El propósito de esta serie de artículos es presentar los retos a los cuales se enfrentan las organizaciones en cuanto a la respuesta a incidentes de seguridad y dar algunas recomendaciones generales de cómo pueden fortalecer sus procesos.

En la actualidad la industria parece estar más abierta a hablar de temas que anteriormente quería mantener en privado: hacking back hoy es parte de la estrategia de ciberdefensa y se acepta que en general todas las organizaciones están expuestas a ataques avanzados, por lo que solo es cuestión de tiempo para que sean penetradas.

Lo anterior provoca que la seguridad cambie sus enfoques; en el pasado se hacía referencia a crear redes de computadoras que pudieran resistir cualquier tipo de ataque, la idea era no ser penetrado, y es ahí donde aspectos como la prevención tomaron mucho protagonismo. Ahora el paradigma se ha transformado y nos ha llevado a diseñar redes de computadoras que sabemos serán penetradas por ataques tradicionales y avanzados, por lo que deben ser monitoreadas constantemente para poder identificar de la manera más rápida y oportuna cuando son penetradas y actuar minimizando el impacto de la intrusión.

En este punto la detección vuelve a ponerse de relieve, sin embargo trae los mismos problemas del pasado respecto a falsos positivos; al final pareciera que todo aquello que la detección nos prometió hacer hace años comienza a ser posible gracias a los avances tecnológicos con los que hoy se cuenta.

Lo que es un hecho es que las amenazas actuales son dinámicas, multi-vectores, no se limitan al uso de malware y están diseñadas para evadir las restricciones de seguridad tradicionales y avanzadas. Incluso podemos asegurar que los actores que están detrás de muchos de los ataques son profesionales que han sido entrenados hasta por gobiernos, por ello, si las amenazas son dinámicas y detrás de ellas hay personal altamente capacitado, nuestras capas de protección deberían ser dinámicas también y operadas por personal altamente capacitado.

Si tuviéramos que referirnos al proceso que nos ayudará en la protección de las amenazas avanzadas, este debería ser el de respuesta a incidentes de seguridad, dado que su naturaleza es preparar a la organización para entender y saber cómo debe responder. En el artículo Embedding Incident Response into the DNA of the Organization[1] Sean Mason nos ayuda a entender que si no logramos que la respuesta a incidentes sea parte del ADN de la organización, resultará muy complicado enfrentarnos no solo a amenazas tradicionales sino también a las avanzadas, incluso Bruce Schneider[2] escribió un artículo respecto al futuro de la respuesta a incidentes y las capacidades que se deberían generar.

Cuando se habla de respuesta a incidentes, existen diversos marcos como NIST SP800-61[3] y los lineamientos del CERT. En general todos ellos abordan las fases de la respuesta a incidentes de seguridad, las cuales se describen en la imagen siguiente:

Fases del proceso de respuesta a incidentes de seguridad

 

Con un acercamiento tradicional cada una de las etapas podría ser lineal, sin embargo cuando sabemos que las amenazas cambian constantemente y cuando nos concientizamos de que cada día surgen nuevos vectores de ataque, estas fases no deben asumirse tan lineales y un acercamiento más correcto podría ser el mostrado en la imagen siguiente:

Fases del proceso dinámico de respuesta a incidentes de seguridad

La fase central de la respuesta a incidentes debería ser la primera y se llama preparación; en esta fase se crean aquellas capacidades que permitirán responder de manera correcta ante un incidente. La preparación se vuelve crítica ya que será el fundamento sobre el cual se base toda la estructura, además de que será aquella que alimente cada etapa posterior de capacidades.

Las recomendaciones para lograr una fase de preparación adecuada son las siguientes:

  • Establecer un grupo multidisciplinario para fungir como CSIRT: las organizaciones que cuentan con un equipo CSIRT por lo regular lo visualizan como un rol que pueden tomar diferentes personas en caso de requerirse; sin embargo, este enfoque puede no ser el más indicado puesto que hoy se requiere que las organizaciones tengan personal fijo y dedicado íntegramente a la respuesta a incidentes. Este grupo debe ser interdisciplinario dada la naturaleza de sus funciones, y en él deberían existir al menos los siguientes roles, los cuales pueden ser bajo demanda:

– Relación con medios de comunicación.

– Representante de operaciones.

– Representante de servicios de tecnologías de información.

– Representante de seguridad de la información.

