Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Los Incidentes Ocurren y
Los Incidentes Ocurren y
Indicadores de compromiso
En esta lectura, se te presentará el concepto de la pirámide del dolor y
explorarás ejemplos de los diferentes tipos de indicadores de compromiso.
Entender y aplicar este concepto ayuda a las organizaciones a mejorar su
defensa y reduce el daño que un incidente puede ocasionar.
Indicadores de compromiso
Los indicadores de compromiso (IoC) son evidencias observables que
sugieren indicios de un posible incidente de seguridad. Los IoC trazan piezas
específicas de evidencia que están vinculadas con un ataque, como un
nombre de archivo asociado con un tipo de malware. Se puede pensar en un
IoC como evidencia que apunta a algo que ya ha sucedido, como notar que
un objeto de valor ha sido robado del interior de un automóvil.
Los indicadores de ataque (IoA) son la serie de eventos observados que
indican un incidente en tiempo real. Los IoA identifican el comportamiento de
un atacante, incluidos sus métodos e intenciones.
Esencialmente, los IoC ayudan a identificar el quién y el qué de un ataque
después de que haya tenido lugar, mientras que los IoA se centran en
encontrar el por qué y el cómo de un ataque en curso o desconocido. Por
ejemplo, observar un proceso que establece una conexión de red es un
ejemplo de un IoA. El nombre de archivo del proceso y la dirección IP con la
que se contactó el proceso son ejemplos de los IoC relacionados.
Nota: Los indicadores de compromiso no siempre son una confirmación de
que ha ocurrido un incidente de seguridad. Los IoC pueden ser el resultado
de errores humanos, mal funcionamiento del sistema y otras razones no
relacionadas con la seguridad.
Pirámide del dolor
No todos los indicadores de compromiso son igual de importantes para los
profesionales de seguridad y es clave que los conozcan en detalle, para
poder detectarlos y responder a ellos de manera rápida y efectiva. Es por
esto que el investigador de temas de seguridad David J. Bianco creó el
concepto de la pirámide del dolor, que tiene el objetivo de mejorar la forma en
que se utilizan los indicadores de compromiso en la detección de incidentes.
La pirámide del dolor establece la relación entre los indicadores de
compromiso y el nivel de dificultad que los agentes de amenaza deben
enfrentar, cuando los indicadores de compromiso son bloqueados por los
equipos de seguridad. De esta manera, enumera los diferentes tipos de
indicadores de compromiso que los profesionales de seguridad utilizan para
identificar actividades maliciosas.
Cada tipo de indicador de compromiso se clasifica en niveles de dificultad.
Estos representan los niveles de “dolor” que enfrenta un atacante cuando los
equipos de seguridad bloquean la actividad asociada con el indicador de
compromiso. Por ejemplo, el bloqueo de una dirección IP asociada con un
agente de amenaza se etiqueta como fácil porque estos pueden usar sin
dificultad distintas direcciones IP para sortear esto y así continuar con su
ataque. Si los equipos de seguridad logran bloquear los IoC ubicados en la
parte superior de la pirámide, más difícil se vuelve para los atacantes
continuar con su misión. A continuación, se presenta un desglose de los
diferentes tipos de indicadores de compromiso que se encuentran en la
pirámide del dolor.
Conclusiones clave
Los indicadores de compromiso y los indicadores de ataque son fuentes
valiosas de información para los profesionales de seguridad, para detectar
incidentes. La pirámide del dolor es un concepto que se puede utilizar para
comprender los diferentes tipos de indicadores de compromiso y el valor que
tienen a la hora de detectar y detener la actividad maliciosa.
Los analistas de seguridad necesitan expandir el uso de los IoC para poder
agregar contexto a las alertas. La inteligencia sobre amenazas es la
información basada en evidencia que proporciona contexto sobre amenazas
existentes o emergentes. Al acceder a información adicional relacionada con
los IoC, los analistas de seguridad pueden ampliar su punto de vista para
observar el panorama general y construir una narrativa que ayude a informar
sus acciones de respuesta.
