El control
Proteger la información de la organización, así como su reputación, mediante el desarrollo y la implementación de una infraestructura de respuesta a incidentes (por ejemplo, planes, funciones definidas, capacitación, comunicaciones, supervisión de la administración) para detectar rápidamente un ataque, contener efectivamente el daño y restaurar la integridad de la red y los sistemas.
El ataque
La siguiente imagen, tomada del Instituto Nacional de Estándares y Tecnología (NIST), logra reducir la complejidad de un ataque resumiendo los patrones típicos que conforman la cadena.
Considerando algunos detalles importantes sobre este gráfico:
- A pesar de que el ciclo del ataque es secuencial, los pasos (o un subconjunto de los pasos) suelen ser iterativos a medida que se obtiene nueva información, privilegios y acceso.
- La representación se divide en clasificaciones independientes relativas a las defensas de la organización. Uno para la defensa proactiva que es fundamentalmente la detección y el otro proceso que tiene relación con la recuperación una vez provocado el daño que es necesario, pero que ya es reactivo.
Se considera que la respuesta ante incidentes es básicamente reactiva y que, manejar el ciclo del ataque con relación a la explotación, instalación, control de mando (C2), y objetivos de acción debe considerar un aprendizaje para la mejora del proceso. Después de todo, la respuesta a incidentes está dirigida exclusivamente a restaurar la integridad y funcionalidad de los sistemas, restauración de los datos y la red al erradicar el acceso del atacante, sea este interno o externo.
Dentro de los pasos del ciclo de ataque, hay acciones definidas que se pueden identificar en categorías como movimientos laterales y escalamiento de privilegios . Cada una de estas etapas a menudo tiene indicadores específicos de compromiso (IOC) que pueden servir para rastrear los métodos del atacante y la ruta que utilizo y que permitirían en el futuro eliminar la vulnerabilidad.
A continuación se enumera un patrón típico de comportamiento utilizado para un ataque:
-
Identificación de código abierto, con vulnerabilidades conocidas que permiten utilizar vectores de ataques contra la aplicación de la organización.
-
Crear una infraestructura falsa en un dominio que lo permita, ya sea por ser vulnerable (no lo sabe), o en dominios de arrendamiento de baja reputación, desde donde se lanza el ataque.
-
Generar un ataque masivo “Phishing/Pharming/Troyano” utilizando una base de información obtenida, ya sea por robo de información, o por filtración de un interno.
-
Con esto el atacante podría haber logrado comprometer y tomar control de una o más estaciones/servidores en la red interna. Este punto del ataque es crucial, dado que la organización si se encuentra preparada podría haber detectado el ataque, (Proactividad/Reactividad).
-
Si la organización no detecta el ataque, el cyber delincuente comenzará a escalar privilegios para lograr el objetivo del ataque.
-
En este momento el atacante, intentará utilizar cuentas comprometidas para moverse lateralmente en toda la red, utilizando claves de administradores para tomar el control necesario.
-
El ataque continuará identificando estaciones de trabajo, servidores y usuarios de alto valor (activos), comprometiendo sistemáticamente a cada una de ellos utilizando los privilegios necesarios.
-
Por último, el atacante repetirá los pasos según sea necesario hasta que se haya logrado el objetivo por ejemplo: datos de tarjeta de crédito, bases de datos, activos de alto valor.
Según los estudios informados por Verizon, el 80% de las entidades atacadas durante el 2016, no se enteró en más de 2 meses que había sufrido un ataque a sus activos.Lo que es más grave aún, es que el 7% de las victimas tardó más de un año en detectar que había sido víctima de un ataque y que más de algún activo crítico de su empresa ya estaba expuesto.
Aunque los controles técnicos pueden ser eficaces para identificar la brecha inicial y el ciclo de ataque, esta información sólo es valiosa para una organización si se recoge, analiza y actúa adecuadamente. Por esta razón, que los controles técnicos que actúan en conjunto para apoyar procedimientos de respuesta a incidentes claramente definidos, son fundamentales para minimizar el impacto de un compromiso.
Esto hace la diferencia entre un programa eficaz e ineficaz de respuesta ante incidentes. Ciertamente, la respuesta a los incidentes depende de las herramientas y las técnicas de respuesta activa, pero gran parte de su eficacia está basada en los procedimientos establecidos y el entrenamiento que se imparta en una organización.
Recomendación para actuar
Algunas recomendaciones básicas para crear un programa de respuestas ante incidentes:
-
Mantenga un programa de monitoreo y correlación, que le permitan detectar ataques, sean estos internos o externos. Si le es posible cuente con un servicio de Cyber inteligencia.
-
El monitoreo de eventos debe mantenerse siempre activo (24×7), el atacante buscará identificar gaps en esta actividad.
-
Los responsables de actuar ante este tipo de eventos deben estar entrenados y conocer claramente las acciones que deben adoptar ante la activación de una crisis. No hay tiempo para improvisar ante un evento de esta naturaleza.
-
Las amenazas cambian todos los días, ocúpese en actualizar sus procesos técnicos, administrativos y de monitoreo, de tal forma que le permita estar preparado ante nuevas amenazas.
-
Ejecute pruebas del programa de respuesta ante incidentes en forma periódica a fin de estar preparado. En cada ejercicio ejecute un análisis forensico, a fin de que el equipo pueda incorporar nuevas medidas a su proceso.