Información general sobre la respuesta a incidentes
La respuesta a incidentes consiste en la práctica de investigar y corregir las campañas de ataque activas en su organización. La respuesta a los incidentes forma parte de la disciplina de las operaciones de seguridad (SecOps) y su naturaleza es principalmente reactiva.
La respuesta a incidentes tiene la mayor influencia directa en el tiempo medio total de confirmación (MTTA) y el tiempo medio para corregir (MTTR) que miden la capacidad de las operaciones de seguridad para reducir el riesgo de la organización. Los equipos de respuesta a incidentes dependen en gran medida de las buenas relaciones de trabajo entre los equipos de búsqueda de amenazas, inteligencia y administración de incidentes (si están presentes) para reducir realmente el riesgo. Consulte Métricas de SecOps para más información.
Para más información sobre los roles y responsabilidades de las operaciones de seguridad, consulte Funciones de operaciones de seguridad (SecOps).
Proceso de respuesta a incidentes
El primer paso es tener en funcionamiento un plan de respuesta a incidentes que abarque tanto los procesos internos como los externos para responder a los incidentes de ciberseguridad. El plan debe detallar cómo debe:
- Abordar ataques que varían con el riesgo empresarial y el impacto del incidente, que puede variar desde un sitio web aislado que ya no está disponible hasta poner en peligro las credenciales de nivel de administrador.
- Definir el propósito de la respuesta, como volver al servicio o controlar los aspectos legales o de relaciones públicas del ataque.
- Dar prioridad al trabajo que se debe realizar en términos de cuántas personas deben trabajar en el incidente y sus tareas.
Consulte el artículo Planeamiento de respuesta a incidentes para obtener una lista de comprobación de las actividades que se deben tener en cuenta incluidas en el plan de respuesta a incidentes. Una vez que el plan de respuesta a incidentes esté en funcionamiento, pruebe periódicamente los tipos más graves de ciberataques para asegurarse de que la organización puede responder de forma rápida y eficaz.
Aunque el proceso de respuesta a incidentes de cada organización puede ser diferente en función de su estructura y capacidades organizativas y de su experiencia histórica, tenga en cuenta el conjunto de recomendaciones y procedimientos recomendados en este artículo para responder a incidentes de seguridad.
Durante un incidente, es fundamental:
Mantener la calma
Los incidentes son extremadamente perturbadores y pueden llevar aparejada una cierta carga emocional. Mantenga la calma y céntrese en priorizar sus esfuerzos en las acciones de mayor impacto.
No ocasionar daños
Confirme que la respuesta está diseñada y ejecutada de forma que se evite la pérdida de datos, la pérdida de funcionalidades críticas para la empresa y la pérdida de evidencias. Evite las decisiones que pueden dañar su capacidad para crear escalas de tiempo forenses, identificar la causa principal y aprender lecciones críticas.
Implicar al departamento legal
Determine si está previsto recurrir a las autoridades para poder planear su investigación y procedimientos de recuperación adecuadamente.
Ser cuidadoso al compartir información sobre el incidente públicamente
Confirme que todo lo que comparta con los clientes y el público esté basado en los consejos de su departamento legal.
Obtener ayuda cuando sea necesario
Utilice recursos con gran experiencia y amplios conocimientos al investigar y responder a ataques de atacantes sofisticados.
Al igual que con el diagnóstico y el tratamiento de una enfermedad, la investigación y la respuesta en ciberseguridad para un incidente importante requieren defender un sistema que es:
- Crítico (no se puede apagar para trabajar en él).
- Complejo (normalmente escapa a la comprensión de una persona).
Durante un incidente, debe encontrar un equilibrio en los siguientes aspectos críticos:
Velocidad
Equilibre la necesidad de actuar rápidamente para satisfacer a las partes interesadas con el riesgo de tomar decisiones apresuradas.
Uso compartido de información
Informe a los investigadores, las partes interesadas y los clientes en función de los consejos de su departamento legal para limitar la responsabilidad y evitar establecer expectativas poco realistas.
Este artículo está diseñado para reducir el riesgo para su organización de un incidente de ciberseguridad mediante la identificación de errores comunes para evitar y proporcionar una guía de las acciones que puede tomar rápidamente para reducir el riesgo y satisfacer las necesidades de las partes interesadas.
Nota:
Para obtener instrucciones adicionales sobre cómo preparar la organización para ataques ransomware y otros tipos de ataques de varias fases, consulte Preparación de un plan de recuperación.