No obstante, de manera adicional debe existir personal dedicado que cubra las siguientes funciones:

– Monitoreo avanzado de seguridad.

– Hunting de amenazas.

– Análisis de malware.

– Pruebas de seguridad.

– Fortalecimiento de sistemas.

– Actividades de Triage.

  • Arquitectura de seguridad dinámica: como parte de la preparación se debería contemplar proponer o desarrollar la nueva arquitectura de seguridad. Cuando de protección contra amenazas avanzadas se trata debemos considerar varios factores de detección, y por lo tanto de protección. Sin llegar a desarrollar estrictamente “seguridad en capas”, se debe monitorear y proteger diversos puntos de la red, entre los cuales los más representativos podrían ser:
  • Perímetro: aunque el perímetro de las organizaciones es cada vez una línea más difusa, debemos seguir protegiendo las entradas y salidas de datos de la organización.
  • Red interna: la detección de anomalías en la red interna debe ser una preocupación, los movimientos laterales que efectúan los atacantes en los mismos segmentos de red tienden a ser el punto ciego para muchas organizaciones, por ello es importante contar con una capa de seguridad ahí.
  • EndPoint: la protección a nivel de endpoint no puede descartarse y debe incluir desde servidores y equipos de cómputo personales hasta dispositivos móviles.

Esta arquitectura debe estar pensada también para proteger los activos cuando están fuera de la organización y contar con una capa de visibilidad de contexto regional y global de las nuevas amenazas, que pudiera ser cubierto con suscripciones de “threat  inteligence”.

  • Mayor visibilidad de lo que sucede: contar con una capa de visibilidad de lo que realmente ocurre en la organización debe ser fundamental; esta capa debe cubrir al menos los siguientes aspectos:
    • Visibilidad en tráfico cifrado.
    • Visibilidad de los equipos que están conectados a la red o que tienen información de la organización.
    • Visibilidad de las vulnerabilidades en los activos tecnológicos (en tiempo casi real o, en su defecto, con ventanas muy cortas de detección).

Antes de terminar, listo a continuación algunos de los principales retos para lograr una adecuada respuesta a los incidentes de seguridad:

  • Personal adecuado: contar con personal calificado tanto en el entendimiento del negocio como en los detalles técnicos siempre será un reto para las organizaciones. Los perfiles requeridos son muy complejos de reclutar pero sobre todo para retenerlos.
  • Presupuestos asignados: cuando la respuesta a incidentes de seguridad se convierte en parte de la organización, uno los beneficios que debiera obtenerse es su propio presupuesto; el reto aquí es cómo se balancea la asignación de recursos para contar con un proceso robusto de respuesta versus los beneficios, que muchas veces parecen intangibles.
  • Visibilidad: lograr una capa de visibilidad de lo que sucede en la organización, que se aproxime a la visualización en tiempo real, siempre es algo difícil de lograr.
  • Correlación: no sé si sea la palabra correcta o si debe ser security analytics, pero si una organización quiere enfrentar de manera correcta las amenazas avanzadas, requiere capacidad no solo de análisis y bitácoras de sistemas, también tiene que integrar aplicaciones que no generan bitácoras, debe incluir análisis de tráfico de red e incluso análisis de datos volátiles. Con esto y con mayor visibilidad incluso podrá llegar a contar con una capa de situational awareness.
  • Entendimiento de los procesos de negocio: en el pasado ha sido crucial entender cómo funciona una organización para poder protegerla, sin embargo, para enfrentar amenazas avanzadas no solo basta conocer, se requiere entender completamente a la organización, sus procesos, puntos débiles y puntos fuertes.

Como se ha manifestado y fundamentado, la respuesta a incidentes debería ser parte integral de toda organización, y si es posible debería convertirse en parte de uno de los procesos base del negocio para garantizar el cumplimiento de sus objetivos. En la siguiente parte me adentraré más en el detalle de las otras fases del proceso de respuesta a incidentes de seguridad.

[1] Mason Sean,

Embedding Incident Response into the DNA of the Organization, 1 de octubre 2014,  http://blog.seanmason.com/2014/10/01/incident-response-muscle-memory

[2] Schneider Bruce,’ The Future of Incident Response, 10 de noviembre 2014, https://www.schneier.com/blog/archives/2014/11/the_future_of_i.html

[3] NIST, Computer Security Incident Handling Guide , agosto 2012, http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf