La primera Academia con más de 900 participantes

certificados en Ciberseguridad a nivel LATAM

 Curso
Especializado
Gestión de Incidentes de
Ciberseguridad
 Perfil del instructor
[Link]. Darwin Cayetano

 Ingeniero en Computación e Informática de la Universidad Nacional Pedro Ruiz Gallo

(Lambayeque) y Magister en Ingeniería de Seguridad Informática por la Universidad
Tecnológica del Perú (UTP)
 Jefe de Ciberseguridad Empresas en Claro Perú, Instructor Oficial de la Academia de
Ciberseguridad y Docente en la Universidad Peruana de Ciencias Aplicadas (UPC)
 Asesoro a las organizaciones en el Diseño e Implementación de Centros de
Operaciones de Ciberseguridad (CSOC), Blue Team y Managed Detection and Response
(MDR) con capacidades avanzadas de XDR, SIEM, Attack Surface Management, Threat
Intelligence, Threat Hunting, Dark Web, Deception Technology, Security Orchestration,
Automation and Response – SOAR.
 SANS MGT55 Building and Leading Security Operations Centers, SANS MGT514
Security Strategic Planning, Policy, and Leadership, SANS MGT553 Cyber Incident
Management, Radware DefensePro Level 1 (v8.x) Certification (RCSS), Arbor
Sightline/TMS DDoS Detection & Mitigation User and Administrator, Anomali Threat
Intelligence, MITRE ATT&CK, NIST 800-53, Palo Alto Cortex XDR (Extended Detection
and Response), Lead Cybersecurity Professional – LCSPC, 27001, 27002, 27032, 27005,
31000, ITIL 4.
 Apasionado en Tecnologías Disruptivas para Servicios de "Cyber Threat Intelligence" y
"Cyber Threat Hunting"
 Presentación de los participantes

 Activa tu cámara

 Nombre completo

 Lugar de trabajo y función que cumple

 Razón de la inscripción al curso

Panorama Mundial

Fuente
[Link]
Que sucede ahora mismo

Fuente
[Link]
Amenazas y fuga de datos
 Algunas consultas realizadas
a organizaciones

¿Quienes son ¿Cuales fueron ¿Como nos

“No lo sé
mi adversarios? sus motivos? preparamos?

¿Estamos bajo ¿Fuerón ¿Como

ataque?
” exitosos? respondemos?
Ataque, Detección y Respuesta
ante Incidentes
 Las amenazas sofisticadas eluden
las defensas tradicionales
 Demasiados falsos positivos

El 45% de alertas son falsos positivos y el 99% de los equipos de Ciberseguridad

dicen que los volúmenes de alerta son un problema. Los analistas de Ciberseguridad
atienden una gran cantidad de alertas que no son incidentes reales y sufren de “fatiga
por alerta”
 Los ciberataques sofisticados son silenciosos

El 91% de los incidentes reales de Ciberseguridad ni si quiera generan alertas,

lo que explica por qué detectar y mitigar una intrusión nos lleva una media de 280 días.
Los Adversarios avanzados utilizan TTPs (Tácticas, Técnicas y Procedimientos) que eluden
las defensas tradicionales
 Los ciberataques avanzados son soportados por humanos

El 68% de los ciberataques NO se basan en malware, Los ciberataques avanzados

son guiados por Adversarios humanos, lo que permite eludir la ciberdefensa que sólo
buscan código malicioso.
[Link]
Evasión de la Ciberdefensa
 Agenda

Módulo 01: NIST Cybersecurity Framework, Función “Responder”, Categorías,

Sub Categorías, Referencias Informativas, Modelos NIST SP 800-61 y SANS

Módulo 02: Organizando el Equipo de Respuesta ante Incidentes de

Ciberseguridad

Módulo 03: Manejo de un Incidente de Ciberseguridad

Módulo 04: Coordinación e Intercambio de Información

Módulo 05: Ejercicios de Preparación para la Respuesta ante Incidentes de

Ciberseguridad
 Módulo I
NIST Cybersecurity Framework, Función
“Responder”, Categorías, Sub
Categorías, Referencias Informativas,
Modelos NIST SP 800-61 y SANS
NIST Cybersecurity Framework

 Ayudar a las organizaciones a expresar su gestión

del riesgo de ciberseguridad a un alto nivel

 Describe los resultados deseados

 Todo mundo lo entiende

 Aplica a cualquier tipo de gestión de riesgo

 Define toda la envergadura de la ciberseguridad

 NIST Cybersecurity Framework

El Núcleo del Marco proporciona un conjunto de

actividades para lograr resultados específicos de
Ciberseguridad y hace referencia a ejemplos de
orientación en cómo lograr dichos resultados. El
Núcleo no es una lista de verificación de las
acciones a realizar. Este presenta los resultados
clave de Ciberseguridad identificados por las
partes interesadas como útiles para gestionar el
riesgo de seguridad cibernética. El Núcleo consta
de cuatro elementos: Funciones, Categorías,
Subcategorías y Referencias Informativas
 Funciones

Los elementos del Núcleo del Marco trabajan juntos en la siguiente

manera:

Las Funciones organizan actividades básicas de seguridad cibernética

en su nivel más alto. Estas funciones son Identificar, Proteger,
Detectar,
Estas Responder
ayudan y Recuperar
a una organización a expresar su gestión del riesgo de Ciberseguridad
organizando información, habilitando decisiones de gestión de riesgos, abordando amenazas
y mejorando el aprender de actividades previas. Las Funciones también se alinean con las
metodologías existentes para la gestión de incidentes y ayudan a mostrar el impacto de las
inversiones en Ciberseguridad. Por ejemplo, las inversiones en planificación y ejercicios
apoyan la respuesta oportuna y las acciones de recuperación ante incidentes.
 Categorías

Las Categorías son las subdivisiones de una

Función en grupos de resultados de seguridad
cibernética estrechamente vinculados a las
necesidades programáticas y actividades
particulares. Los ejemplos de categorías incluyen
"Gestión de activos", "Gestión de identidad y
control de acceso" y "Procesos de detección"
 SubCategorías

Las Subcategorías dividen aún más una Categoría

en resultados específicos de actividades técnicas
o de gestión. Proporcionan un conjunto de resultados
que, aunque no son exhaustivos, ayudan a respaldar el
logro de los resultados en cada Categoría. Algunos
ejemplos de subcategorías incluyen "Los sistemas de
información externos se catalogan", "Los datos en
reposo se protegen" y "Las notificaciones de los
sistemas de detección se investigan
 Referencias Informativas

Las Referencias Informativas son secciones

específicas de normas, directrices y prácticas
comunes entre los sectores de infraestructura
crítica que ilustran un método para lograr los
resultados asociados con cada Subcategoría.

Las referencias informativas presentadas en el Núcleo

del Marco son ilustrativas y no exhaustivas. Se basan en
la orientación intersectorial a la que se hace referencia
con más frecuencia durante el proceso de desarrollo del
Marco
 Un extracto del núcleo de Framework

5 23 108
Funciones Categorías Subcategorías 6 Referencias
Informativas
 Función Responder

Desarrollar e implementar las actividades

apropiadas para tomar acciones con
respecto a un incidente detectado de
ciberseguridad.
 Muestra de categorías de Respuesta

Planificación
• Los procesos y procedimientos de respuesta
de la
Respuesta se ejecutan y se mantienen
[[Link]] • Coordinar con las partes interesadas internas y
externas

• Asegurar que los planes de respuesta se

prueben
Comunicacion
es • Asegurar que los planes de respuesta estén
[[Link]]
actualizados
 Muestra de Subcategorías de Respuesta

Ejecución
• Designar personal para administrar el manejo
del plan
de incidentes
durante y
después de • Establecer y mantener información de contacto
un incidente para informar incidentes de seguridad

• Definir mecanismos de comunicación durante

El personal la respuesta a incidentes
conoce sus
roles y el • Realizar ejercicios rutinarios de respuesta a
orden de las incidentes
operaciones • Realizar revisiones posteriores a un incidente
de respuesta para lecciones aprendidas
 Muestra Referencias Informativas de
Respuesta (CIS Controls)
Asignar
Roles
Claves y • La asignación de roles clave incluye el personal
Responsabil del área Legal, TI, Seguridad de la Información,
idades
Instalaciones, Relaciones Públicas, Recursos
Humanos, Personal de Respuesta ante
Realizar
Incidentes y Analistas, según corresponda
ejercicios
rutinarios de
• Los ejercicios deben probar los canales de
respuesta a
incidentes comunicación, la toma de decisiones y los
flujos de trabajo. Realice pruebas anualmente,
como mínimo
Aplicación Técnica

