preparándonos para futuros ataques

Preparándonos

para futuros

ataques

www.emea.symantec.com/cyber-resilience

Mayor enfoque, menos riesgos.

Resumen de

la solución:

Implementación

de la estrategia

de seguridad

adecuada

Resumen de la solución: implementación de la estrategia de seguridad adecuada

Introducción

Los últimos incidentes de programas

maliciosos han demostrado el coste y

el daño que pueden causar los

ciber-ataques.

Se cree que el gusano Stuxnet ha afectado sustancialmente al procesamiento

nuclear iraní y se considera que es la primera arma operativa en el ciberespacio1.

Shamoon puso en peligro e incapacitó 30 000 estaciones de trabajo de una

organización productora de petróleo2. Otro ataque de un programa malicioso

dirigido a una empresa pública provocó que la empresa declarara una pérdida

de 66 000 000 $ a causa del ataque3.

Estos ataques no siempre obtienen buenos resultados, pero cuando los atacantes

logran acceder a los sistemas de una organización, una respuesta rápida y bien

preparada puede minimizar rápidamente los daños y restaurar los sistemas

antes de que se produzcan daños significativos.

Para preparar una respuesta, las organizaciones deben comprender el curso

que pueden tomar los ataques, desarrollar una estrategia de contraataque,

decidir quién llevará a cabo las acciones y, luego, poner en práctica y

perfeccionar el plan.


Conocer los ataques Un ataque comienza con un punto de acceso a la organización. Puede tratarse

de un sistema no seguro al cual los piratas informáticos pueden acceder, un

equipo vulnerable en el cual se ejecutan programas maliciosos o un usuario

que fue engañado para instalar el programa malicioso. El punto de entrada,

luego, se puede utilizar para propagar los ataques en la red, ya sea mediante

la utilización de piratería informática en otros sistemas o de un programa

malicioso que aproveche las vulnerabilidades del sistema sin parches y se

instale en otros sistemas.

Una vez que un sistema está afectado, los atacantes pueden instalar otros

programas maliciosos o controlar el sistema y enviar comandos para ejecutar.

Los atacantes pueden filtrar información, como archivos confidenciales o

nombres de usuarios y contraseñas almacenados en el sistema.

Protección contra ataques

La mayoría de los ataques se pueden combatir con la implementación de

prácticas básicas de seguridad de la información. El Departamento de Defensa

de Australia descubrió que la implementación de cuatro estrategias de

mitigación era suficiente para prevenir el 85% de los ataques dirigidos4.

El gobierno británico advirtió que la concentración en diez áreas principales

es suficiente para contrarrestar la mayoría de las amenazas en el ciberespacio5.

Como mínimo, una organización debe garantizar que el tráfico de red y los

sistemas se analicen en busca de programas maliciosos y que se conserven

registros de las actividades del sistema y la red para realizar análisis forenses,

si es necesario. Además, es vital hacer copias de seguridad regulares para

garantizar la restauración de los sistemas dañados a su estado normal de

funcionamiento.


Entrada Expansión de ataque Filtración de ataque

Atacante

Usuario

Atacante

Emisión de comandos



Las defensas adecuadas de seguridad de la información reducen las

probabilidades de que se produzcan ataques. Sin embargo, detrás de cada

ciber-ataque, hay una organización que creía que su defensa era suficiente. Se

producen incidentes graves que se deben planificar con el fin de reducir la

interrupción de las actividades empresariales, minimizar los daños y disminuir

el tiempo de recuperación necesario.

Preparación para los incidentes

Las organizaciones deben esperar que se produzcan ataques sofisticados

contra sus sistemas y, por lo tanto, deben preparase para esta eventualidad.

En realidad, estos ataques son poco frecuentes. Sin embargo, al mantenerse

actualizadas respecto a los ataques y las técnicas de ataque más recientes,

las organizaciones pueden verificar si sus sistemas son capaces de detectar

y repeler estas amenazas.

La atención en el proceso de preparación garantiza la posibilidad de detectar

los ataques rápidamente tan pronto como presentan. Muchos incidentes

identificados, al analizarlos con más detalle, pueden resultar falsos positivos.

Otros pueden ser más leves y no requerir una mayor respuesta. No obstante,

las organizaciones deben asegurarse de capturar y registrar todos los

incidentes a fin de identificar y escalar los ataques que realmente necesitan

atención. Para hacerlo, es importante determinar el criterio para escalarlos y

el mecanismo mediante el cual los incidentes detectados activarán un plan de

incidentes.

El primer paso del plan de incidentes debe ser una evaluación de la situación.

A continuación, se deben realizar las acciones necesarias para impedir que el

ataque se propague, afecte a más sistemas y produzca más daños. Para contener

el ataque, será necesario mantener aislados a los sistemas infectados. Para

evitar que el ataque se propague internamente, es probable que sea necesario

deshabilitar de forma provisional los sistemas que aún no han sido infectados

y reducir el acceso a la red.

