denegación de servicio distribuido (DDoS), los hackers obtienen el control de grandes cantidades de computadoras y las utilizan para desbordar la red o los servidores de una organización objetivo con tráfico falso, lo que hace que esos recursos no estén disponibles para los usuarios legítimos.

Ataque a la cadena de suministro

Los ataques a la cadena de suministro son ataques cibernéticos que se infiltran en una organización objetivo atacando a sus proveedores. Por ejemplo, esto podría incluir el robo de datos confidenciales de los sistemas de un proveedor o el uso de los servicios de un proveedor para distribuir malware. .

Amenazas internas

Hay dos tipos de amenazas internas. Los usuarios internos maliciosos son empleados, socios u otros usuarios autorizados que comprometen intencionalmente la seguridad de la información de una organización. Los usuariosinternos negligentes son usuarios autorizados que comprometen involuntariamente la seguridad al no seguir las mejores prácticas de seguridad, por ejemplo, al usar contraseñas débiles o almacenar datos confidenciales en lugares inseguros.

Ataques de escalada de privilegios

Estos involucran a un atacante que primero obtiene privilegios limitados en un sistema y los usa para moverse lateralmente, recibiendo privilegios más altos y obteniendo acceso a datos más confidenciales en el camino. .

Las credenciales robadas pueden ayudar al atacante con el ingreso inicial o con el aumento de sus privilegios. Según el X-Force Threat Intelligence Index, el abuso de cuentas válidas es la forma más común en que los atacantes violan los sistemas en la actualidad.

Ataques de intermediario (MITM)

En un ataque MITM, el actor de amenazas intercepta una comunicación, a menudo un email que contiene información confidencial, como nombres de usuario o contraseñas, y roba o altera esa comunicación. El atacante emplea la información robada directamente o inyecta malware para reenviarlo al destinatario previsto.

Planeación de la respuesta a incidentes

Planeación de la respuesta a incidentes

Los esfuerzos de gestión de incidentes de una organización se guían normalmente por un plan de respuesta a incidentes. Normalmente, los planes son creados y ejecutados por un equipo de respuesta a incidentes de seguridad informática (CSIRT) formado por partes interesadas de toda la organización.

El equipo CSIRT podría incluir al director de seguridad de la información (CISO), al centro de operaciones de seguridad (SOC), a analistas de seguridad y al personal de TI. También puede incluir representantes de la dirección ejecutiva, del departamento jurídico, de recursos humanos, de cumplimiento normativo, de gestión de riesgos y posiblemente expertos externos de proveedores de servicios.

El Informe del costo de una filtración de datos señala que, "Al invertir en la preparación para la respuesta, las organizaciones pueden ayudar a reducir los efectos costosos y disruptivos de las filtraciones de datos, respaldar la continuidad operativa y ayudar a preservar sus relaciones con clientes, socios y otras partes interesadas clave".

Un plan de respuesta a incidentes generalmente incluye:

  •  Un manual de estrategias de respuesta a incidentes que incluye las funciones y responsabilidades de cada miembro del CSIRT a lo largo del ciclo de vida de respuesta a incidentes.

  • Las soluciones de seguridad (software, hardware y otras tecnologías) instaladas en toda la empresa.

  • Un plan de continuidad de negocio que describa los procedimientos para restaurar los sistemas y datos críticos lo más rápido posible en caso de una interrupción.

  • Una metodología de respuesta a incidentes que detalla los pasos específicos que deben tomarse en cada fase del proceso de respuesta a incidentes, y por quién.

  • Un plan de comunicación para informar a los dirigentes de la compañía, los empleados, los clientes y las fuerzas de seguridad sobre los incidentes.

  • Instrucciones para recopilar y documentar información sobre incidentes para revisión post mortem y (si es necesario) procedimientos legales. 

El CSIRT puede redactar diferentes planes de respuesta a incidentes para diferentes tipos de incidentes, ya que cada tipo puede requerir una respuesta única. Muchas organizaciones tienen planes específicos de respuesta a incidentes relacionados con ataques DDoS, malware, ransomware, phishing y amenazas internas. 