• Desarrollar un plan para desastres e incidentes

de Ciberseguridad

• Responder ante incidentes utilizando workflows

y playbooks sobre la tecnología SOAR
Modelos NIST SP 800-61 y SANS
 WorkShop: Función Responder

Realizar un Assessment para estimar el Nivel de

Madurez de su organización respecto al proceso de
Respuesta ante Incidentes
Pasos
1. Crear una cuenta en [Link]
2. Seleccionar la función Responder y marcar el
nivel de implementación en su organización:
 No implementado
 Implementado parcialmente
 Implementado en gran parte
 Totalmente implementado
3. Generar informe

[Link]
Tiempo
30 minutos
 Módulo II

Organizando el Equipo de Respuesta

ante Incidentes de Ciberseguridad
 Organizando el Equipo de Respuesta
ante Incidentes

Enfoque y
Realidad • Definir si el enfoque será de organizar un
Actual Equipo de Respuesta ante Incidentes
Interno o para brindar servicios de
Ciberseguridad a Empresas

• Según el tamaño de la organización y del

Definición de área de Ciberseguridad, se formará el
Incidente de Equipo o Equipos de Respuesta ante
Cibersegurid Incidentes
ad
• Conocer la definición de un Incidente de
Ciberseguridad para la organización
CSIRT Interno
SOC para empresas
 Participación de la audiencia

Esquematice a alto nivel el “Incident

Response Team” que cuenta
actualmente su organización o la que
ha pensado implementar

Tiempo
30 minutos
 Evento de Ciberseguridad

Definición
según
estándar
internaciona
l Cualquier ocurrencia observable en un
sistema o red. Ejemplo: Un usuario se conecta
a un recurso compartido de archivos, varios
Definición
por parte de inicios de sesión fallidos.
la
organización
 Incidente de Ciberseguridad

Definición
según
estándar
internaciona Violación o amenaza inminente de violación de las
l políticas de Ciberseguridad, las políticas de uso aceptable
o las prácticas de seguridad estándar. Ejemplo: Un
atacante manda una red de bots para enviar grandes
Definición
por parte de volúmenes de solicitudes de conexión a un servidor web,
la provocando que se bloquee, un usuario expone data
organización sensible.
 Participación de la audiencia

¿Cómo tiene definido un evento y un

incidente de Ciberseguridad su
organización?
 Necesidad de la Respuesta
ante Incidentes
Riesgo
personal • Es fundamental tener un Equipo para responder con
por
rapidez y eficacia cuando se producen incidentes de
ciberataque
Ciberseguridad
s
• La Respuesta ante Incidentes de Ciberseguridad ha
llegado a ser ampliamente aceptado y puesto en práctica
Riesgo
corporativo • Ayuda a minimizar la pérdida o robo de la información y
por la interrupción de los servicios causados por incidentes
ciberataques
de Ciberseguridad
 Creación de políticas, planes y
procedimientos de Respuesta ante Incidentes

• Compromiso de la Alta Dirección

• Alcance de aplicación
Políticas
• Estructura de la organización y la definición de los roles,
responsabilidades y niveles de autoridad

• Priorización o clasificación de la severidad de los incidentes

Planes y • Elementos del Plan: Misión, tamaño, la estructura y funciones de

Procedimien la organización
tos • Los procedimientos deben estar basadas en la política y el plan de
respuesta a incidentes

• Los procedimientos deben probarse para validar su precisión y

utilidad, y luego distribuirse y entrenar a todos los miembros del
equipo.
 Ejemplo: Severidad de incidentes
de Ciberseguridad
Nivel Datos Disponibilidad Reputación Caso general
Crítico Documentos SECRETOS Todos los servicios Publicación de Problema de seguridad TI que
internos de la empresa críticos de la empresa Datos Críticos afecta al 71-100% de los
filtrados a Internet fuera de línea para usuarios.
toda la compañía

Alto Documentos internos de la Servicios de la Publicación de Problema de Seguridad TI que

empresa filtrados a empresa fuera de ofertas, aspectos afecta al 31-70% de los
internet línea para el 25-70% de financiación de usuarios.
de usuarios clientes o datos
de clientes
Medio Detalles de nuevas Servicios de la Problema de Seguridad TI que
características en empresa fuera de afecta al 11-30% de los
-
productos filtrados a línea para el 1-24% de usuarios.
Internet. usuarios
Bajo
- - Problema de Seguridad TI que
-
afecta al 1-10% de los usuarios.
 Participación de la audiencia

¿Cómo tiene definido la

severidad de un incidente de
Ciberseguridad su organización?
Intercambiar información con terceros

• Intercambiar información con proveedores de servicios de Internet

(ISP), proveedores de servicios de Ciberseguridad,
Fabricantes/Marcas u otros equipos de respuesta a incidentes es
de gran valor.

• Se puede compartir TTPs (Tácticas, Técnicas y Procedimientos) de

Adversarios, IoCs, playbooks, herramientas e información valiosa
que ayuda a la respuesta ante incidentes de Ciberseguridad

• Se debe coordinar con la oficina de relaciones públicas y el

departamento legal a fin de establecer políticas y procedimientos
relacionados con el intercambio de información.
Entidades para intercambio de información
 Los medios de comunicación

• Se debe establecer procedimientos de comunicación que

Procedimiento
s de cumplan con las políticas de la organización en la
Comunicación interacción con los medios y la divulgación de información.

• Llevar a cabo sesiones de entrenamiento en la interacción

con los medios de comunicación en relación con los
incidentes de Ciberseguridad
Punto único • Debe incluir la importancia de no revelar información
de contacto
sensible, tales como detalles técnicos de la contención

• Transmitir tranquilidad a usuarios y clientes cuando se

brinde información respecto al incidente de Ciberseguridad
 Intercambiar información con terceros

• Realice simulacros de entrevistas y conferencias de prensa

durante los ejercicios de manejo de incidentes
• Los siguientes son ejemplos de preguntas que realizan:

• ¿Quién atacó? ¿Por qué?

• ¿Cuándo ocurrió?

• ¿Cómo ha ocurrido? ¿Sucedió esto porque la entidad tiene malas

prácticas de seguridad?

• ¿Qué tan generalizado es este incidente? ¿Qué pasos está

tomando para determinar qué sucedió y para prevenir futuros
incidentes?

• ¿Cuál es el impacto de este incidente? ¿Se expuso alguna

información de identificación personal (PII)? ¿Cuál es el costo
estimado de este incidente?
 Intercambiar información con terceros

• Una de las razones por las que muchos incidentes de Ciberseguridad no dan
lugar a condenas es que algunas organizaciones no contactan
adecuadamente a las fuerzas del orden.

• Varios niveles de aplicación de la ley están disponibles para investigar

incidentes: por ejemplo, dentro del Perú, podemos contactar a la DIVINDAT
llamando gratis al 1818 o al número (01) 431-8898 o enviando un correo a
[Link]@[Link]

• Los organismos encargados de hacer cumplir la ley en otros países también

pueden estar involucrados, tales como la INTERPOL, FBI, DEA.

