Equipo de Respuesta ante Incidentes de ciberseguridad
Llegó el día. Después de tanto tiempo peleando por disponer de unos sistemas de copia de seguridad solventes; después de tanto tiempo documentando, creando procedimientos de recuperación ante incidentes y probándolos; aleccionando sobre qué hacer en caso de un incidente, no solo al personal del departamento de IT, sino también, al resto del personal. Después de tener que convencer a los usuarios de la importancia de involucrarse en los procesos de recuperación y de la necesidad de conocer dichos procedimientos, de luchar por disponer de los necesarios mecanismos de detección e investigación de intrusiones, y después de noches en vela repasando dichos procedimientos para ver si algo se había quedado fuera del control de los mismos, llegó el incidente de ciberseguridad que paralizó la empresa.
De repente, algunos de los equipos del taller dejaron de responder, y, a continuación, les pasó lo mismo a varios de los equipos de la oficina. La amenaza más esperada (y temida) había llegado.
Teníamos un Ransomware en la red.
Los sistemas de detección tardaron un poco en identificarlo, ya que era uno de los “nuevos”, prácticamente indetectables. Pero, gracias a que se estaban monitorizando diferentes puntos de control importantes, fue posible, al menos, determinar que algo “raro” estaba ocurriendo, incluso antes de los usuarios empezasen a llamar avisando de problemas al centro de soporte.
En ese momento, se empezó a desplegar el plan de contingencia planificado (valga la redundancia).
- Se contactó con las personas indicadas en dicho plan para cada área de trabajo.
- Se contactó con los directores de área para que indicasen a sus usuarios que desconectaran los equipos informáticos de la red y los dejasen apagados.
- Los responsables de las áreas técnicas desconectaron las conexiones con el exterior.
- Etc.
En resumen, se realizaron las acciones oportunas para aislar la contingencia, evitar su propagación hacia o desde el exterior, y se arrancaron las medidas correctivas.
Haciendo uso de los sistemas de investigación basados en EDR, fue posible determinar, rápidamente, el punto o puntos, de entrada de la infección para poder enfocar las tareas de recuperación rápidamente, en dichos puntos de entrada.
Una vez identificados los equipos con problemas, se optó por guardar uno de ellos (el que parecía ser el originador del problema), para poder realizar el pertinente análisis forense, procediéndose a reinstalar desde cero, cada uno de los otros siguiendo las plantillas de instalación ya existentes. Esto pudo realizarse de una manera rápida, gracias a que, siguiendo las políticas de seguridad existentes, ninguno de los equipos clientes tenía datos corporativos en los mismos.
En este caso, no hubo que recuperar ninguna copia de seguridad de ninguno de los servidores corporativos, pero, aun así, y por prudencia, se extrajo la copia de seguridad del día anterior al del ataque (una vez determinada la fecha real del ataque inicial en el EDR y los sistemas de monitorización), y se almacenó en un soporte externo, hasta que se pudiera verificar que la red se encontraba limpia.
A continuación, y antes de habilitar de nuevo, tanto los accesos externos, como la red interna, se procedió a, (siguiendo lo indicado en la normativa y los sistemas dispuestos al efecto), realizar una verificación completa, tanto de la red, los equipos, servidores, switchs, Firewalls y todos aquellos sistemas que habían podido ser comprometidos.
Solo tras esta verificación completa y fehaciente, se procedió a ir habilitando los accesos a los equipos, área tras área, y habilitando cada una de ellas, tras comprobar que no estuviera infectada.
Finalmente, se redactó el informe completo de lo sucedido y fue enviado a Gerencia, y a pesar de lo ocurrido, el Responsable de Seguridad, durmió perfectamente esa noche, con la tranquilidad que le otorgaba el saber que la empresa había demostrado ser lo suficientemente responsable, ante un incidente de seguridad.
Y ahora, pensemos todos en lo que ocurre si no hemos podido prestar la atención suficiente a cada uno de los puntos anteriormente indicados:
- ¿Somos capaces de detectar comportamientos inadecuados a nivel de equipos, procesos y/o red?
- ¿Disponemos de un plan de contingencia por escrito, aprobado por Gerencia y desplegado a las personas correspondientes?
- ¿Conocemos los puestos claves, con los cuales debemos contactar para frenar la propagación de un problema de este tipo?
- ¿Disponemos de “permiso” para paralizar la empresa en caso de incidente grave? Y ¿en cuánto tiempo es esto posible?
- ¿Disponemos de sistemas que nos permitan realizar una investigación rápida de lo ocurrido?
- ¿Disponemos de métodos para recuperar equipos y servidores en el menor tiempo posible?
- ¿Disponemos de políticas de seguridad que nos faciliten estos procedimientos de recuperación?
- ¿Disponemos de procedimientos para verificar si nuestros sistemas, equipos o redes, están comprometidas?
Todas las empresas van a tener en algún momento una incidencia grave de seguridad. ¿Está la vuestra preparada para reaccionar?
Esperamos que podáis dormir bien por las noches.