SlideShare una empresa de Scribd logo

sophos-incident-response-guide-es.pdf

D
Dennis Reyes

respuesta a incidencia sophos

Software
1 de 6
Descargar para leer sin conexión
GUÍA DE RESPUESTA A INCIDENTES Cómo crear un plan para responder a un ataque de ciberseguridad "Antes que nada, la preparación es la clave del éxito". Alexander Graham Bell
Guía de respuesta a incidentes 1 ¿Cuál es la mejor forma de evitar que un ciberataque acabe en una infracción de seguridad? Prepararse por adelantado. Después de sufrir una infracción, las empresas suelen darse cuenta de que podrían haber evitado muchos costes, molestias e interrupciones si hubieran contado con un plan de respuesta a incidentes efectivo. El objetivo de esta guía es ayudarle a definir el marco para la planificación de una respuesta a incidentes de ciberseguridad que le ofrezca las mejores posibilidades de vencer a un adversario. Estas recomendaciones están basadas en experiencias del mundo real de los equipos de Sophos Managed Threat Response y Sophos Rapid Response, que cuentan con miles de horas de experiencia en la gestión de ciberataques. Plan de respuesta a incidentes de ciberseguridad Un plan de respuesta a incidentes efectivo consta de 10 pasos principales. 1. Determinar a las partes interesadas clave 2. Identificar los recursos críticos 3. Realizar ejercicios de simulación 4. Desplegar herramientas de protección 5. Garantizar la máxima visibilidad 6. Implementar el control de acceso 7. Invertir en herramientas de investigación 8. Establecer acciones de respuesta 9. Organizar formación de concienciación 10. Contratar un servicio de seguridad gestionado Marco del plan de respuesta a incidentes
Guía de respuesta a incidentes 2 1. Determinar las partes interesadas clave Prepararse correctamente para un posible incidente de seguridad no es responsabilidad exclusiva de su equipo de seguridad. De hecho, es probable que el incidente afecte a casi todos los departamentos de su empresa, especialmente si este incidente acaba en una infracción de seguridad a gran escala. Para coordinar una respuesta de forma adecuada, primero debe determinar a quiénes debe implicar. Esto suele incluir a representantes de los equipos directivo, de seguridad, de TI, jurídico y de relaciones públicas. Saber quiénes deben sentarse a la mesa e involucrarse en los ejercicios de planificación de su empresa es algo que debe determinarse de antemano. Asimismo, es necesario establecer un método de comunicación para garantizar una respuesta rápida. Esto debe tener en cuenta la posibilidad de que sus canales de comunicación habituales (por ejemplo, el correo electrónico corporativo) se vean afectados por el incidente. 2. Identificar los recursos críticos A fin de determinar el alcance y el impacto de un ataque, su empresa debe identificar primero sus recursos más prioritarios. Definir sus recursos de mayor prioridad no solo le ayudará a determinar su estrategia de protección, sino que también hará que sea mucho más sencillo determinar el alcance y el impacto de un ataque. Además, al identificar estos de antemano, su equipo de respuesta a incidentes podrá centrarse en los recursos más críticos durante un ataque, lo que minimizará la interrupción del negocio. 3. Realizar ejercicios de simulación La respuesta a incidentes es como muchas otras disciplinas: la práctica hace al maestro. Aunque es difícil reproducir plenamente la presión intensa a la que se verá sujeto su equipo durante una posible infracción, los ejercicios prácticos garantizan una respuesta más coordinada y efectiva cuando se produzca una situación real. Es importante no solo realizar ejercicios de simulación técnica (con frecuencia como parte de un simulacro del equipo rojo), sino también ejercicios más amplios que incluyan a las distintas partes interesadas de la empresa identificadas previamente. Los ejercicios de simulación deben poner a prueba sus respuestas organizativas ante una serie de posibles escenarios de respuesta a incidentes. Cada uno de estos escenarios también podría incluir a partes interesadas ajenas al equipo técnico inmediato. Su empresa tiene que determinar de antemano a quién se debe informar al detectarse un ataque, aunque este se detenga con éxito. Estos son algunos escenarios comunes de respuesta a incidentes: Ì Adversario activo detectado dentro de la red: en estos casos, es fundamental que el equipo de respuesta determine cómo ha podido infiltrarse el atacante en su entorno, qué herramientas y técnicas ha utilizado, qué se ha atacado y si ha establecido persistencia. Esta información ayudará a determinar la línea de acción adecuada para neutralizar el ataque. Aunque expulsar al adversario inmediatamente del entorno podría parecer una medida evidente, algunos equipos de seguridad optan por esperar y observar al atacante para obtener información importante que les ayude a establecer qué está intentando conseguir y qué métodos está utilizando para conseguirlo. Ì Filtración de datos lograda: si se detecta que se ha producido una filtración de datos, su equipo debe poder determinar qué se ha exfiltrado y cómo. Esta es la información en que se basará la respuesta adecuada, incluyendo