• El equipo de respuesta a incidentes debe familiarizarse con sus diversos

representantes de aplicación de la ley antes de que ocurra un incidente
para discutir las condiciones bajo las cuales se les deben informar los
incidentes, cómo se debe realizar el informe, qué evidencia se debe
recopilar y cómo se debe recopilar.
Ley de Delitos Informáticos
 Estructura del Equipo de Respuesta
ante Incidentes
• Consta de dos tipos principales de recursos: aquellos dedicados
completamente a la respuesta y aquellos con otras funciones principales
que se involucran en incidentes según sea necesario según el alcance o
la naturaleza. Por ejemplo, el equipo legal no está necesariamente
involucrado en todos los incidentes, pero juega un papel importante en
todo lo que tenga consecuencias legales o reglamentarias

• Es posible que estas personas y roles no dediquen todo su tiempo a la

respuesta a incidentes, pero son los roles clave que se deben cumplir
cuando ocurre un incidente

• Una persona puede cumplir múltiples roles, especialmente para un

incidente u organización más pequeños, pero solo si tiene las
habilidades adecuadas
 El Personal de Respuesta ante Incidentes

• Un solo empleado, con uno o más suplentes designados, debe

estar a cargo de respuesta a incidentes
• En una modelo totalmente externalizada, esta persona supervisa y
evalúa el trabajo del proveedor externo.
• Todos los demás modelos tienen generalmente un jefe de equipo y
uno o más adjuntos que asume la autoridad en ausencia del jefe
de equipo.
• Los gerentes suelen realizar una variedad de tareas, incluyendo
actuar como enlace con la Alta Dirección
• Los gerentes deben comprender el lenguaje técnico y tener
excelentes habilidades de comunicación, sobre todo la capacidad
de comunicarse a una variedad de audiencias.
• Los gerentes son en última instancia responsable de garantizar
que la respuesta ante incidentes se lleve a cabo correctamente.
 Descripción del Equipo de Respuesta
ante Incidentes (I)
Jefe de equipo
 Tiene la responsabilidad general y de la gestión directa de los incidentes.
 Informa al CISO, CIO o incluso al CEO, pero siguiendo la matriz de escalamiento.
 Es responsable de la capacitación continua, el desarrollo del programa, etc.
Descripción del Equipo de Respuesta ante
Analistas de Red Incidentes (I)
 Expertos en el análisis de paquetes/tráfico de red, incluidas las capturas forenses.
 El análisis incluye monitoreo continuo, así como una investigación más profunda
durante los incidentes

Analistas de Sistemas
 Expertos en analizar endpoints y servidores
 Descripción del Equipo de Respuesta
ante Incidentes (II)

Analistas Forenses
 Tienen una capacitación más profunda en investigación forense, que incluye tanto
las habilidades técnicas para el examen forense de un sistema como la
Descripción
capacitación legal del Equipo
para manejar de Respuesta ante
adecuadamente la evidencia durante toda la
Incidentes
cadena de custodia. (I)

Analistas SIEM/Gestión de registros

 Amplia experiencia en análisis profundo de logs sobre plataformas de detección
 Descripción del Equipo de Respuesta
ante Incidentes (III)

Administradores de Redes, Sistemas, Bases de Datos y Aplicaciones

 Responsables del mantenimiento de los sistemas y redes
 Es su responsabilidad implementar mitigaciones defensivas durante y después de un incidente, y limpiar
los sistemas afectados
 Un administrador de firewall/IPS podría ser responsable de cerrar los puntos de entrada o salida que
Descripción del Equipo de Respuesta ante
utiliza el atacante
Incidentes (I)
 Los administradores de sistemas pueden implementar parches o cambios de configuración en los
firewalls del host
 Un DBA puede cambiar los permisos de la cuenta o cerrar los métodos de conexión.
 Este es un grupo bastante grande y, en la mayoría de las organizaciones, estas personas operan bajo la
dirección de los encargados de responder a incidentes

Legal, Recursos Humanos y Riesgo

 Cada vez que un incidente pueda implicar acciones legales, empleados o costos materiales, debe
involucrar cualquier combinación requerida de estas áreas de la organización
 Descripción del Equipo de Respuesta
ante Incidentes (IV)
Relaciones Públicas
 Si un incidente tiene un impacto público, es fundamental involucrar a los
responsables de las comunicaciones de la organización
Contabilidad/Finanzas
 La respuesta a incidentes cuesta dinero, por tal motivo es importante incluir al área
Descripción del Equipo de Respuesta ante
contable y financiera
Incidentes (I)
 También pueden asumir la responsabilidad de realizar un seguimiento de los costos
de los incidentes en curso
Logística
 Incluye a los responsables de obtener las cosas que necesita durante un incidente.
 Puede ser alguien del área de Compras y Administración. Básicamente es alguien con
una tarjeta de crédito y la autoridad para usarla.
 Compran el hardware y el software necesarios y contratan expertos externos
 Descripción del Equipo de Respuesta
ante Incidentes (V)
Comunicaciones
 Responsables de asegurarse de que el Equipo de Respuesta ante Incidentes y la
Dirección Ejecutiva puedan comunicarse
 Es posible que solo necesite este rol en un incidente crítico, pero asegúrese de
identificar a las personas con anticipación que puedan mantenerlo siempre en
comunicación con los interesados
Descripción directos
del Equipo a través de
de Respuesta teléfonos celulares, teléfonos
ante
fijos, correo electrónico, mensajería instantánea o cualquier otro mecanismo de
Incidentes (I)
comunicación disponible.

Dirección Ejecutiva
 Responsables de la toma de decisiones de gran impacto en la organización
ocasionada por incidentes de Ciberseguridad
 Reciben el feedback del Jefe de Equipo y toman decisiones informadas alineadas al
apetito del riesgo de la organización
 WorkShop: Organizar el Equipo

Organizar un Equipo de Respuesta ante Incidentes de

Ciberseguridad considerando los roles del
Jefe de Equipo
organigrama y un escenario.

Pasos
1. Nombrar un líder de grupo Operación de
Contabilidad/ Legal, Recursos
Respuesta ante Logística
2. Coordinar con su equipo y definir los
Descripción delroles según
Equipo de Respuesta
Incidentes ante Finanzas Humanos, Riesgo

organigrama Incidentes (I)

3. Definir un escenario de incidente, ejemplo:
Ransomware, Fuga de Información Sensible Monitoreo, Análisis,
Comunicaciones
Investigaciones

Analistas SIEM,
Analistas de
Analistas de Red Analistas Forenses Gestión de
Sistemas
Registros
 Recomendaciones

• Establecer una capacidad formal de respuesta a

incidentes

• Crear una política de respuesta a incidentes

• Desarrollar un plan de respuesta a incidentes sobre la

Descripción del Equipo de Respuesta ante
base de la política de respuesta
Incidentes (I)a incidentes
• Desarrollar procedimientos de respuesta a incidentes

• Establecer políticas y procedimientos relacionados con

el intercambio de información relacionada con el
incidente

• Seleccionar las personas con habilidades apropiadas

para formar parte del Equipo de Respuesta ante
 Módulo III
Manejo de un Incidente de
Ciberseguridad
El Ciclo de Vida de la Respuesta ante
Incidentes de Ciberseguridad

Descripción del Equipo de Respuesta ante

Incidentes (I)
 Preparation

Descripción del Equipo de Respuesta ante

Incidentes (I)
 Preparación (I)

• Información de contacto de los miembros del equipo y otras

personas dentro y fuera de la organización (contactos principales
y de respaldo), como la policía y otros equipos de respuesta a
incidentes; la información puede incluir números de teléfono,
direcciones de correo electrónico, claves de cifrado públicas (de
acuerdo con el software de cifrado que se describe a continuación)
e instrucciones para verificar la
Descripción delidentidad delRespuesta
Equipo de contacto ante
• Mecanismos de Incidentes (I) de incidentes, como números de
notificación
teléfono, Email, formularios en línea y sistemas seguros de
mensajería instantánea que los usuarios pueden usar para
informar sobre sospechas de incidentes; al menos un mecanismo
debe permitir que las personas informen incidentes de forma
anónima
• Sistema de ticketing para rastrear información de incidentes,
estado, etc
• Smartphones para ser llevados por los miembros del equipo para
soporte fuera del horario laboral y comunicaciones en el sitio
 Preparación (II)

• Software de cifrado que se utilizará para las comunicaciones

entre los miembros del equipo, dentro de la organización y con
partes externas
• War Room para la comunicación y coordinación central en la
atención de incidentes
• Instalación de almacenamiento seguro para asegurar pruebas
y otros materialesDescripción del Equipo de Respuesta ante
confidenciales
Incidentes (I)
• Computadora forense digital y/o dispositivos de Backup para
crear imágenes de disco, conservar archivos de registro y guardar
otros datos de incidentes relevantes
• Laptops para actividades como el análisis de datos, la detección
de paquetes y la redacción de informes
• Endpoints, servidores y equipos de red, que pueden usarse
para muchos propósitos, como restaurar copias de seguridad y
probar malware
• Medios extraíbles en blanco
 Preparación (III)