Procedimientos recomendados de respuesta
La respuesta a incidentes se puede realizar de forma eficaz desde una perspectiva técnica y de operaciones con estas recomendaciones.
Nota:
Para obtener instrucciones del sector detalladas adicionales, consulte la NIST Computer Security Incident Handling Guide.
Procedimientos recomendados de respuesta técnica
Para los aspectos técnicos de la respuesta a incidentes, estos son algunos objetivos a tener en cuenta:
Intente identificar el ámbito de la operación de ataque.
La mayoría de los adversarios usan varios mecanismos de persistencia.
Identifique el objetivo del ataque, si es posible.
Los atacantes persistentes con frecuencia vuelven por su objetivo (datos o sistemas) en un futuro ataque.
Estos son algunos consejos útiles:
No cargar archivos en escáneres en línea
Muchos adversarios supervisan el recuento de instancias en servicios como VirusTotal para la detección de malware dirigido.
Considerar cuidadosamente las modificaciones
A menos que se enfrente a una amenaza inminente de pérdida de datos críticos para la empresa, como la eliminación, el cifrado y la filtración, sopese el riesgo de no realizar la modificación con el impacto empresarial proyectado. Por ejemplo, es posible que sea necesario apagar temporalmente el acceso a Internet de la organización para proteger los recursos críticos para la empresa durante un ataque activo.
Si los cambios son necesarios cuando el riesgo de no realizar una acción es mayor que el riesgo de hacerlo, documente la acción en un registro de cambios. Los cambios realizados durante la respuesta a incidentes se centran en interrumpir al atacante y pueden afectar negativamente al negocio. Tendrá que revertir estos cambios después del proceso de recuperación.
No investigar indefinidamente
Debe priorizar por encima de todo los esfuerzos de investigación. Por ejemplo, realice solo análisis forenses en aquellos puntos de conexión que los atacantes hayan usado o modificador. Por ejemplo, en un incidente importante en el que un atacante tenga privilegios administrativos, es prácticamente imposible investigar todos los recursos potencialmente comprometidos (podrían ser todos los recursos de la organización).
Compartir información
Confirme que todos los equipos de investigación, incluidos todos los equipos internos y los investigadores externos o proveedores de seguros, compartan sus datos entre sí, en función de los consejos de su departamento legal.
Contar con expertos adecuados
Asegúrese de incorporar personas con amplios conocimientos de los sistemas en la investigación (como personal interno o entidades externas, como proveedores), no solo personal con conocimientos generales de seguridad.
Prever una capacidad de respuesta reducida
Prevea que dispondrá del 50 % del personal a un 50 % de la capacidad normal debido al estrés de la situación.
Una expectativa que es fundamental aclarar con las partes interesadas es que es posible que nunca se pueda identificar el ataque inicial, ya que cabe la posibilidad de que los datos necesarios para ello se hayan eliminado antes de iniciarse la investigación, como cuando un atacante borra su rastro mediante la acumulación de registros.
Procedimientos recomendados de respuesta de operaciones
En lo que se refiere a los aspectos de las operaciones de seguridad (SecOps) relacionados con la respuesta a incidentes, estos son algunos objetivos a tener en cuenta:
Mantener la concentración
Asegúrese de centrarse en los datos críticos para la empresa, el impacto para los clientes y la preparación para la corrección.
Proporcionar coordinación y claridad de roles
Establezca roles diferenciados para las operaciones de apoyo al equipo de crisis y confirme que los equipos técnicos, jurídico y de comunicaciones se mantienen informados entre sí.
Mantener la perspectiva empresarial
Siempre debe tener en cuenta el impacto en las operaciones empresariales tanto de las acciones del adversario como de sus propias acciones de respuesta.
Estos son algunos consejos útiles:
Utilizar el Sistema de Comando de Incidentes (ICS) para la administración de crisis
Si no tiene una organización permanente que administre incidentes de seguridad, se recomienda usar el ICS como una estructura organizativa temporal para administrar la crisis.
Mantener intactas las operaciones diarias en curso
Asegúrese de que SecOps normales no queden completamente marginadas al priorizar la investigación del incidente. Todavía es necesario realizar esos trabajos.
Evitar gastos innecesarios
Muchos incidentes importantes dan como resultado la compra de herramientas de seguridad costosas fruto de la presión que nunca se implementan ni se usan. Si no puede implementar y usar una herramienta durante la investigación (lo que puede incluir la contratación y el entrenamiento de personal adicional con los conjuntos de aptitudes necesarios para operar la herramienta), aplace la adquisición hasta después de finalizar la investigación.
