Imaginemos el registro, log, del sistema de una computadora: este gran centro de procesamiento donde se desglosan todos los cambios en un sistema. La cantidad de información que se genera en un servidor personal al día es innumerable, desde procesos desencadenados de forma intencional por el usuario, hasta aquellos que corren en automático para mantener y hacer funcionar el sistema. Si ahora hablamos del log de una red, la cantidad de información crece al doble por cada equipo interconectado. En el contexto que vivimos actualmente, donde los servicios son dependientes de la estabilidad de un sistema de TI, resulta imposible, a nivel humano, poder analizar el comportamiento de una red (a través de un Centro de Operaciones de Seguridad, o SOC).
De acuerdo a los analistas de Kaspersky Labs, cada día se descubren alrededor de 325,000 nuevas amenazas y tipos de software malicioso. Si no se tiene una clara visión de los riesgos implicados en el sistema de TI de una empresa, sería muy complicado poder analizar y determinar, segundo a segundo, lo que ocurre en cada uno de los equipos. Es por eso que surgen los Centros de Respuesta a Incidentes: con el fin de analizar tanto la infraestructura, como las posibles vulnerabilidades, vectores y códigos maliciosos que pueden atacar a una organización, así como para sugerir pasos y acciones que tomar para asegurar los activos.
Existe un mito respecto a la Respuesta a Incidentes, se suele creer que es un equipo o sistema que tiene la capacidad de arreglar o reparar cualquier ataque (sea una infección por malware, ransomware o brecha de información). Si bien, los Centros de Respuesta tienen la capacidad y las herramientas para atacar dichas fallas, la función de los CRI es mucho más analítca: se enfocan en el porqué se produjo el ataque, tomando en consideración tanto las debilidades propias del sistema como la revisión del vector de entrada, así mismo, también crea una revisión forense del ataque, el cual incluye una descripción del código malicioso usado, como una cronología del evento, con el fin de observar, a gran escala, cómo es que el ataque ocurrió. A partir de esto, se genera un modelo de pasos a seguir, con el fin de remediar el problema detectado y prevenir un ataque similar en el futuro.
En este sentido, la Respuesta a incidentes se compone de tres pasos generales:
Análisis de riesgos y triage
El análisis busca observar cómo se encuentra el sistema de la compañía, desde los equipos de los usuarios, hasta los protocolos de seguridad implementados por el equipo de TI. Esto, con el fin de detectar las debilidades del sistema.
El proceso de triage, así como en medicina, sirve para asignar a los problemas encontrados un orden de urgencia, con el fin de detallar qué puntos del sistema pueden fungir como un vector para un ciberataque o qué vulnerabilidad fue explotada.
Análisis forense
Como su nombre lo indica, es la revisión dada tras un incidente. Se compara el antes y el después del sistema, se revisan las muestras del código malicioso, se genera una cronología del suceso, desde el momento en que se introdujo el malware hasta la explotación de la vulnerabilidad y el incidente. Este análisis busca ofrecer una visión amplia del ataque para determinar los pasos a seguir.
Plan de acción
Son los pasos a seguir, sean a nivel de prevención o de remedio ante un ataque ya realizado. Estos implican tanto protocolos internos que se deben seguir, a nivel de ciberseguridad para los sistemas y el resto de los activos de TI en la empresa, hasta la aplicación y el uso de herramientas especializadas.
El uso de un Centro de Respuesta a Incidentes busca evitar mayores pérdidas a los bienes de las empresas, así como ofrecer una solución eficiente a los problemas detectados, sin importar el tamaño o el giro de tu negocio. El Centro de Respuesta a Incidentes Nordstern-Kasperky, el primero en América y tercero en el mundo, ofrece soluciones y propuestas que se adaptan a tus necesidades. Si crees que existe una brecha en tu negocio o has sido objeto de ataque, ¡contáctanos! Tenemos una solución inteligente para ti.
