Una plantilla de plan de respuesta a incidentes accionable

Una guía de inicio rápido para crear un plan sólido de respuesta a incidentes, diseñada específicamente para empresas con implementaciones basadas en la nube.

¿Qué es la respuesta a incidentes (Incident Response)? Una guía rápida para los SOC

La respuesta a incidentes es un enfoque estratégico para detectar y responder a los ciberataques con el objetivo de minimizar su impacto en sus sistemas de TI y en su negocio en general.

Equipo de expertos de Wiz
12 minutos de lectura

¿Qué es la respuesta a incidentes?

La respuesta a incidentes es un enfoque estratégico para detectar y responder a los ciberataques. Comprende una serie coordinada de procedimientos para ayudarlo a detectar, eliminar y recuperarse del impacto de una amenaza de manera organizada, eficiente y oportuna. Además, cubre las medidas de preparación y ajuste, como planes documentados y manuales de estrategias, herramientas y tecnologías, pruebas y revisiones, para ayudar a garantizar que cumpla con estos objetivos.

La respuesta a incidentes es parte de Gestión de incidencias, que se refiere a la forma más amplia en la que se manejaría un ataque, que involucra Alta Dirección, Equipos Legales, HR, Comunicaciones, y cuanto más amplio sea Departamento de TI.

Esta guía se centra esencialmente en la respuesta a incidentes. Pero cubre brevemente otros aspectos de la gestión de incidentes, ya que'Es importante que una organización adopte un enfoque holístico para manejar incidentes futuros.

Dejar'Comienza repasando algunos conceptos básicos.

¿Qué es un incidente de seguridad?

Los equipos de respuesta a incidentes deben actuar rápidamente en caso de que're llamado a la acción. Por lo tanto, no pueden permitirse malentendidos que consumen mucho tiempo y que pueden surgir por el uso incorrecto de la terminología. Ese'Es por eso que necesitan entender exactamente qué constituye un incidente de seguridad y en qué se diferencia de términos similares, como Evento de seguridad y atacar.

  • Un Evento de seguridad es la presencia de un comportamiento inusual de la red, como un aumento repentino en el tráfico o una escalada de privilegios, que podría ser el indicador de una violación de seguridad. Sin embargo, no es así'no significa necesariamente que tenga un problema de seguridad. Si se investiga más a fondo, puede resultar ser una actividad perfectamente legítima.

  • Un Incidente de seguridad es uno o más eventos de seguridad correlacionados con un posible impacto negativo confirmado, como la pérdida o el acceso no autorizado a los datos, ya sea deliberado o accidental.

  • Unatacares una violación premeditada de la seguridad con intenciones maliciosas.

Tipos de incidentes de seguridad

Debe estar adecuadamente preparado para diferentes tipos de incidentes, sea cual sea su naturaleza.  De modo que usted'Es necesario tener en cuenta una serie de escenarios. Estos incluyen diferentes tipos de aplicaciones e infraestructura subyacente, pero, sobre todo, diferentes tipos de ataques.

Los más comunes son:

  • Denegación de servicio (DoS): Un intento de inundar un servicio con solicitudes falsas, haciendo que no esté disponible para los usuarios legítimos.

  • Compromiso de la aplicación: Una aplicación que'ha sido hackeado, utilizando técnicas como Inyección SQL, Secuencias de comandos entre sitios (XSS)y Envenenamiento de caché, con el fin de corromper, eliminar o exfiltrar datos, o ejecutar otras formas de código malicioso.

  • Ransomware: Un tipo de malware que utiliza el cifrado para bloquear el acceso a sus datos. A continuación, el atacante exige un rescate a cambio de las claves de cifrado.

  • Violación de datos: Una violación de seguridad que implica específicamente el acceso no autorizado a datos sensibles o confidenciales.

  • Hombre en el medio (MitM): Una forma moderna de escuchas telefónicas en la que un adversario intercepta de forma encubierta el intercambio de datos entre dos partes y manipula la comunicación entre ellas.

En consecuencia, debe desarrollar una comprensión profunda de los diferentes tipos de ataque y las posibles vulnerabilidades de sus sistemas. Esto le ayudará a formular procedimientos de respuesta e identificar los requisitos de herramientas y tecnología. Al mismo tiempo, le ayudará a mejorar sus defensas de seguridad y a reducir el riesgo de que surja un incidente grave en primer lugar.