• Impresora portátil para imprimir copias de archivos de

registro y otras pruebas de sistemas fuera de la red
• Rastreadores de paquetes y analizadores de protocolos
para capturar y analizar el tráfico de red
• Software forense digital para analizar imágenes de disco
Descripción del Equipo de Respuesta ante
• Medios extraíbles con versiones confiables de programas que
Incidentes (I)
se usarán para recopilar evidencia de los sistemas
• Accesorios para la recopilación de pruebas, incluidos
cámaras digitales, grabadoras de audio, formularios de cadena
de custodia, bolsas y etiquetas para el almacenamiento de
pruebas, a fin de preservar las pruebas para posibles acciones
legales
 Preparación (IV)

• Listas de puertos, incluidos los puertos de uso común

• Documentación para sistemas operativos, aplicaciones,
protocolos y detección de intrusos y productos antivirus/EDR
• Diagramas de red y listas de activos críticos, como
servidores de bases de datos
Descripción del Equipo de Respuesta ante
• Líneas base actuales de (I)
Incidentes la actividad esperada de la red, el
sistema y la aplicación
• Hashes criptográficos de archivos críticos para acelerar el
análisis, la verificación y la erradicación de incidentes
• Acceso a imágenes de instalaciones limpias de SO y
aplicaciones con fines de restauración y recuperación
 Detection & Analysis
Vectores de Ataque (I)
• Medios extraíbles/externos: Un ataque ejecutado desde un medio
extraíble o un dispositivo periférico, por ejemplo, un código malicioso que
se propaga a un sistema desde una unidad flash USB infectada
• Desgaste: Un ataque que emplea métodos de fuerza bruta para
comprometer, degradar o destruir sistemas, redes o servicios (por
ejemplo, un DDoS destinado a perjudicar o denegar el acceso a un
Descripción del Equipo de Respuesta ante
servicio o aplicación; un ataque de fuerza bruta contra un mecanismo de
Incidentes (I)
autenticación, como contraseñas o CAPTCHAS)
• Web: Un ataque ejecutado desde un sitio web o una aplicación basada
en la web; por ejemplo, un ataque de secuencias de comandos entre
sitios utilizado para robar credenciales o una redirección a un sitio que
aprovecha una vulnerabilidad del navegador e instala malware
• Email: Un ataque ejecutado a través de un email o un archivo adjunto;
por ejemplo, un código de explotación disfrazado como un documento
adjunto o un enlace a un sitio web malicioso en el cuerpo de un email.
 Detection & Analysis
Vectores de Ataque (II)

• Suplantación de identidad: Un ataque que implica el reemplazo de

algo benigno con algo malicioso, por ejemplo, suplantación de identidad
a través de ataques de inyección SQL, Cross-site scripting (XXS), man in
the middle, defacement, entre otros para lograr la suplantación
• Uso inadecuado: Cualquier del
Descripción incidente
Equipoque resulte de ante
de Respuesta la violación de las
políticas de uso aceptable
Incidentesde(I) una organización por parte de un usuario
autorizado, por ejemplo, un usuario instala un software para compartir
archivos, lo que provoca la pérdida de datos confidenciales; o un usuario
realiza actividades ilegales en un sistema.
• Pérdida o robo de equipo: La pérdida o el robo de un dispositivo o
medio informático utilizado por la organización, como una computadora
portátil, un teléfono inteligente o un token de autenticación
 Detection & Analysis
Señales de un Incidente
• Los incidentes se pueden detectar a través de muchos medios diferentes,
con diferentes niveles de detalle y fidelidad
• Las capacidades de detección automatizada incluyen IDS, software
antivirus y analizadores de logs
• Los incidentes también pueden detectarse por medios manuales, como
los problemas informados por los usuarios.
Descripción del Equipo de Respuesta ante
• Algunos incidentes tienen (I)
Incidentes signos evidentes que pueden detectarse
fácilmente, mientras que otros son casi imposibles de detectar
• El volumen de signos potenciales de incidentes suele ser alto; por
ejemplo, no es raro que una organización reciba miles o incluso millones
de alertas de sensores de detección de intrusos por día
• Un conocimiento técnico profundo y especializado y una amplia
experiencia son necesarios para un análisis adecuado y eficiente de los
datos relacionados con incidentes.
 Detection & Analysis
Precursores e Indicadores
• Los signos de un incidente se clasifican en una de dos categorías:
precursores e indicadores.
• Un precursor es una señal de que un incidente puede ocurrir en el
futuro, ejemplo: identificación de una IP maliciosa asociada a un APT
(Advanced Persistent Threat) en el tráfico entrante del Firewall.
• Descripción
Un indicador es una señal dedel Equipo
que de Respuesta
un incidente puedeante
haber ocurrido o
Incidentes
puede estar ocurriendo ahora(I)
• La mayoría de los ataques no tienen precursores identificables o
detectables desde la perspectiva del objetivo
• Si se detectan precursores, la organización puede tener la oportunidad de
prevenir el incidente alterando su postura de seguridad para salvar a un
objetivo de un ataque. Como mínimo, la organización podría monitorear
más de cerca la actividad que involucra al objetivo
 Detection & Analysis
Ejemplos de Precursores

• Entradas de registro del servidor web que muestran el uso

de un escáner de vulnerabilidades

• Un anuncioDescripción
de un nuevodel Equipo de Respuesta
exploit ante a una
que apunta
Incidentes (I)
vulnerabilidad del servidor de correo de la organización

• Una amenaza de un grupo que afirma que el grupo

atacará a la organización
 Detection & Analysis
Ejemplos de Indicadores

• Un sensor de detección de intrusiones en la red alerta cuando se produce

un intento de desbordamiento del búfer contra un servidor de base de
datos
• El software antivirus alerta cuando detecta que un host está infectado
con malware.
Descripción del Equipo de Respuesta ante
• Un administrador del sistema(I)ve un nombre de archivo con caracteres
Incidentes
inusuales
• Un usuario registra un cambio de configuración de auditoría en su
registro.
• Una aplicación registra varios intentos fallidos de inicio de sesión desde
un sistema remoto desconocido
• Un administrador de correo electrónico ve una gran cantidad de correos
electrónicos rebotados con contenido sospechoso.
• Un administrador de red nota una desviación inusual de los flujos de
tráfico de red típicos
 Detection & Analysis

Descripción del Equipo de Respuesta ante

Incidentes (I)
 Detection & Analysis
Fuentes de Precursores e Indicadores (I)
Fuente Descripción
Alertas
IDS Identifica eventos sospechosos y registran los datos pertinentes sobre ellos, incluida la
fecha y la hora en que se detectó el ataque, el tipo de ataque, las direcciones IP de origen
y destino y el nombre de usuario (si corresponde y se conoce). La mayoría utilizan
firmas de ataques para identificar actividades maliciosas; las firmas deben
Descripción
mantenerse del Equipo
actualizadas para quede se
Respuesta ante los ataques más
puedan detectar
recientes. A menudo
Incidentes (I)produce falsos positivos: alertas que indican que se está
produciendo una actividad maliciosa, cuando en realidad no ha habido ninguna.
Los analistas deben validar manualmente las alertas del IDS.
SIEM Los productos de gestión de eventos de seguridad de la información (SIEM) son similares a
los productos IDS, pero generan alertas basadas en el análisis de logs
Antivirus, El antivirus detecta varias formas de malware, genera alertas y evita que el malware
Antispam infecte a los endpoints. Los antivirus actuales son efectivos para detener muchas
instancias de malware si sus firmas se mantienen actualizadas. El antispam se
utiliza para detectar el spam y evitar que llegue a los buzones de correo de los usuarios.
El spam puede contener malware, ataques de phishing y otro contenido malicioso, por
lo que las alertas del antispam pueden indicar intentos de ataque.
 Detection & Analysis
Fuentes de Precursores e Indicadores (II)

Fuente Descripción
Alertas
Software de Puede detectar cambios realizados en archivos importantes
comprobaci Descripción
durante del Equipo
incidentes. deun
Utiliza Respuesta
algoritmoante
hash para obtener una
ón de Incidentes
suma (I) criptográfica para cada archivo designado.
de control
integridad
de archivos
Servicios de Los terceros ofrecen una variedad de servicios de monitoreo gratuitos
monitoreo y basados en suscripción. Un ejemplo son los servicios de detección
de terceros de superficie de ataque.
 Detection & Analysis
Fuentes de Precursores e Indicadores (III)

