Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Investigar, la tarea más importante en Ciberseguridad
Hemos visto cómo el crimen organizado ha cambiado su modo de operar, encontrando en los ataques extorsivos una fuente de ingresos rápida e interesante. Latinoamérica, igual que otras regiones del mundo, se ha convertido en un mercado atractivo para quienes desean explotar las brechas de seguridad de las empresas.
Esto ha generado cambios en la forma de plantear la Ciberseguridad a nivel global, centrados en la detección temprana como la única opción para mitigar impactos. La industria de la Ciberseguridad ha desarrollado herramientas que permiten una respuesta automatizada y rápida a los incidentes.
Aunque este ecosistema ha mejorado significativamente la detección y respuesta a incidentes, todavía depende en gran medida de cómo se configuren las soluciones. Para tener claridad en esto, es necesario conocer el comportamiento de las amenazas y de los actores maliciosos que usan estos mecanismos para generar ataques.
La detección temprana como la única opción para mitigar impactos.
Por ello, la investigación se convierte en una tarea primordial para los equipos de analistas de ciberseguridad y en una parte integral de las operaciones. El mejor ejemplo se da durante un incidente, donde la recuperación depende totalmente de la investigación que inician los analistas de respuesta de incidentes.
En la práctica, los investigadores de Ciberseguridad pueden tener muchos enfoques. Algunos se dedican a detectar posibles brechas en protocolos o servicios sin que estos estén asociados a incidentes activos. Otros plantean cómo aprovechar servicios o características para generar ataques. Nos enfocaremos en qué debe hacer un investigador durante un incidente.
Qué investigar durante un incidente de seguridad
Durante un incidente los investigadores deben determinar quién, qué, cuándo, dónde y por qué se está realizando el ataque. Para ello, deben ser especialmente observadores, saber qué preguntar y cómo validar la información encontrada o buscada, para entender qué significa cada dato y cómo convertirlo en información valiosa para la investigación.
Latinoamérica, como otras regiones, se ha convertido en un mercado atractivo para quienes desean explotar las brechas de seguridad de algunas organizaciones.
Para resolver estas preguntas, los equipos de respuesta de incidentes siguen metodologías y comparten información bajo esquemas de trabajo en equipo que ayudan a plantear las hipótesis a seguir en la investigación. Por ejemplo, cuando un investigador plantea que una evidencia es un error, otro puede encontrar información valiosa en la misma evidencia. Para no repetir esfuerzos, todo esto se registra en la bitácora de la investigación.
Ahora, imagine a su organización ante una alerta de incidente. Los equipos de seguridad deben iniciar la investigación antes de activar al equipo de DFIR (Digital Forensics Incident Response), quienes deben entrar solo cuando el análisis inicial confirme cinco datos específicos del ataque:
1. ¿Es un ataque real?
El primer paso de los investigadores será confirmar que la alerta sea real. Para esto, se debe recolectar información de las herramientas que generaron la alerta y compararla con los dispositivos que la generaron para verificar su autenticidad.
El otro dato importante que debe surgir del análisis inicial es entregado por la herramienta que genera la alerta, donde se asocia a una táctica o técnica la situación que generó la alerta y su respectiva valoración de riesgo asociada a los activos más críticos de la organización.
2. ¿El ataque generó afectación?
En ocasiones, las alertas se configuran para detectar pasos previos de los atacantes, generando una detección proactiva de la amenaza y dando tiempo a los equipos de respuesta de incidentes para controlar el impacto. Por ello, es muy importante que la investigación inicial determine la afectación a servicios o dispositivos.
La investigación se convierte en una tarea primordial para los equipos de analistas de Ciberseguridad.
Durante un incidente, el equipo de DFIR no reacciona ni atiende igual si la amenaza detectada es antes de la ejecución de un ransomware o si ya todos los equipos han sido cifrados. Esta respuesta debe ser rápida y clara, para así determinar la activación de una investigación en profundidad o, en algunos casos, cerrar el incidente.
3. ¿Qué activos están comprometidos?
En paralelo con la respuesta anterior, es importante que el equipo de investigación determine la cantidad de activos comprometidos y valide su nivel de importancia en relación con la matriz de riesgo y la definición de activos críticos de la organización.
Este análisis permite enfocar la respuesta en contener las acciones dentro de los activos afectados, proteger otros activos importantes e iniciar procesos de búsqueda de amenazas (threat hunting) para detectar otros activos afectados usando los indicadores de compromiso detectados.
Determinar quién, qué, cuándo, dónde y por qué se está realizando el ataque.
4. ¿Qué actividades ejecutó el actor?
No siempre en la revisión inicial es posible contestar totalmente esta pregunta, pero tener claridad sobre por qué se calificó como un incidente real proporciona características de lo que los atacantes ejecutaron. Estos datos son valiosos para determinar si se activa una sala de crisis y con qué nivel de criticidad se califica el incidente, lo cual debe estar directamente asociado al procedimiento de respuesta.
Aunque parezca un trabajo laborioso y largo, este proceso debe ser ejecutado rápidamente por los investigadores, determinando con las herramientas de monitoreo cuáles fueron las acciones reales que activaron la alerta. Esto permite tener una valoración inicial de las actividades que realizó el atacante, para que los equipos de inteligencia y búsqueda de amenazas inicien sus labores.
5. ¿Cómo se debe responder a este ataque?
Únicamente después de tener claro qué hizo el atacante es posible plantear acciones iniciales de contención. Este paso solo debería ser ejecutado por investigadores experimentados que hayan tenido tiempo de tener una visión completa de las acciones realizadas por el atacante. Actuar sin esta base de investigación genera más daños que soluciones.
Los equipos de seguridad deben iniciar la investigación antes de activar al equipo de DFIR.
En una primera respuesta, los investigadores, con la información anteriormente descrita, pueden plantear algunas acciones iniciales, como controlar posibles movimientos del atacante en la red a través de cambios en los segmentos de red generando un aislamiento de los equipos comprometidos, aunque esto depende del tipo de incidente.
Otra medida posible es activar procesos de respuesta automática en los EDR (Endpoint Detection and Response), usando los IoC (Indicadores de Compromiso) e IoA (Indicadores de Ataque) detectados, lo que mitigaría que dispositivos no comprometidos fueran afectados por las acciones ya conocidas.
En conclusión
El proceso de investigación en Ciberseguridad es vital en todos los campos, pero es invaluable el aporte de tener un equipo de investigación de primera respuesta o procedimientos claros sobre cómo actuar ante una alerta que pueda generar un incidente mayor.
Todas las empresas, sin importar su tamaño o tipo de negocio, están expuestas a sufrir un incidente mayor.
La única forma de sobrevivir es tener un equipo de investigación inicial que esté preparado para contestar esas cinco preguntas en el menor tiempo posible, para que las directivas o quienes correspondan en el plan de respuesta puedan tomar las decisiones adecuadas para responder y contener la amenaza.
