Preparándonos para futuros ataques Resumen de la solución: Implementación de la estrategia de seguridad adecuada Mayor enfoque, menos riesgos. www.emea.symantec.com/cyber-resilience Resumen de la solución: implementación de la estrategia de seguridad adecuada Introducción Los últimos incidentes de programas maliciosos han demostrado el coste y el daño que pueden causar los ciber-ataques. Se cree que el gusano Stuxnet ha afectado sustancialmente al procesamiento nuclear iraní y se considera que es la primera arma operativa en el ciberespacio1. Shamoon puso en peligro e incapacitó 30 000 estaciones de trabajo de una organización productora de petróleo2. Otro ataque de un programa malicioso dirigido a una empresa pública provocó que la empresa declarara una pérdida de 66 000 000 $ a causa del ataque3. Estos ataques no siempre obtienen buenos resultados, pero cuando los atacantes logran acceder a los sistemas de una organización, una respuesta rápida y bien preparada puede minimizar rápidamente los daños y restaurar los sistemas antes de que se produzcan daños significativos. Para preparar una respuesta, las organizaciones deben comprender el curso que pueden tomar los ataques, desarrollar una estrategia de contraataque, decidir quién llevará a cabo las acciones y, luego, poner en práctica y perfeccionar el plan. www.emea.symantec.com/cyber-resilience Resumen de la solución: implementación de la estrategia de seguridad adecuada Conocer los ataques Un ataque comienza con un punto de acceso a la organización. Puede tratarse de un sistema no seguro al cual los piratas informáticos pueden acceder, un equipo vulnerable en el cual se ejecutan programas maliciosos o un usuario que fue engañado para instalar el programa malicioso. El punto de entrada, luego, se puede utilizar para propagar los ataques en la red, ya sea mediante la utilización de piratería informática en otros sistemas o de un programa malicioso que aproveche las vulnerabilidades del sistema sin parches y se instale en otros sistemas. Una vez que un sistema está afectado, los atacantes pueden instalar otros programas maliciosos o controlar el sistema y enviar comandos para ejecutar. Los atacantes pueden filtrar información, como archivos confidenciales o nombres de usuarios y contraseñas almacenados en el sistema. Emisión de comandos Atacante Atacante Usuario Entrada Expansión de ataque Filtración de ataque Protección contra ataques La mayoría de los ataques se pueden combatir con la implementación de prácticas básicas de seguridad de la información. El Departamento de Defensa de Australia descubrió que la implementación de cuatro estrategias de mitigación era suficiente para prevenir el 85% de los ataques dirigidos4. El gobierno británico advirtió que la concentración en diez áreas principales es suficiente para contrarrestar la mayoría de las amenazas en el ciberespacio5. Como mínimo, una organización debe garantizar que el tráfico de red y los sistemas se analicen en busca de programas maliciosos y que se conserven registros de las actividades del sistema y la red para realizar análisis forenses, si es necesario. Además, es vital hacer copias de seguridad regulares para garantizar la restauración de los sistemas dañados a su estado normal de funcionamiento. www.emea.symantec.com/cyber-resilience Resumen de la solución: implementación de la estrategia de seguridad adecuada Las defensas adecuadas de seguridad de la información reducen las probabilidades de que se produzcan ataques. Sin embargo, detrás de cada ciber-ataque, hay una organización que creía que su defensa era suficiente. Se producen incidentes graves que se deben planificar con el fin de reducir la interrupción de las actividades empresariales, minimizar los daños y disminuir el tiempo de recuperación necesario. Preparación para los incidentes Las organizaciones deben esperar que se produzcan ataques sofisticados contra sus sistemas y, por lo tanto, deben preparase para esta eventualidad. En realidad, estos ataques son poco frecuentes. Sin embargo, al mantenerse actualizadas respecto a los ataques y las técnicas de ataque más recientes, las organizaciones pueden verificar si sus sistemas son capaces de detectar y repeler estas amenazas. La atención en el proceso de preparación garantiza la posibilidad de detectar los ataques rápidamente tan pronto como presentan. Muchos incidentes identificados, al analizarlos con más detalle, pueden resultar falsos positivos. Otros pueden ser más leves y no requerir una mayor respuesta. No obstante, las organizaciones deben asegurarse de capturar y registrar todos los incidentes a fin de identificar y escalar los ataques que realmente necesitan atención. Para hacerlo, es importante determinar el criterio para escalarlos y el mecanismo mediante el cual los incidentes detectados activarán un plan de incidentes. El primer paso del plan de incidentes debe ser una evaluación de la situación. A continuación, se deben realizar las acciones necesarias para impedir que el ataque