Fuente Descripción
Logs
Logs del Los logs de los sistemas operativos, los servicios y las aplicaciones suelen ser de
sistema gran valor cuando ocurre un incidente, como registrar a qué cuentas se accedió y
operativo, qué acciones se realizaron. Los logs se pueden utilizar para el análisis mediante la
servicios y Descripción
correlación del Equipo
de información de Respuesta
de eventos. ante
Dependiendo de la información del evento, se
aplicación puede generar una (I)
Incidentes alerta para indicar un incidente.
Logs de Los logs de dispositivos de red, como firewalls y routers, no suelen ser una fuente
dispositivos principal de precursores o indicadores. Aún así, pueden ser valiosos para identificar
de red tendencias de red y correlacionar eventos detectados por otros dispositivos.
Flujos de Un flujo de red es una sesión de comunicación particular que ocurre entre hosts. Los
red routers y otros dispositivos de red pueden proporcionar información sobre el flujo de la
red, que se puede usar para encontrar actividad de red anómala causada por malware,
exfiltración de datos y otros actos maliciosos.
 Detection & Analysis
Fuentes de Precursores e Indicadores (IV)

Fuente Descripción
Información disponible públicamente
Información Mantenerse al día con las nuevas vulnerabilidades y exploits
sobre nuevasDescripción
puede evitardelque ocurran
Equipo algunos incidentes
de Respuesta ante y ayudar a detectar
vulnerabilida Incidentes
y analizar(I)nuevos ataques. Existen entidades y marcas de
des y tecnología que brindan periódicamente información actualizada
exploits sobre amenazas a través de informes, publicaciones en la web y
listas de correo.
 Detection & Analysis
Fuentes de Precursores e Indicadores (V)

Fuente Descripción
Personas
Personas Los usuarios, administradores de sistemas, administradores de redes, personal de
dentro de la seguridad y otras personas dentro de la organización pueden informar señales de
organización incidentes. Un enfoque es preguntar a las personas que brindan dicha información
Descripción
qué tan del Equipo
seguros están de la de Respuesta
exactitud ante
de la información. Registrar esta
Incidentes
estimación (I) la información proporcionada puede ayudar
junto con
considerablemente durante el análisis de incidentes, particularmente cuando se
descubren datos contradictorios.
Personas de Los informes de incidentes que se originan externamente deben tomarse con
otras seriedad. Por ejemplo, la organización puede ser contactada por personal
organizaciones externo que afirma que sus sistemas están siendo atacados. Los usuarios
externos también pueden reportar otros indicadores, como un sitio web que sufrió un
“Defacement” o que un servicio no se encuentra disponible. Otros equipos de
respuesta a incidentes también pueden informar incidentes.
 Detection & Analysis
Análisis de Incidentes (I)

• La detección y el análisis de incidentes serían fáciles si se garantizara la

exactitud de todos los precursores o indicadores
• Existen casos donde los indicadores proporcionados por el usuario, como una
queja de que un servidor no está disponible, a menudo son incorrectos.
• La Detección y el Descripción
Análisis de Incidentes es una
del Equipo tarea difícil,ante
de Respuesta lo ideal es que cada
indicador se evalúe para determinar
Incidentes (I) si es legítimo
• El número total de indicadores puede ser de miles o millones por día. Encontrar
los incidentes de seguridad reales que ocurrieron entre todos los indicadores
puede ser una tarea abrumadora
• Es recomendable construir un Team altamente experimentado que puedan
analizar los precursores e indicadores de manera efectiva y eficiente para tomar
las medidas apropiadas
• Sin un personal experimentado, la detección y el análisis de incidentes se
realizarán de manera ineficiente, y se cometerán errores costosos
 Detection & Analysis
Análisis de Incidentes (II)

• El equipo de respuesta a incidentes debe trabajar rápidamente para analizar y

validar cada incidente, después de un proceso predefinido y documentar cada paso
que se da
Descripción del Equipo de Respuesta ante
• Cuando el equipo cree que ha(I)ocurrido un incidente, el equipo debe realizar
Incidentes
rápidamente un análisis inicial para determinar el alcance del incidente, como qué
redes, sistemas o aplicaciones se ven afectadas; quién o qué originó el incidente; y
cómo está ocurriendo el incidente (por ejemplo, qué herramientas o métodos de
ataque se están utilizando, qué vulnerabilidades se están explotando, etc.)

• El análisis inicial debe proporcionar suficiente información para que el equipo

priorice las actividades posteriores, como la contención del incidente y el análisis
más profundo de los efectos del incidente
 Detection & Analysis - Recomendaciones
para el Análisis de Incidentes (I)

• Perfil de Redes y Sistemas: Ejecutar software de verificación

de integridad de archivos en hosts y monitorear el uso del ancho
de banda de la red para determinar cuáles son los niveles de
Descripción del Equipo de Respuesta ante
uso promedioIncidentes
y pico en varios
(I) días y horas

• Comprender los comportamientos normales: Los miembros

del equipo de respuesta a incidentes deben estudiar las redes,
los sistemas y las aplicaciones para comprender cuál es su
comportamiento normal para que el comportamiento anormal
pueda reconocerse más fácilmente. Una forma de obtener este
conocimiento es revisando los logs y las alertas de seguridad
 Detection & Analysis - Recomendaciones
para el Análisis de Incidentes (II)

• Cree una política de retención de logs: Implementar una política de

retención de logs puede ser extremadamente útil en el análisis porque
los logs más antiguos pueden mostrar evidencia de ataques similares.
Para mayor información, consultar la NIST SP 800-92, “Guide to
Computer Security Log Management”
Descripción del Equipo de Respuesta ante
• Incidentes
Realizar la correlación de (I)
eventos: La evidencia de un incidente se
puede capturar en varios logs que contienen diferentes tipos de datos;
un log de firewall puede tener la IP origen que se utilizó, mientras que
un log de aplicaciones puede contener un nombre de usuario. Un IDS
puede detectar que un ataque fue lanzado contra un host en particular,
pero no puede saber si el ataque fue exitoso. El analista puede necesitar
examinar los logs del host para determinar esa información. La
correlación de eventos entre múltiples fuentes de indicadores puede ser
muy valiosa para validar si se ha producido un incidente real
 Detection & Analysis - Recomendaciones
para el Análisis de Incidentes (III)

• Mantenga todos los relojes de host sincronizados: Es preferible tener marcas

de tiempo consistentes en los logs, por ejemplo: tener tres logs que muestran un
ataque ocurrido a las [Link] a.m., en lugar de logs que enumeran que el ataque
ocurre a las [Link] , [Link] y [Link]
• Mantener y utilizar una base de conocimientos de información: La base de
Descripción
conocimientos debe incluir del Equipo
información que losde Respuesta
analistas ante para consultar
necesitan
Incidentes
rápidamente durante el análisis de(I)
un incidente
• Utilice los motores de búsqueda de Internet para la investigación: Ayuda a
los analistas a encontrar información sobre actividades inusuales, tácticas, técnicas,
procedimientos de adversarios, entre otros de interés
• Utilizar software de análisis de tráfico de red para recopilar datos
adicionales: Si ocurre un incidente en una red, la forma más rápida de recopilar los
datos necesarios puede ser tener un software de análisis de paquetes que capture
el tráfico de la red
 Detection & Analysis - Recomendaciones
para el Análisis de Incidentes (IV)

• Filtrar Data: Simplemente no hay suficiente tiempo para revisar y

analizar todos los indicadores; como mínimo, se debe investigar la
actividad más sospechosa. Una
Descripción delestrategia
Equipo deefectiva es ante
Respuesta filtrar categorías
de indicadores queIncidentes
tienden a(I)
ser insignificantes

• Busque ayuda de terceros: Ocasionalmente, el equipo no podrá

determinar la causa completa y la naturaleza de un incidente. Si el
equipo carece de información suficiente para contener y erradicar el
incidente, debe apoyarse de recursos externos (p. ej., US-CERT, otros
CSIRT, contratistas con experiencia en respuesta a incidentes)
 Detection & Analysis
Documentación de Incidentes

