La gestión de incidentes es algo que puede dar para varios libros, el DFIR (Data forensic & Incident Response) pero desde el blog quiero daros unas pinceladas, unas opiniones y algunas guías de cómo podemos abordar este proceso tan interesante y puede que a su vez complejo.
Voy a empezar desde lo más bajo, lo más simple, un incidente. Cuando hablamos de incidente, más allá de las nomenclaturas, definiciones, taxonomías y demás historias, vamos a hablar en términos generales para un sysadmin, un responsable de informática como TU, que no tienes porque trabajar en el vertical de la seguridad pero si te gusta.
Imagina el caso de un Ransomware en una empresa, ¿has vivido alguno? lo hayas sufrido en primera persona, en segunda, seas tú el responsable, el técnico, el amigo al que llaman... al final, creo que todos hemos vivido alguna situación relacionada con el Ransomware.
Creo que podemos coincidir sin duda, en que algo común en las empresas en las que pasa, es que se produce un desmadre !!!
El primer punto de desmadre o desconcierto si queremos emplear alguna palabra más acertada es la parte no técnica. A quién llamamos? cómo actuamos? cómo se ha producido? qué pasos damos?
Es normal que esto pase. La gente está parada, hemos perdido o sospechamos que vamos a perder información y estamos "jodidos"...
Si la empresa es pequeña, llamarán al usuario-avanzado-informático que hará lo que pueda, y en paralelo llamarán a una empresa de informática o gurú-freelance para que les ayude.
Si la empresa es mediana, lo mismo, primero al departamento, luego apoyos.
Si la empresa es algo más que mediana, lo mismo el incidente lo detecta programación, se lo pasa a sistemas, estos a seguridad o al pobre que se dedica a la seguridad, a la empresa x, a la y y por si acaso a la Z.
Unos hacen unas cosas, otros recomiendan, asesoran, presupuestan !!!!. este punto es importante.
Es normal en tiempos de crisis que llegue una empresa a "ayudar" y hacer el agosto. Mezclar la fase de urgencia, de remediación, con la consolidación de sistemas, o mejor dicho, implementación de nuevos sistemas es algo habitual. Me explico: tienes un ransomware, lo vas a perder todo, pero aprovecha para mejorar TODA tu infraestructura informática, que es mala o inexistente, pero hazlo ya !!! a prisa !!! porque tienes un ransomware y no queremos que vuelva a pasar !!!!
En la mayoría de los casos habrá que realizar mejoras, pero hay que separar las fases.
Sin haberlo estudiado, con sentido común, lo normal es separar el problema actual del Ransomware, ver como ha entrado, y una vez haya pasado el temporal proponer acciones de mejora.
Comprar antivirus de gama alta, renovar el firewall, aprovechar para replicar en la nube el pequeño servidor, mil copias de seguridad de distinta índole no sirve de nada, si el problema lo tenían con una clave débil en un RDP, o en un Wifi...
Coincides conmigo en que tenemos que ser profesionales ante un incidente. Hay que tener en cuenta una cosa, y es que vamos a vivir pocos incidentes SERIOS en nuestra vida profesional, esto no es una cosa que pasa todos los días y aprendes, sino que debes aprender a "ciegas" o confiar en profesionales muy preparados.
Otro problema muy importante en los incidentes es su detección. Detectar un Ransomware es sencillo, evidente, aparente. trazar su entrada es muy "facilico" también, pero hay datos que avalan que los incidentes de seguridad en las empresas son detectados, de media, 150 días después...
Pongo el caso reciente del ministerio de no se donde de no se qué país...
Calculan que ha estado 3 meses comprometido el sistema...
Recuerdo otro incidente famoso que todo el mundo conoce, Wannacry. Un fallo de seguridad infantil, tontico, sin mucho mérito, provocó un caos monumental, y que he dicho siempre que Telefónica gestionó con maestría.
Recuerdo tener amigos y clientes que me llamaban porque otros informáticos les habían aconsejado apagar internet. no conectarse a internet porque si usaban telefónica, era MUY probable que se infectaran. Hablo de empresas GORDAS recomendando a empresas GORDAS apagar Internet, sin haber estudiado e investigado NADA.
Como es normal, esto es algo que requiere de departamentos complejos o empresas dedicadas, pero dentro de nuestras posibilidades, podemos gestionar estos incidentes o supuestos incidentes de una manera organizada apoyándonos en un software como el que vamos a relatar en las serie.
Vamos a poner otro ejemplo de incidente menos "cantoso" pero que seguro has manejado: un e-mail con spear phishing, con un ataque dirigido hacía alguien de la empresa. O aún más sencillo... un intento de ataque que para el IPS.
Imagina que tu UTM, Firewall, Next Gen o máquina de café te informa de que ha parado un exploit contra un servicio expuesto a las 7:00 am. Perfecto... el correo funciona !!! me llegan notificaciones.
Me llega otro intento a las dos horas. Soy una Pyme y no tengo SIEM ni nada de esto...
A las 3 horas, tercer exploit que detectó. Esto es algo normal, solo si tienes logs ves estas cosas, pero... y si compruebas que la dirección de origen es de una ip de tu ciudad... podrías sospechar que hay alguien "cercano" intentando darte caña? no es lo mismo un ataque así que uno de una botnet que se sabe que recorre internet a diario en busca de...
Realizar esa pequeña comprobación de la ip de origen frente a fuentes públicas puede ayudarte en ponerte alerta.
Esto es una gestión de incidente !!! abres tu ticket, documentas, le pasas un análisis de whois, blacklist, etc y ejecutar una remediación técnica, bloqueas la ip 7 días. Todo esto lo documentas en un software de tickets "dedicado" a los incidentes, y a correr.
Espero que te vayas animando en descubrir algo más de la gestión de incidentes y que profesionalices en la medida de tus posibilidades estas acciones.
En próximos artículos hablaremos de procesos y software que nos ayude en el camino.
Como siempre, gracias por leerme !!!