se propague, afecte a más sistemas y produzca más daños. Para contener el ataque, será necesario mantener aislados a los sistemas infectados. Para evitar que el ataque se propague internamente, es probable que sea necesario deshabilitar de forma provisional los sistemas que aún no han sido infectados y reducir el acceso a la red. Figura 2: Fases de respuesta ante incidentes Preparación Detección Preparación para los ataques Respuesta Recuperación Implementación del plan de respuesta Revisión Perfeccionamiento del plan de respuesta www.emea.symantec.com/cyber-resilience R fu ecu nc pe io ra na ci m ón ie d nt e o no rm al S pr iste ot m eg as id os A de tac te an ct te ad o E at ntra ac d an a d te e Tiempo Resumen de la solución: implementación de la estrategia de seguridad adecuada Estas acciones pueden ejercer un impacto sobre los usuarios y los servicios de toda la organización. En especial, pueden afectar la manera en que los usuarios, e incluso el equipo de respuesta, generalmente se comunican. Por lo tanto, es necesario pensar de qué forma se mantendrá la comunicación y se informará a los usuarios y ejecutivos sobre el progreso de la resolución de incidentes. Los análisis forenses no solo deben usarse para corroborar si se han puesto en peligro datos, sino también para evaluar la forma en que los atacantes penetraron originalmente en los sistemas. Como prioridad, se debe abordar la vulnerabilidad que se utilizó para obtener acceso a fin de evitar que el ataque se vuelva a repetir tan pronto se resuelva. También puede ser útil recopilar y preservar la información obtenida en los análisis forenses para identificar a los responsables del ataque e iniciar acciones legales en su contra. La fase de recuperación implica la restauración de los sistemas al estado previo a la infección. El acceso a las copias de seguridad recientes de los sistemas afectados puede facilitar en gran medida el proceso, siempre que no contengan programas maliciosos. Se debe poner especial atención en garantizar que los sistemas se restauren a un estado libre de infección. Luego, es necesario revisar cada incidente para identificar qué procedimientos funcionaron de forma correcta y qué prácticas existentes faltaron. Se debe aprovechar la oportunidad para aprender del incidente y mejorar los procedimientos y el nivel de seguridad de la organización. Creación de un equipo de respuesta Todas las organizaciones necesitan contar con un plan de respuesta y, también, con un equipo que lo implemente. Por este motivo, la asistencia de los ejecutivos senior es un factor clave para lograr el éxito. De hecho, cuando un incidente evoluciona rápidamente, la participación de un ejecutivo senior con la autoridad para aprobar las medidas necesarias para contener y resolver el incidente puede ser crucial a la hora de obtener una ventaja en términos de velocidad sobre los atacantes. Las partes implicadas de los departamentos que puedan resultar afectadas por un incidente deberán formar parte del equipo de respuesta. Sin embargo, el mayor aporte al equipo lo realizará el personal técnico, quien implementará el plan y tendrá las habilidades necesarias para reparar los daños. www.emea.symantec.com/cyber-resilience Resumen de la solución: implementación de la estrategia de seguridad adecuada Las organizaciones no deben pensar que todas las posiciones dentro del equipo de respuesta deben ser ocupadas por personal interno. Los conocimientos externos se deben tener en cuenta para las habilidades especializadas y la experiencia en incidentes similares que se pueden incorporar al equipo. La composición del equipo también debe revisarse con frecuencia. Es posible que los miembros deban estar de turno durante períodos extensos y que disfruten del beneficio de salir del equipo de incidentes para descansar. Del mismo modo, algunos ejercicios y pruebas pueden identificar otras habilidades que se deban incorporar al equipo. Comprobación del plan Los ataques graves son eventos poco frecuentes. Lo ideal sería que el plan de incidentes y las habilidades del equipo de respuesta no deban ponerse en práctica nunca. Sin embargo, esto significa un riesgo de por sí. La comprobación regular del plan de incidentes permite revelar las áreas más débiles y evitar que se olviden ciertas habilidades por falta de uso. Los ejercicios de prueba pueden realizarse en papel, en cuyo caso la respuesta ante un ataque en evolución y la resolución del incidente se representan de forma teórica. O bien, se puede programar la prueba como un ejercicio en vivo en el cual un equipo de evaluadores de penetraciones simule la manera en que los atacantes pueden poner en peligro los sistemas. icar ua Act r www.emea.symantec.com/cyber-resilience H ob ar nif la er ac P Los ejercicios regulares garantizan que los miembros del equipo se familiaricen con sus roles y responsabilidades. La prueba de diferentes situaciones de ataque garantiza que los procedimientos sean lo suficientemente completos y flexibles para responder ante