Preparación para enfrentar futuros ataques

Anuncio
Preparándonos
para futuros
ataques
Resumen de
la solución:
Implementación
de la estrategia
de seguridad
adecuada
Mayor enfoque, menos riesgos.
www.emea.symantec.com/cyber-resilience
Resumen de la solución: implementación de la estrategia de seguridad adecuada
Introducción
Los últimos incidentes de programas
maliciosos han demostrado el coste y
el daño que pueden causar los
ciber-ataques.
Se cree que el gusano Stuxnet ha afectado sustancialmente al procesamiento
nuclear iraní y se considera que es la primera arma operativa en el ciberespacio1.
Shamoon puso en peligro e incapacitó 30 000 estaciones de trabajo de una
organización productora de petróleo2. Otro ataque de un programa malicioso
dirigido a una empresa pública provocó que la empresa declarara una pérdida
de 66 000 000 $ a causa del ataque3.
Estos ataques no siempre obtienen buenos resultados, pero cuando los atacantes
logran acceder a los sistemas de una organización, una respuesta rápida y bien
preparada puede minimizar rápidamente los daños y restaurar los sistemas
antes de que se produzcan daños significativos.
Para preparar una respuesta, las organizaciones deben comprender el curso
que pueden tomar los ataques, desarrollar una estrategia de contraataque,
decidir quién llevará a cabo las acciones y, luego, poner en práctica y
perfeccionar el plan.
www.emea.symantec.com/cyber-resilience
Resumen de la solución: implementación de la estrategia de seguridad adecuada
Conocer los ataques
Un ataque comienza con un punto de acceso a la organización. Puede tratarse
de un sistema no seguro al cual los piratas informáticos pueden acceder, un
equipo vulnerable en el cual se ejecutan programas maliciosos o un usuario
que fue engañado para instalar el programa malicioso. El punto de entrada,
luego, se puede utilizar para propagar los ataques en la red, ya sea mediante
la utilización de piratería informática en otros sistemas o de un programa
malicioso que aproveche las vulnerabilidades del sistema sin parches y se
instale en otros sistemas.
Una vez que un sistema está afectado, los atacantes pueden instalar otros
programas maliciosos o controlar el sistema y enviar comandos para ejecutar.
Los atacantes pueden filtrar información, como archivos confidenciales o
nombres de usuarios y contraseñas almacenados en el sistema.
Emisión de comandos
Atacante
Atacante
Usuario
Entrada
Expansión de ataque
Filtración de ataque
Protección contra ataques
La mayoría de los ataques se pueden combatir con la implementación de
prácticas básicas de seguridad de la información. El Departamento de Defensa
de Australia descubrió que la implementación de cuatro estrategias de
mitigación era suficiente para prevenir el 85% de los ataques dirigidos4.
El gobierno británico advirtió que la concentración en diez áreas principales
es suficiente para contrarrestar la mayoría de las amenazas en el ciberespacio5.
Como mínimo, una organización debe garantizar que el tráfico de red y los
sistemas se analicen en busca de programas maliciosos y que se conserven
registros de las actividades del sistema y la red para realizar análisis forenses,
si es necesario. Además, es vital hacer copias de seguridad regulares para
garantizar la restauración de los sistemas dañados a su estado normal de
funcionamiento.
www.emea.symantec.com/cyber-resilience
Resumen de la solución: implementación de la estrategia de seguridad adecuada
Las defensas adecuadas de seguridad de la información reducen las
probabilidades de que se produzcan ataques. Sin embargo, detrás de cada
ciber-ataque, hay una organización que creía que su defensa era suficiente. Se
producen incidentes graves que se deben planificar con el fin de reducir la
interrupción de las actividades empresariales, minimizar los daños y disminuir
el tiempo de recuperación necesario.
Preparación para los incidentes
Las organizaciones deben esperar que se produzcan ataques sofisticados
contra sus sistemas y, por lo tanto, deben preparase para esta eventualidad.
