Monitorización y respuesta a incidentes
“Los incendios se apagan en invierno”. Hemos escuchado esta frase en más de una ocasión y casi siempre se utiliza después de un gran incendio catastrófico que se puede evitar o minimizar de haber trabajado previamente en la prevención y preparación.
La respuesta ante incidentes de ciberseguridad también hay que “trabajarla en invierno”. Cualquier respuesta a un incidente de ciberseguridad, tensiona a todos los equipos involucrados, especialmente los equipos de respuesta ante incidentes y los equipos de IT que dan soporte directo.
Al igual que la lucha contra los grandes incendios forestales, la preparación y trabajo previo son claves para cuando llegado el momento suceda el incidente y poderlo resolver en el mínimo tiempo posible y con la menor afectación posible.
Conflictos en los campos de batalla tradicionales
Dentro del capítulo de prevención y preparación para un afrontar un incidente, deberíamos tener en cuenta:
- Cortafuegos (segmentación, compartimentación, aislamiento).
- Limpieza e higiene (bastionado, procesos de operación de sistemas, revisión de configuraciones).
- Mecanismos de alerta temprana (sondas, eventos de monitorización, alertas).
Un gran incendio forestal sin cortafuegos arderá descontrolado quemando todo lo que hay a su paso. Establecer segmentos y zonas debidamente aisladas, ayudará a evitar la propagación descontrolada del incendio, así como del incidente de seguridad.
En el caso de los incendios forestales, los cortafuegos, así como el propio bosque deben estar lo más limpios posibles para evitar favorecer al fuego (materia que quemar o sistemas o plataformas donde explotar vulnerabilidades o malas configuraciones) y los cortafuegos hagan su función evitando la propagación.
En el caso digital, hablaremos de bastionado y ciberhigiene (para este artículo, incluyo el parcheado en este apartado). Cuando nos encontramos con sistemas que no están debidamente configurado y donde no se mantiene una mínima ciberhigiene, en caso de un ciberincidente, estos sistemas y serán el oxígeno y materia para que el fuego continúe expandiéndose y dañando nuestra infraestructura.
Alerta temprana
El último punto es la alerta temprana (las atalayas de vigilancia). Para combatir un incendio o un incidente de ciberseguridad antes que sea ingobernable y que se convierta en una tragedia, debemos saber que se está produciendo. La alerta temprana nos ayuda a saber dónde se está iniciando un incidente y dirigir las medidas de contención y respuesta.
En el caso que nos ocupa (ciber), la alerta temprana juega un papel fundamental y la podemos encontrar en diferentes formas, pero en su gran mayaría se concentran en un sistema central que recoge diferentes fuentes de información desde las que inferir, de forma automática, si está sucediendo un evento destacable y lanzar una alerta o no.
Hoy en día podemos encontrar diferentes acrónimos y tecnologías muy similares, pero si hablamos de SIEM – por sus siglas en inglés: Security Information and Event Management – todos sabes que estamos hablando de monitorización y por extensión de registros de eventos (logs) y de alertas.
La base de cualquier arquitectura de seguridad es la monitorización. La monitorización de la propia infraestructura y de los sistemas a proteger, así como la monitorización de todos los elementos de seguridad desplegados.
Estos elementos de seguridad, más allá de su función defensiva, son “sondas” que nos sirven para alertarnos de ataques o amenazas que se están materializando. La monitorización activa de estos elementos, así como la correlación de eventos para determinar si se está produciendo una amenaza, nos darán visibilidad sobre qué sistemas están sufriendo un ataque. En nuestra analogía con los incendios forestales, tendríamos visibilidad sobre las áreas en las que se esta iniciando un incendio, o sobre las que se están dando todos factores para que se inicie uno.
Falsos positivos
Abro un paréntesis en este punto para hablar de los falsos positivos. Aunque las tecnologías cada vez permiten un análisis más detallado y preciso de la información y que los sistemas de seguridad, que actúan de sondas, son cada vez más precisos. Quienes nos enfrentamos a diseñar y operar un sistema de monitorización, nos enfrentamos a un problema nada trivial: los falsos positivos.
En un mundo hiperconectado, donde la globalización tecnológica llega a todos los ámbitos y lugares de mundo, los sistemas de monitorización deben hacer frente a millones de eventos y condiciones donde determinar si algo parece malicioso, lo es o no lo es, en una delgada línea difusa de grises, por lo que la gestión de falsos positivos es uno de los elementos clave.
Y en este punto, es donde entra la automatización. En una primera instancia como método para automatizar el primer nivel en la gestión de alertas, poder reducir el número de falsos positivos, contextualizar las amenazas automáticamente y desencadenar procesos de respuesta a positivos sin necesidad de intervención humana y por lo tanto dotar a los sistemas de monitorización y alerta, de una respuesta defensiva y ofensiva.
El término SOAR – del inglés: Security Orchestration, Automation, and Response – ampliamente conocido y con más de una variante, permite dar un salto cualitativo en la respuesta a incidentes, dotando a los equipos de un mayor control sobre los incidentes, de procedimientos de respuesta orquestando múltiples dispositivos de seguridad y de la capacidad de poder automatizar para disponer de un tiempo de respuesta inmediato.
Y es aquí donde podemos decir que hemos preparado la campaña de incendios forestales desde el invierno y que ahora nuestros equipos de operaciones de seguridad y respuesta a incidentes están preparados para resolver cualquier incidente con las mínimas consecuencias. Pero de esto ya nos ocuparemos en la próxima ocasión.
Aprende mucho más en nuestro Máster Profesional en Ciberseguridad, Hacking Ético y Seguridad Ofensiva.