Planeamiento de respuesta a incidentes
Use esta tabla como lista de comprobación para preparar el centro de operaciones de seguridad (SOC) para responder a los incidentes de ciberseguridad.
| ¡Listo! | Actividad | Descripción | Prestación |
|---|---|---|---|
| Tabla de ejercicios principales | Realice los ejercicios principales periódicos de la tabla de incidentes informáticos previsibles que afectan a la empresa y que obligan a la administración de la organización a considerar decisiones difíciles basadas en riesgos. | Establece e ilustra con firmeza la ciberseguridad como un problema empresarial. Desarrolla memoria y aborda decisiones difíciles y decisiones sobre los problemas de derechos en toda la organización. | |
| Determinar las decisiones previas al ataque y los responsables de la toma de decisiones | Como complemento a los ejercicios principales de la tabla, determine las decisiones basadas en riesgos, los criterios para tomar decisiones y quién debe tomar y ejecutar esas decisiones. Por ejemplo: ¿Quién/cuándo/si se debe solicitar ayuda a las fuerzas del orden? ¿Quién/cuándo/si se debe dar de alta a los respondedores de incidentes? ¿Quién/cuándo/si pagar el rescate? ¿Quién/cuándo/si se debe notificar a los auditores externos? ¿Quién/cuándo/si notificar a las autoridades legales sobre privacidad? ¿Quién/cuándo/si notificar a las entidades reguladoras de seguridad? ¿Quién/cuándo/si notificar a la junta directiva o al comité de auditoría? ¿Quién tiene autoridad para apagar cargas de trabajo críticas? |
Define los parámetros de respuesta inicial y los contactos que participarán que simplifican la respuesta a un incidente. | |
| Mantener los privilegios | Por lo general, el asesoramiento puede tener privilegios, pero los hechos son detectables. Entrenar a los responsables clave en el área de incidentes para comunicar asesoramiento, hechos y opiniones con privilegios para que se conserven los privilegios y se reduzca el riesgo. | Mantener los privilegios puede ser un proceso complicado al tener en cuenta la gran cantidad de canales de comunicación, incluido el correo electrónico, las plataformas de colaboración, los chats, los documentos y los artefactos. Por ejemplo, puede usar los centros de reunión de Microsoft. Un enfoque coherente entre el personal del área de incidentes y las organizaciones externas de apoyo puede ayudar a reducir cualquier posible exposición legal. | |
| Consideraciones sobre información privilegiada | Contemple las notificaciones al consejo de administración que se deben tomar para reducir el riesgo de infracciones de los valores. | Las juntas de administración y los auditores externos tienden a apreciar que se disponga de mitigaciones que reducirán el riesgo de transacciones de valores cuestionables durante períodos de vulnerabilidad. | |
| Cuaderno de estrategias de roles y responsabilidades ante incidentes | Establezca roles y responsabilidades básicos que permitan que varios procesos mantengan el foco y avancen. Si el equipo de respuesta es remoto, es posible que deban tener en cuenta consideraciones adicionales para las zonas horarias y la transferencia adecuada a los investigadores. Es posible que tenga que comunicarse entre otros equipos que podrían estar implicados, como los equipos de proveedores. |
Responsable técnico del área de incidentes: siempre en el incidente, sintetizando las entradas y los hallazgos y planeando las siguientes acciones. Enlace de comunicaciones: libera al responsable técnico del área de incidentes de la carga de comunicarse con el consejo de administración para que pueda permanecer implicado en el incidente sin perder el foco. Esta actividad o debe incluir la administración de comunicaciones e interacciones ejecutivas y con otros terceros, como las entidades reguladoras. Registrador de incidentes: libera de la carga de registrar los hallazgos, las decisiones y las acciones de un respondedor de incidentes y genera una rendición de cuentas precisa del incidente de principio a fin. Organizador a futuro: en colaboración con los propietarios de los procesos empresariales críticos, formula actividades de continuidad empresarial y preparativos que contemplen las deficiencias del sistema de información que duren 24, 48, 72, 96 horas o más. Relaciones públicas: en caso de que se produjera un incidente que probablemente llamara la atención del público y, con el organizador a futuro, contempla y redacta enfoques de comunicación pública que aborden los resultados probables. |
|
| Cuadernos de estrategias de respuesta ante incidentes de privacidad | Para satisfacer regulaciones de privacidad cada vez más estrictas, desarrolle un cuaderno de estrategias de propiedad conjunta entre SecOps y la oficina de privacidad. Este cuaderno de estrategias permitirá la evaluación rápida de posibles problemas de privacidad que podrían surgir de incidentes de seguridad. | Es difícil evaluar los incidentes de seguridad para que puedan afectar a la privacidad porque la mayoría de los incidentes de seguridad surgen en un SOC altamente técnico. Los incidentes deben exponerse rápidamente a una oficina de privacidad (a menudo con una expectativa de notificación de 72 horas) donde se determina el riesgo normativo. | |
| Pruebas de penetración | Realice ataques simulados a un momento dado contra sistemas críticos para la empresa, infraestructura crítica y copias de seguridad para identificar puntos débiles en la posición de seguridad. Normalmente, esta actividad la lleva a cabo un equipo de expertos externos centrados en eludir los controles preventivos y sacar a la luz las principales vulnerabilidades. | A la luz de los incidentes recientes de ransomware controlado por personas, las pruebas de penetración se deben realizar en un ámbito mayor de la infraestructura, especialmente la capacidad de atacar y controlar las copias de seguridad de datos y sistemas críticos. | |