Tener planes de respuesta a incidentes personalizados para el entorno o entornos de una organización es clave para reducir el tiempo necesario para responder, remediar y recuperarse de un ataque.

Algunas organizaciones complementan los CSIRT internos con socios externos que brindan servicios de respuesta a incidentes. Estos socios suelen trabajar a comisión y ayudan en diversos aspectos del proceso general de gestión de incidentes, incluida la preparación y ejecución de planes de respuesta a incidentes.

Cómo funciona la respuesta a incidentes

Cómo funciona la respuesta a incidentes

La mayoría de los planes de respuesta a incidentes siguen el mismo marco general de respuesta a incidentes basado en modelos desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST)1 y el SANS Institute2. Los pasos comunes de respuesta a incidentes incluyen:

  • Preparación
  • Detección y análisis
  • Contención 
  • Erradicación
  • Recuperación
  • Revisión posterior al incidente

Preparación

Esta primera fase de respuesta a incidentes también es continua. El CSIRT selecciona los mejores procedimientos, herramientas y técnicas posibles para responder, identificar, contener y recuperarse de un incidente lo más rápido posible y con una interrupción mínima del negocio.

A través de una evaluación periódica de riesgos, el CSIRT identifica el entorno empresarial que se protegerá, las posibles vulnerabilidades de la red y los diversos tipos de incidentes de seguridad que representan un riesgo para la red. El equipo prioriza cada tipo de incidente de acuerdo con su impacto potencial en la organización.  

El CSIRT podría simular varias estrategias de juegos de guerra y ataques diferentes y luego crear plantillas de las respuestas más eficaces para acelerar la acción durante un ataque real. Se puede realizar un seguimiento del tiempo de respuesta para establecer métricas para futuros ejercicios y posibles ataques. Sobre la base de una evaluación de riesgos completa, el CSIRT podría actualizar los planes de respuesta a incidentes existentes o redactar otros nuevos.

Detección y análisis

Durante esta fase, los miembros del equipo de seguridad vigilan la red en busca de actividades sospechosas y amenazas potenciales. Analizan datos, notificaciones y alertas recopilados de registros de dispositivos y diversas herramientas de seguridad (software antivirus, firewall) para identificar incidentes en curso. El equipo trabaja para filtrar los falsos positivos de incidentes reales, clasificando las alertas reales en orden de gravedad.

Hoy en día, la mayoría de las organizaciones emplean una o más soluciones de seguridad, como gestión de eventos e información de seguridad (SIEM) y detección y respuesta de puntos finales (EDR), para monitorear eventos de seguridad en tiempo real y automatizar los esfuerzos de respuesta. (Consulte la sección “Tecnologías de respuesta a incidentes” para obtener más información).

El plan de comunicación también entra en juego durante esta fase. Cuando el CSIRT determinó qué tipo de amenaza o violación está enfrentando, notificará al personal apropiado y luego pasará a la siguiente etapa del proceso de respuesta a incidentes.

Contención

El equipo de respuesta a incidentes toma medidas para impedir que la brecha u otra actividad maliciosa cause más daños a la red. A continuación, se ponen en marcha los planes de respuesta a incidentes de emergencia. Existen dos categories de actividades de contención:

  • Medidas de mitigación a corto plazo se centran en evitar que la amenaza actual se propague aislando los sistemas afectados, por ejemplo, desconectando los dispositivos infectados.

  • Medidas de contención a largo plazo se centran en proteger los sistemas no afectados mediante la colocación de controles de seguridad más estrictos a su alrededor, como la segmentación de las bases de datos confidenciales del resto de la red.

En esta etapa, el CSIRT también podría crear copias de seguridad de los sistemas afectados y no afectados para evitar pérdidas de datos adicionales y capturar pruebas forenses del incidente para su estudio en el futuro.  

Erradicación

Una vez contenida la amenaza, el equipo pasa a la corrección y a la eliminación completas de la amenaza del sistema. Esto podría incluir la eliminación de malware o la expulsión de la red de un usuario no autorizado o malicioso. El equipo también revisa tanto los sistemas afectados como los no afectados para garantizar que no queden rastros de la brecha.   .