Preparación para los ataques Implementación del plan de respuesta Perfeccionamiento del plan

de respuesta

Figura 2: Fases de respuesta ante incidentes

Preparación Respuesta RecuperaciónDetección Revisión

Tiempo

Entrada d

e

ataca

nte

Ata

cante

detect

ado

Siste

mas

prote

gidos

Recu

peraci

ón de

funci

onamie

nto n

ormal


La fase de recuperación implica la restauración de los sistemas al estado

previo a la infección. El acceso a las copias de seguridad recientes de los

sistemas afectados puede facilitar en gran medida el proceso, siempre que

no contengan programas maliciosos. Se debe poner especial atención en

garantizar que los sistemas se restauren a un estado libre de infección.

Luego, es necesario revisar cada incidente para identificar qué procedimientos

funcionaron de forma correcta y qué prácticas existentes faltaron. Se debe

aprovechar la oportunidad para aprender del incidente y mejorar los

procedimientos y el nivel de seguridad de la organización.

Creación de un equipo de respuesta

Todas las organizaciones necesitan contar con un plan de respuesta y, también,

con un equipo que lo implemente. Por este motivo, la asistencia de los

ejecutivos senior es un factor clave para lograr el éxito. De hecho, cuando

un incidente evoluciona rápidamente, la participación de un ejecutivo senior

con la autoridad para aprobar las medidas necesarias para contener y resolver

el incidente puede ser crucial a la hora de obtener una ventaja en términos

de velocidad sobre los atacantes.

Las partes implicadas de los departamentos que puedan resultar afectadas

por un incidente deberán formar parte del equipo de respuesta. Sin embargo, el

mayor aporte al equipo lo realizará el personal técnico, quien implementará

el plan y tendrá las habilidades necesarias para reparar los daños.



Estas acciones pueden ejercer un impacto sobre los usuarios y los servicios

de toda la organización. En especial, pueden afectar la manera en que los

usuarios, e incluso el equipo de respuesta, generalmente se comunican. Por

lo tanto, es necesario pensar de qué forma se mantendrá la comunicación

y se informará a los usuarios y ejecutivos sobre el progreso de la resolución

de incidentes.

Los análisis forenses no solo deben usarse para corroborar si se han puesto

en peligro datos, sino también para evaluar la forma en que los atacantes

penetraron originalmente en los sistemas. Como prioridad, se debe abordar

la vulnerabilidad que se utilizó para obtener acceso a fin de evitar que el

ataque se vuelva a repetir tan pronto se resuelva. También puede ser útil

recopilar y preservar la información obtenida en los análisis forenses para

identificar a los responsables del ataque e iniciar acciones legales en su contra.

Las organizaciones no deben pensar que todas las posiciones dentro del equipo

de respuesta deben ser ocupadas por personal interno. Los conocimientos

externos se deben tener en cuenta para las habilidades especializadas y la

experiencia en incidentes similares que se pueden incorporar al equipo.

La composición del equipo también debe revisarse con frecuencia. Es posible

que los miembros deban estar de turno durante períodos extensos y que

disfruten del beneficio de salir del equipo de incidentes para descansar.

Del mismo modo, algunos ejercicios y pruebas pueden identificar otras

habilidades que se deban incorporar al equipo.

Comprobación del plan

Los ataques graves son eventos poco frecuentes. Lo ideal sería que el plan

de incidentes y las habilidades del equipo de respuesta no deban ponerse

en práctica nunca. Sin embargo, esto significa un riesgo de por sí. La

comprobación regular del plan de incidentes permite revelar las áreas más

débiles y evitar que se olviden ciertas habilidades por falta de uso.

Los ejercicios de prueba pueden realizarse en papel, en cuyo caso la respuesta

ante un ataque en evolución y la resolución del incidente se representan de

forma teórica. O bien, se puede programar la prueba como un ejercicio en

vivo en el cual un equipo de evaluadores de penetraciones simule la manera

en que los atacantes pueden poner en peligro los sistemas.

Los ejercicios regulares garantizan que los miembros del equipo se familiaricen

con sus roles y responsabilidades. La prueba de diferentes situaciones de

ataque garantiza que los procedimientos sean lo suficientemente completos

y flexibles para responder ante futuros ataques. Los equipos deben adoptar

el modelo de: planificar, hacer, comprobar y actuar.


P

lanific

ar

H

acer

Actu

ar Compro

bar




Planificar Establecer objetivos, políticas y procedimientos para

cumplir los requisitos de la empresa.

Hacer Implementar estas políticas y estos procedimientos.

Comprobar Verificar si son efectivamente capaces de lograr los

objetivos en la práctica.