la posible necesidad de considerar el impacto en las políticas normativas y de cumplimiento, si hay que contactar con los clientes, y la posible implicación de las autoridades judiciales o policiales. Ì Ataque de ransomware logrado: si se han cifrado datos y sistemas críticos, su equipo debe seguir un plan para recuperar estas pérdidas lo más rápido posible. Debe incluir un proceso para restaurar los sistemas a partir de copias de seguridad. Para asegurarse de que el ataque no se repita al restablecer la conexión, el equipo debe investigar si se ha cortado el acceso al adversario. Además, la empresa debe determinar si está dispuesta a pagar un rescate en situaciones extremas y, en caso afirmativo, cuánto estaría dispuesta a gastar. Ì Sistema de alta prioridad comprometido: si un sistema prioritario se ve comprometido, es posible que su empresa no pueda seguir operando normalmente. Además de todos los pasos necesarios como parte de un plan de respuesta a incidentes, su empresa también debe considerar la opción de establecer un plan de recuperación empresarial para garantizar un impacto mínimo en este tipo de escenario.
Guía de respuesta a incidentes 3 4. Desplegar herramientas de protección La mejor forma de hacer frente a un incidente es protegerse de él antes de que ocurra. Asegúrese de que su empresa cuenta con una protección adecuada para endpoints, redes, servidores, la nube, dispositivos móviles y el correo electrónico. 5. Asegurarse de que tiene la máxima visibilidad Sin la visibilidad adecuada de lo que ocurre durante un ataque, a su empresa le costará responder adecuadamente. Antes de que se produzca un ataque, los equipos de TI y seguridad deben asegurarse de que tienen la capacidad para comprender el alcance y el impacto del mismo, lo que incluye determinar los puntos de entrada y los puntos de persistencia del adversario. Una visibilidad adecuada incluye la recopilación de datos de registro, con énfasis en los datos de los endpoints y la red. Puesto que muchos ataques tardan días o semanas en detectarse, es importante disponer de datos históricos de los días y las semanas (incluso los meses) anteriores para investigar. También debe asegurarse de que estos datos se guardan en copias de seguridad para poder acceder a ellos durante un incidente activo. 6. Implementar el control de acceso Los atacantes pueden aprovechar un control de acceso débil para infiltrarse en las defensas de su empresa y aumentar sus privilegios. Compruebe de forma periódica que tiene implementados los controles necesarios para establecer el control de acceso. Esto incluye, sin limitarse a ello, desplegar la autenticación multifactor, limitar los privilegios de administrador al menor número posible de cuentas (siguiendo el principio del mínimo privilegio), cambiar las contraseñas predeterminadas y reducir la cantidad de puntos de acceso que debe supervisar. 7. Invertir en herramientas de investigación Además de asegurarse de que tiene una visibilidad adecuada, su empresa debe invertir en herramientas que ofrezcan el contexto necesario durante una investigación. Algunas de las herramientas más comunes utilizadas para la respuesta a incidentes son la detección y respuesta para endpoints (EDR) y la detección y respuesta ampliadas (XDR), que le permiten realizar búsquedas en todo su entorno para detectar indicadores de peligro (IOC) e indicadores de ataque (IOA). Las herramientas de EDR ayudan a los analistas a identificar los recursos que se han visto comprometidos, lo que a su vez ayuda a determinar el impacto y el alcance de un ataque. Cuantos más datos se recopilen (de endpoints y otros recursos), más contexto estará disponible durante la investigación. Con una visibilidad más amplia, su equipo podrá determinar no solo el objetivo de los atacantes, sino también cómo consiguieron entrar en el entorno y si aún tienen la capacidad de hacerlo. Además de las herramientas de EDR, los equipos de seguridad avanzados también podrían desplegar una solución de orquestación, automatización y respuesta de seguridad (SOAR) que ayude en los flujos de trabajo de respuesta. 8. Establecer acciones de respuesta Detectar un ataque es solo una parte del proceso. Para poder responder correctamente a un ataque, sus equipos de TI y seguridad deben asegurarse de que tienen la capacidad de tomar una amplia gama de medidas correctivas para interrumpir y neutralizar al atacante. Las acciones de respuesta son, entre otras: Ì Aislar los hosts afectados Ì Bloquear archivos, procesos y programas maliciosos Ì Bloquear actividad de comando y control (C2) y de sitios web maliciosos Ì Congelar cuentas comprometidas y cortar el acceso a los atacantes Ì Limpiar los artefactos y las herramientas del adversario Ì Cerrar los puntos de entrada y las áreas de persistencia utilizados por los atacantes (internos y de terceros) Ì Ajustar configuraciones (políticas de amenazas, habilitar seguridad para endpoints y EDR en dispositivos desprotegidos, ajustar exclusiones, etc.) Ì Restaurar los recursos afectados mediante copias de seguridad sin conexión
