La respuesta digital forense a incidentes (DFIR) ayuda a las empresas a hacer frente a incidentes de alta gravedad de forma exhaustiva, sin dejar piedra sin remover.
Son las 3 de la mañana y acabas de recibir una llamada del jefe de operaciones informáticas para avisarte de que se ha producido un fallo de seguridad fuera del horario laboral. Como eres el analista de control de seguridad de las operaciones informáticas de una empresa, tienes que ponerte manos a la obra, así que te apresuras a ir a la oficina.
En la oficina, la situación es catastrófica: la brecha ha progresado antes de tu llegada y parece que los dispositivos están siendo encriptados por un ransomware. Como estás solo, con otros miembros del equipo en casa, debes actuar con rapidez mientras piensas: ¿Cómo ha podido pasar esto? Ayer todo parecía normal. Ninguna alerta sobre comportamiento malicioso... o al menos, eso es lo que parecía. ¿Quién tiene tiempo de filtrar todo ese ruido?
Sin embargo, al intentar contener rápidamente la brecha, se olvida de transferir los archivos de registro críticos a una unidad independiente. Pensando que no importará, llamas al jefe de TI y le dices que todo está bien y te vas a casa, disfrutando del resto de tu tiempo de sueño asignado.
Sin embargo, acabas de cometer varios errores que se volverán en tu contra en cuanto tenga lugar el seguimiento: la respuesta a incidentes forenses digitales.
Preparando el escenario
Hagamos un esbozo de la situación en la empresa de nuestro analista de seguridad:
- Se trata de una empresa mediana que cuenta con un equipo informático generalista muy reducido y un solo empleado dedicado a la seguridad.
- El analista de supervisión de la seguridad sólo tiene conocimientos básicos de las herramientas de detección. Mientras tanto, están gestionando toda una pila de seguridad, cuyo uso requiere tiempo, esfuerzo y personas.
- El mismo analista es también el único que recibe notificaciones en formato de correo electrónico y las revisa de vez en cuando.
Con el escenario preparado, volvamos al analista solitario y veamos dónde cometió sus errores.
Errores en la respuesta a incidentes
En primer lugar, cualquier experto en cibernética diría que tener una empresa de tamaño medio protegida en su mayor parte por un solo miembro del personal es una señal de alarma. Teniendo en cuenta la cantidad de tareas que puede haber sólo con la detección y respuesta, que a menudo representan miles de alertas, no es un trabajo para uno solo.
El panel de notificaciones de ESET PROTECT, que muestra el número de alertas que puede generar una operación comercial regular
Eso sí, con una solución como ESET Inspect, que puede organizar las detecciones según su gravedad, esto no sería tanto problema - especialmente si la persona que trabaja con el EDR/XDR tiene la experiencia suficiente para saber cuándo y cómo reaccionar... cosa que nuestro analista no tenía.
ESET Inspect detecta una acción sospechosa de forma limpia y fácilmente legible
Por ejemplo, un incidente sofisticado como un ataque de ransomware podría comenzar simplemente como la explotación de un servidor de aplicaciones de servicio de escritorio remoto (RDS) o una VPN, con atacantes descargando posteriormente herramientas en el PC que aloja el servicio para comprometer toda la red. Una solución EDR/XDR debería detectar este tipo de comportamiento y enviar una notificación. Sin embargo, si el analista no reacciona, o se pierde en el ruido generado por su plataforma, entonces la culpa ciertamente no es del producto.
ESET Inspect detecta un intento de manipulación de un componente de software de servidor.
En segundo lugar, a los actores del ransomware les gusta cometer ataques en varias fases, tratando de evadir la detección cambiando sus tácticas, utilizando técnicas sin archivos o moviéndose a través de una red aparentemente sin ser detectados. El analista de seguridad debería haber avisado al resto del equipo, ya que enfrentarse en solitario a un incidente que rompe una operación es una tarea de tontos. ¿Quién sabe si se han tomado las decisiones correctas?
En tercer lugar, hay que dar cuenta de cada prueba a su debido tiempo. Sin informar y entregar a tiempo esos archivos de registro críticos al resto del equipo, los analistas rompieron la cadena de custodia, planteando dudas sobre la integridad de las pruebas. Durante un procedimiento judicial, un abogado o un agente de seguros podría plantear este problema, ya que pone de manifiesto tanto un problema de notificación a tiempo como una falta de supervisión, lo que perjudica las reclamaciones de una empresa.
