Profesionales de TI, expertos en seguridad, e investigadores viajaron a Sin City con el fin de asistir a la conferencia anual de seguridad Black Hat. Si bien muchas de las presentaciones y demos de Black Hat se centraron en las tendencias y los últimos avances tecnológicos para los que atacan a la red y los que la defienden, no hubo mucho en el tema de respuesta a incidentes.
En el gran esquema de las cosas, aunque se comercializa, se debate y se empaqueta como su propia capa de defensa proactiva, la respuesta a incidentes sin duda podría ser llamada recuperación de desastres, o la planificación de la continuidad del negocio. Una vez que un incidente ha sido descubierto -ya sea cuando ocurre o mucho después del hecho- se deben tomar medidas para hacer frente a ello, asegurarse de que la organización se recupere, y que no vuelva a ocurrir, pero antes de que esto suceda se tiene que establecer un plan de respuesta.
Sobre el papel, esto suena como una cosa fácil de hacer, pero los expertos y profesionales con los que la revista americana CSO habló se apresuraron a señalar que esto simplemente no es cierto. La respuesta a incidentes es algo que se desarrolla y algo que cambia con la organización a través del tiempo. Los incidentes pueden ser de carácter técnico o físico, y si bien no se puede preparar para todo, es prudente prepararse al menos para las amenazas que su organización tenga más probabilidad de afrontar.
“Las empresas se han dado cuenta de que pueden invertir todo lo que quieran en las estrategias defensivas, pero en algún punto en el tiempo se producirá un error. Eso se ha demostrado una y otra vez. Incluso el mejor de los sistemas falla, porque mientras más tiempo esté ahí fuera, más atacantes aprenderán a eludirlo”, señala Ken Silva, el presidente de ciber estrategia en ManTech Cyber Solutions International.
“Así que pasan todo el tiempo, entrenamiento, educación y dinero en la defensa del perímetro, e incluso las internas; pero no gastan un centavo en la respuesta a incidentes. La respuesta a incidentes tiende a ser, en la mayoría de los casos, una cosa ad-hoc que se adhiere, según sea necesario; es casi como un departamento de bomberos voluntarios la única diferencia es que el departamento de bomberos voluntarios está debidamente capacitado, tiene los procesos correctos, y tienen las herramientas adecuadas”.
Desarrollar un plan de respuesta a incidentes, y asegurar que se alinee con los objetivos y necesidades de la organización, así como los reglamentos de las políticas de cumplimiento existentes, puede ser desalentador. Por otra parte, el proceso requiere que todos los aspectos del negocio se comuniquen, lo cual en sí mismo puede ser una gran tarea. Como dijo un trabajador de seguridad durante la última conferencia Black Hat, “es como arrear gatos”.
Por lo menos, el departamento legal debe participar con el fin de asegurar que se cumplan las necesidades de reglamentación y cumplimiento, los líderes de las empresas (es decir, todo el mundo en el nivel ejecutivo dentro de la organización) deberán asegurarse de que tienen algo que decir, y entonces tienen que asegurarse de que el plan se mantenga y actualice con regularidad.
Eric Fiterman, el fundador y CEO de Spotkick, una plataforma SaaS para el análisis de seguridad y de inteligencia, señala que la respuesta a incidentes con frecuencia dependerá del tamaño de la propia organización. Su punto es que no hay dos planes iguales.
“Debido a que algunas empresas y organizaciones son lo suficientemente grandes como para pasar tiempo haciéndole un seguimiento a las cosas; y también hay una gran cantidad de los departamentos de TI, donde esa no es la principal preocupación. La preocupación principal es hacer las cosas fiables y conseguir sistemas que se recuperen lo más rápidamente posible”, comenta.
La clave, agrega Fiterman, es que las organizaciones entiendan que los incidentes van a suceder. “Tendrá algún tipo de actividad maliciosa que va a afectar lo que está haciendo”, señala, por lo que las organizaciones necesitan tener un plan en marcha para hacer frente a las diversas circunstancias que vayan surgiendo.
Según los asistentes a Black Hat con los que habló CSO, hay algunos problemas comunes cuando se trata de respuesta a incidentes, y a menos que se hayan desarrollado planes o se hayan puesto a prueba de antemano, estos problemas comunes se manifiestan en el peor momento posible; durante un incidente real.