Guía de respuesta a incidentes 4 9. Organizar formación de concienciación Aunque no existirá nunca ningún programa de formación 100 % efectivo contra un determinado adversario, los programas de formación (p. ej., concienciación sobre el phishing) ayudan a reducir su nivel de riesgo y limitan el número de alertas a las que debe responder su equipo. Utilizar herramientas para simular ataques de phishing ofrece a su plantilla una forma segura de experimentar (o posiblemente sucumbir a) uno de ellos. Inscriba en módulos formativos a quienes no superen las simulaciones, e identifique usuarios de riesgo que pueden necesitar más formación. 10. Contratar un servicio de seguridad gestionado Muchas empresas no están equipadas para enfrentarse a incidentes por su cuenta. Para ofrecer una respuesta veloz y efectiva se requieren operadores de seguridad experimentados. Para asegurarse de que puede responder de la forma adecuada, considere la posibilidad de trabajar con un recurso externo como un proveedor de detección y respuesta gestionadas (MDR). Los proveedores de MDR ofrecen un servicio gestionado de búsqueda de amenazas, investigación y respuesta a incidentes 24/7. Los servicios de MDR no solo ayudan a su empresa a responder a incidentes antes de que se conviertan en infracciones, sino que también trabajan para reducir la probabilidad de que se produzca un incidente de entrada. Los servicios de MDR se están volviendo muy populares: según Gartner* , para el 2025, el 50 % de las empresas utilizará servicios de MDR (en 2019, la cifra era inferior al 5 %). En ocasiones, después de un incidente también se mantienen servicios de respuesta a incidentes con datos forenses (DFIR) para recopilar pruebas en apoyo de demandas judiciales o de seguros. Resumen Cuando se produce un incidente de ciberseguridad, el tiempo es un factor esencial. Contar con un plan de respuesta bien preparado y bien entendido que todas las partes clave puedan ejecutar de forma inmediata reduce enormemente el impacto de un ataque en una empresa.
Guía de respuesta a incidentes Ventas en España Teléfono: (+34) 913 756 756 Correo electrónico: comercialES@sophos.com Ventas en América Latina Correo electrónico: Latamsales@sophos.com © Copyright 2020. Sophos Ltd. Todos los derechos reservados. Constituida en Inglaterra y Gales N.º 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios. 20-10-09 WPES (DD) * Gartner, Guía de mercado de servicios de detección y respuesta gestionados, 26 de agosto de 2020; Analistas: Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson y Mitchell Schneider Cómo puede ayudar Sophos Servicio Sophos Managed Threat Response (MTR) Sophos Managed Threat Response (MTR) es un servicio totalmente administrado prestado por un equipo de expertos que ofrece funciones de búsqueda, detección y respuesta a amenazas las 24 horas. Más allá de la simple notificación de ataques o comportamientos sospechosos, el equipo de Sophos MTR adopta medidas específicas en su nombre para neutralizar incluso las amenazas más sofisticadas y complejas. El equipo de Sophos MTR de cazadores de amenazas y expertos en respuesta se dedican a: Ì Buscar y validar de forma proactiva posibles amenazas e incidentes Ì Utilizar toda la información disponible para determinar el alcance y la gravedad de las amenazas Ì Aplicar el contexto empresarial adecuado para las amenazas válidas Ì Iniciar acciones para interrumpir, contener y neutralizar amenazas de forma remota Ì Brindar asesoramiento práctico para abordar las causas raíz de los incidentes recurrentes Más información en es.sophos.com/mtr Servicio Sophos Rapid Response Sophos Rapid Response es un servicio prestado por un equipo experto de gestores de respuesta que proporciona una asistencia ultrarrápida con identificación y neutralización de amenazas activas contra empresas. La incorporación empieza en cuestión de horas, y la mayoría de clientes son clasificados en un plazo de 48 horas. El servicio está disponible tanto para los actuales clientes de Sophos como para los que no lo son. El equipo de Sophos Rapid Response está compuesto por gestores de respuesta a incidentes, analistas de amenazas y cazadores de amenazas que: Ì Toman medidas rápidamente para clasificar, contener y neutralizar las amenazas activas Ì Expulsan a los adversarios de su entorno para evitar más daños a sus recursos Ì Realizan una supervisión y respuesta 24/7 para mejorar su protección Ì Recomiendan acciones preventivas en tiempo real para abordar la causa raíz de un ataque Ì Proporcionan un resumen detallado de la amenaza posterior al incidente que describe la investigación Más información en es.sophos.com/rapidresponse Sophos Intercept X Advanced with EDR Sophos Intercept X Advanced with EDR ayuda a que la búsqueda de amenazas y la higiene de las operaciones de TI funcionen sin problemas en toda la infraestructura. Sophos EDR permite a su equipo formular preguntas detalladas para identificar amenazas avanzadas, adversarios activos y posibles vulnerabilidades de TI, y luego tomar rápidamente las medidas adecuadas para detenerlos. Le permite detectar adversarios que acechan en su red a la espera de poder desplegar ransomware que pueden haber pasado desapercibidos. Más información y evaluación gratuita en es.sophos.com/edr

Recomendados

sophos-phishing-insights_2021-report-es.pdf
sophos-phishing-insights_2021-report-es.pdfsophos-phishing-insights_2021-report-es.pdf
sophos-phishing-insights_2021-report-es.pdf
Dennis Reyes
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
dgoss
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
Eduardo Arriols Nuñez
 
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasBe Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Symantec LATAM
 
Que es SentinelOne
Que es SentinelOneQue es SentinelOne
Que es SentinelOne
Antonio Vargas
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
OttoLpezAguilar
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
De qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensasDe qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensas
Leandro Morales Alvarez
 

Recomendados

sophos-phishing-insights_2021-report-es.pdf
sophos-phishing-insights_2021-report-es.pdfsophos-phishing-insights_2021-report-es.pdf
sophos-phishing-insights_2021-report-es.pdf
Dennis Reyes
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
dgoss
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
Eduardo Arriols Nuñez
 
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasBe Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Symantec LATAM
 
Que es SentinelOne
Que es SentinelOneQue es SentinelOne
Que es SentinelOne
Antonio Vargas
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
OttoLpezAguilar
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
De qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensasDe qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensas
Leandro Morales Alvarez
 
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Randy Varela
 
"Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos "Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos
iDric Soluciones de TI y Seguridad Informática
 
Que se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataqueQue se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataque
Enrique de Nicolás Marín
 
Practica 1 de claudia
Practica 1 de claudiaPractica 1 de claudia
Practica 1 de claudia
ivanorozco29
 
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
Symantec
 
Ataques - Conceptos Técnicas
Ataques - Conceptos TécnicasAtaques - Conceptos Técnicas
Ataques - Conceptos Técnicas
David Narváez
 
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
Panda Security
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
Tensor
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Jhon Jairo Hernandez
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la Ciberextorsión
Panda Security
 
01 ataques informaticos
01 ataques informaticos01 ataques informaticos
01 ataques informaticos
Yokastha Duarte
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011
tecnodelainfo
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
cromerovarg
 
Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas Avanzadas
IBM Digital Sales Colombia
 
Ciberataques
CiberataquesCiberataques
Ciberataques
Ernesto Burgueño Cervantes
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Jaime Andrés Bello Vieda
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
Aniiitha01
 
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
Grupo Smartekh
 
Trabajo 2
Trabajo 2Trabajo 2
Trabajo 2
YamilaFranklin
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Universidad Tecnológica del Perú
 
Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Preparándonos para futuros ataques.
Preparándonos para futuros ataques.
Symantec
 
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Symantec
 

Más contenido relacionado

La actualidad más candente

Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
cromerovarg
 
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
Grupo Smartekh
 

La actualidad más candente (20)

Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
 
"Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos "Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos
 
Que se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataqueQue se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataque
 
Practica 1 de claudia
Practica 1 de claudiaPractica 1 de claudia
Practica 1 de claudia
 
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
 
Ataques - Conceptos Técnicas
Ataques - Conceptos TécnicasAtaques - Conceptos Técnicas
Ataques - Conceptos Técnicas
 
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la Ciberextorsión
 
01 ataques informaticos
01 ataques informaticos01 ataques informaticos
01 ataques informaticos
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
 
Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas Avanzadas
 
Ciberataques
CiberataquesCiberataques
Ciberataques
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
 
Trabajo 2
Trabajo 2Trabajo 2
Trabajo 2
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 

Similar a sophos-incident-response-guide-es.pdf

Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Preparándonos para futuros ataques.
Preparándonos para futuros ataques.
Symantec
 
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Symantec
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
Aprende Viendo
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2
Aguss2906
 

Similar a sophos-incident-response-guide-es.pdf (20)

Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Preparándonos para futuros ataques.
Preparándonos para futuros ataques.
 
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
Preparándonos para futuros ataques. Resumen de la solución: Implementación d...
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridad
 
COMPUTACION CUANTICA
COMPUTACION CUANTICACOMPUTACION CUANTICA
COMPUTACION CUANTICA
 
Material 2do Examen.
Material 2do Examen.Material 2do Examen.
Material 2do Examen.
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2
 
Trabajo practico nº2
Trabajo practico nº2Trabajo practico nº2
Trabajo practico nº2
 
Cap3
Cap3Cap3
Cap3
 
Marco
MarcoMarco
Marco
 
Marco
MarcoMarco
Marco
 
Material riesgos adoc
Material riesgos adocMaterial riesgos adoc
Material riesgos adoc
 

sophos-incident-response-guide-es.pdf

  • 1. GUÍA DE RESPUESTA A INCIDENTES Cómo crear un plan para responder a un ataque de ciberseguridad "Antes que nada, la preparación es la clave del éxito". Alexander Graham Bell
  • 2. Guía de respuesta a incidentes 1 ¿Cuál es la mejor forma de evitar que un ciberataque acabe en una infracción de seguridad? Prepararse por adelantado. Después de sufrir una infracción, las empresas suelen darse cuenta de que podrían haber evitado muchos costes, molestias e interrupciones si hubieran contado con un plan de respuesta a incidentes efectivo. El objetivo de esta guía es ayudarle a definir el marco para la planificación de una respuesta a incidentes de ciberseguridad que le ofrezca las mejores posibilidades de vencer a un adversario. Estas recomendaciones están basadas en experiencias del mundo real de los equipos de Sophos Managed Threat Response y Sophos Rapid Response, que cuentan con miles de horas de experiencia en la gestión de ciberataques. Plan de respuesta a incidentes de ciberseguridad Un plan de respuesta a incidentes efectivo consta de 10 pasos principales. 1. Determinar a las partes interesadas clave 2. Identificar los recursos críticos 3. Realizar ejercicios de simulación 4. Desplegar herramientas de protección 5. Garantizar la máxima visibilidad 6. Implementar el control de acceso 7. Invertir en herramientas de investigación 8. Establecer acciones de respuesta 9. Organizar formación de concienciación 10. Contratar un servicio de seguridad gestionado Marco del plan de respuesta a incidentes
  • 3. Guía de respuesta a incidentes 2 1. Determinar las partes interesadas clave Prepararse correctamente para un posible incidente de seguridad no es responsabilidad exclusiva de su equipo de seguridad. De hecho, es probable que el incidente afecte a casi todos los departamentos de su empresa, especialmente si este incidente acaba en una infracción de seguridad a gran escala. Para coordinar una respuesta de forma adecuada, primero debe determinar a quiénes debe implicar. Esto suele incluir a representantes de los equipos directivo, de seguridad, de TI, jurídico y de relaciones públicas. Saber quiénes deben sentarse a la mesa e involucrarse en los ejercicios de planificación de su empresa es algo que debe determinarse de antemano. Asimismo, es necesario establecer un método de comunicación para garantizar una respuesta rápida. Esto debe tener en cuenta la posibilidad de que sus canales de comunicación habituales (por ejemplo, el correo electrónico corporativo) se vean afectados por el incidente. 2. Identificar los recursos críticos A fin de determinar el alcance y el impacto de un ataque, su empresa debe identificar primero sus recursos más prioritarios. Definir sus recursos de mayor prioridad no solo le ayudará a determinar su estrategia de protección, sino que también hará que sea mucho más sencillo determinar el alcance y el impacto de un ataque. Además, al identificar estos de antemano, su equipo de respuesta a incidentes podrá centrarse en los recursos más críticos durante un ataque, lo que minimizará la interrupción del negocio. 3. Realizar ejercicios de simulación La respuesta a incidentes es como muchas otras disciplinas: la práctica hace al maestro. Aunque es difícil reproducir plenamente la presión intensa a la que se verá sujeto su equipo durante una posible infracción, los ejercicios prácticos garantizan una respuesta más coordinada y efectiva cuando se produzca una situación real. Es importante no solo realizar ejercicios de simulación técnica (con frecuencia como parte de un simulacro del equipo rojo), sino también ejercicios más amplios que incluyan a las distintas partes interesadas de la empresa identificadas previamente. Los ejercicios de simulación deben poner a prueba sus respuestas organizativas ante una serie de posibles escenarios de respuesta a incidentes. Cada uno de estos escenarios también podría incluir a partes interesadas ajenas al equipo técnico inmediato. Su empresa tiene que determinar de antemano a quién se debe informar al detectarse un ataque, aunque este se detenga con éxito. Estos son algunos escenarios comunes de respuesta a incidentes: Ì Adversario activo detectado dentro de la red: en estos casos, es fundamental que el equipo de respuesta determine cómo ha podido infiltrarse el atacante en su entorno, qué herramientas y técnicas ha utilizado, qué se ha atacado y si ha establecido persistencia. Esta información ayudará a determinar la línea de acción adecuada para neutralizar el ataque. Aunque expulsar al adversario inmediatamente del entorno podría parecer una medida evidente, algunos equipos de seguridad optan por esperar y observar al atacante para obtener información importante que les ayude a establecer qué está intentando conseguir y qué métodos está utilizando para conseguirlo. Ì Filtración de datos lograda: si se detecta que se ha producido una filtración de datos, su equipo debe poder determinar qué se ha exfiltrado y cómo. Esta es la información en que se basará la respuesta adecuada, incluyendo la posible necesidad de considerar el impacto en las políticas normativas y de cumplimiento, si hay que contactar con los clientes, y la posible implicación de las autoridades judiciales o policiales. Ì Ataque de ransomware logrado: si se han cifrado datos y sistemas críticos, su equipo debe seguir un plan para recuperar estas pérdidas lo más rápido posible. Debe incluir un proceso para restaurar los sistemas a partir de copias de seguridad. Para asegurarse de que el ataque no se repita al restablecer la conexión, el equipo debe investigar si se ha cortado el acceso al adversario. Además, la empresa debe determinar si está dispuesta a pagar un rescate en situaciones extremas y, en caso afirmativo, cuánto estaría dispuesta a gastar. Ì Sistema de alta prioridad comprometido: si un sistema prioritario se ve comprometido, es posible que su empresa no pueda seguir operando normalmente. Además de todos los pasos necesarios como parte de un plan de respuesta a incidentes, su empresa también debe considerar la opción de establecer un plan de recuperación empresarial para garantizar un impacto mínimo en este tipo de escenario.
  • 4. Guía de respuesta a incidentes 3 4. Desplegar herramientas de protección La mejor forma de hacer frente a un incidente es protegerse de él antes de que ocurra. Asegúrese de que su empresa cuenta con una protección adecuada para endpoints, redes, servidores, la nube, dispositivos móviles y el correo electrónico. 5. Asegurarse de que tiene la máxima visibilidad Sin la visibilidad adecuada de lo que ocurre durante un ataque, a su empresa le costará responder adecuadamente. Antes de que se produzca un ataque, los equipos de TI y seguridad deben asegurarse de que tienen la capacidad para comprender el alcance y el impacto del mismo, lo que incluye determinar los puntos de entrada y los puntos de persistencia del adversario. Una visibilidad adecuada incluye la recopilación de datos de registro, con énfasis en los datos de los endpoints y la red. Puesto que muchos ataques tardan días o semanas en detectarse, es importante disponer de datos históricos de los días y las semanas (incluso los meses) anteriores para investigar. También debe asegurarse de que estos datos se guardan en copias de seguridad para poder acceder a ellos durante un incidente activo. 6. Implementar el control de acceso Los atacantes pueden aprovechar un control de acceso débil para infiltrarse en las defensas de su empresa y aumentar sus privilegios. Compruebe de forma periódica que tiene implementados los controles necesarios para establecer el control de acceso. Esto incluye, sin limitarse a ello, desplegar la autenticación multifactor, limitar los privilegios de administrador al menor número posible de cuentas (siguiendo el principio del mínimo privilegio), cambiar las contraseñas predeterminadas y reducir la cantidad de puntos de acceso que debe supervisar. 7. Invertir en herramientas de investigación Además de asegurarse de que tiene una visibilidad adecuada, su empresa debe invertir en herramientas que ofrezcan el contexto necesario durante una investigación. Algunas de las herramientas más comunes utilizadas para la respuesta a incidentes son la detección y respuesta para endpoints (EDR) y la detección y respuesta ampliadas (XDR), que le permiten realizar búsquedas en todo su entorno para detectar indicadores de peligro (IOC) e indicadores de ataque (IOA). Las herramientas de EDR ayudan a los analistas a identificar los recursos que se han visto comprometidos, lo que a su vez ayuda a determinar el impacto y el alcance de un ataque. Cuantos más datos se recopilen (de endpoints y otros recursos), más contexto estará disponible durante la investigación. Con una visibilidad más amplia, su equipo podrá determinar no solo el objetivo de los atacantes, sino también cómo consiguieron entrar en el entorno y si aún tienen la capacidad de hacerlo. Además de las herramientas de EDR, los equipos de seguridad avanzados también podrían desplegar una solución de orquestación, automatización y respuesta de seguridad (SOAR) que ayude en los flujos de trabajo de respuesta. 8. Establecer acciones de respuesta Detectar un ataque es solo una parte del proceso. Para poder responder correctamente a un ataque, sus equipos de TI y seguridad deben asegurarse de que tienen la capacidad de tomar una amplia gama de medidas correctivas para interrumpir y neutralizar al atacante. Las acciones de respuesta son, entre otras: Ì Aislar los hosts afectados Ì Bloquear archivos, procesos y programas maliciosos Ì Bloquear actividad de comando y control (C2) y de sitios web maliciosos Ì Congelar cuentas comprometidas y cortar el acceso a los atacantes Ì Limpiar los artefactos y las herramientas del adversario Ì Cerrar los puntos de entrada y las áreas de persistencia utilizados por los atacantes (internos y de terceros) Ì Ajustar configuraciones (políticas de amenazas, habilitar seguridad para endpoints y EDR en dispositivos desprotegidos, ajustar exclusiones, etc.) Ì Restaurar los recursos afectados mediante copias de seguridad sin conexión
  • 5. Guía de respuesta a incidentes 4 9. Organizar formación de concienciación Aunque no existirá nunca ningún programa de formación 100 % efectivo contra un determinado adversario, los programas de formación (p. ej., concienciación sobre el phishing) ayudan a reducir su nivel de riesgo y limitan el número de alertas a las que debe responder su equipo. Utilizar herramientas para simular ataques de phishing ofrece a su plantilla una forma segura de experimentar (o posiblemente sucumbir a) uno de ellos. Inscriba en módulos formativos a quienes no superen las simulaciones, e identifique usuarios de riesgo que pueden necesitar más formación. 10. Contratar un servicio de seguridad gestionado Muchas empresas no están equipadas para enfrentarse a incidentes por su cuenta. Para ofrecer una respuesta veloz y efectiva se requieren operadores de seguridad experimentados. Para asegurarse de que puede responder de la forma adecuada, considere la posibilidad de trabajar con un recurso externo como un proveedor de detección y respuesta gestionadas (MDR). Los proveedores de MDR ofrecen un servicio gestionado de búsqueda de amenazas, investigación y respuesta a incidentes 24/7. Los servicios de MDR no solo ayudan a su empresa a responder a incidentes antes de que se conviertan en infracciones, sino que también trabajan para reducir la probabilidad de que se produzca un incidente de entrada. Los servicios de MDR se están volviendo muy populares: según Gartner* , para el 2025, el 50 % de las empresas utilizará servicios de MDR (en 2019, la cifra era inferior al 5 %). En ocasiones, después de un incidente también se mantienen servicios de respuesta a incidentes con datos forenses (DFIR) para recopilar pruebas en apoyo de demandas judiciales o de seguros. Resumen Cuando se produce un incidente de ciberseguridad, el tiempo es un factor esencial. Contar con un plan de respuesta bien preparado y bien entendido que todas las partes clave puedan ejecutar de forma inmediata reduce enormemente el impacto de un ataque en una empresa.
  • 6. Guía de respuesta a incidentes Ventas en España Teléfono: (+34) 913 756 756 Correo electrónico: comercialES@sophos.com Ventas en América Latina Correo electrónico: Latamsales@sophos.com © Copyright 2020. Sophos Ltd. Todos los derechos reservados. Constituida en Inglaterra y Gales N.º 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios. 20-10-09 WPES (DD) * Gartner, Guía de mercado de servicios de detección y respuesta gestionados, 26 de agosto de 2020; Analistas: Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson y Mitchell Schneider Cómo puede ayudar Sophos Servicio Sophos Managed Threat Response (MTR) Sophos Managed Threat Response (MTR) es un servicio totalmente administrado prestado por un equipo de expertos que ofrece funciones de búsqueda, detección y respuesta a amenazas las 24 horas. Más allá de la simple notificación de ataques o comportamientos sospechosos, el equipo de Sophos MTR adopta medidas específicas en su nombre para neutralizar incluso las amenazas más sofisticadas y complejas. El equipo de Sophos MTR de cazadores de amenazas y expertos en respuesta se dedican a: Ì Buscar y validar de forma proactiva posibles amenazas e incidentes Ì Utilizar toda la información disponible para determinar el alcance y la gravedad de las amenazas Ì Aplicar el contexto empresarial adecuado para las amenazas válidas Ì Iniciar acciones para interrumpir, contener y neutralizar amenazas de forma remota Ì Brindar asesoramiento práctico para abordar las causas raíz de los incidentes recurrentes Más información en es.sophos.com/mtr Servicio Sophos Rapid Response Sophos Rapid Response es un servicio prestado por un equipo experto de gestores de respuesta que proporciona una asistencia ultrarrápida con identificación y neutralización de amenazas activas contra empresas. La incorporación empieza en cuestión de horas, y la mayoría de clientes son clasificados en un plazo de 48 horas. El servicio está disponible tanto para los actuales clientes de Sophos como para los que no lo son. El equipo de Sophos Rapid Response está compuesto por gestores de respuesta a incidentes, analistas de amenazas y cazadores de amenazas que: Ì Toman medidas rápidamente para clasificar, contener y neutralizar las amenazas activas Ì Expulsan a los adversarios de su entorno para evitar más daños a sus recursos Ì Realizan una supervisión y respuesta 24/7 para mejorar su protección Ì Recomiendan acciones preventivas en tiempo real para abordar la causa raíz de un ataque Ì Proporcionan un resumen detallado de la amenaza posterior al incidente que describe la investigación Más información en es.sophos.com/rapidresponse Sophos Intercept X Advanced with EDR Sophos Intercept X Advanced with EDR ayuda a que la búsqueda de amenazas y la higiene de las operaciones de TI funcionen sin problemas en toda la infraestructura. Sophos EDR permite a su equipo formular preguntas detalladas para identificar amenazas avanzadas, adversarios activos y posibles vulnerabilidades de TI, y luego tomar rápidamente las medidas adecuadas para detenerlos. Le permite detectar adversarios que acechan en su red a la espera de poder desplegar ransomware que pueden haber pasado desapercibidos. Más información y evaluación gratuita en es.sophos.com/edr