futuros ataques. Los equipos deben adoptar el modelo de: planificar, hacer, comprobar y actuar. pr Co m Resumen de la solución: implementación de la estrategia de seguridad adecuada Planificar Establecer objetivos, políticas y procedimientos para cumplir los requisitos de la empresa. Hacer Implementar estas políticas y estos procedimientos. Comprobar Verificar si son efectivamente capaces de lograr los objetivos en la práctica. Actuar Tomar medidas para modificar los planes según la experiencia vivida para perfeccionarlos y mejorarlos. Mayor enfoque, menos riesgos. www.emea.symantec.com/cyber-resilience Conclusión Al comprender cómo se producen los ataques, implementar los procedimientos correctos y desarrollar una estrategia de respuesta clara, las organizaciones podrán contrarrestar futuros ataques y recuperarse de los incidentes con mayor rapidez. Referencias 1 N. Falliere, L. O. Murchu, E. Chien, “W32. Stuxnet Dossier” (Expediente de W32. Stuxnet), libro blanco de Symantec Security Response, febrero de 2007 S. Davies, “Out of Control” (Fuera de control), Engineering & Technology v.6 (6), p. 60-62, julio de 2011 2 D. Walker, “Saudi Oil Company Back Online After Cyber Sabotage Attempt” (Empresa petrolera nuevamente online después de un intento de sabotaje en el ciberespacio), SC Magazine, 27 de agosto de 2012 3 H. Tsukayama, “Cyber Attack on RSA Cost EMC $66 Million” (Ciber-ataque en RSA le cuesta a EMC 66 millones de dólares), The Washington Post, 26 de julio de 2011 4 “Top Four Mitigation Strategies to Protect Your ICT System” (Cuatro estrategias principales de mitigación para proteger el sistema de ICT), Departamento de Defensa, Inteligencia y Seguridad del Gobierno de Australia, p. 1, septiembre de 2011 5 “Executive Companion: 10 Steps to Cyber Security” (Complemento ejecutivo: 10 pasos para la seguridad en el ciberespacio), Departamento de Negocios, Innovación y Habilidades, Centro para la Protección de la Infraestructura Nacional, Oficina de Seguridad en el Ciberespacio y Seguridad de la Información, p. 1, septiembre de 2012 Mayor enfoque, menos riesgos. www.emea.symantec.com/cyber-resilience Material de lectura adicional “Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology” (Directrices para la gestión de incidentes relacionados con la seguridad informática. Recomendaciones del Instituto Nacional de Estándares y Tecnología), NIST SP 800-61, rev. 2. “Guide to Malware Incident Prevention and Handling. Recommendations of the National Institute of Standards and Technology” (Guía sobre prevención y gestión de incidentes de programas maliciosos. Recomendaciones del Instituto Nacional de Estándares y Tecnología), NIST SP 800-83. BS ISO/IEC 27002:2005, Tecnología de la Información, Técnicas de seguridad, Código de práctica para la gestión de la seguridad de la información. BS ISO/IEC 27035:2011, Tecnología de la Información, Técnicas de seguridad, Gestión de incidentes para la seguridad de la información. PD ISO/IEC TR 18044:2004, Tecnología de la Información, Técnicas de seguridad, Gestión de incidentes para la seguridad de la información. BS ISO/IEC 27031:2011, Tecnología de la Información, Técnicas de seguridad, Directrices para determinar la idoneidad de la Tecnología de la Información y la comunicación para lograr la continuidad de la actividad empresarial. “Mejores prácticas para la eliminación de virus en una red”, Base de conocimientos de Symantec B. Nahorney & E. Maengkom, “Containing an Outbreak. How to clean your network after an incident” (Contiene un ataque. Cómo limpiar la red después de un incidente), libro blanco de Symantec Security Response. Symantec EMEA Sede central 350 Brook Drive Green Park Reading RG2 6UH Teléfono: +44 (0)870 243 1080 Fax: +44 (0)870 243 1081 Symantec es un líder mundial en soluciones de seguridad, almacenamiento y gestión de sistemas, que ayudan a los clientes a proteger y gestionar su información e identidades. Copyright © 2013 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el logotipo de la marca de comprobación son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. 12/12 Symantec Security Response, “Security Best Practices” (Las mejores prácticas de seguridad), Capacitaciones de Symantec, “Security Awareness Program” (Programa de concienciación sobre seguridad) Resumen de la solución: Symantec Managed Security Services, “Symantec Security Monitoring Services: Security log management, monitoring, and analysis by certified experts” (Servicios de supervisión de seguridad de Symantec: gestión, supervisión y análisis de registros de seguridad por parte de expertos certificados) Resumen de la solución: Symantec Managed Security Services, “Symantec Managed Protection Services: Optimize enterprise security protection while maintaining control” (Servicios administrados de protección de Symantec: cómo optimizar la protección de la seguridad de la empresa y, a la vez, mantener el control) Para obtener estos y otros recursos, visite: www.symantec.com/es/es/security_response