Recuperación

Cuando el equipo de respuesta a incidentes está seguro de que la amenaza se erradicó por completo, restaura los sistemas afectados a las operaciones normales. Esta corrección podría implicar el despliegue de parches, la reconstrucción de sistemas a partir de copias de seguridad y la puesta en marcha de sistemas y dispositivos. Se conserva un registro del ataque y su resolución para su análisis y mejora del sistema.

Revisión posterior al incidente

A lo largo de cada fase del proceso de respuesta a incidentes, el CSIRT recopila evidencia de la violación y documenta los pasos que toma para contener y erradicar la amenaza. En esta etapa, el CSIRT revisa esta información para comprender mejor el incidente y recopilar "lecciones aprendidas". El CSIRT busca determinar la causa principal del ataque, identificar cómo violó exitosamente la red y resolver vulnerabilidades para que no vuelvan a ocurrir incidentes de este tipo en el futuro. .

El CSIRT también revisa lo que salió bien y busca oportunidades para mejorar los sistemas, herramientas y procesos y fortalecer las iniciativas de respuesta a incidentes frente a ataques futuros. Según las circunstancias de la filtración, las autoridades podrían participar igualmente en la investigación posterior al incidente. 

Tecnologías de respuesta a incidentes

Tecnologías de respuesta a incidentes

Además de describir los pasos que deben seguir los CSIRT durante un incidente de seguridad, los planes de respuesta a incidentes suelen describir las soluciones de seguridad que los equipos de respuesta a incidentes deben emplear para implementar o automatizar flujos de trabajo clave, como la recopilación y correlación de datos de seguridad, la detección de incidentes en tiempo real y la respuesta a los ataques en curso.

Algunas de las tecnologías de respuesta a incidentes más utilizadas incluyen:

  • ASM (gestión de la superficie de ataque)
  • EDR (detección y respuesta de endpoints)
  • SIEM (Información de seguridad y gestión de eventos)
  • SOAR (orquestación, automatización y respuesta de seguridad)
  • UEBA (análisis del comportamiento de usuarios y entidades)
  • XDR (detección y respuesta ampliadas)

ASM (gestión de la superficie de ataque)

Las soluciones de ASM automatizan el descubrimiento, el análisis, la corrección y el monitoreo continuos de vulnerabilidades y posibles vectores de ataque en todos los activos en la superficie de ataque de una organización . La ASM puede descubrir activos de red previamente no monitoreados y mapear relaciones entre activos.

EDR (detección y respuesta de endpoints)

La EDR es un software diseñado para proteger automáticamente a los usuarios, los dispositivos de endpoint y los activos de TI de una organización contra las amenazas cibernéticas que superan el software antivirus y otras herramientas tradicionales de seguridad endpoint. 

EDR recopila datos de forma continua de todos los puntos finales de la red. También analiza los datos en tiempo real en busca de pruebas de ciberamenazas conocidas o sospechosas y puede responder automáticamente para prevenir o minimizar los daños de las amenazas que identifica.

SIEM (Información de seguridad y gestión de eventos)

SIEM agrega y correlaciona datos de eventos de seguridad de distintas herramientas de seguridad internas (por ejemplo, firewalls, escáneres de vulnerabilidad y fuentes de inteligencia de amenazas) y de dispositivos en la red.

SIEM puede ayudar a los equipos de respuesta a incidentes a combatir la “fatiga de alertas” al distinguir los indicadores de amenazas reales del enorme volumen de notificaciones que generanlas herramientas de seguridad.

SOAR (orquestación, automatización y respuesta de seguridad)

SOAR permite a los equipos de seguridad definir manuales, flujos de trabajo formalizados que coordinan diferentes operaciones y herramientas de seguridad en respuesta a incidentes de seguridad. Las plataformas SOAR también pueden automatizar partes de estos flujos de trabajo cuando sea posible.

UEBA (análisis del comportamiento de usuarios y entidades)

El UEBA emplea análisis de comportamiento, algoritmos de aprendizaje automático y automatización para identificar comportamientos anormales y potencialmente peligrosos de usuarios y dispositivos.