VirusTotal
VirusTotal es un servicio que permite a cualquier persona analizar archivos,
dominios, URL y direcciones IP sospechosos en busca de contenido
malicioso. VirusTotal también ofrece servicios y herramientas adicionales
para uso empresarial. Esta lectura se centra en el sitio web de VirusTotal,
que está disponible para uso gratuito y no comercial.
Esta herramienta se puede utilizar para analizar archivos, direcciones IP,
dominios y URL sospechosos, a fin de detectar amenazas de ciberseguridad,
como el software malicioso. Los usuarios pueden enviar y verificar artefactos
como hashes de archivos o direcciones IP para obtener informes de
VirusTotal. Estos proporcionan información adicional sobre si un IoC se
considera malicioso o no, cómo ese IoC está conectado a, o relacionado con,
otros IoC en el conjunto de datos y más.
Recordarás la discusión
acerca de los tipos y herramientas de documentación
que los equipos de seguridad usan al responder a incidentes.
Aquí veremos las ventajas de la documentación
para que entiendas mejor cómo aprovechar la documentación
como profesional de la seguridad.
Como ingeniero de seguridad que ha desarrollado muchas reglas de
detección,
fue fundamental para mí documentar lo que significa que estas se activen,
qué severidad asignarles, qué podría llevar a falsos positivos
y cómo los analistas pueden confirmar que son legítimas.
Sin esta documentación, un equipo de operaciones de seguridad
no puede elevar los casos más allá de uno o dos analistas.
Si algo se documentó, hay un registro de que eso sucedió.
Esto significa que puede accederse a información relevante,
y se conoce como transparencia.
La documentación transparente sirve de evidencia
para los reclamos de seguros,
investigaciones normativas y procedimientos legales.
Verás más procesos de documentación que te ayudarán a lograr esto
en una próxima sección.
La documentación también ofrece estandarización.
Es decir, hay un conjunto de pautas o estándares
que los miembros de una organización pueden seguir
para completar tareas o flujos de trabajo.
Un ejemplo de crear estándares a través de la documentación
consiste en establecer la política,
los procesos y los procedimientos de seguridad de una organización.
Esto ayuda a preservar la calidad del trabajo,
ya que hay un conjunto de reglas a seguir.
La documentación también mejora la claridad.
Cuando es eficaz,
no solo brinda claridad al equipo sobre sus funciones y deberes,
sino que además ofrece información sobre cómo hacer el trabajo.
Por ejemplo, los manuales de estrategias con instrucciones detalladas
previenen la incertidumbre y la confusión
durante la respuesta a incidentes.
En el campo de la seguridad, el cambio es constante.
Los ataques evolucionan y los requisitos regulatorios pueden cambiar.
Por eso es importante mantener, revisar y actualizar
la documentación regularmente para estar al tanto de los cambios.
Como profesional de la seguridad,
posiblemente vayas a tener que combinar la responsabilidad de documentar
y tus demás tareas.
Al dedicar tiempo a escribir tus acciones,
recordarás hechos e información.
Incluso puedes notar brechas
en las medidas que tomaste anteriormente.
El tiempo que dediques a documentar
es valioso no solo para ti sino también para toda tu organización.
Sigamos nuestra charla
sobre cómo la documentación brinda transparencia
con documentos como la cadena de custodia.
En la respuesta a incidentes,
debe haber evidencia de todo el ciclo de vida del incidente.
Rastrear evidencia es importante
si esta se solicita en un procedimiento legal.
¿Cómo garantizan esto los equipos de seguridad?
Utilizan un formulario llamado cadena de custodia.
La cadena de custodia es el proceso
de documentar evidencia, posesión y control
durante el ciclo de vida de un incidente.
Ni bien se recopila la evidencia,
se introducen los formularios de cadena de custodia.
Estos deben completarse con detalles de cómo se manejó la evidencia.
Veamos un ejemplo simple
del uso de la cadena de custodia en el análisis forense digital.
Ya sabes que el análisis forense digital es la práctica de recopilar
y analizar datos para determinar qué sucedió luego de un ataque.
Durante la respuesta a un incidente,
Aisha verificó un disco duro comprometido
que debe el equipo forense examinar.
Primero, ella se asegura que la unidad esté protegida contra escritura,
para que no se editen ni borren los datos.
