Elaboración de un plan de respuesta a incidentes de TI

La cerradura va a ser forzada. Quizás no hoy, pero pronto. De hecho, podría estar ocurriendo ahora mismo... y aún no has visto la evidencia. Este escenario se está desarrollando contra algunos de los mejores equipos de ciberseguridad del mundo. Esto no es una crítica para ti ni para tu equipo de seguridad, pero las investigaciones demuestran que los incidentes de seguridad son cada vez más comunes. ¿Qué harás cuando llegue el momento?

Este fue el tema de debate en un panel reciente de funcionarios de seguridad gubernamental, que incluyó a representantes de la Oficina del Director de Inteligencia Nacional, la Administración de Seguridad del Transporte (TSA) y otros. Estos compartieron sus perspectivas y lecciones aprendidas para abordar el creciente entorno de amenazas globales.

Cómo se preparan los equipos de ciberseguridad del gobierno federal para los incidentes

El panel debatió que es fundamental contar con un plan claro de respuesta a incidentes de TI antes de que surjan los problemas. Claro que algunos planes son mejores que otros. Casi todas las organizaciones de TI tienen alguno Un plan de respuesta a incidentes. Sin embargo, quienes defienden a Estados Unidos contra la ciberguerra estatal deben tener planes mucho más sólidos.

Diseño de un plan de respuesta a incidentes de TI eficaz

¿Qué se necesita para crear un plan de respuesta a incidentes de TI eficaz? Va mucho más allá de un simple ejercicio académico. Requiere práctica real. El Centro de Coordinación de la Comunidad de Inteligencia, que forma parte de la Oficina del Director de Inteligencia Nacional, realiza simulacros de ciberguerra con su equipo. Simulan ciberataques reales y ensayan respuestas previamente elaboradas para evaluar los tiempos de reacción y las habilidades.

Claro que no todos disponen del tiempo ni de los recursos necesarios para este nivel de planificación de respuesta a incidentes, pero los principios que se aplican son universales. Según los panelistas, dos elementos esenciales para una respuesta eficaz a incidentes son la velocidad y la orquestación. Para anticiparse a un incidente de seguridad, el equipo de respuesta debe ser capaz de actuar con rapidez y eficiencia para coordinar acciones, algo que solo es posible mediante la automatización y la orquestación de los flujos de trabajo y sistemas de respuesta.

La velocidad y la orquestación son los dos elementos esenciales de un plan de respuesta eficaz.

La concientización es un componente clave de la rapidez en la respuesta a incidentes. El tiempo que transcurre entre la detección (y la correcta interpretación) de una alerta y la acción en consecuencia puede marcar una diferencia crucial en los resultados.

En la TSA, por ejemplo, su centro de operaciones de seguridad (SOC) está en contacto constante con equipos homólogos del Departamento de Seguridad Nacional. Como señaló Paul Morris, CISO de la TSA: “Si algo sucede, nos enteramos con bastante rapidez”. Su SOC afirma que pueden escanear sus sistemas y Descubrir cualquier amenaza recién identificada en los sistemas de la TSA en cinco minutos.

La tarea clave de cualquier plan de respuesta de TI es coordinar a las personas, los procesos y los sistemas de seguridad. Esta tarea se realiza mejor con la ayuda de un especialista. automatización de la seguridad y orquestación Herramienta (SAO). Una solución SAO como Swimlane automatiza las tareas de respuesta a incidentes de TI.

Cómo las soluciones de automatización y orquestación de la seguridad permiten una respuesta eficaz a incidentes de TI

A automatización y orquestación de la seguridad La solución puede configurarse para ejecutar rápidamente los pasos de un plan de respuesta que requieren orquestación entre sistemas. Por ejemplo, un equipo de seguridad puede enseñar a la solución SAO cómo responder a tipos específicos de alertas. La velocidad y la orquestación se combinan con SAO.

Imagine que una herramienta de gestión de incidentes y eventos de seguridad (SIEM) correlaciona actividades sospechosas de registro en firewalls y dispositivos de red y envía una alerta. La solución SAO puede configurarse para recibir y reaccionar a la alerta SIEM de forma automatizada. Puede enviar la información de la alerta a una plataforma de inteligencia de amenazas para su evaluación mientras abre un ticket de gestión de casos de JIRA. Posteriormente, puede notificar automáticamente a las personas adecuadas en tiempo real.

La automatización y orquestación de la seguridad no reemplaza a los miembros del equipo en el plan de respuesta a incidentes de TI, sino que libera su tiempo para otras tareas de alto nivel.

Sin embargo, como señalaron los panelistas, la orquestación no elimina la participación del personal en el flujo de trabajo de respuesta a incidentes. Más bien, la automatización y orquestación de la seguridad libera a los miembros del equipo para tareas de mayor nivel que requieren mayor experiencia y enfoque analítico. La solución SAO mantiene al equipo informado sobre los pasos de ejecución del plan de respuesta. Con Swimlane, el analista de seguridad cuenta con una única interfaz que presenta múltiples fuentes de información de gestión de casos de incidentes para maximizar el contexto y la eficiencia en la toma de decisiones.

La solución SAO de Swimlane se adapta a los requisitos de incluso los planes de respuesta a incidentes de TI más exigentes. Fácil de implementar, usar, gestionar y escalar, permite a los equipos de operaciones de seguridad aprovechar fácilmente las capacidades de sus soluciones de seguridad existentes. Además de las integraciones predefinidas con las herramientas de seguridad y seguimiento de proyectos más comunes, los equipos de SecOps también pueden desarrollar rápidamente sus propias integraciones utilizando lenguajes de scripting comunes y una API RESTful.

Casos de uso reales de SOAR (libro electrónico)

¿Quiere saber más sobre cómo usar la solución Swimlane SOAR en sus operaciones de seguridad? Descargue nuestro ebook "8 casos prácticos de orquestación, automatización y respuesta de seguridad" para descubrir cómo.

Descargar ahora