El UEBA es particularmente eficaz para identificar amenazas internas (usuarios internos maliciosos o hackers que utilizan credenciales internas comprometidas) que pueden eludir otras herramientas de seguridad porque imitan el tráfico de red autorizado. Las funciones de UEBA a menudo se incluyen en las soluciones SIEM, EDR y XDR.

XDR (detección y respuesta ampliadas)

XDR es una tecnología de ciberseguridad que unifica herramientas de seguridad, puntos de control, fuentes de datos y telemetría y analytics en todo el entorno de TI híbrido. XDR crea un sistema empresarial único y central para la prevención, detección y respuesta a amenazas. La XDR puede ayudar a los equipos de seguridad y SOC sobrecargados a hacer más con menos eliminando el aislamiento entre las herramientas de seguridad y automatizando las respuestas en toda la cadena de eliminación de amenazas cibernéticas.

La IA y el futuro de la respuesta a incidentes

La IA y el futuro de la respuesta a incidentes

La inteligencia artificial (IA) puede ayudar a las organizaciones a montar una defensa más estable contra las amenazas cibernéticas, al igual que los ladrones de datos y los hackers emplean la IA para potenciar sus ataques. 

El ahorro de costos de usar protección adicional de IA puede ser significativo. Según el Informe del costo de una filtración de datos de IBM , las organizaciones que emplean soluciones de seguridad impulsadas por IA pueden ahorrar hasta USD 2.2 millones en costos de filtración.

Los sistemas de seguridad de nivel empresarial impulsados por IA pueden mejorar las capacidades de respuesta a incidentes a través de:

  • Detección más rápida de anomalías
  • Procesos de respuesta más proactivos
  • Predicción de posibles canales de ataque

Detección más rápida de anomalías

Los sistemas impulsados por IA pueden acelerar la detección y mitigación de amenazas mediante el monitoreo de enormes volúmenes de datos para acelerar la búsqueda de patrones de tráfico sospechosos o comportamientos de los usuarios.

Procesos de respuesta más proactivos

Los sistemas impulsados por IA pueden soportar procesos de respuesta a incidentes más proactivos al proporcionar información en tiempo real al equipo de ciberseguridad, automatizar la clasificación de incidentes, coordinar las defensas contra las ciberamenazas e incluso aislar los sistemas bajo ataque. 

Predicción de posibles canales de ataque

El análisis de riesgos impulsado por IA puede producir resúmenes de incidentes para acelerar las investigaciones de alertas y ayudar a encontrar la causa principal de una falla. Estos resúmenes de incidentes pueden ayudar a pronosticar qué amenazas tienen más probabilidades de ocurrir en el futuro para que el equipo de respuesta a incidentes pueda ajustar un plan más estable para enfrentar esas amenazas.   

Soluciones relacionadas

Soluciones relacionadas

Soluciones de detección y respuesta a amenazas

Aproveche las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

Explorar las soluciones de detección y respuesta a amenazas
IBM Security and Compliance Center

Una suite de soluciones integradas que le permite definir políticas como código, implementar controles para proteger los datos y evaluar la postura de seguridad y cumplimiento en entornos multinube híbridos.

Explorar IBM Security and Compliance Center
Observabilidad de IBM NS1 Connect DNS

Utilice los datos de DNS para identificar rápidamente errores de configuración y problemas de seguridad.

Explorar IBM NS1 Connect
Dé el siguiente paso

Los servicios de ciberseguridad de IBM ofrecen asesoría, integración y seguridad gestionada, junto con capacidades ofensivas y defensivas. Combinamos un equipo global de expertos con tecnología propia y de socios para crear conjuntamente programas de seguridad personalizados que gestionen el riesgo.

Explore los servicios de ciberseguridad Suscríbase al boletín Think
Notas de pie de página

Todos los enlaces se encuentran fuera de ibm.com

1 Cybersecurity Framework's Five Functions(Las cinco funciones del Marco de Ciberseguridad), Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), 26 de febrero de 2024.

2 SANS Whitepaper: Incident Handler's Handbook(Libro Blanco SANS: Manual del Gestor de Incidentes), SANS Institute, 21 de febrero de 2012.