Indicadores de Compromiso, clave para detectar y solucionar incidentes de forma ágil

10 de septiembre de 2020

La respuesta rápida y ágil ante incidentes es un aspecto básico para una buena estrategia de ciberseguridad. Poco a poco, cada vez más compañías son conscientes de ello, y eso se demuestra en la evolución favorable que está teniendo el tiempo de remediación.

Esta afirmación la corrobora el último estudio publicado por SANS sobre incident response, en el que se muestra que, por segundo año consecutivo, se ha producido una mejora en la forma en la que los equipos responden ante incidentes. El 67% de los encuestados indica que han pasado de la detección a la contención en menos de 24 horas, un aumento del 6% respecto al año anterior. Además, el 89% de los esfuerzos de remediación suceden dentro del primer mes, un periodo que, dependiendo de la naturaleza del incidente, puede considerarse como razonable. No obstante, y a raíz de estas cifras, aún hay margen de mejora.

Con el fin de asegurar y mantener una infraestructura TI (Threat Intelligence), la estrategia de ciberdefensa tiene que ser capaz de detectar lo antes posible toda la actividad anómala, identificarla y reaccionar rápidamente ante el incidente. Además, también es fundamental llevar a cabo un análisis avanzado de todos los eventos de seguridad para reunir los patrones e información potencialmente maliciosa en lo que se denomina Indicador de Compromiso (IOC), que ayuda dando contexto a la descripción del incidente para que las compañías desgranen la naturaleza del daño que han sufrido y reaccionen ante él.

Búsqueda de IOCs, una necesidad

Teniendo en cuenta la velocidad a la que avanza el cibercrimen, la rapidez con que se detecte y mitigue un incidente es crucial para la supervivencia de cualquier negocio. De cara a agilizar la identificación de dispositivos y la respuesta ante amenazas, contar con un proveedor de servicios que tenga soporte de búsqueda retrospectiva y en tiempo real de IOCs, así como reglas avanzadas para hunting (Yara) en el endpoint, no es una opción a escoger, sino una necesidad.

Pero, ¿a qué se debe esa importancia? Ante un incidente en una organización, la posibilidad de buscar indicadores de compromiso en tiempo real en todo el set de endpoints de la compañía permite agilizar la identificación de los dispositivos que están siendo atacados, y poder tomar las medidas de remediación pertinentes para contener la brecha lo más rápido posible y reducir el tiempo de exposición.

En definitiva, con la búsqueda de IOCs, el equipo de TI y el CISO tienen una mayor visibilidad del entorno y de lo que ocurre, pudiendo adelantarse al problema y ponerle freno antes de que las consecuencias vayan a mayores.

Refuerzo de la estrategia con un plan de Incident Response

El personal de ciberseguridad no solo debe utilizar esos indicadores de compromiso a su favor, sino también reforzar su estrategia con un plan de Incident Response y soluciones punteras que les permitan mantener un enfoque proactivo y atender a las amenazas de manera efectiva.

Para cumplir – y superar – los estándares de efectividad a la hora de responder ante los incidentes de ciberseguridad, hay cinco pasos que se deben tener en cuenta: preparar por adelantado un plan sólido de respuesta que ayude a evitar las brechas; una vez detectada la amenaza, determinar la causa del incidente para intentar contenerlo; evaluar todos los esfuerzos llevados a cabo y necesarios para dar la mejor respuesta (triaje y análisis); contener el daño, erradicarlo y recuperarse ante él; y aplicar los cambios adecuados a la estrategia de ciberseguridad para evitar que vuelva a ocurrir.

Visibilidad e inteligencia al servicio de la respuesta a incidentes

En este contexto en el que se han visto claramente las ventajas de la búsqueda de IOCs y de tener un plan de respuesta y remediación en firme y actualizado para mitigar el daño, es muy importante contar con la tecnología más puntera disponible. Por ejemplo, hay soluciones en el mercado que son capaces de acelerar la respuesta a incidentes y la búsqueda de amenazas malwareless en base a analítica de comportamiento a escala desde la nube.

En este sentido, tecnologías como las librerías de Threat Hunting o los Jupyter Notebooks son recursos que han de estar presentes para dar visibilidad e inteligencia a la búsqueda efectiva de amenazas, a la investigación acelerada y a la actuación sobre el endpoint de forma inmediata. Las investigaciones preconstruidas, los Jupyter Notebooks, favorecen, además, una corta curva de aprendizaje de los analistas y hunters al ser auto explicativas, extensibles y repetibles.

Una detección temprana es, sin duda, el primer paso para contener y erradicar un atacante de la red, pero esto no sirve de nada sin una actuación inmediata en los endpoints como mecanismo de respuesta, y ahí es donde entran en juego herramientas avanzadas que son capaces de amplificar las capacidades del SOC para distinguir entre la actividad esperada y acciones anómalas que pueden indicar la presencia de una amenaza.