En realidad, estos ataques son poco frecuentes. Sin embargo, al mantenerse
actualizadas respecto a los ataques y las técnicas de ataque más recientes,
las organizaciones pueden verificar si sus sistemas son capaces de detectar
y repeler estas amenazas.
La atención en el proceso de preparación garantiza la posibilidad de detectar
los ataques rápidamente tan pronto como presentan. Muchos incidentes
identificados, al analizarlos con más detalle, pueden resultar falsos positivos.
Otros pueden ser más leves y no requerir una mayor respuesta. No obstante,
las organizaciones deben asegurarse de capturar y registrar todos los
incidentes a fin de identificar y escalar los ataques que realmente necesitan
atención. Para hacerlo, es importante determinar el criterio para escalarlos y
el mecanismo mediante el cual los incidentes detectados activarán un plan de
incidentes.
El primer paso del plan de incidentes debe ser una evaluación de la situación.
A continuación, se deben realizar las acciones necesarias para impedir que el
ataque se propague, afecte a más sistemas y produzca más daños. Para contener
el ataque, será necesario mantener aislados a los sistemas infectados. Para
evitar que el ataque se propague internamente, es probable que sea necesario
deshabilitar de forma provisional los sistemas que aún no han sido infectados
y reducir el acceso a la red.
Figura 2: Fases de respuesta ante incidentes
Preparación
Detección
Preparación para los ataques
Respuesta
Recuperación
Implementación del plan de respuesta
Revisión
Perfeccionamiento del plan
de respuesta
www.emea.symantec.com/cyber-resilience
R
fu ecu
nc pe
io ra
na ci
m ón
ie d
nt e
o
no
rm
al
S
pr iste
ot m
eg as
id
os
A
de tac
te an
ct te
ad
o
E
at ntra
ac d
an a d
te e
Tiempo
Resumen de la solución: implementación de la estrategia de seguridad adecuada
Estas acciones pueden ejercer un impacto sobre los usuarios y los servicios
de toda la organización. En especial, pueden afectar la manera en que los
usuarios, e incluso el equipo de respuesta, generalmente se comunican. Por
lo tanto, es necesario pensar de qué forma se mantendrá la comunicación
y se informará a los usuarios y ejecutivos sobre el progreso de la resolución
de incidentes.
Los análisis forenses no solo deben usarse para corroborar si se han puesto
en peligro datos, sino también para evaluar la forma en que los atacantes
penetraron originalmente en los sistemas. Como prioridad, se debe abordar
la vulnerabilidad que se utilizó para obtener acceso a fin de evitar que el
ataque se vuelva a repetir tan pronto se resuelva. También puede ser útil
recopilar y preservar la información obtenida en los análisis forenses para
identificar a los responsables del ataque e iniciar acciones legales en su contra.
La fase de recuperación implica la restauración de los sistemas al estado
previo a la infección. El acceso a las copias de seguridad recientes de los
sistemas afectados puede facilitar en gran medida el proceso, siempre que
no contengan programas maliciosos. Se debe poner especial atención en
garantizar que los sistemas se restauren a un estado libre de infección.
Luego, es necesario revisar cada incidente para identificar qué procedimientos
funcionaron de forma correcta y qué prácticas existentes faltaron. Se debe
aprovechar la oportunidad para aprender del incidente y mejorar los
procedimientos y el nivel de seguridad de la organización.
Creación de un equipo de
respuesta
Todas las organizaciones necesitan contar con un plan de respuesta y, también,
con un equipo que lo implemente. Por este motivo, la asistencia de los
ejecutivos senior es un factor clave para lograr el éxito. De hecho, cuando
un incidente evoluciona rápidamente, la participación de un ejecutivo senior
con la autoridad para aprobar las medidas necesarias para contener y resolver
el incidente puede ser crucial a la hora de obtener una ventaja en términos
de velocidad sobre los atacantes.