Contar con expertos con amplios conocimientos
Asegúrese de que tiene la posibilidad de trasladar preguntas e incidencias a expertos cualificados en plataformas críticas. Esta capacidad puede requerir acceso al sistema operativo y al proveedor de aplicaciones para sistemas críticos para la empresa y componentes de toda la empresa, como dispositivos de escritorio y servidores.
Establecer flujos de información
Establezca una guía y expectativas claras para el flujo de información entre los responsables de respuesta a incidentes sénior y las partes interesadas de la organización. Consulte Planeamiento de respuesta a incidentes para más información.
Procedimientos recomendados de recuperación
La recuperación de los incidentes se puede realizar de forma eficaz desde una perspectiva técnica y de operaciones con estas recomendaciones.
Procedimientos recomendados de recuperación técnica
Para los aspectos técnicos de la recuperación de un incidente, estos son algunos objetivos a tener en cuenta:
No embarcarse en tareas imposibles
Limite el ámbito de respuesta para que la operación de recuperación se pueda ejecutar en un plazo de 24 horas o menos. Planee un fin de semana para abordar contingencias y aplicar las acciones correctivas.
Evitar distracciones
Aplace las inversiones en seguridad a largo plazo, como la implementación de nuevos sistemas de seguridad grandes y complejos o la sustitución de soluciones antimalware hasta después de la operación de recuperación. Todo lo que no tenga un impacto directo e inmediato en la operación de recuperación actual es una distracción.
Estos son algunos consejos útiles:
No restablecer nunca todas las contraseñas a la vez
Los restablecimientos de contraseña deben centrarse primero en las cuentas que la investigación haya determinado que estén comprometidas y que puedan ser cuentas de servicio o de administración. Si corresponde, las contraseñas de usuario solo se deben restablecer de forma gradual y controlada.
Consolidar la ejecución de tareas de recuperación
A menos que se enfrente a una amenaza inminente de perder datos críticos para la empresa, debe planear una operación consolidada para corregir rápidamente todos los recursos comprometidos (como hosts y cuentas) en lugar de corregirlos a medida que los detecte. Al reducir esta franja de tiempo, los atacantes tendrán más difícil adaptarse y mantener la persistencia.
Usar herramientas existentes
Investigue y use las funcionalidades de herramientas que haya implementado antes de intentar implementar y aprender una nueva herramienta durante una recuperación.
Evitar poner sobre aviso al adversario
En la práctica, debe tomar medidas para limitar la información disponible para los adversarios sobre la operación de recuperación. Los adversarios suelen tener acceso a todos los datos de producción y al correo electrónico en un incidente de ciberseguridad importante. Sin embargo, la mayoría de los atacantes no tienen tiempo para monitorizar todas sus comunicaciones.
El centro de operaciones de seguridad (SOC) de Microsoft emplea un inquilino de Microsoft 365 que no es de producción para proteger la comunicación y la colaboración de los miembros del equipo de respuesta a incidentes.
Procedimientos recomendados de recuperación de operaciones
Para los aspectos operativos de la recuperación de un incidente, estos son algunos objetivos a tener en cuenta:
Disponer de un plan claro y un ámbito limitado
Trabaje estrechamente con los equipos técnicos para crear un plan claro con un ámbito limitado. Aunque los planes pueden cambiar en función de la actividad del adversario o de nueva información, debe trabajar diligentemente para limitar la expansión del ámbito y asumir tareas adicionales.
Aclarar las responsabilidades del plan
En las operaciones de recuperación se ven implicadas muchas personas que llevan a cabo muchas tareas diferentes a la vez, por lo que debe designar un responsable del proyecto para la operación con el objetivo de que la toma de decisiones sea clara y la información definitiva fluya entre el equipo de crisis.
Mantener las comunicaciones con las partes interesadas
Trabaje con los equipos de comunicación para proporcionar información puntualmente actualizada y una administración activa de las expectativas para las partes interesadas de la organización.
Estos son algunos consejos útiles:
Conocer sus capacidades y límites
La administración de incidentes de seguridad importantes es muy compleja y desconocida para muchos profesionales del sector. Considere la posibilidad de contar con expertos de organizaciones externas o servicios profesionales si sus equipos están desbordados o no están seguros de lo que hacer a continuación.
Registrar las lecciones aprendidas
Cree y mejore continuamente manuales específicos para cada rol de SecOps, incluso si se trata del primer incidente que sufre y no dispone de ningún procedimiento escrito.