¿Qué es la respuesta digital forense a incidentes (DFIR)?
Todo esto y mucho más es lo que puede descubrir un proceso de respuesta a incidentes forenses digitales. Si la pregunta se refiere al origen de un incidente, con el fin de evitar que se produzcan en el futuro, DFIR ofrece esa mirada crítica necesaria.
Mientras que la respuesta a incidentes es inmediata, la investigación forense digital la sigue de cerca, permitiendo a los analistas investigar el quién, el qué, el dónde y el por qué de un incidente. En esencia, funciona de forma muy parecida a la investigación estándar en la escena de un crimen, recopilando pruebas a través de una cadena de custodia e informando a la empresa afectada de la eficacia de sus procesos de respuesta, al tiempo que satisface las expectativas tanto de cumplimiento como de seguros con evaluaciones debidamente documentadas.
Por ejemplo, un analista podría trabajar con ESET Inspect y recopilar manualmente registros (de otros productos de ESET) para llevar a cabo DFIR, auditando toda la huella de un incidente. Esto ayuda a encontrar brechas en la seguridad y a construir resiliencia futura.
DFIR no es sólo análisis forense
Si bien el objetivo de las investigaciones forenses digitales es respaldar la resiliencia cibernética, también es prevenir posibles riesgos legales. Cada acción realizada durante la respuesta a un incidente debe registrarse para garantizar que las pruebas sean fiables y puedan verificarse posteriormente. Las consecuencias de no hacerlo podrían acarrear fuertes multas, especialmente si la documentación es problemática, como ocurrió en el caso del Intercontinental Exchange, cuando no siguió los procedimientos adecuados a la luz de las prácticas de divulgación de la SEC.
Un equipo DFIR haría copias de los datos antes de analizarlos, evitando que los originales sean manipulados por procesos analíticos o de respuesta a incidentes. Recuerde que un solo paso en falso de un analista puede poner en peligro toda una investigación, razón por la cual los forenses hacen hincapié en una documentación clara.
Prevención de errores
¿Es descabellada nuestra historia? La verdad es que no. Las PYMES se encuentran a menudo en el punto de mira de las amenazas, con falta de presupuesto para ciberseguridad y de personal cualificado para cubrir todas sus operaciones. No es ningún secreto que la externalización a un proveedor de servicios gestionados (MSP) ha sido una opción popular por este motivo.
De hecho, las propias aseguradoras cibernéticas han empezado a invadir esta área por esta razón y más, ofreciendo sus propios MSP. La ventaja es una estrecha relación de seguridad y supervisión, que garantiza a las aseguradoras mucho margen de maniobra y potencialmente más seguridad para sus socios.
Sin embargo, un MSP, a diferencia de una operación SOC madura, no está totalmente equipado para prestar servicios como DFIR (no es su principal objetivo).
Para ello, existen los Proveedores de Servicios de Seguridad Gestionados (MSSP) o incluso los Servicios de Detección y Respuesta Gestionados (MDR), que suelen contar con equipos y herramientas dedicados a ello. Es más que eso, ya que cuentan con los mejores expertos capaces de gestionar todo el ciclo de vida de un incidente, y es menos probable que cometan los errores de nuestro solitario analista de supervisión de seguridad.
Aprender de los errores
En definitiva, el DFIR desempeña un papel muy importante durante el proceso de respuesta a incidentes, ya que pone todo en orden: establece el origen de un incidente, los pasos que se han dado y las lagunas subyacentes del proceso o los agujeros de seguridad que hay que parchear para evitar que vuelva a ocurrir en el futuro. Además, estas autopsias también satisfacen las exigencias de cumplimiento y los procedimientos judiciales, lo que supone una ventaja para las empresas en estas situaciones.
La eficacia y los conocimientos que se obtienen con DFIR contribuyen a crear una postura de prevención, ante todo, evitando errores como los cometidos por nuestro analista de seguridad y preparando mejor a una empresa para enfrentarse hoy a las amenazas del mañana.