Las partes implicadas de los departamentos que puedan resultar afectadas
por un incidente deberán formar parte del equipo de respuesta. Sin embargo, el
mayor aporte al equipo lo realizará el personal técnico, quien implementará
el plan y tendrá las habilidades necesarias para reparar los daños.
www.emea.symantec.com/cyber-resilience
Resumen de la solución: implementación de la estrategia de seguridad adecuada
Las organizaciones no deben pensar que todas las posiciones dentro del equipo
de respuesta deben ser ocupadas por personal interno. Los conocimientos
externos se deben tener en cuenta para las habilidades especializadas y la
experiencia en incidentes similares que se pueden incorporar al equipo.
La composición del equipo también debe revisarse con frecuencia. Es posible
que los miembros deban estar de turno durante períodos extensos y que
disfruten del beneficio de salir del equipo de incidentes para descansar.
Del mismo modo, algunos ejercicios y pruebas pueden identificar otras
habilidades que se deban incorporar al equipo.
Comprobación del plan
Los ataques graves son eventos poco frecuentes. Lo ideal sería que el plan
de incidentes y las habilidades del equipo de respuesta no deban ponerse
en práctica nunca. Sin embargo, esto significa un riesgo de por sí. La
comprobación regular del plan de incidentes permite revelar las áreas más
débiles y evitar que se olviden ciertas habilidades por falta de uso.
Los ejercicios de prueba pueden realizarse en papel, en cuyo caso la respuesta
ante un ataque en evolución y la resolución del incidente se representan de
forma teórica. O bien, se puede programar la prueba como un ejercicio en
vivo en el cual un equipo de evaluadores de penetraciones simule la manera
en que los atacantes pueden poner en peligro los sistemas.
icar
ua
Act
r
www.emea.symantec.com/cyber-resilience
H
ob
ar
nif
la
er
ac
P
Los ejercicios regulares garantizan que los miembros del equipo se familiaricen
con sus roles y responsabilidades. La prueba de diferentes situaciones de
ataque garantiza que los procedimientos sean lo suficientemente completos
y flexibles para responder ante futuros ataques. Los equipos deben adoptar
el modelo de: planificar, hacer, comprobar y actuar.
pr
Co m
Resumen de la solución: implementación de la estrategia de seguridad adecuada
Planificar
Establecer objetivos, políticas y procedimientos para
cumplir los requisitos de la empresa.
Hacer
Implementar estas políticas y estos procedimientos.
Comprobar
Verificar si son efectivamente capaces de lograr los
objetivos en la práctica.
Actuar
Tomar medidas para modificar los planes según la
experiencia vivida para perfeccionarlos y mejorarlos.
Mayor enfoque, menos riesgos.
www.emea.symantec.com/cyber-resilience
Conclusión
Al comprender cómo se producen
los ataques, implementar los
procedimientos correctos y desarrollar
una estrategia de respuesta clara, las
organizaciones podrán contrarrestar
futuros ataques y recuperarse de los
incidentes con mayor rapidez.
Referencias
1 N. Falliere, L. O. Murchu, E. Chien, “W32. Stuxnet Dossier” (Expediente
de W32. Stuxnet), libro blanco de Symantec Security Response, febrero
de 2007 S. Davies, “Out of Control” (Fuera de control), Engineering &
Technology v.6 (6), p. 60-62, julio de 2011
2 D. Walker, “Saudi Oil Company Back Online After Cyber Sabotage
Attempt” (Empresa petrolera nuevamente online después de un intento
de sabotaje en el ciberespacio), SC Magazine, 27 de agosto de 2012
3 H. Tsukayama, “Cyber Attack on RSA Cost EMC $66 Million” (Ciber-ataque
en RSA le cuesta a EMC 66 millones de dólares),
The Washington Post, 26 de julio de 2011
4 “Top Four Mitigation Strategies to Protect Your ICT System” (Cuatro
estrategias principales de mitigación para proteger el sistema de ICT),
Departamento de Defensa, Inteligencia y Seguridad del Gobierno de
Australia, p. 1, septiembre de 2011
5 “Executive Companion: 10 Steps to Cyber Security” (Complemento
ejecutivo: 10 pasos para la seguridad en el ciberespacio), Departamento
de Negocios, Innovación y Habilidades, Centro para la Protección de
la Infraestructura Nacional, Oficina de Seguridad en el Ciberespacio y
Seguridad de la Información, p. 1, septiembre de 2012
Mayor enfoque, menos riesgos.
