RESPUESTA ANTE LOS INCIDENTES

Page 1

Área de Tecnologías de la Información

Programa Académico de Infraestructura de Redes Digitales

Materia: Ciberseguridad

Título: Respuesta ante los incidentes

Profesor(a): Ricardo Estrada Malacara

Alumno(a): Porras Noriega Fátima Abigail

Grupo: IRD-501

León, Guanajuato. 30 de marzo de 2020

CAPÍTULO 6: EL REINO DE LOS CINCO NUEVES: RESPUESTA ANTE LOS INCIDENTES INTRODUCCIÓN En este capítulo se habla sobre los enfoques que tienen las organizaciones para maximizar su disponibilidad, ya que ésta supone una minimización o eliminación de la perdida de datos, y como sabemos, la información de la organización es un tema muy sensible e importante, además de que, al no minimizar el tiempo de inactividad de un proceso crítico, la organización podría perder ingresos. En este ensayo, me enfocaré en la parte de la respuesta a un incidente. Esto es importante ya que una organización debe estar preparada para responder ante un incidente estableciendo procedimientos que deban seguirse después de que ocurra un evento.

FASES DE RESPUESTA ANTE LOS INCIDENTES Primero es importante definir qué es una respuesta ante los incidentes, entonces, Cisco la define como “el procedimiento que una organización sigue después de que ocurre un evento fuera del rango normal”. Pero ¿qué tipo de incidentes? Un buen ejemplo sería una violación de datos, ya que puede ocurrir como resultado de un acto accidental o intencional, esta violación de datos divulga información confidencial a entornos que no se consideran confiables. Es por eso, que al ocurrir un incidente, dentro de la organización se debe saber cómo responder, desarrollando un plan de respuesta, comenzando así la primera fase, que es la PREPARACIÓN. Aquí se constituye un equipo de respuesta ante los incidentes de seguridad informática (CSIRT) para administrar la respuesta o bien, puede ser un grupo establecido dentro de la organización, que sigue un conjunto de pasos predeterminados para asegurarse de que el enfoque sea uniforme y no saltearse ningún paso. El CSIRT lleva a cabo las siguientes funciones: mantiene el plan de respuesta; garantiza que los miembros conozcan el plan; prueba el plan; y finalmente, obtiene la aprobación del plan por parte de la gerencia.

La segunda fase es la DETECCIÓN Y ANÁLISIS, que comienza cuando se detecta el incidente. Para poder tener un buen sistema de detección es necesario tener una constante revisión de los registros y supervisión de las alertas. En esta fase se debe incluir la forma en que el incidente se produjo y también los datos y sistemas involucrados. Cuando el incidente se detecta, se envía la notificación correspondiente y así se puede iniciar la corrección o reparación. Esta fase incluye: alertas y notificaciones; supervisión y seguimiento. Y finalmente, el análisis ayuda a identificar el origen, la medida, el impacto y los detalles del incidente. La tercera fase es la CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN. En la contención, se incluyen las acciones inmediatas o “improvisadas” realizadas. La erradicación ocurre después se identificar la amenaza y contenerla. Finalmente, la recuperación incluye las acciones que resuelven el incidente y restauran los sistemas involucrados a su estado original antes del incidente. Después de que se restablecen las operaciones, la organización debería dar un SEGUIMIENTO POSTERIOR A LOS INCIDENTES, el cual busca saber, por ejemplo, la causa del incidente, las acciones que evitarán que se repita, las medidas que deben reforzarse, la mejora del sistema, la minimización de inactividad, etc. Esto ayudará a la optimización del plan de respuesta ante los incidentes.