“Lo que TI hace bien es conocer su infraestructura. Ellos saben dónde están sus datos de valor, conocen los puntos de ingreso y los puntos de salida. Es su red, entienden cómo funciona. En lo que se equivocan es en no utilizar el conocimiento práctico que tienen de la red para entender cómo ocurrirá un incidente”, señala Chris Pogue, director de SpiderLabs de Trustwave.
“Los atacantes están ahí por una razón, no para divertirse o jugar. Están ahí para robar algo, para que puedan extraer y obtener beneficios económicos. Así que si TI integrara los conocimientos que ya tienen en sus capacidades de respuesta a incidentes, estarían mucho mejor, porque ellos sabrían cuáles son los blancos de ataque y podrían defenderlos, y sabrían sus puntos de ingreso, y sus puntos de salida”.
Uno de los problemas más repetidos con respecto a la respuesta a incidentes es que las organizaciones rara vez comprenden a quienes los están atacando, lo que están buscando, y cómo están tratando de conseguirlo.
Esto significa entender lo que es valioso para un atacante, y donde reside eso en su red. Según lo mencionado por Pogue, conocer todas las rutas y los puntos de acceso a los datos críticos es una necesidad; por lo que cuando sucede algo, se puede marcar con precisión el incidente y el trámite correspondiente.
La clave, sin embargo, es la aplicación de esta línea de pensamiento a los incidentes que no sean explotaciones de vulnerabilidades y malware, ya que es necesario que haya planes y procesos para hacer frente a las computadoras portátiles perdidas o robadas, las divulgaciones accidentales de datos, y los empleados maliciosos que abusan de su acceso. Además, deben haber planes para cubrir los incidentes donde un extraño está abusando de un acceso privilegiado, como es el caso de muchos ataques persistentes, que a menudo ocurren en etapas más pequeñas y rara vez una a la vez.
Otra área de preocupación se centra en el tráfico de red. Las organizaciones necesitan monitorear el tráfico que entra y sale. La mayoría de las veces se centran en el tráfico de entrada, pero si un atacante consigue pasar el monitoreo, ya no aparece. El monitoreo de tráfico de salida podría ayudar a capturar al infiltrado, lo cual representa la diferencia entre hacer frente a un incidente hoy, o tratar el asunto el próximo año cuando su organización sea notificada por una parte externa de que ha sido comprometida por algún tiempo, y usted todavía está goteando datos.
Algunos ejecutivos con quienes conversamos también hicieron hincapié en la necesidad de tener un único punto de contacto interno durante un incidente, quien coordinará las tareas y se asegurará que todos quienes necesitan mantenerse en los bucles, tendrán la información que necesitan. Si el incidente requiere notificación, entonces es necesario que haya un mensaje claramente definido para los clientes y socios (o el público en general), y aun así, solo el portavoz (a menudo un representante de prensa interno o una agencia) debe hablar por la empresa -nadie más. El punto de contacto, el mensaje y la delegación de tareas cambiará dependiendo del incidente, por lo que las organizaciones deben tener algunas opciones para tal ocasión.
El registro o log es un proceso por el cual muchos de los entrevistaron dijeron tener fuertes sentimientos. Si lee los diversos informes de violación, a menudo se ha señalado que la evidencia del ataque estuvo fácilmente disponible en el log, pero nadie los verificó. Peor aún, en algunos casos, la organización ni siquiera era consciente de que los registros estaban allí.
Los registros que son más importantes son Syslogs, pero también IPS / IDS, al igual que los registros en cualquier servidor de seguridad que se haya desplegado. Estos le dirán de dónde viene el atacante, lo que hizo, y en algunos casos la forma en que lo hizo. No son perfectos, pero son una herramienta que se puede utilizar. Además, si su empresa utiliza cualquier tipo de proxy, los registros del mismo, así como los registros VPN, DNS, y del router, son igual de importantes. En resumen, los registros de cualquier dispositivo, servicio o aplicación en la red (incluido Active Directory) deben ser monitoreados y controlados.