Las comunicaciones a nivel ejecutivo y directivo para la respuesta a incidentes pueden ser complicadas si no se han práctico ni previsto. Asegúrese de contar con un plan de comunicación para administrar los informes de progreso y las expectativas de recuperación.
Proceso de respuesta a incidentes para SecOps
Tenga en cuenta esta guía general sobre el proceso de respuesta a incidentes para el personal y SecOps.
1. Decidir y actuar
Después de que una herramienta de detección de amenazas como Microsoft Sentinel o XDR de Microsoft Defender detecte un ataque probable, crea un incidente. La medición del tiempo medio de reconocimiento (MTTA) de la capacidad de respuesta del SOC comienza con el momento en que su personal de seguridad se percata del ataque.
A un analista en su turno se le asigna o asume la responsabilidad del incidente y realiza un análisis inicial. La marca de tiempo para esto es el final de la medición del MTTA de la capacidad de respuesta y comienza con la medición del tiempo medio para corregir (MTTR).
A medida que el analista propietario del incidente desarrolla un nivel de confianza lo suficientemente alto como para comprender qué ocurre y el ámbito del ataque, puede pasar rápidamente a planear y ejecutar acciones de limpieza.
En función de la naturaleza y el ámbito del ataque, los analistas pueden limpiar los artefactos de ataque a medida que los detectan (por ejemplo, correos electrónicos, puntos de conexión e identidades) o pueden crear una lista de recursos en peligro para limpiarlos todos a la vez (lo que se conoce como Big Bang).
Limpiar a medida que se detectan recursos comprometidos
En la mayoría de los incidentes típicos que se detectan al principio de la operación de ataque, los analistas pueden limpiar rápidamente los artefactos a medida que los encuentran. Esta práctica pone al adversario en desventaja e impide que prosiga con la siguiente fase de su ataque.
Prepararse para el Big Bang
Este enfoque es adecuado para un escenario en el que un adversario ya se ha instalado en su entorno y ha establecido mecanismos de acceso redundantes. Esta práctica se ve con frecuencia en incidentes de clientes investigados por el Equipo de respuesta a incidentes de Microsofts. En este enfoque, los analistas deben evitar poner sobre aviso al adversario hasta que se descubra completamente la presencia del atacante, ya que la sorpresa puede ayudar a interrumpir completamente su operación.
Microsoft ha determinado que una corrección parcial suele poner sobre aviso a un adversario, lo que le ofrece la oportunidad de reaccionar y hacer que el incidente empeore rápidamente. Por ejemplo, el atacante puede propagar aún más el ataque, cambiar sus métodos de acceso para evitar la detección, borrar su rastro y ocasionar daños o la destrucción de los datos y el sistema como represalia.
La limpieza de correos electrónicos malintencionados y de suplantación de identidad se puede llevar a cabo habitualmente sin poner sobre aviso al atacante, pero la limpieza de malware del host y la recuperación del control de las cuentas suelen detectarse con frecuencia.
Estas decisiones no son fáciles y no hay nada mejor que la experiencia a la hora de tomarlas. Un entorno y una cultura de trabajo colaborativo en el SOC ayudan a garantizar que los analistas puedan aprovechar la experiencia de otras personas.
Los pasos de respuesta específicos dependen de la naturaleza del ataque, pero los procedimientos más comunes que usan los analistas pueden incluir los siguientes:
Puntos de conexión de cliente (dispositivos)
Aísle el punto de conexión y póngase en contacto con el servicio de asistencia, el equipo de operaciones de TI o el usuario para iniciar un procedimiento de reinstalación.
Servidor o aplicaciones
Trabaje con los propietarios de las aplicaciones y el equipo operaciones de TI para organizar la corrección rápida de estos recursos.
Cuentas de usuario
Recupere el control deshabilitando la cuenta y restableciendo la contraseña de las cuentas en peligro. Estos procedimientos pueden evolucionar a medida que los usuarios cambian a la autenticación sin contraseña mediante Windows Hello u otra forma de autenticación multifactor (MFA). Un paso independiente consiste en hacer expirar todos los tokens de autenticación de la cuenta con Microsoft Defender for Cloud Apps.
Los analistas también pueden revisar el número de teléfono del método de autenticación multifactor y la inscripción del dispositivo para asegurarse de que no se ha secuestrado. Para ello, se ponen en contacto con el usuario y restablecen esta información según sea necesario.
