Las empresas y organizaciones se encuentran bajo una enorme presión en caso de un ciberataque, porque la reacción correcta ante un incidente requiere mucho tiempo, pero al mismo tiempo requiere una acción rápida.
Por lo tanto, los expertos en respuesta a incidentes de Sophos han desarrollado una guía para ayudar a las empresas a abordar esta difícil tarea. Estos cuatro consejos se basan en la experiencia del mundo real de los equipos de respuesta administrada a amenazas y de respuesta rápida que han trabajado juntos para responder a miles de incidentes de ciberseguridad.
1. Responda lo más rápido posible
Cuando las empresas están bajo ataque, cada segundo cuenta. Sin embargo, los equipos de seguridad internos de la empresa a menudo necesitan demasiado tiempo para reaccionar lo suficientemente rápido. La razón más común de esto es que no reconocen la gravedad de la situación y la urgencia en el tiempo. Además, muchos ataques se producen en días festivos, fines de semana y por la noche. Debido a que la mayoría de los equipos de TI y seguridad tienen una escasez significativa de personal, la respuesta a un ataque en estos momentos suele ser demasiado tarde para contener el impacto del ataque a tiempo.
Atención alarma fatiga
Además, una cierta fatiga de alarma reduce la acción rápida. E incluso con la reacción correcta y oportuna, los equipos de seguridad a menudo no tienen la experiencia necesaria para dar los pasos correctos. Por lo tanto, los posibles incidentes y la reacción a los mismos deben planificarse detalladamente con antelación. Sophos ha enumerado los diez pasos más importantes de un plan de crisis cibernética de este tipo en la Guía de respuesta a incidentes..
2. No te apresures a declarar las acciones como "misión cumplida".
En el caso de un ciberincidente, no basta con tratar los síntomas. Las causas también deben ser investigadas. Por ejemplo, la eliminación exitosa de malware y la eliminación de una alerta no significa que el atacante haya sido expulsado del entorno. Porque podría ser solo una prueba realizada por el atacante para determinar qué defensas enfrenta. Si el atacante aún tiene acceso a la infraestructura, es probable que vuelva a atacar, pero con mayor poder destructivo. ¿Tiene el atacante todavía un pie en el área? ¿Planea lanzar una segunda ola? Los profesionales experimentados en respuesta a incidentes saben cuándo y dónde investigar más a fondo. Buscan todo lo que los atacantes están haciendo, han hecho o pueden estar planeando hacer en la red y también neutralizan esas actividades.
3. La visibilidad total es clave
En un ataque, es importante tener acceso a datos precisos y de alta calidad. Solo esta información permite identificar con precisión los posibles indicadores de un ataque y determinar la causa. Equipos especializados recopilan datos relevantes para detectar las señales y saben priorizarlas. Al hacerlo, tenga en cuenta los siguientes puntos:
recoger señales
La visibilidad limitada de un entorno es una forma segura de perder los ataques. Las herramientas de big data pueden ayudar aquí. Estos recopilan suficientes datos para proporcionar información significativa para investigar y responder a los ataques. La recopilación de datos correctos y de alta calidad de una variedad de fuentes garantiza una visión completa de las herramientas, tácticas y procedimientos de un atacante.
reducir el ruido de fondo
Temerosos de no tener los datos que podrían proporcionar una imagen completa de un ataque, algunas empresas y herramientas de seguridad generalmente recopilan cualquier información disponible. Sin embargo, este enfoque hace que sea más difícil buscar los ataques y se generan más datos de los necesarios. Esto no solo aumenta el costo de la recopilación y el almacenamiento de datos, sino que también crea un alto nivel de ruido de incidentes potenciales, lo que genera fatiga de alarmas y pérdida de tiempo persiguiendo verdaderas falsas alarmas.
aplicar contexto
Para poder llevar a cabo un programa efectivo de respuesta a incidentes, se requiere el contexto además del contenido (datos). Al aplicar metadatos significativos asociados con las señales, los analistas de seguridad pueden determinar si esas señales son maliciosas o benignas. Uno de los componentes más importantes de la detección y respuesta efectiva de amenazas es la priorización de señales. La mejor manera de identificar las alertas más importantes es una combinación de contexto proporcionado por herramientas de seguridad (es decir, soluciones de respuesta y detección de puntos finales), inteligencia artificial, inteligencia de amenazas y la base de conocimiento del operador humano. El contexto ayuda a determinar dónde se originó una señal, la etapa actual del ataque, los eventos relacionados y el impacto comercial potencial.
4. Está bien pedir ayuda
La falta de recursos calificados para investigar y responder a incidentes es uno de los mayores problemas que enfrenta la industria de la ciberseguridad en la actualidad. Muchos equipos de TI y seguridad, bajo mucha presión durante los ataques cibernéticos, se encuentran en situaciones para las que no tienen la experiencia ni las habilidades para manejar. Este dilema ha dado paso a una alternativa: los servicios de seguridad gestionados. Más específicamente, Servicios de Detección y Respuesta Administrada (MDR). Los servicios de MDR son operaciones de seguridad subcontratadas a cargo de un equipo de especialistas y son una extensión del equipo de seguridad interno de la compañía.Estos servicios combinan investigaciones dirigidas por humanos, monitoreo en tiempo real y respuesta a incidentes con tecnologías de recopilación y análisis de inteligencia.
Servicios especializados de respuesta a incidentes
Para las organizaciones que aún no han contratado un servicio MDR y necesitan responder a un ataque activo, los servicios especializados de respuesta a incidentes son una buena opción. Se llama a los respondedores de incidentes cuando el equipo de seguridad está abrumado y se necesitan expertos externos para evaluar el ataque y garantizar que el atacante sea neutralizado. Incluso las empresas que cuentan con un equipo de analistas de seguridad calificados pueden beneficiarse de trabajar con un servicio de respuesta a incidentes. Por ejemplo, se pueden llenar los vacíos en la cobertura (p. ej., noches, fines de semana y días festivos) o se pueden asignar tareas especializadas necesarias en la respuesta a incidentes.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.