Respuesta a incidentes explicada: etapas y software de código abierto

La era actual es de supercomputadoras en nuestros bolsillos. Sin embargo, a pesar de utilizar las mejores herramientas de seguridad, los delincuentes siguen atacando los recursos en línea. Esta publicación es para presentarle Respuesta a incidentes (IR)(Incident Response (IR)) , explicar las diferentes etapas de IR y luego enumera tres software de código abierto gratuito que ayuda con IR.

¿Qué es la respuesta a incidentes?

RESPUESTA AL INCIDENTE

¿Qué es un incidente(Incident) ? Podría ser un ciberdelincuente o cualquier malware que se apodere de su computadora. No debe ignorar IR porque le puede pasar a cualquiera. Si cree que no se verá afectado, es posible que tenga razón. Pero no por mucho tiempo porque no hay garantía de nada conectado a Internet como tal. Cualquier artefacto allí puede volverse deshonesto e instalar algún malware o permitir que un ciberdelincuente acceda directamente a sus datos.

Debe tener una plantilla de respuesta a incidentes(Incident Response Template) para que pueda responder en caso de un ataque. En otras palabras, RI(IR) no se trata de SI,(IF,) sino de CUÁNDO(WHEN) y CÓMO(HOW) de la ciencia de la información.

La respuesta a incidentes(Incident Response) también se aplica a los desastres naturales. Sabes que todos los gobiernos y las personas están preparados cuando ocurre un desastre. No pueden darse el lujo de imaginar que siempre están a salvo. En un incidente tan natural, gobierno, ejército y muchas organizaciones no gubernamentales ( ONG(NGOs) ). Del mismo modo(Likewise) , tampoco puede permitirse el lujo de pasar por alto la Respuesta a incidentes(Incident Response) (IR) en TI.

Básicamente, IR significa estar preparado para un ataque cibernético y detenerlo antes de que cause algún daño.

Respuesta a incidentes: seis etapas

La mayoría de los gurús de TI(IT Gurus) afirman que hay seis etapas de respuesta a incidentes(Incident Response) . Algunos otros lo mantienen en 5. Pero seis son buenos porque son más fáciles de explicar. Estas son las etapas de IR que deben mantenerse enfocadas al planificar una plantilla de respuesta a incidentes .(Incident Response)

  1. Preparación
  2. Identificación
  3. Contención
  4. Erradicación
  5. recuperación, y
  6. Lecciones aprendidas

1] Respuesta a incidentes: preparación(1] Incident Response – Preparation)

Debe estar preparado para detectar y hacer frente a cualquier ciberataque. Eso significa que debes tener un plan. También debe incluir personas con ciertas habilidades. Puede incluir personas de organizaciones externas si no tiene talento en su empresa. Es mejor tener una plantilla de IR que explique qué hacer en caso de un ataque cibernético. Puede crear uno usted mismo o descargar uno de Internet . Hay muchas plantillas de respuesta a incidentes disponibles en (Incident Response)Internet . Pero es mejor involucrar a su equipo de TI con la plantilla, ya que conocen mejor las condiciones de su red.

2] IR – Identificación(2] IR – Identification)

Esto se refiere a identificar el tráfico de su red comercial en busca de irregularidades. Si encuentra alguna anomalía, comience a actuar según su plan de IR. Es posible que ya haya instalado equipos y software de seguridad para mantener alejados los ataques.

3] IR – Contención(3] IR – Containment)

El objetivo principal del tercer proceso es contener el impacto del ataque. Aquí, contener significa reducir el impacto y prevenir el ciberataque antes de que pueda dañar algo.

La contención de la respuesta a incidentes(Incident Response) indica planes tanto a corto como a largo plazo (suponiendo que tenga una plantilla o un plan para contrarrestar los incidentes).

4] IR – Erradicación(4] IR – Eradication)

La erradicación, en las seis etapas de Incident Response, significa restaurar la red que fue afectada por el ataque. Puede ser tan simple como la imagen de la red almacenada en un servidor separado que no está conectado a ninguna red o Internet . Se puede utilizar para restaurar la red.

5] IR – Recuperación(5] IR – Recovery)

La quinta etapa en Respuesta(Incident Response) a incidentes es limpiar la red para eliminar cualquier cosa que pueda haber quedado después de la erradicación. También se refiere a devolver la vida a la red. En este punto, aún estaría monitoreando cualquier actividad anormal en la red.

6] Respuesta a incidentes: lecciones aprendidas(6] Incident Response – Lessons Learned)

La última etapa de las seis etapas de Respuesta a incidentes se trata de investigar el incidente y anotar las cosas que fallaron. Las personas a menudo pasan por alto esta etapa, pero es necesario aprender qué salió mal y cómo puede evitarlo en el futuro.

Software de código abierto(Open Source Software) para la gestión de la respuesta a incidentes(Incident Response)

1] CimSweep es un conjunto de herramientas sin agente que lo ayuda con la respuesta a incidentes(Incident Response) . También puede hacerlo de forma remota si no puede estar presente en el lugar donde sucedió. Esta suite contiene herramientas para la identificación de amenazas y respuesta remota. También ofrece herramientas forenses que lo ayudan a verificar registros de eventos, servicios y procesos activos, etc. Más detalles aquí(More details here) .

2] La herramienta de respuesta rápida GRR(2] GRR Rapid Response Tool) está disponible en GitHub y lo ayuda a realizar diferentes controles en su red ( hogar(Home) u oficina(Office) ) para ver si hay vulnerabilidades. Tiene herramientas para análisis de memoria en tiempo real, búsqueda de registro, etc. Está integrado en Python , por lo que es compatible con todos los sistemas operativos Windows: XP(Windows OS – XP) y versiones posteriores, incluido Windows 10. Compruébalo en Github(Check it out on Github) .

3] TheHive es otra herramienta gratuita de respuesta a incidentes(Incident Response) de código abierto . Permite trabajar en equipo. El trabajo en equipo hace que sea más fácil contrarrestar los ataques cibernéticos ya que el trabajo (deberes) se mitiga a personas diferentes y talentosas. Por lo tanto, ayuda en el monitoreo en tiempo real de IR. La herramienta ofrece una API que el equipo de TI puede usar. Cuando se usa con otro software, TheHive puede monitorear hasta cien variables a la vez, de modo que cualquier ataque se detecta de inmediato y la Respuesta a incidentes(Incident Response) comienza rápidamente. Más información aquí(More information here) .

Lo anterior explica la Respuesta a Incidentes en breve, revisa las seis etapas de la Respuesta a Incidentes y nombra tres herramientas para ayudar en el manejo de Incidentes. Si tiene algo que agregar, hágalo en la sección de comentarios a continuación.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)