Respuesta a incidentes en la nube

En vista de la adopción generalizada de la nube, la respuesta a incidentes está evolucionando para enfrentar los desafíos que plantean los nuevos tipos de amenazas y los diferentes modelos de implementación de aplicaciones.

Sin embargo, muchas organizaciones siguen confiando en procedimientos de respuesta a incidentes obsoletos. Por lo tanto, deben estar adecuadamente preparados adaptando sus estrategias de respuesta a la nueva superficie de ataque. Por ejemplo, mediante:

  • Garantizar que el equipo de respuesta a incidentes reciba suficiente capacitación para comprender su entorno de TI basado en la nube

  • Implementación de herramientas que's diseñado específicamente para la naturaleza compleja y dinámica de la nube

  • Hacer uso de la telemetría disponible de su proveedor de servicios en la nube (CSP)

Documentación de respuesta a incidentes

Un curso de acción documentado formalmente es un componente esencial de cualquier estrategia sólida de respuesta a incidentes, ya que proporciona una hoja de ruta clara para el manejo de incidentes y garantiza que're adecuadamente equipado para hacerlo.

Como regla general, el material de respuesta a incidentes consta de tres tipos de documentos, como se indica a continuación.

Política de respuesta a incidentes

El política El documento pone en marcha su iniciativa, sirviendo como un modelo amplio para su estrategia de respuesta a incidentes.

Busca la aceptación de los responsables de la toma de decisiones de alto nivel al presentar el caso de negocio para la respuesta a incidentes. Exige la creación de un equipo de respuesta a incidentes y un programa completo de respuesta a incidentes. Debe ser aprobado por el equipo de liderazgo, lo que le da la autoridad para llevar adelante su misión.

Se trata de un documento único que proporciona el trampolín para una documentación más detallada orientada a los aspectos prácticos del proceso de respuesta a incidentes.

Plan de respuesta a incidentes

El Plan de respuesta a incidentes Amplía su documento de política explicando con mayor detalle las medidas que debe implementar para manejar los incidentes de ciberseguridad. Se ejecuta a lo largo de todo el ciclo de vida de la respuesta con planes generales sobre cómo:

  • Detectar y clasificar un incidente de seguridad

  • Determinar el funcionamiento completo del ataque

  • Limite el impacto en sus sistemas de TI y operaciones comerciales

  • Elimine la amenaza

  • Recuperarse del incidente

Además, establece:

  • Preparativos que usted'En previsión de un ataque, la mayoría de las personas que se encuentran en el centro de la información

  • Propuestas de actividad posterior al incidente para análisis y revisiones

Un plan de respuesta a incidentes también es un documento único que establece las bases que respaldan sus manuales de estrategia de respuesta a incidentes.

Cuadernos de estrategias de respuesta a incidentes

En términos generales, un manual de respuesta a incidentes es un documento que proporciona un conjunto muy detallado de procedimientos para manejar un tipo específico de incidente.

Cada libro de jugadas se adapta a diferentes circunstancias. Por ejemplo, usted'Normalmente, crea una serie de manuales de estrategias para diferentes vectores de ataque. Sin embargo, también puede usar un cuaderno de estrategias para proporcionar instrucciones para un rol específico en el equipo de respuesta a incidentes. Esto es común en el proceso más amplio de gestión de incidentes. Por ejemplo, usted'Por lo general, crea manuales de estrategias para los equipos legales y de relaciones públicas para ayudarlos a cumplir con los requisitos de cumplimiento y manejar las comunicaciones, respectivamente.

El equipo de respuesta a incidentes

El equipo de respuesta a incidentes es un grupo multifuncional de personas responsables de orquestar la operación de respuesta a incidentes.

Se ensambla a partir de una amplia gama de roles de trabajo en toda la organización y, por lo general, incluye lo siguiente:

  • Patrocinador ejecutivo.Un miembro de la alta dirección, como el director de seguridad (CSO) o el director de seguridad de la información (CISO), que actúa como defensor de su iniciativa de respuesta a incidentes. A menudo asumirán la responsabilidad de informar sobre el progreso a su empresa's equipo ejecutivo.

  • Responsable de respuesta a incidentes: El líder del equipo, que desarrolla y perfecciona la estrategia de respuesta a incidentes y coordina la actividad. Asumen la responsabilidad y la autoridad generales durante todo el proceso de respuesta.