Luego, calcula y registra una función hash criptográfica
de una imagen del disco duro.
Recuerda que una función hash es un algoritmo que produce un código
que no se puede descifrar.
Aisha recibe instrucción de pasárselo a Colin, del departamento forense.
Colin lo examina y se lo envía a Nav, otra analista.
Nav recibe el disco comprometido y se lo pasa a su gerente, Arman.
Cada vez que el disco duro es entregado a otra persona
deben registrarlo en el formulario de cadena de custodia,
para que el paso de la evidencia sea transparente.
La manipulación de los datos del disco puede detectarse con el hash original
que Aisha documentó al comenzar el proceso.
Esto asegura que haya un rastro de documentos
que describe quién manejó la evidencia y por qué, dónde y cuándo se la
manejó.
Como en otros documentos,
no hay una plantilla estándar
de cómo debe ser el formulario de cadena de custodia,
pero contiene elementos comunes.
Esto es lo que podrías ver
en un formulario de registro de cadena de custodia.
Primero, la evidencia debe estar descrita,
incluyendo información identificatoria como la ubicación,
el nombre del host, la dirección MAC o la dirección IP.
Luego está el registro de custodia,
con nombres de las personas que transfirieron y recibieron la evidencia.
También incluye fecha y hora de recopilación o transferencia
y para qué se transfirió.
Quizás te preguntes qué pasa
si la evidencia se registra incorrectamente.
O si falta una entrada.
Esto se conoce como cadena de custodia rota,
la cual ocurre cuando hay inconsistencias
en la recolección y registro de evidencia
en la cadena de custodia.
En los tribunales, los documentos de cadena de custodia
ayudan a establecer pruebas de la integridad,
confiabilidad y exactitud de la evidencia.
En incidentes de seguridad, los formularios de cadena de custodia
se utilizan para cumplir estándares legales
y que esta evidencia pueda usarse en procesos legales.
Si un agente de amenaza comprometió un sistema,
debe haber evidencia disponible
para determinar sus acciones y que se pueda proceder legalmente.
En algunos casos,
roturas grandes de la cadena de custodia pueden impactar la integridad,
confiabilidad y exactitud de la evidencia.
Esto afecta el hecho de que la evidencia
pueda o no ser una fuente confiable de información
que se pueda usar en tribunales.
Los formularios de cadena de custodia
nos dan un método para mantener evidencia
para responsabilizar a los agentes maliciosos por sus actos.
Prácticas adecuadas para una documentación eficaz
La documentación es cualquier forma de contenido registrado que se utiliza
para un propósito específico, y es esencial en el campo de la seguridad. Los
equipos de seguridad utilizan la documentación para respaldar
investigaciones, completar tareas y comunicar hallazgos. Esta lectura explora
los beneficios de la documentación y te proporciona una lista de prácticas
comunes para ayudarte a crear documentación efectiva en tu carrera en el
campo de la seguridad.
Beneficios de la documentación
Anteriormente, has aprendido sobre distintos tipos de documentación de
seguridad, entre ellos los manuales de estrategias y los informes finales.
Además, sabes que la documentación efectiva tiene tres beneficios:
Transparencia
Estandarización
Claridad
Transparencia
En seguridad, la transparencia es fundamental para demostrar el
cumplimiento de las normativas, regulaciones y procesos internos y dar
cuenta de los requisitos vinculados con los seguros. Además, es esencial
para los procedimientos legales. El proceso de documentar la posesión y el
control de evidencia durante el ciclo de vida del incidente se denomina
cadena de custodia y es un ejemplo de cómo la documentación genera
transparencia y mejora la auditoría.
Estandarización
La estandarización a través de procesos y procedimientos repetibles ayuda a
la mejora continua, a transferir conocimiento y a facilitar la incorporación de
nuevos miembros al equipo. Los estándares son referencias que informan
sobre cómo establecer políticas.
