Respuesta a incidentes
Somos conscientes de que los incidentes de seguridad son inevitables, por lo que prepararse adecuadamente para ellos es una gran parte de lo que constituye una seguridad óptima. Gracias al respaldo de SophosLabs, nuestro equipo global de ciencia de datos e información sobre amenazas, las soluciones mejoradas con IA y nativas en la nube de Sophos protegen a las empresas de los ciberataques.
Sophos es una de las 600 000 organizaciones protegidas por nuestros productos. Nuestras estrategias se centran en cómo comunicarnos de forma segura y fiable durante un incidente, qué roles necesitamos para responder de forma eficaz y cómo responderemos a los distintos tipos de incidentes, analizando los niveles de gravedad y notificando a los clientes y a los organismos reguladores según corresponda.
Hemos desarrollado nuestros planes siguiendo las directrices de la Guía de gestión de incidentes de seguridad TI 800-61 del NIST y los revisamos con frecuencia para comprobar que cumplen las normas del sector.
Nuestros profesionales de ciberseguridad, altamente cualificados, desarrollan y aplican capacidades de respuesta a incidentes de primera clase, entre las que se incluyen monitorización exhaustiva, detecciones avanzadas, automatización de respuestas, gestión de incidentes, análisis forense y acceso a expertos externos. Al ser los primeros y más frecuentes usuarios de nuestros propios productos, y gracias al acceso que tenemos a los equipos de producto y a SophosLabs, gozamos de una posición singularmente eficaz para responder a incidentes de ciberseguridad.
Resumen de nuestro programa de respuesta a incidentes
En Sophos, nuestra misión es proteger a las personas de la ciberdelincuencia desarrollando productos y servicios potentes e intuitivos que ofrezcan la ciberseguridad más eficaz del mundo para organizaciones de cualquier tamaño. Responder eficazmente a una amplia gama de posibles incidentes de seguridad es crucial para el éxito de la misión de Sophos. En pocas palabras: para proteger a nuestros clientes, nuestro programa de respuesta a incidentes debe proteger nuestros productos y a nuestra empresa.
Sophos utiliza la definición 800-61 de incidente de seguridad del NIST: "una infracción o amenaza inminente de infracción de las políticas de seguridad informática, políticas de uso aceptable o prácticas de seguridad estándar". Es una definición deliberadamente amplia para poder optimizar el tiempo de respuesta rápida, la identificación de áreas de mejora y la transparencia para el cliente. Esta definición también abarca la identificación de fugas de datos, que quizá no se incluyan en una definición centrada en ataques confirmados.
Cómo identificamos los incidentes
Sophos identifica o tiene conocimiento de incidentes de seguridad de muchas formas. Entre otras:
- Capacidades de monitorización de seguridad, a menudo en nuestros productos, o métodos complementarios que hemos desarrollado.
- Informes enviados al programa de recompensas por la detección de errores.
- Resultados de pruebas de penetración.
- Análisis de vulnerabilidades.
- Análisis de código y de aplicaciones.
- Investigación y análisis de información sobre amenazas.
- Notificaciones de clientes.
Para informar de un posible incidente de seguridad, consulte nuestro Programa de divulgación responsable.
Investigación y análisis
Tras la detección o la denuncia verificada de un incidente, en un primer momento utilizamos los canales de comunicación establecidos para facilitar el intercambio de información entre el equipo de respuesta a incidentes.
En una reunión de investigación y análisis de respuesta a incidentes, el orden del día mínimo estándar es el siguiente:
- Constatar los hechos actuales.
- Ponerse al día sobre el estado de las acciones.
- Acordar las próximas medidas.
- Evaluar el estado de gravedad del incidente: Sev1/2/3.
- Programar la siguiente reunión.
- Documentar la cronología del incidente, incluidas las acciones y decisiones.
Evaluación de la gravedad
Los incidentes se dividen en cuatro niveles de gravedad.
Niveles de gravedad de los incidentes
| Gravedad | Descripción |
|---|---|
| 0 | Incidente crítico de máximo impacto. |
| 1 | Incidente muy grave de impacto muy alto. |
| 2 | Incidente grave de impacto significativo. |
| 3 | Incidente menor de bajo impacto. |
Nuestros responsables de respuesta a incidentes determinan la gravedad de un incidente en función del posible impacto para la empresa y los clientes. Utilizamos varios criterios de evaluación de amenazas para establecer la gravedad de un incidente, como el impacto en el cliente, el impacto funcional, el impacto en la información, la recuperabilidad, la cantidad y clasificación de los datos, los ciberdelincuentes y el impacto en el negocio. La gravedad del incidente se reevalúa en puntos clave a lo largo del proceso de respuesta y se ajusta según sea necesario.
Roles y responsabilidades
Al principio de un incidente, se identifica un gestor de respuesta a incidentes (IR) en función del nivel de gravedad asignado al incidente. Este rol puede rotar cuando se requiera una cobertura 24/7. Un único gestor de IR nos da una dirección clara para que podamos tomar medidas inmediatas y comunicarnos con eficacia.