  • Equipo de comunicación: Representantes de sus departamentos de relaciones públicas, redes sociales y recursos humanos, junto con portavoces y blogueros de la empresa, que serían responsables de mantener informados al personal, los clientes, el público y otras partes interesadas de los desarrollos.

  • Equipo Legal: Representantes legales designados, que se ocupan del cumplimiento y las implicaciones penales de un incidente, junto con los posibles incumplimientos de contrato.

  • Equipo técnico.Personas de sus equipos de operaciones de TI y seguridad, que estén debidamente cualificadas para realizar las tareas técnicas relacionadas con la detección, el análisis, la contención y la eliminación de la amenaza.

Ciclo de vida de la respuesta a incidentes

Un ciclo de vida de respuesta a incidentes bien estructurado y sistemático es fundamental para una gestión eficaz de incidentes, ya que proporciona un proceso paso a paso para hacer frente a un ataque. Sin embargo, usted no'No es necesario empezar desde cero para desarrollar su propio ciclo de vida de respuesta, ya que hay varios marcos disponibles para guiarle a través del proceso.

Entre ellas se encuentran:

  • NIST 800-61: Guía de manejo de incidentes de seguridad informática

  • Ciclo de respuesta a incidentes SANS 504-B

  • Serie ISO/IEC 27035: Tecnología de la información — Gestión de incidentes de seguridad de la información

En la misma línea, Wiz publicó recientemente un Plantilla de plan de respuesta a incidentes ese'dirigido específicamente a los responsables de proteger Nube pública, Nube híbrida y Multinube Implementaciones.

Aunque cada marco de respuesta a incidentes adopta un enfoque ligeramente diferente, todos dividen esencialmente el ciclo de vida en las siguientes fases.

Preparación

El peor momento para empezar a trabajar en una estrategia de respuesta es justo cuando se produce un incidente, ya que hay que actuar rápidamente para minimizar el daño y reducir las interrupciones en el negocio. Ese'Por eso la preparación es tan importante.

La fase de preparación de la respuesta a incidentes garantiza que tenga todo en su lugar con anticipación para que pueda responder a un incidente sin demora. Incluirá disposiciones tales como:

  • La formación del equipo de respuesta a incidentes

  • Un inventario de activos actualizado para ayudar a garantizar que tenga todas las bases cubiertas

  • Captura de datos de registro para respaldar el análisis de la línea de tiempo después de un incidente

  • Adquisición de herramientas para la detección y contención rápidas

  • Implementación de un sistema de seguimiento de problemas para escalar casos y monitorear el progreso

  • Medidas de contingencia para minimizar la interrupción de las operaciones comerciales

  • Capacitación en respuesta a incidentes

  • Ejercicios de pruebas de respuesta a incidentes

  • Cobertura de seguro cibernético

Detección

La fase de detección adopta un enfoque metódico para identificar si se ha producido o está a punto de producirse un incidente de seguridad. Los primeros signos de un ataque incluyen:

  • Un gran número de intentos de inicio de sesión fallidos

  • Solicitudes de acceso al servicio inusuales

  • Escaladas de privilegios

  • Acceso bloqueado a cuentas o recursos

  • Activos de datos faltantes

  • Sistemas de funcionamiento lento

  • Un fallo del sistema

Example threat detection originating from an EKS container

Sin embargo, la detección es uno de los aspectos más desafiantes de la respuesta a incidentes, ya que implica correlacionar información de una variedad de fuentes para confirmar que dichos eventos representan un incidente de seguridad real. Las fuentes pueden incluir:

  • Telemetría de la carga de trabajo

  • Telemetría disponible desde un CSP

  • Inteligencia de amenazas de terceros

  • Comentarios de los usuarios finales

  • Otras partes en su cadena de suministro de software

Investigación/Análisis

La fase de investigación de incidentes comprende una serie sistemática de pasos para determinar la causa raíz del ataque, el impacto probable en las implementaciones y las acciones correctivas adecuadas.

An example root cause analysis on a machine that's been affected by multiple critical vulnerabilities and misconfigurations

Al igual que con la fase de detección, implica reunir datos de eventos de diferentes fuentes de registro para crear una imagen completa del incidente.

