Ing. Eliud Elizondo Moya, CISSP
Gerente de Asesoría
Ernst & Young
eliud.elizondo@mx.ey.com
En los últimos años, los ataques cibernéticos han tenido un incremento importante. Sin considerar cuál sea el objetivo del ataque, cuando este tiene éxito y se logra un acceso no autorizado, ya sea a un equipo, una base de datos, una aplicación o un simple repositorio de información, se dice que se ha logrado una intrusión
Ante este escenario hay una pregunta obligada que los responsables de seguridad de la información en todas las organizaciones deben saber: ¿cómo debo responder? A continuación presentamos los pasos básicos a seguir para dar respuesta a una intrusión.
Identificar el tipo de intrusión
Es común que la primera reacción que tenemos cuando recibimos la noticia de que estamos siendo víctimas de una intrusión es apagar o desconectar el equipo que está siendo afectado, y aunque es una reacción válida no es la opción más adecuada, debido a que podríamos perder la posibilidad de obtener información que nos lleve a la identidad del atacante y a la forma de evitar que esta situación se repita.
Nuestro primer paso debe ser conocer las actividades que el atacante está ejecutando y qué servicio utiliza para hacer sus procedimientos. Con esto podremos saber qué proceso o servicio se emplea para perpetrar la intrusión e intuir cuál es el objetivo o uno de los objetivos del atacante.
Identificar el origen de la intrusión y bloquear al atacante
Una vez que conocemos el servicio que está siendo utilizado para la intrusión, debemos identificar la dirección IP, desde la cual se genera el ataque. La siguiente actividad a realizar es bloquear el origen que identifiquemos para “sacar” al atacante de nuestro equipo y evitar que las actividades intrusivas sigan avanzando.
Identificar y analizar los sistemas afectados
El siguiente paso es hacer un recuento de los daños, identificando qué otros sistemas o elementos de infraestructura tecnológica fueron parte del ataque y hasta dónde llegó la intrusión. Debemos confirmar si hubo alguna alteración a la información o a la configuración de los equipos, si se presentó una fuga de datos.
En realidad, este paso es el más complejo porque se debe realizar una búsqueda exhaustiva de indicios que nos confirmen hasta donde abarcó la intrusión y si se cumplieron los objetivos o logramos detener al atacante a tiempo. Es recomendable hacer uso de herramientas o comandos que nos ayuden a validar la integridad de los datos y de la configuración de los equipos. La experiencia, intuición y el sentido común de quien revise las pistas dejadas por el atacante serán las que permitan afinar el resultado de esta búsqueda.
Solucionar anomalías y restablecer la operación
Este paso únicamente se ejecuta en caso de que se presenten fallas en la operación o anomalías derivadas de la intrusión.
En la mayoría de los casos en donde se presentan problemas de disponibilidad después de una intrusión, el impacto de mantener la operación detenida durante este ejercicio podría ser crítico y hasta desastroso.
Por lo anterior, es recomendable obtener imágenes forenses de los equipos que fueron afectados por el ataque, para así tener una copia fiel con la cual podamos trabajar en el siguiente paso. Una vez realizado esto, podemos remediar las anomalías identificadas y restablecer la operación para que la organización siga funcionando con normalidad.
Cabe resaltar que, hasta el momento, no hemos resuelto el problema de raíz, esto nos obliga a monitorear de cerca los equipos en que se haya restablecido la operación, y estar preparados para identificar y volver a bloquear una intrusión del mismo tipo.
Obtener evidencia de la intrusión
En este punto ya conocemos el tamaño de la intrusión hasta dónde afectó a la organización y también recuperamos la operación; ahora nos corresponde llevar a cabo un análisis detallado para evitar que el problema se repita. Para ello, hay que recolectar toda la evidencia posible para descubrir más información del atacante y la forma en que se efectuó la intrusión, así se tendrían los elementos para diseñar mejoras que eviten que un ataque similar tenga éxito.
Para logar lo anterior, debemos recopilar información como: bitácoras de auditoría, historial de comandos ejecutados, eventos registrados en dispositivos de seguridad y telecomunicaciones, archivos creados por el atacante o información alterada, entre otras.
Diseñar e implementar mejoras
En este paso, básicamente tenemos que diseñar o rediseñar, e implementar los controles necesarios para mitigar el riesgo actual y la causa raíz, considerando los aspectos técnicos, de proceso y administrativos.
En la ejecución de este paso podríamos evaluar la posibilidad de restablecer la información y los sistemas de la versión más reciente en nuestros respaldos, para llevar a cabo las actividades de mejora sobre una versión íntegra y confiable.
Es importante que estos pasos se encuentren dentro de un proceso de respuesta a incidentes de seguridad, como alguno de los modelos públicos, por ejemplo, el modelo propuesto por NIST1 en su “Guía de manejo de incidentes de seguridad informática”.
Hoy en día, temas como la administración de riesgos de seguridad, la continuidad de las operaciones, el monitoreo de cumplimiento, entre otros, relacionados con el tema de las intrusiones, son la principal preocupación para la inversión de las áreas de seguridad de la información.
La siguiente gráfica muestra el resultado de la “XIV Encuesta Global de Seguridad de la Información”, realizada por Ernst & Young,2 para la pregunta: ¿Cuál de las siguientes áreas de seguridad de la información recibirá más inversión durante los próximos 12 meses?
Por último, debemos recodar que para dar respuesta a una intrusión y a todas sus implicaciones, no solo son necesarias habilidades técnicas, herramientas o dispositivos de seguridad. Esta respuesta se debe basar en un análisis detallado de la situación técnica, administrativa y de procesos para ejecutar una contestación efectiva a las intrusiones y una remediación a la causa raíz.