Habilidades de natación sincronizadas o tareas de seguimiento y respuesta alineadas
Como sabes, el animal más rápido del mundo debería ser un ciempiés: tiene más patas. Pero el pobre animal se ve realmente obstaculizado por la necesidad de sincronizar sus pasos y actividades. Una historia similar a menudo acecha la vida del SOC (Security Operation Center). Los analistas desarrollan escenarios, fruncen el ceño, idean nuevas formas de detectar ataques y, a menudo, el equipo de respuesta no comprende qué hacer con estos incidentes (y la distancia crece si un SOC comercial externo está en la primera línea de barricadas). Este estado de cosas suele conducir a dos situaciones extremas:
- SLA « , », , SOC, . , , - .
- – «» . , , . , , . - - , SOC , . , , .
Recuerde al sabio Yin Fu Wo, quien le preguntó a su alumno que estaba comprando un escáner de seguridad, ¿qué haría entonces con las vulnerabilidades encontradas? Siguiendo su ejemplo, realmente quiero hacerle una pregunta al equipo de respuesta: ¿qué exactamente y, lo más importante, qué tan rápido lo hará con los incidentes encontrados?
Las capacidades del proceso de respuesta le permiten "alinear" la lista de incidentes en función de su criticidad interna. Por ejemplo, las comunicaciones sobre cambios críticos en procesos o ataques en la web se pueden cambiar lógicamente a un modo de llamada telefónica con la recopilación inmediata de un equipo de investigación. Para manejar el lanzamiento de TeamViewer en máquinas de sucursales no críticas, analizar durante un par de horas es una opción adecuada. Y es bastante aceptable enviar un informe sobre las estadísticas de infecciones virales una vez al día, para el café de la mañana y el cierre "alfombrado" de problemas, cuando solo se está llevando a cabo la curación masiva de virus, eliminación de software prohibido, actualización del sistema operativo, cierre de vulnerabilidades, etc. Esto ayudará a igualar sustancialmente el ritmo de seguimiento y respuesta y creará reglas del juego sencillas y cómodas durante todo el proceso de gestión de incidentes.
Consejo 1. Establezca sus prioridades. Dado que definitivamente no podrá ocuparse de todo a la vez, determine qué tipos de incidentes son realmente críticos para el negocio de su empresa y fije el plazo requerido para su resolución.
Análisis, análisis e incluso más análisis de incidentes
Muchos SOC comerciales y equipos de scripting hablan muy a menudo y con seriedad del increíble porcentaje de filtrado de falsos positivos, por lo que supuestamente se notifica a los clientes no de sospechas de incidentes, sino solo de ataques (como dicen, “En todo lo que quiero llegar a la esencia misma ").
Periódicamente, esto genera procesos asombrosos para analizar e investigar incidentes, por ejemplo, los siguientes:
- Basado en el análisis del tráfico de red, el SOC registró el lanzamiento de Herramientas de administración remota (RAT) en el host.
- , . – , RAT ( ) , .
- « ». SIEM .
Dejemos de lado el hecho de que en un ataque de piratas informáticos, conectar una máquina después del hecho en el nivel de registro no es, por decirlo suavemente, una acción muy deliberada. Un atacante podría simplemente haber borrado todos los registros necesarios, y conectarse a una máquina recientemente comprometida con una cuenta con privilegios considerables puede tener consecuencias mucho más graves que comprometerla en sí misma (especialmente para aquellos clientes intrépidos que, cansados de lidiar con casillas de verificación para proporcionar información correcta derechos, dé la cuenta para derechos de administrador de dominio SIEM).
Lo principal es que desde el punto de vista del resultado, todo este complejo proceso de verificación por parte del SOC y el servicio de seguridad equivale simplemente a levantar el teléfono y llamar a un usuario específico con la pregunta de si inició la sesión RAT y por qué motivo. Como resultado, la respuesta en sí se puede recibir muchas veces más rápido y el tiempo total dedicado a la investigación del incidente se reducirá significativamente. Dado que ejecutar el RAT en una máquina local el 98% del tiempo es manual del usuario (lo que solo hace que el 2% restante sea más significativo), este enfoque de respuesta es mucho más eficiente.
2. , . , , « », , , .
, –
Es imposible no tocar aquí un tema que a menudo se cubre en el desarrollo de los procesos de seguimiento y respuesta: el tema del inventario y la contabilidad de activos. La mayoría de las veces, hablan de activos en clave para enriquecer la información: para comprender la importancia de un incidente, es importante saber qué tipo de nodo de red es, quién es su propietario, qué software está instalado allí. Pero en términos de desarrollar guías, esta tarea adquiere un significado adicional: el proceso de respuesta a un incidente dependerá directamente de qué tipo de nodo sea y en qué parte de la red se encuentre.
Considere un incidente bastante básico: la infección por virus del host. Tiene un peso y una criticidad completamente diferentes según la ubicación de este host:
- – , ;
- VIP-, , – ;
- .
Los procesos de respuesta en las empresas industriales requieren aún más atención. El mismo incidente con el lanzamiento de RAT en una máquina adquiere acentos y criticidad completamente diferentes si dicha utilidad se lanza donde, según la lógica, no puede ser, por ejemplo, en la estación de trabajo de un operador de proceso tecnológico. En este caso, la medida de respuesta predeterminada es apagar y aislar el host, seguido de averiguar las razones para iniciar la utilidad y un posible análisis detallado del host en busca de signos de posible compromiso por parte de un atacante externo.