Contención

El propósito de la fase de contención es:

  • Minimizar el radio de explosión de un ataque

  • Limite el impacto en sus sistemas de TI y operaciones comerciales

  • Gane tiempo antes de tomar medidas correctivas más exhaustivas

Example of an incident management tool triggering real-time response actions to reduce and contain the blast radius of a potential incident..

Los métodos variarán según el tipo de incidente. Por ejemplo, para contener un ataque de denegación de servicio (DoS),'d implementar medidas de red, como el filtrado de direcciones IP. Pero, en muchos otros casos, usted'd Aislar los recursos para evitar el movimiento lateral del ataque. La forma en que'Esto dependería del tipo de infraestructura. En un entorno de TI tradicional, una herramienta de seguridad como la detección y respuesta de endpoints (EDR) sería el método más eficiente. Pero en un entorno basado en la nube,'Por lo general, es más sencillo cambiar la configuración del grupo de seguridad del recurso a través del plano de control.

Pro tip

Did you know? Gartner recognizes cloud investigation and response automation (CIRA) as an indispensable technology in the cybersecurity landscape. Gartner views CIRA as a strategic investment for organizations looking to fortify their security posture in the cloud. Simply put, the shift to cloud computing brings unprecedented opportunities but also introduces new risks.

Erradicación

La erradicación es la fase en la que se elimina por completo la amenaza para que's ya no está presente en cualquier parte dentro de la red de su organización.

Las formas de librar a sus sistemas de una amenaza incluyen:

  • Eliminación de código malicioso

  • Reinstalación de aplicaciones

  • Rotación de secretos, como credenciales de inicio de sesión y tokens de API

  • Bloqueo de puntos de entrada

  • Aplicación de parches a las vulnerabilidades

  • Actualización de plantillas de infraestructura como código (IaC)

  • Restaurar archivos a su estado previo a la infección

Eso'También es vital analizar tanto los sistemas afectados como los no afectados después de la corrección, para asegurarse de que no hayan quedado rastros de la intrusión.

Revisión posterior al incidente

La fase de revisión brinda la oportunidad de refinar su estrategia de respuesta para que'Está mejor equipado para manejar posibles incidentes en el futuro. Debe tener en cuenta la forma en que respondió al incidente, los comentarios del equipo de respuesta a incidentes y el impacto del incidente en el funcionamiento de su negocio.

Los siguientes son tipos de preguntas que debe plantear al realizar su revisión:

  • ¿Era nuestra documentación lo suficientemente clara?

  • ¿Era precisa la información?

  • ¿Los miembros del equipo de respuesta a incidentes entendieron sus funciones y responsabilidades?

  • ¿Cuánto tiempo se tardó en completar las diferentes tareas?

  • ¿Necesitamos más medidas para evitar incidentes similares en el futuro?

  • ¿Hubo alguna brecha en nuestras herramientas de seguridad?

  • ¿Cometimos algún error que retrasó el tiempo de recuperación?

  • ¿El incidente reveló alguna violación de los requisitos de cumplimiento?

Continuidad del negocio y recuperación ante desastres (BCDR)

Continuidad del negocio (BC) es la serie de medidas de contingencia que su organización debe implementar para mantener las operaciones críticas en funcionamiento durante un período de interrupción, como un incidente de seguridad. Recuperación ante desastres (DR), por otro lado, es el conjunto de provisiones que realiza para restaurar los sistemas a la normalidad, con el mínimo de tiempo de inactividad e impacto en su negocio.

Por lo tanto, ambas disciplinas son fundamentales para el éxito de su respuesta. Sin embargo, deben coordinarse con su estrategia de gestión de incidentes para:

  • Asegúrese de activar los procedimientos BCDR en el punto más adecuado del ciclo de vida de la respuesta

  • Minimice el riesgo de persistencia de amenazas

Para cumplir con estos objetivos, debe tener debidamente en cuenta lo siguiente:

  • La seguridad de cualquier sistema de failover

  • Respalde las prácticas de higiene para prevenir infecciones

  • Prioridades de recuperación 

  • Dependencias del sistema

Herramientas y tecnologías

Las herramientas adecuadas son una bendición cuando se enfrenta a un incidente de seguridad en vivo y necesita abordar la amenaza lo más rápido posible. Así que, para terminar, nosotros'He enumerado algunas de las herramientas y tecnologías que'Es necesario para una respuesta eficaz a los incidentes, junto con el papel que desempeñan en el ciclo de vida de la respuesta.