Cuentas de servicio
Debido al alto riesgo de impacto en el servicio o la empresa, los analistas deben trabajar con el propietario registrado de la cuenta de servicio, recurriendo al equipo de operaciones de TI según sea necesario, para organizar una corrección rápida de estos recursos.
Mensajes de correo electrónico
Elimine el correo electrónico de ataque o de suplantación de identidad y, ocasionalmente, bórrelo para evitar que los usuarios recuperen los correos electrónicos eliminados. Guarde siempre una copia del correo electrónico original para buscarlo más adelante si desea realizar un análisis posterior al ataque, como los encabezados, el contenido y los scripts o datos adjuntos.
Otros
Puede ejecutar acciones personalizadas en función de la naturaleza del ataque, como revocar tokens de aplicación y volver a configurar servidores y servicios.
2. Limpiar después del incidente
Dado que las lecciones que se aprenden no sirven de nada si no se cambian las acciones futuras, integre siempre cualquier hallazgo útil de la investigación en SecOps.
Determine las conexiones entre incidentes pasados y futuros de los mismos actores o métodos de amenaza y recopile esta información para evitar repetir el mismo trabajo manual y posibles retrasos en los análisis en el futuro.
Estos hallazgos pueden producirse de distintas formas, pero entre los procedimientos comunes se incluye el análisis de lo siguiente:
Indicadores de riesgo (IoC).
Registre cualquier indicador de riesgo aplicable, como hashes de archivo, direcciones IP malintencionadas y atributos de correo electrónico en los sistemas de inteligencia sobre amenazas del SOC.
Vulnerabilidades desconocidas o sin revisiones.
Los analistas pueden iniciar procesos para asegurarse de que se aplican las revisiones de seguridad que falten, se corrijan las configuraciones incorrectas y se informe a los proveedores (incluido Microsoft) de las vulnerabilidades de "día cero" para que puedan crear y distribuir revisiones de seguridad.
Acciones internas, como permitir el registro tanto en recursos locales como en recursos basados en la nube.
Revise las líneas de base de seguridad existentes y considere la posibilidad de agregar o cambiar controles de seguridad. Por ejemplo, consulte la guía de operaciones de seguridad de Microsoft Entra para obtener información sobre cómo habilitar el nivel adecuado de auditoría en el directorio antes de que ocurra el siguiente incidente.
Revise los procesos de respuesta para identificar y resolver las brechas encontradas durante el incidente.
Recursos de respuesta a incidentes
- Planificación para el SOC
- Cuadernos de estrategias para obtener instrucciones detalladas sobre cómo responder a métodos de ataque comunes
- Microsoft Defender XDR respuesta a los incidentes
- Microsoft Defender for Cloud (Azure)
- Respuesta a incidentes de Microsoft Sentinel
- Guía del equipo de respuesta a incidentes de Microsoft comparte los procedimientos recomendados para los equipos de seguridad y los líderes
- Las guías de respuesta a incidentes de Microsoft ayudan a los equipos de seguridad a analizar la actividad sospechosa
Principales recursos de seguridad de Microsoft
| Resource | Descripción |
|---|---|
| Informe de 2023 sobre defensa digital de Microsoft | Un informe que abarca los aprendizajes de expertos en seguridad, profesionales y defensores de Microsoft para capacitar a personas de todo el mundo para defenderse contra las ciberamenazas. |
| Arquitecturas de referencia de ciberseguridad de Microsoft | Un conjunto de diagramas visuales de arquitectura que muestran las funcionalidades de ciberseguridad de Microsoft y su integración con plataformas en la nube de Microsoft, como Microsoft 365 y Microsoft Azure, y aplicaciones y plataformas en la nube de terceros. |
| Descarga de la infografía Minutes matter (Los minutos son importantes) | Información general sobre cómo ejecuta el equipo de SecOps de Microsoft la respuesta a incidentes para mitigar los ataques en curso. |
| Operaciones de seguridad de Cloud Adoption Framework para Azure | Guía estratégica para los líderes que establecen o modernizan una función de operación de seguridad. |
| Procedimientos recomendados de seguridad de Microsoft para operaciones de seguridad | Cómo utilizar mejor su centro de SecOps para moverse más rápido que los atacantes que tienen como objetivo su organización. |
| Modelo de seguridad en la nube de Microsoft para arquitectos de TI | Seguridad entre plataformas y servicios en la nube de Microsoft para acceso a identidades y dispositivos, protección contra amenazas y protección de la información. |
| Documentación de Microsoft acerca de la seguridad | Guía adicional sobre la seguridad de Microsoft. |