| Equipo rojo/Equipo azul/Equipo púrpura/Equipo verde | Realice ataques simulados continuos o periódicos contra los sistemas críticos para la empresa, la infraestructura crítica y las copias de seguridad para identificar puntos débiles en la posición de seguridad. Normalmente, esta actividad la llevan a cabo equipos de ataque internos (equipos rojos) que se centran en probar la eficacia de los controles y equipos de detección (equipos azules). Por ejemplo, puede usar el entrenamiento de simulación de ataque para el XDR de Microsoft Defender para Office 365 y tutoriales y simulaciones de ataques para el XDR de Microsoft Defender para punto de conexión. |
Las simulaciones de ataques de los equipos rojo, azul y púrpura, realizadas adecuadamente, sirven para una gran variedad de propósitos:
El equipo verde implementa cambios en la configuración de seguridad o TI. |
|
| Planeamiento de la continuidad empresarial | En el caso de los procesos empresariales críticos, diseñe y pruebe procesos de continuidad que permitan un funcionamiento mínimo viable de la empresa durante los momentos de deficiencias de los sistemas de información. Por ejemplo, use un plan de copia de seguridad y restauración de Azure para proteger los sistemas empresariales críticos durante un ataque para garantizar una rápida recuperación de las operaciones empresariales. |
|
|
| Recuperación ante desastres | En el caso de los sistemas de información que posibilitan procesos empresariales críticos, debe diseñar y probar escenarios de copia de seguridad y recuperación activo/pasivo y activo/semipasivo, incluidos los tiempos de almacenamiento provisional. | Las organizaciones que realizan compilaciones con equipos sin sistema operativo suelen encontrar actividades que son imposibles de replicar o que no se ajustan a los objetivos de nivel de servicio. Los sistemas críticos que se ejecutan en hardware no compatible muchas veces no se pueden restaurar en hardware moderno. Con frecuencia, no se prueba la restauración de copias de seguridad y se experimentan problemas. Las copias de seguridad pueden estar más tiempo sin conexión puesto que los tiempos de almacenamiento provisional no se han tenido en cuenta en los objetivos de recuperación. |
|
| Comunicaciones alternativas | Prepárese para comunicarse en los escenarios siguientes:
|
Aunque es un ejercicio difícil, determine cómo almacenar información importante inmutablemente en dispositivos y ubicaciones fuera de línea para la distribución a escala. Por ejemplo:
|
|
| Protección, higiene y administración del ciclo de vida | En línea con los 20 principales controles de seguridad del Center for Internet Security (CIS), proteja la infraestructura y lleve a cabo actividades de higiene exhaustivas. | En respuesta a los recientes incidentes de ransomware operado por humanos, Microsoft ha publicado una guía específica para proteger cada etapa de la cadena de eliminación del ciberataque. Esta guía se aplica a las funcionalidades de Microsoft o a las funcionalidades de otros proveedores. Se destaca especialmente:
|
|
| Planeamiento de respuesta a incidentes | Al principio del incidente, decida lo siguiente:
|
Existe una tendencia de emplear todos los recursos disponibles al principio de un incidente en espera de una resolución rápida. Una vez que reconozca o anticipe que un incidente se extenderá durante un largo período de tiempo, tome una postura diferente con el personal y los proveedores que les permita adaptarse para un período más largo. | |
| Respondedores de incidentes | Establezca expectativas claras entre sí. Un formato popular para informar sobre las actividades en curso incluye:
|
Los respondedores de incidentes utilizan diferentes técnicas y enfoques, incluidos el análisis de caja sin conexión, el análisis de macrodatos y la capacidad de generar resultados incrementales. Con unas expectativas claras, se facilitarán unas comunicaciones claras. |
Recursos de respuesta a incidentes
- Introducción a los productos y recursos de seguridad de Microsoft para analistas con y sin experiencia
- Cuadernos de estrategias para obtener instrucciones detalladas sobre cómo responder a métodos de ataque comunes
- Microsoft Defender XDR respuesta a los incidentes
- Microsoft Defender for Cloud (Azure)
- Respuesta a incidentes de Microsoft Sentinel
- Guía del equipo de respuesta a incidentes de Microsoft comparte los procedimientos recomendados para los equipos de seguridad y los líderes
- Guías de respuesta a incidentes de Microsoft ayudan a los equipos de seguridad a analizar la actividad sospechosa
Principales recursos de seguridad de Microsoft
| Resource | Descripción |
|---|---|
| Informe de 2021 sobre defensa digital de Microsoft | Un informe que abarca los aprendizajes de expertos en seguridad, profesionales y defensores de Microsoft para capacitar a personas de todo el mundo para defenderse contra las ciberamenazas. |
| Arquitecturas de referencia de ciberseguridad de Microsoft | Un conjunto de diagramas visuales de arquitectura que muestran las funcionalidades de ciberseguridad de Microsoft y su integración con plataformas en la nube de Microsoft, como Microsoft 365 y Microsoft Azure, y aplicaciones y plataformas en la nube de terceros. |
| Descarga de la infografía Minutes matter (Los minutos son importantes) | Información general sobre cómo ejecuta el equipo de SecOps de Microsoft la respuesta a incidentes para mitigar los ataques en curso. |
| Operaciones de seguridad de Cloud Adoption Framework para Azure | Guía estratégica para los líderes que establecen o modernizan una función de operación de seguridad. |
| Procedimientos recomendados de seguridad de Microsoft para operaciones de seguridad | Cómo utilizar mejor su centro de SecOps para moverse más rápido que los atacantes que tienen como objetivo su organización. |
| Modelo de seguridad en la nube de Microsoft para arquitectos de TI | Seguridad entre plataformas y servicios en la nube de Microsoft para acceso a identidades y dispositivos, protección contra amenazas y protección de la información. |
| Documentación de Microsoft acerca de la seguridad | Guía adicional sobre la seguridad de Microsoft. |