TechnologyDescriptionRole in response lifecycle
Threat detection and response (TDR)A category of security tools that monitor environments for signs of suspicious activity and provide remediation capabilities to contain and eradicate threats. Examples of TDR technology include endpoint detection and response (EDR) and cloud detection and response (CDR).Detection, investigation, containment, and eradication
Security information and event management (SIEM)An aggregation platform that enriches logs, alert, and event data from disparate sources with contextual information, thereby enhancing visibility and understanding for better incident detection and analysis.Detection and investigation
Security orchestration, automation and response (SOAR)A security orchestration platform that integrates different security tools, providing streamlined security management through a unified interface. Allows you to create playbooks to perform predefined automated responses.Detection, investigation, containment, and eradication
Intrusion detection and prevention system (IDPS)A traditional defense system that detects and blocks network-level threats before they reach endpoints.Detection and investigation
Threat intelligence platform (TIP)An emerging technology that collects and rationalizes external information about known malware and other threats. TIP helps security teams quickly identify the signs of an incident and prioritize their efforts through insights into the latest attack methods adversaries are using.Detection, investigation, containment, and eradication
Risk-based vulnerability management (RBVM)A security solution that scans your IT environment for known vulnerabilities and helps you prioritize remediation activity based on the risk such vulnerabilities pose to your organization.Containment and eradication

Wiz para IR nativo de la nube

Wiz ofrece una amplia gama de servicios Solución de detección y respuesta en la nube (CDR) para ayudar a las organizaciones a detectar, investigar y responder eficazmente a los incidentes de seguridad en entornos de nube. Estos son los aspectos clave de Wiz'S para la respuesta a incidentes en la nube:

  1. Detección contextualizada de amenazas: Wiz correlaciona las amenazas a través de señales en tiempo real y actividad en la nube en una vista unificada, lo que permite a los defensores descubrir rápidamente el movimiento de los atacantes en la nube. Esta contextualización ayuda a priorizar las alertas y reducir los falsos positivos, abordando el problema de la fatiga de alertas a la que se enfrentan muchos equipos de seguridad.

  2. Monitoreo nativo de la nube: La plataforma monitorea los eventos de carga de trabajo y la actividad en la nube para detectar amenazas conocidas y desconocidas y comportamientos maliciosos. Este enfoque nativo de la nube es crucial, ya que las soluciones de seguridad tradicionales a menudo luchan con la naturaleza dinámica de los entornos en la nube.

  3. Manuales de estrategias de respuesta automatizada: Wiz proporciona manuales de respuestas listos para usar diseñados para investigar y aislar los recursos afectados mediante capacidades nativas de la nube. También automatiza la recopilación de pruebas, lo que permite a los equipos de seguridad avanzar rápidamente a través de las fases de contención, erradicación y recuperación.

  4. Gráfico de seguridad para el análisis de causa raíz: Wiz'Security Graph ofrece un análisis automatizado de la causa raíz y el radio de explosión, que es esencial para la respuesta a incidentes. Ayuda a responder preguntas críticas, como cómo se comprometió un recurso y qué posibles rutas podría tomar un atacante en el entorno. Aprende más->

  5. Análisis forense en la nube: Wiz mejora sus capacidades forenses al proporcionar una forma automatizada de recopilar pruebas importantes cuando un recurso puede haberse visto comprometido. Esto incluye la copia de volúmenes de máquinas virtuales, la descarga de paquetes forenses con registros y artefactos, y el uso de sensores de tiempo de ejecución para ver procesos en contenedores o máquinas virtuales.

  6. Evaluación del radio de voladura: El gráfico de seguridad permite a los equipos de IR identificar rápidamente el alcance del impacto, rastrear las rutas de ataque y detectar la causa raíz de los incidentes. Esto es especialmente útil para comprender el posible impacto empresarial de un recurso comprometido. Aprende más->

  7. Monitoreo de tiempo de ejecución: Wiz monitorea continuamente las cargas de trabajo en busca de actividades sospechosas en tiempo de ejecución, lo que agrega contexto al análisis del radio de explosión. Esto incluye la detección de eventos sospechosos realizados por cuentas de servicio de máquinas o usuarios específicos.