• Un equipo de respuesta a incidentes que sospecha que ha ocurrido un

incidente debe comenzar inmediatamente a registrar todos los
hechos relacionados con el incidente
• Un cuaderno de bitácora es un medio efectivo y simple para
esto, pero las Descripción
computadoras del Equipo de Respuesta
portátiles, ante
grabadoras de audio y
cámaras digitalesIncidentes (I)
también pueden servir para este propósito
• La información también se puede utilizar como prueba en un
tribunal de justicia si se lleva a cabo una acción judicial
• El uso de una aplicación o una base de datos, como un sistema
de seguimiento de problemas, ayuda a garantizar que los incidentes
se manejen y resuelvan de manera oportuna
 Detection & Analysis
Priorización de Incidentes (I)

Priorizar el manejo del incidente es quizás el punto de decisión más

crítico en el proceso de manejo del incidente. Los incidentes no
deben manejarse por orden de llegada como resultado de las
limitaciones de recursos. En cambio, el manejo debe priorizarse en
función de los factores relevantes, como los siguientes:
Descripción del Equipo de Respuesta ante
• Impacto Funcional del Incidente:
Incidentes (I) Los incidentes que tienen como
objetivo los sistemas de TI generalmente afectan la funcionalidad
empresarial que proporcionan esos sistemas. Se debe considerar no
solo el impacto funcional actual del incidente, sino también el
posible impacto funcional futuro del incidente si no se contiene de
inmediato
• Información de Impacto del Incidente: Los incidentes pueden
afectar la confidencialidad, integridad y disponibilidad de la información
de la organización. Por ejemplo, un Threat Actor puede filtrar
información confidencial.
 Detection & Analysis
Priorización de Incidentes (II)

• Recuperabilidad del incidente: El equipo debe priorizar la respuesta a

cada incidente en función de su estimación del impacto comercial causado
por el incidente y los esfuerzos estimados necesarios para recuperarse del
incidente. Un incidente con un alto impacto funcional y un bajo esfuerzo de
recuperación es un candidato ideal para la acción inmediata del equipo.
Descripción del Equipo de Respuesta ante
• Sin embargo, es posible que
Incidentes (I) algunos incidentes no tengan rutas de
recuperación fluidas y es posible que deban ponerse en cola para una
respuesta de nivel más estratégico; por ejemplo, un incidente que hace
que un atacante extraiga y publique gigabytes de datos confidenciales no
tiene una ruta de recuperación fácil, ya que los datos ya está expuesto; en
este caso, el equipo puede transferir parte de la responsabilidad de
manejar el incidente de exfiltración de datos a un equipo de nivel
más estratégico que desarrolle una estrategia para prevenir futuras
infracciones y cree un plan de divulgación para alertar a las personas u
organizaciones cuyos datos fueron exfiltrados
 Detection & Analysis
Priorización de Incidentes (III)

Categorías de impacto
funcional
Categorí Definición
a
Ninguno Descripción
Ningún efecto del Equipode
en la capacidad delaRespuesta antepara
organización
Incidentes
proporcionar todos (I)
los servicios a todos los usuarios
Bajo Efecto mínimo; la organización aún puede proporcionar
todos los servicios críticos a todos los usuarios, pero ha
perdido eficiencia
Medio La organización ha perdido la capacidad de proporcionar un
servicio crítico a un subconjunto de usuarios del sistema
Alto La organización ya no puede proporcionar algunos servicios
críticos a ningún usuario
 Detection & Analysis
Priorización de Incidentes (IV)

Categorías de impacto de la información

Categoría Definición
Ninguno No se exfiltró, modificó, eliminó ni se comprometió ninguna
información
Descripción del Equipo de Respuesta ante
Violación de Se accedió o se exfiltró información confidencial de
Incidentes (I)
la identificación personal (PII) de contribuyentes, empleados,
privacidad beneficiarios, etc
Violación de Se accedió o se extrajo información patentada no
propiedad clasificada, como información de infraestructura crítica
protegida (PCII).
Pérdida de Se modificó o eliminó información confidencial o de
integridad propiedad exclusiva
 Detection & Analysis
Priorización de Incidentes (V)

Categorías de esfuerzo de recuperabilidad

Categoría Definición
Regular El tiempo de recuperación es predecible con los recursos
existentes
Descripción del Equipo de Respuesta ante
Complementado El tiempo de recuperación
Incidentes (I) es predecible con recursos
adicionales
Extendido El tiempo de recuperación es impredecible; se necesitan
recursos adicionales y ayuda externa
No recuperable La recuperación del incidente no es posible (p. ej., datos
confidenciales filtrados y publicados públicamente);
iniciar investigación
 Detection & Analysis
Notificación de incidentes (I)

Cuando se analiza y prioriza un incidente, el equipo de respuesta a

incidentes notifica a las personas adecuadas, esto incluye:
 CIO
 Responsable de seguridad de la información
 Oficial de seguridad de la información local
Descripción del Equipo de Respuesta ante
 Otros equipos de respuesta a incidentes dentro de la organización
Incidentes (I)
 Equipos de respuesta a incidentes externos (si corresponde)
 Propietario del sistema
 Recursos humanos
 Relaciones Públicas
 Área legal
 CERT de país
 Cumplimiento de la ley
 Detection & Analysis
Notificación de incidentes (II)

• Durante el manejo de incidentes, es posible que el equipo deba

proporcionar actualizaciones de estado a ciertas partes, incluso en
algunos casos a toda la organización. El equipo debe planificar y preparar
varios métodos de comunicación, los posibles métodos de
comunicación incluyen:
 Email Descripción del Equipo de Respuesta ante
Incidentes (I)
 Website (interno, externo o portal)
 Llamadas telefónicas
 En persona (por ejemplo, sesiones informativas diarias)
 Saludo del buzón de correo de voz (por ejemplo, configure un buzón
de correo de voz separado para actualizaciones de incidentes y
actualice el mensaje de saludo para reflejar el estado actual del
incidente; use el saludo del correo de voz de la mesa de ayuda)
Contención, Erradicación & Recuperación

Descripción del Equipo de Respuesta ante

Incidentes (I)
 Contención, Erradicación & Recuperación
elegir una Estrategia de Contención (I)

• La contención es importante antes de que un incidente

abrume los recursos o aumente los daños. La mayoría de los
incidentes requieren contención, por lo que es una consideración
importante al principio del curso
Descripción del manejo
del Equipo de cada
de Respuesta incidente. La
ante
contención brinda tiempo
Incidentes (I) para desarrollar una estrategia de
remediación personalizada. Una parte esencial de la
contención es la toma de decisiones (por ejemplo, apagar un
sistema, desconectarlo de una red, desactivar ciertas funciones).
Tales decisiones son mucho más fáciles de tomar si existen
estrategias y procedimientos predeterminados para contener el
incidente.
 Contención, Erradicación & Recuperación
elegir una Estrategia de Contención (II)

Las estrategias de contención varían según el tipo de incidente. Por

ejemplo, la estrategia para contener una infección de malware transmitida
por correo electrónico es bastante diferente de la de un ataque DDoS
basado en la red. Las organizaciones deben crear estrategias de contención
separadas para cada tipo de incidente importante, con criterios
documentados claramenteDescripción del la
para facilitar Equipo
toma de
de Respuesta
decisiones. ante
Los criterios para
determinar la estrategia apropiada
Incidentes (I) incluyen:
 Posible daño y robo de recursos
 Necesidad de preservación de evidencia
 Disponibilidad del servicio
 Tiempo y recursos necesarios para implementar la estrategia
 Eficacia de la estrategia
 Duración de la solución
 Contención, Erradicación & Recuperación
Recopilación y manejo de pruebas (I)

Si bien la razón principal para recopilar pruebas durante un incidente es

resolver el incidente, también puede ser necesaria para
procedimientos legales.
Descripción del Equipo de Respuesta ante
En tales casos, esIncidentes
importante
(I) documentar claramente cómo se han
preservado todas las pruebas, incluidos los sistemas comprometidos. Las
pruebas deben recopilarse de acuerdo con procedimientos que cumplan
con todas las leyes y reglamentaciones aplicables que se han desarrollado
a partir de discusiones previas con el personal legal y las agencias de
aplicación de la ley correspondientes para que cualquier evidencia pueda
ser admisible en el tribunal
 Contención, Erradicación & Recuperación
Recopilación y manejo de pruebas (II)