TECNOLOGÍAS DE RESPUESTA ANTE LOS INCIDENTES La primera tecnología que mencionaré es el CONTROL DE ADMISIÓN DE REDES (NAC), el cual permite que los usuarios autorizados con sistemas compatibles puedan acceder a la red, además de evaluar un dispositivo entrante frente a las políticas de la red y coloca en cuarentena los sistemas que no cumplen, además de administrar su corrección. Entonces, las revisiones del sistema de NAC incluyen: la detección actualizada de virus; las actualizaciones y parches de los sistemas operativos; y finalmente la aplicación de contraseñas complejas. La siguiente tecnología, son LOS SISTEMAS DE DETECCIÓN DE INTRUSIONES (IDS), los cuales supervisan de forma pasiva el trafico de la red y trabajan sin conexión, lo que implica el trabajo pasivo (supervisa e informa el tráfico y sin adoptar

alguna medida), que el dispositivo IDS se encuentre físicamente en la red y por lo tanto, el trafico se replique y finalmente, que el trafico de red no pase por los IDS a menos de que esté replicado. ¿Cómo funciona el IDS? El dispositivo IDS copia el flujo del tráfico y lo analiza en lugar de los paquetes enviados. Como trabaja sin conexión, este flujo se compara con las formas maliciosas conocidas. A menudo, para responder a un ataque, requiere de la asistencia de otros dispositivos de red (como routers o firewalls). La siguiente tecnología es EL SISTEMA DE PREVENCIÓN DE INTRUSIONES (IPS), este se basa en IDS, con la diferencia de que opera en línea, es decir, que todo el trafico debe pasar por aquí para su procesamiento, por lo que puede detectar y abordar inmediatamente un problema de red. Un IPS supervisa el tráfico de red, analiza el contenido y busca tecnologías de detección de intrusiones que puedan incluir datos maliciosos. Este análisis identifica, detiene y bloquea los ataques tradicionales de firewall, entonces cuando pasa un paquete, la interfaz saliente no recibe el paquete hasta ser analizado por el IPS. La siguiente es NETFLOW, esta tecnología de cisco IOS proporciona estadísticas sobre los paquetes que atraviesan un router o un switch. Este estándar recopilar datos operativos de las redes. Por otro lado, está la IPFIX, un formato estándar de exportación de la información basada en routers sobre flujos de tráfico de red. Funciona en los routers o en las aplicaciones de administración que admite el protocolo, estas muestran estadísticas de los routers. IPFIX ofrece: protección a la red de amenazas internas y externas; solución de fallas en la red de manera rápida y precisa; y finalmente, el análisis de los flujos de red para planificar la capacidad. Y finalmente, LA INTELIGENCIA DE AMENAZAS AVANZADA, la cual ayuda a las organizaciones a detectar ataques antes o durante una de las etapas de ciberataque con la información correcta. Se pueden detectar: bloqueos de cuentas; todos los eventos de la base de datos; la creación y eliminación de archivos; y la modificación de la configuración de los sistemas. Esta inteligencia contribuye al monitoreo y respuesta de la seguridad, ya que así las organizaciones pueden responder más rápidamente a los incidentes.

CONCLUSIONES •

Es muy importante analizar los distintos enfoques que las organizaciones toman para garantizar la disponibilidad del sistema.

Un diseño bien planificado del sistema puede proporcionar a la organización una manera rápida de recuperarse y continuar operando.

Siempre se debe tener un plan al momento de responder ante un incidente en las organizaciones, esto, establecimiento procedimientos para seguir tras la ocurrencia del evento.

Es de gran importancia cumplir con cada una de las fases del proceso de la respuesta ante incidentes porque como ya sabemos, esto ayuda a recuperarse de un evento fuera del rango normal y al ocurrir esto, se debe saber cómo responder.

Al llevar a cabo de manera correcta estas fases, se debe analizar todo lo aprendido del incidente, ya que así la organización se podrá preparar mejor optimizando el plan de repuesta ante incidentes futuros.

Existen tecnologías de respuesta ante los incidentes los cuales son de gran ayuda para poderse recuperar. Uno de ellos podría ser el dispositivo NAC, que agrandes rasgos controla el acceso a la red, evalúa el comportamiento y aplica la política de seguridad.

Una muy buena solución de respuesta es el IPS, ya que realiza la función de detectar y detener de manera inmediata un ataque.

Es importante, finalmente, conocer las diferencias que tiene IDS e IPS y la más importante es que el IPS responde de manera inmediata y no permite el paso del tráfico malicioso, mientras que el IDS permite que el tráfico malicioso pase antes de abordar el problema.

Depende de cada organización elegir la tecnología que mejor les parezca o mejor se acomode al sistema que manejan, pero es importante hacer uso de estas en cada una de las organizaciones.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.