Consejo 3. Realice un inventario de activos. "Superponer" diferentes clases de incidentes en segmentos de red. Por lo tanto, ya no obtendrá un modelo lineal, donde el nivel de criticidad de un incidente está determinado únicamente por su tipo, sino una matriz base personalizada para su organización, que se puede mejorar y refinar con el tiempo.
Respuesta real vs respuesta perfecta
La situación descrita anteriormente resalta la pregunta clave: ¿qué tan profundo está el equipo interno listo para responder para garantizar la eliminación de las consecuencias y causas del incidente? Volvamos al ejemplo de cómo infectar una máquina de malware; el proceso de respuesta puede verse así:
- Análisis del canal de penetración de malware (correo / web / unidad flash)
- Obtener información sobre el malware en sí: qué familia, posibles consecuencias, presencia de utilidades relacionadas
- Identificar los indicadores de compromiso típicos de un malware determinado, buscar indicadores en las máquinas vecinas (esto es especialmente importante cuando no hay una cobertura completa de las estaciones de trabajo y los servidores con protección antivirus y el malware puede penetrar con éxito en uno de los hosts descubiertos)
- Busque todos los servicios públicos relacionados en la infraestructura y la remediación
Pero si se aplica este enfoque para cada uno de los cuerpos virales en la infraestructura y para cada infección, resultará en costos laborales muy altos. Por lo tanto, aquí se requiere un enfoque equilibrado de respuesta, dependiendo de varios parámetros externos:
- El modelo de activos ya mencionado y su criticidad
- El comportamiento de la familia maliciosa: los gusanos, especialmente los que llevan una carga potencialmente destructiva, requieren más atención.
- "Vejez" del virus y su conocimiento de los laboratorios antivirus
- Pertenece al conjunto de herramientas de agrupación relevante para la empresa o industria
Dependiendo de todos estos parámetros, se puede tomar una decisión, desde la eliminación básica de malware de un automóvil común o la recarga de un host crítico hasta un procedimiento de respuesta más complejo que involucra a expertos especializados.
Consejo 4. No seas perezoso para "afilar el hacha". Las condiciones adicionales le permiten aclarar la prioridad y el algoritmo de acción en el curso de la respuesta a incidentes. Permiten no solo realizar de forma más completa todo el trabajo necesario para localizar el incidente y contrarrestar el ataque, sino también evitar movimientos innecesarios en casos más sencillos.
Dime quien es tu amigo y te diré como ser
Bueno, la profundidad de la experiencia por parte del equipo de respuesta es ciertamente importante en el desarrollo de libros de jugadas. Al inicio de nuestro trabajo como SOC comercial, toda nuestra comunicación se construyó a través de una persona dedicada en el servicio de seguridad de la información del cliente. En este caso, hablamos de un empleado, incluso un joven estudiante, con una formación especializada, que respondiendo de vez en cuando a diversas incidencias, acumula su propia experiencia y hace su trabajo de forma cada vez más eficiente.
Podemos dividir condicionalmente los libros de jugadas en dos tipos: técnicos y comerciales. El primero describe el flujo del proceso cuando se trata de un incidente y se crea para un equipo de respuesta de un cliente de confianza. Y el segundo es una descripción de la cadena de departamentos involucrados en el incidente, y su consumidor es más bien la gerencia de línea. En consecuencia, es muy importante "conocer a su audiencia", de lo contrario, habrá "dificultades de traducción" asociadas con la comprensión y la interpretación.
En los últimos años, los clientes han incluido cada vez más departamentos de TI, unidades de negocio, tecnólogos o incluso asistencia técnica directamente en el proceso de respuesta. Y esto a menudo conduce a incidentes. Al comienzo de la pandemia, varios clientes se vieron obligados inesperadamente (como todo el país) a transferir masivamente a sus usuarios al acceso remoto. Dado que el segundo factor de autenticación no se pudo implementar rápidamente, se acordó lo siguiente como esquema temporal: cada conexión privilegiada remota fue verificada por el servicio de asistencia técnica a través de una llamada telefónica. En ausencia de comentarios, la pregunta se derivó al propietario de la empresa del sistema, quien podría decidir continuar trabajando o bloquear la cuenta hasta que se aclaren las circunstancias, en caso de sospecha de actividad inconsistente.En la guía para el servicio de asistencia técnica, hemos detallado los procedimientos para llamar y buscar contactos del propietario de la empresa con el mayor detalle posible. Pero no escribieron lo que debería hacer el empleado del servicio de asistencia cuando recibió un comando para bloquear la cuenta (y el servicio tenía esos derechos). Y la primera ejecución de prueba del incidente mostró que, habiendo recibido una carta con el mensaje "ilegítimo, bloqueo", el especialista del servicio de asistencia simplemente cerró la aplicación sin realizar ningún bloqueo.
Consejo 5. Hágalo simple. Es extremadamente importante tener en cuenta los detalles de las calificaciones y la "fluidez" de los recursos en el equipo de respuesta y descomponer el manual de estrategias de instrucciones básicas con grados de libertad para un especialista en un "alfabeto" paso a paso para los servicios externos.Desarrollar un proceso de respuesta es algo muy creativo para todas las empresas. Sin embargo, es muy útil tener en cuenta tanto la experiencia propia como la de los demás. Y que NIST esté contigo.