Según la naturaleza del incidente, se requieren diferentes roles. Entre los más comunes se incluyen:
Roles y responsabilidades para abordar los incidentes
| Rol | Responsabilidad |
|---|---|
| Gestor de IR (IR Manager) | Tomar decisiones sobre el grado de gravedad, la derivación y la composición del equipo completo de respuesta a incidentes, así como iniciar y ejecutar la investigación. |
| Patrocinador ejecutivo (Executive Sponsor) | Comunicarse con el equipo directivo (SMT) según sea necesario y aprobar las decisiones de respuesta a incidentes de gravedad 0/1. |
| Equipo de IR (IR Team) | Equipo multidisciplinar responsable de investigar, analizar y contener los incidentes de ciberseguridad. |
| Propietario del programa de IR (IR Program Owner) | Responsable del plan de respuesta a incidentes y de la preparación del equipo multidisciplinar, manteniendo actualizados el plan y la documentación de IR y las comprobaciones periódicas. |
| Protección de datos y comunicaciones a los clientes (Data Protection and Customer Communications) | Tomar decisiones sobre las notificaciones a los clientes y otras notificaciones externas. |
Contención, erradicación y recuperación
El propósito de la contención es detener los efectos de un incidente antes de que pueda causar más daños. Una vez contenido un incidente, podemos tomarnos el tiempo necesario para abordar el problema de forma exhaustiva.
Tras contener un incidente, puede ser necesaria la erradicación para eliminar los componentes y efectos secundarios del mismo. Para los incidentes de seguridad contra Sophos, tenemos que pensar en nuestros activos corporativos, así como en los activos de nuestros productos, incluidas nuestras ofertas en la nube.
Algunas tareas habituales de erradicación son:
- Parches/cambios de configuración o de código.
- Sustituir o desactivar sistemas.
- Eliminar funcionalidades.
- Limpiar los datos.
- Desactivar las cuentas de usuario vulneradas.
- Identificar y mitigar todas las vulnerabilidades explotadas.
En la recuperación, los ingenieros de Sophos restauran los sistemas al estado normal, confirman que funcionan con normalidad y, si procede, reparan las vulnerabilidades para evitar incidentes similares. Nuestra cultura y enfoque de la innovación como empresa de seguridad y servicios en la nube nos ayuda a recuperarnos rápidamente. Apostamos por las capacidades de integración y despliegue continuos en toda nuestra compañía. Redesplegamos constantemente sistemas a escala y rápidamente.
Notificaciones a clientes
Uno de los valores de Sophos es la autenticidad. Y según este valor, reforzado por nuestra misión de proteger, notificaremos a los clientes lo antes posible si sus datos se ven implicados en un incidente o infracción confirmados.
Actividad tras el incidente
Una vez que se ha gestionado y resuelto un incidente, nos centramos en aprender del mismo. Organizamos sesiones de análisis para debatir cómo hemos gestionado el incidente y establecer la causa raíz. Según las conclusiones, ajustamos y optimizamos nuestros procedimientos de gestión de incidentes e introducimos mejoras en nuestro perfil de seguridad para prevenir y detectar más rápidamente incidentes similares en el futuro.
Cómo utilizamos nuestras propias herramientas para responder a los incidentes
El centro de operaciones de seguridad global (GSOC) de Sophos supervisa constantemente las alertas de nuestra infraestructura y busca anomalías en todo el entorno. Para ello, desplegamos y monitorizamos varias herramientas de detección, incluida la suite completa de productos next-gen de Sophos.
- Sophos Intercept X Advanced with EDR combina las funciones de Intercept X con Endpoint Detection and Response (EDR) en una solución de un solo agente que nos permite hacer frente a una amplia gama de amenazas. Con Live Discover y Live Response, podemos identificar rápidamente las amenazas, responder a ellas en cuestión de minutos, tomar instantáneas forenses de forma remota y contener los problemas aislando los endpoints afectados. Podemos usar la función de instantáneas forenses para identificar otros indicadores de peligro (IOC) y artefactos. A continuación, Sophos Firewall bloquea los artefactos de red. Para saber más sobre cómo utilizamos los datos sobre amenazas que nos proporciona Intercept X, consulte https://news.sophos.com/es-es/2018/12/03/hunting-for-threats-with-intercept-x-and-the-windows-event-collector/
- Sophos Firewall se sirve de la prevención de intrusiones para ayudar a prevenir y detectar los exploits de red más recientes. Nuestros firewalls nos permiten bloquear URL, direcciones IP y dominios maliciosos, así como analizar archivos sospechosos transferidos por la red a través del entorno seguro en la nube de SophosLabs. En determinados lugares de la red, también desplegamos el modo de descubrimiento, en el que el firewall hace de sensor de red para eventos IDS e informes de actividad de la red.
- Al trasladar cada vez más cargas de trabajo a la nube, necesitábamos una herramienta que nos diera visibilidad. Utilizamos Sophos Optix para que nos ayude a identificar y evaluar los servicios en la nube que suponen un riesgo para la empresa y nos notifique de forma proactiva los comportamientos sospechosos. Nos permite responder rápidamente a preguntas clave como: ¿Quién es el propietario? ¿Con quién se comunica? ¿Qué roles y permisos se utilizan? ¿Qué reglas y grupos de seguridad se utilizan? La capacidad de visualizar rápidamente la red y los roles utilizados por sus recursos permite identificar eficazmente cualquier problema.
- Sophos depende de una amplia gama de sistemas, y podemos recopilar datos de varios productos tanto de Sophos como de otros proveedores. Aunque obtener información contextual sobre determinados sistemas puede ser todo un reto, durante la fase de detección y análisis de un incidente es imprescindible obtener la información adecuada de la forma más rápida y eficaz posible para poder tomar decisiones fundamentadas. Las API de Sophos Central nos permiten sacar partido de Sophos Central y sus Partners de integración: https://news.sophos.com/es-es/2019/12/19/unlocking-the-power-of-sophos-central-api/.