4 passes per gestionar els incidents de ciberseguretat

El blog d’Ackcent Cybersecurity presenta una sèrie de consells per reforçar la prevenció, seguiment, detecció i resposta en casos d’incidents de seguretat.

Notícia original d’Ackcent Cybersecurity / Imatge per Biljana Jovanovic via Pixabay

Entenem els incidents de ciberseguretat com qualsevol esdeveniment que pot danyar la confidencialitat, la integritat o la disponibilitat d’un sistema. Els ciberatacs són cada vegada més freqüents i potents, i el que observem és que les empreses es preocupen principalment de comprendre com reaccionar quan es produeixen aquests atacs. No obstant això, aquest plantejament pot no ser el millor. Les fissures es produeixen quan una amenaça pot explotar un sistema per les seves vulnerabilitats o per la seva manca de defenses. Per tant, un esforç combinat de prevenció, seguiment, detecció i resposta ens pot ajudar a protegir millor les nostres organitzacions.

Tal com es mostra a l’informe 2019 Cost of a Data Breach Report d’IBM, el cost mitjà de cada registre perdut és de 150 dòlars nord-americans, i el cost mitjà d’una filtració de dades és de 3.900.000 dòlars.

A continuació es detallen alguns consells i bones pràctiques per fer front a incidents de ciberseguretat:

Prevenció d’incidents

Com hem vist, una fissura es produeix quan un agent és capaç d’explotar la vulnerabilitat del sistema. Aquesta intrusió pot produir costos econòmics substancials, com s’ha dit anteriorment, la qual cosa pot amenaçar l’estabilitat financera de l’empresa; per tant, la prioritat principal hauria de ser identificar i esmenar aquestes vulnerabilitats per prevenir-ho.

Algunes de les accions que poden ajudar a una empresa a prevenir incidents de seguretat poden ser:

  • Fer còpies de seguretat del sistema i provar la seva integritat, cosa que pot ajudar a restaurar els sistemes en cas que es produeixi un incident.
  • El seguiment de la xarxa per detectar qualsevol desviació dels valors de referència.
  • La centralització dels registres.
  • La correlació d’esdeveniments.
  • Mantenir l’equip informat sobre la seguretat de les dades.
  • La creació d’un Equip de Resposta a Incidents en Seguretat Informàtica (CSIRT, per les seves sigles en anglès). Aquest equip tractaria documentalment les incidències supervisant, comunicant, registrant, revisant sistemes, augmentant els coneixements en ciberseguretat, investigant noves estratègies, reduint riscos, planificant la recuperació del sistema en termes de costos de protecció i creació, definint i desplegant polítiques de seguretat i sensibilitzant al personal del personal per millorar la seguretat general de l’organització entre d’altres.

Detecció i anàlisi

Aquesta etapa se centra en la mitigació de l’impacte d’actius causada per la materialització del risc. Està molt relacionada amb el seguiment de xarxa descrit a l’etapa anterior. La principal font d’informació que ajuda a una organització a detectar aquests impactes són els IDS, IPS, consoles de gestió d’antivirus, tallafocs, registres de proxies … Aquests han de ser gestionats adequadament en un SIEM per un equip SOC.

Un cop detectat l’incident, analitzant o correlacionant els registres d’esdeveniments, cal avaluar el seu impacte i la naturalesa de l’atac per donar-li un nivell de prioritat i enviar una notificació a totes les parts afectades. Aquests poden incloure altres organitzacions, la persona que ha alertat inicialment, que podria estar fora o dins de l’empresa, departaments legals i de comunicacions, etc.

Contenció

Aquesta etapa és crítica ja que pretén evitar més danys a altres béns. És fonamental que l’atacant no noti la detecció de l’equip CSIRT. Si això passés, l’atacant podria continuar amb altres accions, com esborrar informació confidencial o ampliar els seus privilegis. L’organització hauria de valorar la viabilitat d’aïllar els sistemes afectats comparant els costos i els avantatges de mantenir els sistemes operatius, tenint en compte que aquesta acció pot provocar danys posteriors en els sistemes, com passaria en el cas d’una sanció severa del Service Level Agreement (SLA, per les seves sigles en anglès). L’organització també hauria de determinar el punt d’accés i la causa d’arrel que utilitza l’atacant, per tal de desplegar defenses que evitin l’explotació posterior d’aquestes vulnerabilitats.

Recuperació

L’objectiu d’aquesta etapa és la recuperació de tots els sistemes i les seves operacions, així com l’eliminació dels components o vulnerabilitats que van provocar l’incident. El desplegament de totes les millores necessàries és fonamental per corregir la causa principal i augmentar la seguretat general de l’organització.

En funció de la naturalesa de l’incident, el CSIRT decidirà si restaurar el sistema, mantenint sense modificacions tants sistemes com sigui possible, o reconstruir un conjunt més ampli de sistemes. Serà aleshores quan l’equip de resposta d’incidents haurà de decidir quines còpies de seguretat es restauraran tenint en compte la data de finalització de les còpies de seguretat.

A través de les diferents etapes, el CSIRT haurà de documentar tot el procés, inclosa la descripció d’incidents, les accions realitzades, l’autor d’aquestes accions i la justificació. Tota la informació recopilada ha de ser emmagatzemada cronològicament, verificada per completar-la, revisada i signada per un alt directiu o un advocat. En aquesta etapa, s’ha d’informar a totes les parts afectades. Per últim, s’han de valorar tots els danys, inclosos els relatius al personal, qüestions legals, reputació, informatius i tecnològics. Serà en aquesta fase quan s’ha d’avaluar i revisar el pla de resposta per millorar-lo.

Ús de cookies

Aquest lloc web fa servir galetes per que tingueu la millor experiència d'usuari. Si continua navegant està donant el seu consentiment per a l'acceptació de les esmentades cookies i l'acceptació de la nostra política de cookies, apreti l'enllaç per a més informació. ACEPTAR

Aviso de cookies

Tipologia

Filtrar

Activitat

Filtrar

Sector

Sector Primari

Sector Secundari

Sector Terciari

Filtrar