Previamente, has aprendido cómo NIST proporciona varios marcos de
seguridad que se utilizan para mejorar las medidas de seguridad. Del mismo
modo, las organizaciones establecen sus propios estándares para satisfacer
las necesidades de sus negocios. El plan de respuesta a incidentes de una
organización es un ejemplo de documentación que crea estandarización. Al
describir y documentar paso a paso el proceso de respuesta a un incidente,
antes de que este ocurra, el procedimiento queda estandarizado. De esta
manera, ante un incidente, las personas pueden seguir el paso a paso,
manteniendo, así, la consistencia con los procesos y procedimientos
repetibles.
Claridad
Idealmente, la documentación debe proporcionar claridad. La documentación
clara ayuda a las personas a acceder rápidamente a la información que
necesitan y tomar las medidas necesarias. Los analistas de seguridad deben
documentar el razonamiento que respalda cualquier medida que toman, y
dejar en claro a su equipo por qué se elevó a superiores (escaló) o se cerró
una alerta.
Prácticas adecuadas
En tu carrera como profesional de la seguridad, deberás aplicar las mejores
prácticas de documentación. Aquí se detallan algunas pautas generales para
que tengas en cuenta:
Conoce a tu público
Antes de que comiences a crear la documentación, considera a tu público y
sus necesidades. Por ejemplo, un resumen de incidentes escrito para un
gerente de un centro de operaciones de seguridad (SOC) estará redactado
de manera diferente a uno que haya sido elaborado para un director ejecutivo
(CEO). El gerente del SOC puede entender el lenguaje técnico del campo de
la seguridad, pero un CEO podría no hacerlo. Por lo tanto, es necesario que
adaptes tu documento para satisfacer las necesidades de tu público.
Sé conciso
Es posible que se te asigne la tarea de crear documentación larga, como un
informe. Pero cuando resulta demasiado extensa, puede haber resistencia a
utilizarla. Para asegurarte de que tu documentación sea útil, establece el
propósito desde un comienzo. Esto ayuda a las personas a identificar
rápidamente el objetivo del documento. Por ejemplo, los resúmenes
ejecutivos describen los principales hechos de un incidente al comienzo de
un informe final. Este resumen debe ser breve, de manera que pueda leerse
por encima, fácilmente, para identificar los principales hallazgos.
Actualízalo con frecuencia
En seguridad, se descubren y explotan nuevas vulnerabilidades
constantemente. La documentación debe revisarse y actualizarse
regularmente para mantenerse al día con el panorama de amenazas en
evolución. Por ejemplo, después de que se ha resuelto, una revisión integral
de un incidente puede identificar brechas en los procesos y procedimientos
que requieren cambios y actualizaciones. Al actualizar regularmente la
documentación, los equipos de seguridad se mantienen bien informados y los
planes de respuesta a incidentes permanecen actualizados.
Conclusiones clave
La documentación efectiva es beneficiosa para todas las personas de una
organización. Saber cómo crear documentación es una habilidad esencial
que debe tener un analista de seguridad. A medida que avanzas en tu
proceso para convertirte en profesional de la ciberseguridad, asegúrate de
considerar estas prácticas para crear documentación efectiva.
El proceso de triaje
Anteriormente, aprendiste que el triaje se utiliza para evaluar alertas y asignar
prioridad a incidentes. En esta lectura, explorarás el proceso de triaje y sus
beneficios. Como analista de seguridad, serás responsable de analizar
alertas de seguridad. Tener las habilidades para llevar a cabo el triaje de
manera efectiva es importante porque te permite atender y resolver las
alertas de seguridad de manera eficiente.
El proceso de triaje
Los incidentes pueden tener el potencial de causar un daño significativo a
una organización. Los equipos de seguridad deben responder de manera
rápida y eficiente para prevenir o limitar el impacto de un incidente antes de
que sea demasiado tarde. El triaje es la priorización de incidentes en función
de su nivel de importancia o urgencia. El proceso de triaje ayuda a los
equipos de seguridad a evaluar y priorizar las alertas y asignar recursos de
manera efectiva para que los problemas más críticos se atiendan primero.
El proceso de triaje consta de tres pasos:
Recibir y evaluar
Asignar prioridad
Recopilar y analizar
Recibir y evaluar
Durante esta primera etapa del proceso de triaje, un analista de seguridad
recibe una alerta de, por ejemplo, un sistema de detección de intrusiones
(IDS). Es posible que recuerdes que un IDS es una aplicación que monitorea
la actividad del sistema y alerta sobre posibles intrusiones. Luego, el analista
revisa la alerta para verificar su validez y asegurarse de que la entiende en su
totalidad.