www.emea.symantec.com/cyber-resilience
Material de lectura adicional
“Computer Security Incident Handling Guide. Recommendations of the National
Institute of Standards and Technology” (Directrices para la gestión de incidentes
relacionados con la seguridad informática. Recomendaciones del Instituto
Nacional de Estándares y Tecnología), NIST SP 800-61, rev. 2.
“Guide to Malware Incident Prevention and Handling. Recommendations of
the National Institute of Standards and Technology” (Guía sobre prevención
y gestión de incidentes de programas maliciosos. Recomendaciones del Instituto
Nacional de Estándares y Tecnología), NIST SP 800-83.
BS ISO/IEC 27002:2005, Tecnología de la Información, Técnicas de seguridad,
Código de práctica para la gestión de la seguridad de la información.
BS ISO/IEC 27035:2011, Tecnología de la Información, Técnicas de seguridad,
Gestión de incidentes para la seguridad de la información.
PD ISO/IEC TR 18044:2004, Tecnología de la Información, Técnicas de seguridad,
Gestión de incidentes para la seguridad de la información.
BS ISO/IEC 27031:2011, Tecnología de la Información, Técnicas de seguridad,
Directrices para determinar la idoneidad de la Tecnología de la Información y
la comunicación para lograr la continuidad de la actividad empresarial.
“Mejores prácticas para la eliminación de virus en una red”,
Base de conocimientos de Symantec
B. Nahorney & E. Maengkom, “Containing an Outbreak.
How to clean your network after an incident” (Contiene un ataque. Cómo limpiar
la red después de un incidente), libro blanco de Symantec Security Response.
Symantec EMEA
Sede central
350 Brook Drive
Green Park
Reading
RG2 6UH
Teléfono: +44 (0)870 243 1080
Fax: +44 (0)870 243 1081
Symantec es un líder mundial en soluciones
de seguridad, almacenamiento y gestión
de sistemas, que ayudan a los clientes
a proteger y gestionar su información e
identidades.
Copyright © 2013 Symantec Corporation.
Todos los derechos reservados. Symantec,
el logotipo de Symantec y el logotipo de
la marca de comprobación son marcas
comerciales o marcas comerciales
registradas en los Estados Unidos y en
otros países por Symantec Corporation o
sus filiales. Los demás nombres pueden
ser marcas comerciales de sus respectivos
propietarios. 12/12
Symantec Security Response, “Security Best Practices” (Las mejores prácticas
de seguridad),
Capacitaciones de Symantec, “Security Awareness Program” (Programa de
concienciación sobre seguridad)
Resumen de la solución: Symantec Managed Security Services, “Symantec
Security Monitoring Services: Security log management, monitoring, and analysis
by certified experts” (Servicios de supervisión de seguridad de Symantec:
gestión, supervisión y análisis de registros de seguridad por parte de expertos
certificados)
Resumen de la solución: Symantec Managed Security Services, “Symantec
Managed Protection Services: Optimize enterprise security protection while
maintaining control” (Servicios administrados de protección de Symantec:
cómo optimizar la protección de la seguridad de la empresa y, a la vez, mantener
el control)
Para obtener estos y otros recursos,
visite: www.symantec.com/es/es/security_response
Descargar