Al mismo tiempo, los registros pueden ser una pesadilla, ya que las organizaciones necesitan separar rápidamente la señal del ruido durante un incidente. Hay algunas herramientas, comerciales y de código abierto, que están disponibles para ayudar con este proceso -pero no todas las organizaciones las necesitan. A veces, la organización es lo suficientemente pequeña, que el filtrado y el control manual son suficientes. De lo contrario, la recolección del registro y la inteligencia debe ser una discusión que debe tener internamente, y si se necesitan herramientas, deben ser examinadas y compradas.
En Black Hat, HBGary (filial de ManTech) dio a conocer una herramienta comercial para respuesta a incidentes, que llegó después de que Man Tech Cyber Solutions comprara Vantos. La empresa Vantos la había utilizado en gran parte de su centro de mando de respuesta a incidentes para casos legales, comercio electrónico, los casinos y resorts.
La plataforma Vantos permite que las organizaciones conecten flujos de datos que forman todos los puntos de registro antes mencionados, así como cualquier otro sistema de registro, sistemas de venta de entradas, y ponerlos en una pantalla de aspecto sencillo que se puede compartir con otras personas que necesitan información, pero no tienen ni idea cuando se trata de la parte técnica de respuesta a incidentes.
Las entrevistas pasivas y las conversaciones con los asistentes a Black Hat también nos dio una idea de dónde buscar información en respuesta a incidentes. La mayoría mencionó SANS, y su libro blanco para la creación de un conjunto de herramientas de respuesta SIEM e incidentes utilizando herramientas de código abierto.
Si bien el libro blanco no puede ser para todos, es ciertamente digno de una lectura. Además de este libro blanco, SANS ofrece una serie completa a la respuesta a incidentes, que abarca las cuestiones de las amenazas de día cero, medios sociales, indicadores de compromiso e incidentes basados en la nube.
Los asistentes con los que habló CSO mencionaron también que los grupos profesionales, como los de LinkedIn, o los que están dentro de su comunidad local, también son útiles para hacerse una idea de la respuesta a incidentes, como herramientas para aprender lo que no funcionó en el pasado.
Cuando se trata de la respuesta a incidentes, los conceptos básicos de la línea de fondo son un buen punto de partida. Las siguientes se recogieron a través de entrevistas y conversaciones organizadas durante Black Hat.
Conozca sus datos de destino: Esto significa entender todos los tipos de datos en la red, dónde viven en la red, y darle prioridad a su valor. Después de eso, cubra todas las partes a los que pueden acceder estos datos tanto a nivel externo como interno. Planee proteger estos datos, en reposo y en movimiento, y controle (y monitoree) todos los accesos al mismo.
Documente planes para varios escenarios: No todos los incidentes serán puramente sobre alguien hackeándole. Las organizaciones deben planificar los ataques externos, así como los incidentes derivados de los bienes perdidos o robados, los accidentes y los agentes maliciosos desde dentro (incluyendo cuando un forastero compromete el acceso a la información privilegiada).
Establezca una base de operaciones: Una base de operaciones es un centro de mando. Esto hará las cosas más fáciles para la organización, y con frecuencia equivale a nada más que una sala de conferencias o la oficina más grande en el edificio. Podría estar en la parte trasera si es necesario, pero siempre y cuando se establezca una, eso es lo importante.
Nomine un solo punto de contacto: Asegúrese de que este punto de contacto sea asequible a todos los que trabajan el incidente, y a aquellos que necesitan información y actualizaciones periódicas. También es conveniente asegurarse de que haya un acceso rápido a un representante de prensa en caso de necesidad. Si se necesita un portavoz, de ahí en adelante debe ser la única voz que hable para la compañía al público con respecto a cualquier incidente. Deje que el equipo legal se encargue de los asuntos de cumplimiento, si es necesario.
Actualice y mantenga: Asegúrese de que los planes de respuesta a incidentes se actualicen regularmente, y que la información se mantenga al día. Si se agregan nuevos activos a la red o nuevos empleados, asegúrese de que el plan refleje los cambios pertinentes. Esto debe hacerse cada año por lo menos.
Por último, no importa lo bueno que sea el plan, nunca sobrevive a su primera prueba real. Asegúrese de que haya un después del informe de la acción realizada, y aprenda de los errores, problemas o fracasos. Ajuste los planes y políticas según sea necesario.
Steve Ragan, CSO (EE.UU.)
