La primera línea de defensa contra un ciberataque viene en forma de prevención. Los equipos de seguridad usan EDR, MFA, NGFW, PAM, WAF y muchas otras tecnologías para mantener a raya a los ciberdelincuentes. Sin embargo, ninguna defensa es perfecta e incluso las mejores formas de protección están sujetas a posibles brechas. Aquí es donde entra la respuesta a incidentes.
Desafortunadamente, los equipos de respuesta a incidentes en las organizaciones se enfrentan a varios retos que hacen complejo su trabajo. Las amenazas están en aumento - no importa cuando lea esto, desafortunadamente siempre será una realidad- y las organizaciones de todos los sectores y tamaños se están viendo afectadas. Solo falta ver la mayor frecuencia de titulares al respecto en los medios.
Por otro lado, cuentan con múltiples tecnologías que brindan información sobre los incidentes de seguridad de forma desagregada lo que dificulta realizar investigaciones y dificultan las tareas de respuesta. En muchas ocasiones no cuentan con playbooks establecidos que les facilite operar de forma ágil y eficiente, y adicionalmente, las comunicaciones entre miembros del equipo y otras personas claves dentro del proceso de respuesta en las empresas no es la mejor pues no existen los canales apropiados o simplemente no es claro qué y a quién comunicar. Todos estos factores contribuyen a que los tiempos medios de respuesta (MTTR), indicador clave a tener en cuenta, continúe siendo amplio y no denote una tendencia decreciente. Son varias las tareas que los equipos deben establecer para poner estos y otros elementos en funcionamiento y revertir esta situación. A continuación algunas de ellos:
Plan de gestión de incidentes
Tener un plan de gestión de incidentes es vital pues cada segundo cuenta cuando se produce una brecha. Esto requiere, entre otros, establecer claramente los procesos, personas involucradas (analistas de seguridad, analistas de TI, asesores de gestión de riesgos, área legal e incluso expertos en seguridad externos, etc.) y sus responsabilidades, y documentar y actualizar constantemente playbooks específicos por tipo de amenaza. Adicionalmente, es necesario realizar ejercicios de práctica con todos los involucrados para que se tenga claro cómo actuar en el momento de que llegue a suceder un incidente y así reducir el tiempo en que se identifican, contienen y erradican las amenazas y se logra una recuperación adecuada.
Entrenamiento del equipo
No debemos olvidar que entrenar al equipo para que cuenten con conocimientos técnicos y habilidades blandas también es fundamental. Los incidentes suelen ser complejos e involucrar múltiples sistemas, aplicaciones y redes. Esto puede dificultar la identificación de la causa raíz del incidente y la respuesta efectiva. Para abordar este desafío, las organizaciones deben contar con un equipo de respuesta a incidentes bien capacitado que pueda identificar rápidamente el alcance del incidente y comprender las complejas interdependencias entre los sistemas y las aplicaciones.
Comunicación y colaboración
Muchas organizaciones aún siguen pensando que la respuesta a incidentes es responsabilidad exclusiva de seguridad o TI y es necesario cambiar esta idea. La realidad es que se requiere una comunicación y colaboración efectivas entre diferentes equipos incluidas las áreas de TI, seguridad, legal y la alta gerencia. Se deben establecer procesos de comunicación claros que permitan el intercambio de información completa y a tiempo para facilitar la toma de decisiones informadas y brindar una respuesta eficaz al incidente.
Tecnología adecuada
Para ser eficaces, los equipos de seguridad modernos utilizan herramientas tecnológicas para detectar y responder automáticamente, en muchos casos, a los incidentes de seguridad. Entre las más destacadas se encuentra el uso de SIEM, UEBA, NDR, EDR, TIP y SOAR - Si, a la industria de la seguridad le encantan los acrónimos-. Hablaremos en más detalle sobre esta última.
Automatización y orquestación de respuesta
Cuando se trata de la respuesta a incidentes, los equipos de SOC deben cambiar su pensamiento a una mentalidad de automatización primero y SOAR (Security Orchestation, Automation and Response) es el camino correcto para mejorar la eficiencia y eficacia de respuesta de los equipos, ampliar sus capacidades de contención y análisis, y permitir alcanzar niveles óptimos de control de riesgo. Dejar las tareas de respuesta a incidentes exclusivamente en las personas ya no es sostenible. Los SOC modernos están incorporando la automatización en sus flujos de trabajo de respuesta a incidentes para maximizar la eficiencia operativa. Entre las ventajas que brindan SOAR se encuentran:
- Automatizar los flujos de trabajo de respuesta a incidentes y las tareas repetitivas para liberar a los analistas para que se concentren en los incidentes más críticos
- Facilitar la investigación y colaboración de los analistas. Todo lo que necesita para remediar un incidente en un solo lugar: los datos del incidente, los indicadores y la información sobre amenazas completamente integrados. Espacios para colaborar en tiempo real, administrar tickets y realizar análisis e informes posteriores al incidente.
- Orquestar de forma transversal. La automatización por sí sola es la mitad del rompecabezas. Necesita un enfoque holístico que reúna de manera eficiente a las personas, los procesos y la tecnología. Con SOAR, puede orquestar y centralizar la respuesta a incidentes en sus equipos, herramientas y redes.
Lograr mejoras en los diferentes frentes no es un trabajo fácil. Afortunadamente los proveedores de servicios como B-SECURE contamos con las capacidades para ayudarle en esta tarea titánica. Ya sea a través de servicios consultivos para establecer o mejorar su plan de gestión de incidentes o con servicios de monitoreo de ciberseguridad que incorporan personas con experiencia, procesos definidos y tecnologías avanzadas somos la opción adecuada para acelerar las acciones que permitan responder de forma ágil y eficiente a incidentes de seguridad.