Además, la evidencia debe ser contabilizada en todo momento.

siempre que la evidencia se transfiera de persona a persona, Se debe
llevar un registro detallado de todas las pruebas, incluidas las siguientes:
 Información de identificación (por ejemplo, la ubicación, el número de
serie, el númeroDescripción
de modelo,delelEquipo
nombrede de
Respuesta ante
host, las direcciones de
control de accesoIncidentes
a medios(I)
(MAC) y las direcciones IP de un equipo)
 Nombre, cargo y número de teléfono de cada persona que recolectó o
manejó la evidencia durante la investigación
 Hora y fecha (incluida la zona horaria) de cada ocurrencia de manejo
de evidencia
 Lugares donde se almacenó la evidencia.
 Contención, Erradicación & Recuperación
Identificación de los hosts atacantes (I)

Durante el manejo de incidentes, los propietarios del sistema y

otros a veces quieren o necesitan identificar el host o los hosts
atacantes. Aunque esta información puede ser importante, los
manejadores de incidentes generalmente deben concentrarse en
la contención, la Descripción
erradicación delyEquipo
la recuperación.
de RespuestaIdentificar
ante un host
Incidentes (I)
atacante puede ser un proceso fútil y lento que puede impedir que un
equipo logre su objetivo principal: minimizar el impacto en el
negocio.
 Contención, Erradicación & Recuperación
Identificación de los hosts atacantes (II)

Los siguientes elementos describen las actividades más

comúnmente realizadas para atacar la identificación del host:
 Validación de la dirección IP del host atacante
 Investigación del host atacante a través de motores de
búsqueda
 Uso de bases de datos
Descripción de incidentes
del Equipo de Respuesta ante
Incidentes
 Monitoreo (I)posibles canales de comunicación del
de los
atacante
 Contención, Erradicación & Recuperación
Erradicaciòn y Recuperación (I)

Una vez que se ha contenido un incidente, puede ser necesaria la erradicación

para eliminar los componentes del incidente, como eliminar el malware y
deshabilitar las cuentas de usuario violadas, así como identificar y mitigar
todas las vulnerabilidades que se explotaron.

En la recuperación, los administradores restauran los sistemas a su

funcionamiento normal, confirman que los sistemas funcionan con
Descripción del Equipo de Respuesta ante
normalidad y (si corresponde) corrigen las vulnerabilidades para evitar
Incidentes (I)
incidentes similares. La recuperación puede implicar acciones como restaurar
sistemas a partir de copias de seguridad limpias, reconstruir sistemas desde cero,
reemplazar archivos comprometidos con versiones limpias, instalar parches, cambiar
contraseñas y reforzar la seguridad del perímetro de la red (por ejemplo, conjuntos
de reglas de firewall, listas de control de acceso de enrutador de límite)
 Contención, Erradicación & Recuperación
Erradicaciòn y Recuperación (II)

La erradicación y la recuperación deben realizarse en un

enfoque por etapas para que se prioricen los pasos de
remediación. Para incidentes a gran escala, la recuperación
puede llevar meses; la intención de las primeras fases debe ser
aumentar la seguridad general del
Descripción conEquipo
cambios de alto valor
de Respuesta relativamente
ante
rápidos (de días a Incidentes
semanas) (I)
para evitar futuros incidentes. Las fases
posteriores deben centrarse en cambios a más largo plazo (por
ejemplo, cambios de infraestructura) y trabajo continuo para
mantener la empresa lo más segura posible.
Actividad posterior al incidente

Descripción del Equipo de Respuesta ante

Incidentes (I)
 Actividad posterior al incidente
Lecciones aprendidas (I)

• Una de las partes más importantes de la respuesta a incidentes

es también la que se omite con más frecuencia: aprender y
mejorar. Realizar una reunión de "lecciones aprendidas" con
todas las partes involucradas después de un incidente
importante y, opcionalmente, periódicamente después de incidentes
menores, según lo permitan los recursos, puede ser extremadamente
útil para mejorar las medidas de seguridad y el proceso de manejo de
incidentes en sí. Descripción del Equipo de Respuesta ante
Incidentes (I)
• Se pueden cubrir múltiples incidentes en una sola reunión de
lecciones aprendidas. Esta reunión brinda la oportunidad de lograr el
cierre con respecto a un incidente al revisar lo que ocurrió, lo que se
hizo para intervenir y qué tan bien funcionó la intervención. Las
preguntas que se responderán en la reunión incluyen:
 Actividad posterior al incidente
Lecciones aprendidas (II)

Las preguntas que se responderán en la reunión incluyen:

 ¿Qué pasó exactamente y en qué momentos?
 ¿Qué tan bien se desempeñaron el personal y la gerencia en el manejo del
incidente? ¿Se siguieron los procedimientos documentados? ¿Fueron
adecuados?
 ¿Qué información se necesitaba antes?
 ¿Se tomaron medidas o acciones que podrían haber inhibido la recuperación?
 ¿Qué harían diferente el personal y la gerencia la próxima vez que ocurra un
Descripción del Equipo de Respuesta ante
incidente similar?
Incidentes (I)
 ¿Cómo se podría haber mejorado el intercambio de información con otras
organizaciones?
 ¿Qué acciones correctivas pueden prevenir incidentes similares en el futuro?
 ¿Qué precursores o indicadores se deben vigilar en el futuro para detectar
incidentes similares?
 ¿Qué herramientas o recursos adicionales se necesitan para detectar, analizar y
mitigar futuros incidentes?
 Actividad posterior al incidente
Lecciones aprendidas (III)

Las reuniones de lecciones aprendidas proporcionan otros beneficios.

Los informes de estas reuniones son un buen material para
capacitar a los nuevos miembros del equipo al mostrarles cómo
los miembros del equipo más experimentados responden a los
incidentes. La actualización de las políticas y procedimientos de
Descripción
respuesta a incidentes es del
otraEquipo
partede Respuesta del
importante anteproceso de
Incidentes (I)
lecciones aprendidas. El análisis post-mortem de la forma en que
se manejó un incidente a menudo revelará un paso faltante o
una inexactitud en un procedimiento, lo que impulsará el cambio
 Actividad posterior al incidente
Uso de datos de incidentes recopilados (I)
• Los datos, particularmente el total de horas de participación y el costo,
pueden usarse para justificar la financiación adicional del equipo de
respuesta a incidentes
• Un estudio de las características de los incidentes puede indicar
debilidades y amenazas de seguridad sistémica, así como cambios en
las tendencias de los incidentes. Estos datos se pueden volver a incluir
en el proceso de evaluación de riesgos, lo que en última instancia
conduce a la selección e implementación de controles adicionales
• Otro buen uso de Descripción
los datos esdel
medir el éxito
Equipo del equipo
de Respuesta de respuesta a
ante
incidentes. Si losIncidentes
datos de(I) incidentes se recopilan y almacenan
correctamente, deberían proporcionar varias medidas del éxito (o al
menos de las actividades) del equipo de respuesta a incidentes
• Los datos de incidentes también se pueden recopilar para determinar si
un cambio en las capacidades de respuesta a incidentes provoca un
cambio correspondiente en el desempeño del equipo (por ejemplo,
mejoras en la eficiencia, reducciones en los costos)
 Actividad posterior al incidente
Uso de datos de incidentes recopilados (II)

Las posibles métricas para datos relacionados con

incidentes incluyen:

 Número de incidentes manejados

 Tiempo por incidente

Descripción
 Evaluación del Equipo
objetiva de incidente
de cada Respuesta ante
Incidentes (I)
 Evaluación subjetiva de Cada Incidente
 Actividad posterior al incidente
Auditoria de respuesta ante incidentes

Como mínimo, una auditoría de respuesta a incidentes debe evaluar los

siguientes elementos frente a las normas, políticas y prácticas
generalmente aceptadas aplicables:
 Políticas, planes y procedimientos de respuesta a incidentes
 Herramientas y recursos
 Modelo y estructura del equipo
 Capacitación y educación del manejador de incidentes
 Documentación e informes de incidentes
 Actividad posterior al incidente
Retención de evidencia

Los siguientes factores deben ser considerados durante la creación de la política:

 Fiscalía: Si es posible que se procese al atacante, es posible que sea necesario
conservar las pruebas hasta que se hayan completado todas las acciones legales.
En algunos casos, esto puede llevar varios años. Además, la evidencia que
parece insignificante ahora puede volverse más importante en el futuro. Por
ejemplo, si un atacante puede usar el conocimiento recopilado en un
ataque para realizar un ataque más severo más tarde, la evidencia del
primer ataque puede ser clave para explicar cómo se logró el segundo
ataque
 Retención de datos: La mayoría de las organizaciones tienen políticas de
retención de datos que establecen cuánto tiempo se pueden conservar ciertos tipos
de datos. Por ejemplo, una organización puede indicar que los mensajes de correo
electrónico deben conservarse solo durante 180 días
 Costo: El hardware original (por ejemplo, discos duros, sistemas comprometidos)
que se almacena como evidencia
 Actividad posterior al incidente - Checklist de manejo de
incidentes
Acción Terminado

Detección y Análisis

1. Determinar si ha ocurrido un incidente

1.1 Analizar los precursores e indicadores

1.2 Busque información relacionada

1.3 Realizar investigaciones (por ejemplo, motores de búsqueda, base de conocimientos)

1.4 Tan pronto como el gestor de incidentes crea que ocurrió un incidente, comience a documentar la investigación y a recopilar evidencia

2. Priorizar el manejo del incidente en función de los factores relevantes (impacto funcional, impacto de la información, esfuerzo de
recuperabilidad, etc.)
3. Reportar el incidente al personal interno apropiado y a las organizaciones externas

Contención, Erradicación y Recuperación

4. Adquirir, preservar, asegurar y documentar evidencia

5. Contener el incidente

6. Erradicar el incidente

6.1 Identificar y mitigar todas las vulnerabilidades que fueron explotadas

6.2 Eliminar malware, materiales inapropiados y otros componentes

6.3 Si se descubren más hosts afectados (por ejemplo, nuevas infecciones de malware), repita los pasos de Detección y análisis (1.1, 1.2) para identificar todos
los demás hosts afectados, luego contenga (5) y erradique (6) el incidente por ellos.

7. Recuperarse del incidente

7.1 Devolver los sistemas afectados a un estado operativo

7.2 Confirme que los sistemas afectados funcionan con normalidad

7.3 Si es necesario, implemente un monitoreo adicional para buscar futuras actividades relacionadas.

Actividad posterior al incidente

8. Crear un informe de seguimiento

9. Realizar una reunión de lecciones aprendidas (obligatorio para incidentes importantes, opcional en caso contrario)
 Actividad posterior al incidente
Recomendaciones (I)
 Adquirir herramientas y recursos que pueden ser valiosos durante el manejo de incidentes
 Evite que ocurran incidentes asegurándose de que las redes, los sistemas y las aplicaciones
sean lo suficientemente seguros
 Identifique precursores e indicadores a través de alertas generadas por varios tipos de software
de seguridad
 Establecer mecanismos para que partes externas informen incidentes Requerir un nivel de
referencia de registro y auditoría en todos los sistemas, y un nivel de referencia más alto en
todos los sistemas críticos
 Redes y sistemas de perfil
 Comprender los comportamientos normales de las redes, los sistemas y las aplicaciones.
 Crear una política de retención de registros
 Realizar correlación de eventos
 Mantenga todos los relojes de host sincronizados
 Mantener y utilizar una base de conocimientos de información
 Actividad posterior al incidente
Recomendaciones (II)

 Comience a registrar toda la información tan pronto como el equipo sospeche que se ha producido un
incidente.
 Proteja los datos de incidentes
 Priorizar el manejo de los incidentes en función de los factores relevantes.
 Incluir disposiciones relativas a la notificación de incidentes en la política de respuesta a incidentes de
la organización
 Establecer estrategias y procedimientos para contener incidentes
 Siga los procedimientos establecidos para la recopilación y el manejo de pruebas.
 Obtenga instantáneas del sistema a través de imágenes de disco forenses completas, no copias de
seguridad del sistema de archivos
 Capture datos volátiles de los sistemas como evidencia
 Celebrar reuniones de lecciones aprendidas después de incidentes importantes
 Módulo IV
Coordinación e intercambio de
información
 Coordinación e intercambio de información
Coordinación (I)
• Una organización puede necesitar interactuar con varios tipos de
organizaciones externas en el curso de la realización de
actividades de respuesta a incidentes. Ejemplos de estas
organizaciones incluyen otros equipos de respuesta a
Descripción del Equipo de Respuesta ante
incidentes, agencias de aplicación
Incidentes (I) de la ley, proveedores
de servicios de Internet y constituyentes y clientes

• El equipo de respuesta a incidentes de una organización debe

planificar su coordinación de incidentes con esas partes
antes de que ocurran los incidentes para garantizar que
todas las partes conozcan sus roles y que se establezcan líneas
de comunicación efectivas
Coordinación e intercambio de información
Coordinación (II)

Descripción del Equipo de Respuesta ante

Incidentes (I)
 Coordinación e intercambio de información
Relaciones de coordinación

• Un equipo de respuesta a incidentes dentro de una

organización puede participar en diferentes tipos
de acuerdos de Descripción del Equipo
coordinación, segúndeel
Respuesta
tipo deante
Incidentes (I)
organización con la que se coordine

• Los miembros del equipo responsables de los detalles

técnicos de la respuesta a incidentes pueden
coordinarse con colegas operativos en organizaciones
asociadas para compartir estrategias para mitigar un
ataque que abarca varias organizaciones
 Módulo V
Ejercicios de Preparación para la
Respuesta ante Incidentes de
Ciberseguridad - Tabletop Exercise (TTX)
 Escenario: Caso Phishing

“Mientras hacía compras navideñas, un empleado usó por error sus

credenciales de trabajo para suscribirse a la última gran oferta. Hoy, ese sitio

anunció una violación importante de las credenciales de inicio de sesión. Su

organización comienza a recibir correos electrónicos extraños y solicitudes de

restablecimiento de contraseña. Otro empleado menciona que hizo clic en un

enlace que se le proporcionó, ¿Qué hace usted?”

Tiempo
15 minutos
 Discusión

1. ¿Tiene su organización una política respecto al uso de credenciales de trabajo para uso personal?
• ¿Sus empleados han sido informados y capacitados sobre esa política?
• ¿Cuenta su organización con un programa de capacitación en seguridad para el usuario final?
• ¿Reciben periódicamente entrenamiento de phishing?
2. ¿Algún otro empleado ha hecho clic en los links proporcionados?
• ¿Cómo podemos saber si más empleados recibieron los links?
3. ¿Se han considerado maliciosos los links?
• ¿Como podemos estar seguros?
4. Si el enlace se considera malicioso, ¿tiene un plan de respuesta a incidentes?
• ¿Podemos bloquear al remitente de ese correo electrónico?
• ¿Podemos eliminar otros correos electrónicos recibidos?
• ¿Se restablecerán las cuentas infectadas?
5. ¿Hubo posibles conexiones C2?
• ¿Cómo podemos saberlo?
• ¿Tenemos un procedimiento establecido?
6. ¿Tiene su organización una ubicación para que el personal envíe posibles intentos de phishing?
7. ¿Su organización participa en el intercambio de información para ayudar a proteger a otros?
 Escenario: Caso cadena de suministro

Uno de los departamentos internos de su organización utiliza con frecuencia

almacenamiento externo en la nube para almacenar grandes cantidades de
datos, algunos de los cuales pueden considerarse confidenciales.
Recientemente se enteró de que el proveedor de almacenamiento en la nube
que se está utilizando se ha visto comprometido públicamente y se han
expuesto grandes cantidades de datos. Es posible que se hayan
comprometido todas las contraseñas de los usuarios y los datos de la
infraestructura del proveedor de la nube

Tiempo
15 minutos
 Discusión

• ¿Qué pasos tomará su organización?

• ¿Tienen en su organización políticas actuales que tengan en cuenta el
almacenamiento en la nube de terceros?
• ¿Su organización aún debe ser responsable por la violación de datos?
• ¿Qué acciones y procedimientos serían diferentes si se tratara de una
violación de datos en su propia red de área local?
• ¿Qué debe hacer la gerencia? ¿Quién más en la organización debería
participar?
• ¿Qué les dice a sus electores, si les dice algo? ¿Cómo y cuándo les
notificaría?C