Actuar Tomar medidas para modificar los planes según la

experiencia vivida para perfeccionarlos y mejorarlos.


Conclusión

Al comprender cómo se producen

los ataques, implementar los

procedimientos correctos y desarrollar

una estrategia de respuesta clara, las

organizaciones podrán contrarrestar

futuros ataques y recuperarse de los

incidentes con mayor rapidez.

Referencias

1 N. Falliere, L. O. Murchu, E. Chien, “W32. Stuxnet Dossier” (Expediente

de W32. Stuxnet), libro blanco de Symantec Security Response, febrero

de 2007 S. Davies, “Out of Control” (Fuera de control), Engineering &

Technology v.6 (6), p. 60-62, julio de 2011

2 D. Walker, “Saudi Oil Company Back Online After Cyber Sabotage

Attempt” (Empresa petrolera nuevamente online después de un intento

de sabotaje en el ciberespacio), SC Magazine, 27 de agosto de 2012

3 H. Tsukayama, “Cyber Attack on RSA Cost EMC $66 Million” (Ciber-ataque

en RSA le cuesta a EMC 66 millones de dólares),

The Washington Post, 26 de julio de 2011

4 “Top Four Mitigation Strategies to Protect Your ICT System” (Cuatro

estrategias principales de mitigación para proteger el sistema de ICT),

Departamento de Defensa, Inteligencia y Seguridad del Gobierno de

Australia, p. 1, septiembre de 2011

5 “Executive Companion: 10 Steps to Cyber Security” (Complemento

ejecutivo: 10 pasos para la seguridad en el ciberespacio), Departamento

de Negocios, Innovación y Habilidades, Centro para la Protección de

la Infraestructura Nacional, Oficina de Seguridad en el Ciberespacio y

Seguridad de la Información, p. 1, septiembre de 2012

Material de lectura adicional

“Computer Security Incident Handling Guide. Recommendations of the National

Institute of Standards and Technology” (Directrices para la gestión de incidentes

relacionados con la seguridad informática. Recomendaciones del Instituto

Nacional de Estándares y Tecnología), NIST SP 800-61, rev. 2.

“Guide to Malware Incident Prevention and Handling. Recommendations of

the National Institute of Standards and Technology” (Guía sobre prevención

y gestión de incidentes de programas maliciosos. Recomendaciones del Instituto

Nacional de Estándares y Tecnología), NIST SP 800-83.

BS ISO/IEC 27002:2005, Tecnología de la Información, Técnicas de seguridad,

Código de práctica para la gestión de la seguridad de la información.


Gestión de incidentes para la seguridad de la información.

PD ISO/IEC TR 18044:2004, Tecnología de la Información, Técnicas de seguridad,

Gestión de incidentes para la seguridad de la información.


Directrices para determinar la idoneidad de la Tecnología de la Información y

la comunicación para lograr la continuidad de la actividad empresarial.

“Mejores prácticas para la eliminación de virus en una red”,

Base de conocimientos de Symantec

B. Nahorney & E. Maengkom, “Containing an Outbreak.

How to clean your network after an incident” (Contiene un ataque. Cómo limpiar

la red después de un incidente), libro blanco de Symantec Security Response.

Symantec Security Response, “Security Best Practices” (Las mejores prácticas

de seguridad),

Capacitaciones de Symantec, “Security Awareness Program” (Programa de

concienciación sobre seguridad)

Resumen de la solución: Symantec Managed Security Services, “Symantec

Security Monitoring Services: Security log management, monitoring, and analysis

by certified experts” (Servicios de supervisión de seguridad de Symantec:

gestión, supervisión y análisis de registros de seguridad por parte de expertos

certificados)

Resumen de la solución: Symantec Managed Security Services, “Symantec

Managed Protection Services: Optimize enterprise security protection while

maintaining control” (Servicios administrados de protección de Symantec:

cómo optimizar la protección de la seguridad de la empresa y, a la vez, mantener

el control)

Symantec EMEA

Sede central

350 Brook Drive

Green Park

Reading

RG2 6UH

Teléfono: +44 (0)870 243 1080

Fax: +44 (0)870 243 1081

Symantec es un líder mundial en soluciones

de seguridad, almacenamiento y gestión

de sistemas, que ayudan a los clientes

a proteger y gestionar su información e

identidades.

Copyright © 2013 Symantec Corporation.

Todos los derechos reservados. Symantec,

el logotipo de Symantec y el logotipo de

la marca de comprobación son marcas

comerciales o marcas comerciales

registradas en los Estados Unidos y en

otros países por Symantec Corporation o

sus filiales. Los demás nombres pueden

ser marcas comerciales de sus respectivos

propietarios. 12/12

Para obtener estos y otros recursos,

visite: www.symantec.com/es/es/security_response



preparándonos para futuros ataques

Documents