Esto implica recopilar la mayor cantidad de información posible sobre la
alerta, incluidos, entre otros, los detalles sobre la actividad que desencadenó
la alerta y los sistemas y activos involucrados. Aquí te presentamos algunas
preguntas para tener en cuenta al verificar la validez de una alerta:
Asignar prioridad
Una vez que la alerta se ha evaluado y verificado adecuadamente como un
problema de seguridad genuino, debe priorizarse en consecuencia. Los
incidentes difieren en su impacto, tamaño y alcance, lo que afecta los intentos
de respuesta. Para administrar el tiempo y los recursos, los equipos de
seguridad deben priorizar la forma en que responden a varios incidentes, ya
que no todos son iguales. A continuación, se detallan algunos factores a
considerar al determinar la prioridad de un incide:
Conclusiones clave
El triaje permite a los equipos de seguridad priorizar los incidentes según su
nivel de importancia o urgencia. El proceso de triaje es importante para
garantizar que una organización cumpla con sus objetivos de respuesta a
incidentes. Como profesional de la seguridad, es probable que lo utilices para
responder y resolver incidentes de manera efectiva.
Lecciones aprendidas
Después de que una organización ha contenido un incidente, lo ha erradicado
y se ha recuperado con éxito, el incidente llega a su fin. Sin embargo, esto no
significa que haya terminado el trabajo de los profesionales de la seguridad.
Los incidentes brindan a las organizaciones y sus equipos de seguridad la
oportunidad de aprender de lo que sucedió y priorizar formas de mejorar el
proceso de manejo de incidentes.
Esto se hace generalmente a través de una reunión sobre lecciones
aprendidas, también conocida como análisis retrospectivo o revisión post
incidente (post-mortem). Una reunión sobre lecciones aprendidas convoca a
todas las partes involucradas luego de un incidente importante. Dependiendo
del alcance que haya tenido, se pueden programar varias reuniones para
recopilar datos suficientes. El propósito de esta reunión es analizar el
incidente en su totalidad, evaluar las medidas de respuesta e identificar
cualquier área a mejorar. Su objetivo no es echar culpas sino ofrecer a la
organización y a su personal la oportunidad de aprender y mejorar. Esta
reunión debe programarse a más tardar dos semanas después de que un
incidente haya sido remediado con éxito.
No todos los incidentes requieren su propia reunión sobre lecciones
aprendidas. El tamaño y la gravedad de un incidente dictarán si es necesario
llevarla a cabo. Los incidentes importantes, como los ataques de
ransomware, sí deben revisarse en una reunión sobre lecciones aprendidas
específica, a la que asisten todas las partes que intervinieron en cualquier
aspecto del proceso de respuesta al incidente. Algunos ejemplos de las
preguntas que se tratan en esta reunión son:
¿Qué sucedió?
¿Quién lo descubrió?
¿Cómo se contuvo?
Resumen ejecutivo: Un resumen de alto nivel del informe que incluye las
principales conclusiones y los hechos esenciales relacionados con el
incidente
Contención: Acto de limitar que un incidente se extienda para prevenir los daños
adicionales que pudiera causar.
Honeypot: Sistema o recurso vulnerable a los ataques creado como señuelo para atraer
a posibles intrusos.
Manual de estrategias: Guía que proporciona detalles sobre cualquier acción operativa.
Plan de continuidad del negocio (BCP): Documento que describe los procedimientos
para mantener las operaciones comerciales durante y después de una interrupción
significativa.
Recuperación: Proceso por el que los sistemas afectados vuelven a funcionar con
normalidad.
Reunión sobre lecciones aprendidas: Reunión en la que participan todas las partes
implicadas tras un incidente grave.
Sistema de detección de intrusiones (IDS, por sus siglas en inglés): Aplicación que
monitorea la actividad del sistema y alerta sobre posibles intrusiones.
VirusTotal: Servicio que permite a cualquier persona analizar archivos, dominios, URL y
direcciones IP sospechosas en busca de contenido malicioso.