El juego de la culpa: identificación del culpable durante la respuesta al incidente de seguridad

Después de que se descubre un incidente serio de seguridad de TI, la prioridad es cerrarlo y recuperarlo rápidamente de una manera rentable. Sin embargo, la administración querrá encontrar la raíz del problema para que tengan un lugar donde señalar con el dedo, pero a menudo es más fácil decirlo que hacerlo.

Los incidentes de seguridad requieren una investigación intensiva en tiempo y mano de obra para descubrir las técnicas de cibercrimen y filtrar grandes cantidades de datos. Los incidentes que involucran una cuenta privilegiada resultan ser aún más desafiantes ya que los iniciados autorizados o los hackers externos que han secuestrado credenciales pueden modificar o eliminar registros para cubrir sus pistas.

Los ciberdelincuentes sofisticados y bien financiados a menudo se enfocan en cuentas privilegiadas porque tienen las llaves del reino, lo que permite a los delincuentes robar datos a gran escala, alterar la infraestructura crítica e instalar malware. Bajo la apariencia de usuarios privilegiados, los atacantes pueden acechar dentro de los sistemas durante meses, obteniendo más y más información y escalando sus privilegios incluso antes de que sean descubiertos.

Además de los ataques deliberados, el error humano también es un factor a considerar durante una investigación. Por ejemplo, un administrador inexperto puede haber configurado erróneamente accidentalmente un servidor de seguridad central, convirtiendo una resolución rápida en una investigación abrumadora. Los miembros del personal de TI a menudo usan cuentas compartidas como "administrador" o "raíz", por lo que es extremadamente difícil determinar exactamente quién hizo qué. Con este grado de incertidumbre, es fácil comenzar el juego de culpa entre las partes.

Nagios Log Server: Sumérjase profundamente en eventos de la red, registros y eventos de seguridad. Utilice Nagios Log Server para proporcionar la evidencia necesaria para rastrear las amenazas de seguridad y resolver rápidamente las vulnerabilidades con alertas y notificaciones incorporadas. Conocer Nagios Log Server

Una forma de combatir simultáneamente la amenaza de hackers externos y errores humanos es recolectar datos relevantes y confiables en sesiones de usuarios privilegiados. Esto permite a los investigadores reconstruir fácilmente las sesiones de los usuarios y puede reducir el tiempo y el costo de las investigaciones.

Además de la supervisión y gestión de la sesión del usuario, contar con un proceso de gestión de incidentes será fundamental para garantizar una identificación rápida y efectiva de una fuente de amenaza.

El proceso de gestión de incidentes

Para identificar un incidente y responder rápidamente, las organizaciones deben desarrollar un proceso de gestión de varios pasos en el que puedan confiar de manera constante. Para empezar, el NIST y el CERT / CC han esbozado un proceso paso a paso para la gestión de incidentes según ISO 27002. Estos fomentan un enfoque consistente, especialmente para aquellas organizaciones bajo estrictas regulaciones de cumplimiento. Se espera que las empresas definan regularmente, y en el caso de un evento de seguridad, ejecuten un procedimiento de respuesta a incidentes. Deben establecer que son capaces de actuar cuando los activos críticos están en peligro.

El concepto CERT / CC tiene cuatro componentes. Primero, se informa o se detecta un incidente (componente de detección). En segundo lugar, el incidente se evalúa, categoriza, prioriza y se pone en cola para la acción (componente de triage). En tercer lugar, deben realizar una investigación sobre el incidente para determinar qué ha ocurrido y quién está afectado (componente de análisis). Finalmente, se toman acciones específicas para resolver el incidente (componente de respuesta a incidentes). Esencialmente, las organizaciones necesitan encontrar un proceso como este que puedan implementar y hacer referencia en el caso de una violación de seguridad.

Identificación y  adquisición de  fuentes de datos

Las investigaciones profundas requieren que las organizaciones primero identifiquen y luego recopilen los datos en cuestión. Este es el primer paso en cualquier proceso forense. Las fuentes de datos pueden incluir registros de seguridad, registros de operaciones y registros de acceso remoto que se han creado en los servidores. También pueden abarcar máquinas cliente, sistemas operativos, bases de datos y dispositivos de red y seguridad. Las investigaciones que involucran cuentas con privilegios también pueden incluir grabaciones de sesiones o pistas de auditoría jugables que pueden ser fundamentales para descubrir lo que sucedió.

Una vez que los datos están a la vista, el analista debe adquirirlos. Algunas herramientas de administración de registros recopilarán, filtrarán, normalizarán y almacenarán centralmente los datos de registro de una amplia gama de fuentes para simplificar el proceso. Para los casos relacionados con el uso indebido de privilegios, los datos también se deben recopilar de las grabaciones de sesión privilegiadas.

Software centralizado de gestión de registros, monitoreo y análisis. Nagios Log Server puede guardar archivos históricos de todos los eventos en caso de que se necesite una auditoría de seguridad, manteniendo su organización en conformidad con los requisitos de seguridad.

Con todos los datos disponibles, debe verificarse para garantizar su integridad. Esto podría incluir la protección contra la manipulación mediante el uso de datos cifrados, con sello de tiempo y firmados digitalmente.

Examen  y análisis 

Durante una investigación, cada dato debe examinarse de cerca para extraer información relevante. Al combinar los datos de registro con los metadatos de registro de sesión, el examen de los incidentes de cuenta privilegiada se puede agilizar dramáticamente.

Una vez que se ha extraído la información más importante, comienza el proceso de análisis. A través del aprendizaje automático, las organizaciones pueden analizar el comportamiento del usuario privilegiado y detectar cuándo el comportamiento cae fuera de sus parámetros operativos normales. Cuando se combinan con pistas de auditoría rejugables que muestran inicios de sesión, comandos, ventanas o texto ingresado desde cualquier sesión, esto puede proporcionar una imagen completa de la actividad sospechosa. Con todos estos elementos, los analistas pueden crear una línea de tiempo completa de eventos para la fase de informes.

Informes  y resolución

Una vez que se analicen todos los datos, puede comenzar el laborioso proceso de informes. Las investigaciones rápidas y la capacidad de tomar decisiones rápidas e informadas pueden ser un desafío y requieren datos en tiempo real sobre el contexto de un evento sospechoso. En estos escenarios, el acceso a la puntuación basada en el riesgo de las alertas, la búsqueda rápida y la evidencia fácilmente interpretable pueden acelerar el proceso.

En el vertiginoso panorama actual de amenazas, las organizaciones deben contar con capacidades para proteger los activos críticos mediante la administración y supervisión de cuentas y acceso privilegiados. Además de un sólido proceso de gestión de incidentes, las empresas pueden estar preparadas para cuando ocurre un incidente, y con acceso a los datos correctos, junto con la capacidad de ordenarlo fácilmente, estarán facultados para descubrir rápidamente el origen del incidente y el futuro. sistemas de prueba.

Créditos: Csaba Krasznay

4 razones por las que la gestión de registros es clave para la ciberseguridad
EspañolEnglishPortuguêsDeutschNederlandsFrançaisItalianoРусский简体中文العربية