Como mencioné en mi blog anterior, el objetivo principal de la respuesta a incidentes es reducir el tiempo de permanencia de los atacantes como una forma de mitigación del riesgo, pero las organizaciones deben definir primero el nivel de riesgo a mitigar. Es importante considerar la madurez y las capacidades de respuesta a incidentes en relación con las amenazas relevantes para el negocio y el alcance del impacto que estas amenazas pueden crear. Los requisitos de concienciación del riesgo empresarial definen las métricas y el gasto en seguridad para lograr tiempos de respuesta adecuados.
En 2013, James Webb, CISO de la Appalachian State University, propuso un modelo de madurez de respuesta a incidentes en un eje temporal, que Vectra ha adoptado y evolucionado como parte de nuestra práctica de asesoramiento en seguridad.
Este modelo considera dos capacidades fundamentales para el éxito de la respuesta a incidentes:
Conciencia de amenaza/visibilidad
La capacidad de disponer de información precisa y fiable sobre la presencia de actores de amenazas, sus intenciones, sus actividades históricas y cómo se relacionan las defensas con ellos. El tiempo de detección y el tiempo de conocimiento son cruciales.
Agilidad de respuesta/rendimiento
La capacidad de aislar, erradicar y restablecer el funcionamiento normal de la empresa de forma rápida y suficiente. Esto implica el tiempo de respuesta.
La mayoría de los marcos de madurez de la seguridad implican la adopción de herramientas para proporcionar capacidades lineales como un enfoque de seguridad por capas. Esta metodología puede dar lugar a solapamientos y redundancias, lo que a menudo repercute negativamente en el conocimiento de las amenazas y la agilidad de respuesta. También pone de relieve las compensaciones entre las capacidades de detección y respuesta que se producen en cada nivel de madurez.
Al relacionar estos dos atributos con el proceso de respuesta a incidentes, la madurez y la capacidad pueden definirse y medirse a través de las cinco etapas del modelo de madurez basado en el nivel deseado de conciencia del riesgo.
Niveles de madurez de la respuesta a incidentes
1. Reactivo/ad-hoc
Estees el enfoque "whack-a-mole", en el que la organización responde a las amenazas sólo después de que surjan. La detección de amenazas internas suele proceder de una fuente externa. Por desgracia, demasiadas organizaciones siguen confiando en este método de respuesta cuando descubren un activo comprometido. Restaurar el sistema a partir de copias de seguridad facilita ser ágil y recuperar rápidamente las funciones empresariales. Sin embargo, la concienciación sobre las amenazas es escasa, ya que no se sabe realmente cómo se comprometió el sistema ni por qué y para qué se utilizó después del compromiso.
2.Basado en herramientas/firmas
En esta fase, las organizaciones adoptan herramientas que buscan compromisos potenciales en el entorno. A menudo se trata de herramientas basadas en firmas, como el software antivirus y el sistema de detección y prevención de intrusiones (IDPS), que proporcionan algunas alertas automáticas sobre compromisos potenciales de amenazas conocidas. La remediación de estos sistemas comprometidos también es impulsada por herramientas que están diseñadas para limpiar un sistema de compromiso, lo que por cierto no es una buena idea. La agilidad comienza a disminuir y conduce a un enfoque de respuesta ad hoc.
3. Impulsado por procesos
En esta fase, las organizaciones adoptan funciones, procesos y estructuras de gobierno formales de respuesta a incidentes. A menudo incluye múltiples fuentes de detección de amenazas y correlaciones de alertas que se corresponden con las fases del ciclo de vida del ataque. Para muchas organizaciones, este es el estado ideal de las operaciones. Los ataques se detectan, analizan y abordan de forma rentable y repetible. Aunque los procesos formalizados ralentizan la agilidad, es irrelevante porque el volumen de ataques tiende a ser bajo y la mayoría de los incidentes son errores benignos de usuarios internos o violaciones de políticas. La principal deficiencia de este modelo es que hacer frente a los ataques selectivos requiere algo más que buenos procesos.
4. Inteligencia
Para muchas grandes organizaciones, la respuesta a incidentes basada en inteligencia es un gran objetivo debido a la prevalencia de los ataques dirigidos. Este nivel de respuesta a incidentes requiere tener un conocimiento más detallado y actualizado de los actores de la amenaza, incluidos sus objetivos y motivación, así como su perfil de herramientas, tácticas y procedimientos (TTP). Para lograr este objetivo, es aconsejable correlacionar con bases de conocimiento externas como el marco MITRE ATT&CK . El conocimiento de la disposición de los adversarios se utiliza entonces para diseñar las defensas de seguridad y los controles de detección de forma que permitan emprender acciones discretas para interrumpir, degradar y negar la capacidad de los adversarios para alcanzar sus objetivos.
5. Defensa predictiva
También conocida como defensa activa, esta etapa representa la convergencia de los procesos de respuesta a incidentes y una arquitectura defensiva adaptable que puede utilizarse para burlar a los adversarios cuando entran, operan y se mueven dentro de entornos protegidos. Una de las características clave de este modelo son las capacidades que permiten el engaño y la negación de operaciones por parte de los adversarios. La caza de amenazas es la máxima expresión de una defensa proactiva.
Alineación del plan de respuesta a incidentes
Aunque el tiempo es el factor más importante en la respuesta a incidentes, el tiempo también es dinero. Cuánto gastar y cuánta conciencia de las amenazas o agilidad se requiere para mitigar el riesgo empresarial depende de las necesidades únicas de una organización. Estas necesidades difieren en función del tamaño, el sector y los requisitos de cumplimiento.
Priorizar el tratamiento del incidente es quizás el punto de decisión más crítico en el proceso de respuesta a incidentes. La priorización requiere una comprensión de la amenaza y el riesgo para la organización. La clasificación de ese riesgo determina el nivel de madurez necesario de la organización.
Elegir el nivel adecuado
El nivel de madurez que debe alcanzar una organización para responder a incidentes se basa en los requisitos de dicha capacidad. Las amenazas, los riesgos y los requisitos de conformidad específicos del sector dictan las necesidades de una organización. Observar las necesidades de otras organizaciones del mismo sector ayuda a identificar un buen punto de partida para un nivel de madurez objetivo.
Por ejemplo, una pequeña empresa que opere en el negocio de la logística no tendrá los mismos requisitos -o la misma capacidad- para responder a incidentes de ciberseguridad que una gran organización corporativa del sector financiero o una entidad gubernamental. Por el contrario, las organizaciones con marcas muy reconocidas o propiedad intelectual valiosa deben mejorar el conocimiento de las amenazas mediante la búsqueda proactiva de atacantes, manteniendo al mismo tiempo la agilidad necesaria para responder con rapidez a las amenazas que encuentren. Esto va más allá de un plan mantenido, funciones y responsabilidades concretas, líneas de comunicación y procedimientos de respuesta. Un plan y un proceso formales del centro de operaciones de seguridad (SOC) no bastan para hacer frente al riesgo de ataques selectivos.
Si necesita mejorar sus operaciones de seguridad y mejorar sus capacidades de respuesta ante incidentes, descubra Vectra Advisory Services para obtener una gama de ofertas adaptadas a las necesidades específicas de su organización.