La investigación de incidentes de seguridad de red es un componente clave de la construcción de sistemas de seguridad de redes empresariales modernas. Para prevenir ataques a la red, no es suficiente centrarse únicamente en el efecto de aplicación de las herramientas de seguridad, porque los incidentes de seguridad ocurren todo el tiempo. Solo cuando el equipo de seguridad comprende completamente el paradero y las rutas de ataque de los atacantes, pueden evitar mejor que ocurran más ataques.
No parece complicado hacer un buen trabajo en la investigación de incidentes de seguridad de la red, siempre que se recopilen los datos de operación del sistema de TI de la empresa y luego se pueda analizar la situación anormal en él. Sin embargo, hay muchas incertidumbres escondidas detrás de esta tarea aparentemente simple. En la investigación de incidentes de seguridad en la red, es necesario adoptar métodos de investigación legales y compatibles, utilizar tecnologías y herramientas apropiadas, y también configurar algunas habilidades no profesionales, como la capacidad de análisis, la capacidad de comunicación y la capacidad de trabajo en equipo, para poder asegurar la exactitud de los resultados de la investigación Validez y Cumplimiento.
La importancia de la investigación de incidentes de seguridad en la red
Con el desarrollo digital de las empresas, se encontrarán varios tipos de incidentes de seguridad de la red, y no todos los incidentes deben investigarse a fondo.Preparación para la respuesta a emergencias. El principal escenario de aplicación de la investigación de incidentes de seguridad en la red es el ataque a la red y la confrontación de defensa. Los incidentes de seguridad generados en la confrontación de alta intensidad requieren que los investigadores de seguridad de la empresa realicen una investigación y un análisis en profundidad. La dificultad de la investigación también es difícil de comparar con los virus de red tradicionales. incidentes de ataque.
Tanto la investigación de incidentes de seguridad como la detección de amenazas tradicional deben basarse en una potente biblioteca de inteligencia de amenazas y reglas de descubrimiento, pero la mayor diferencia es que la detección de amenazas es detectar situaciones anormales a tiempo y enviar alarmas, mientras que la investigación de incidentes es analizar los comportamientos anormales. Investigación y análisis exhaustivos, supresión y reparación correspondientes.
Tomemos como ejemplo la investigación de ataques de ransomware, que se ha convertido en un riesgo de seguridad común al que se enfrentan las organizaciones empresariales. Sin embargo, cuando muchas empresas investigan los ataques de ransomware, se centran en cómo descifrar y recuperar datos, lo cual es muy incorrecto. Las empresas deben comprender completamente cómo el ransomware invadió el sistema e investigar exhaustivamente las rutas de varias amenazas, incluido el phishing, las vulnerabilidades del software, las contraseñas débiles y los infiltrados malintencionados, de modo que sea posible eliminar por completo el control ilegal de sus propios sistemas comerciales al atacantes de ransomware, y fundamentalmente prevenir la recurrencia de este tipo de incidentes.
Muchos clientes están menos preocupados por los detalles del ataque, como la fuente o el grupo de piratería detrás de él. Se preocupan principalmente por restaurar los procesos comerciales y garantizar que ese comportamiento malicioso nunca vuelva a ocurrir. Al mismo tiempo, los investigadores pueden realizar ingeniería inversa del código de malware para obtener datos valiosos que podrían indicar el origen del pirata informático. En un escenario típico de investigación de incidentes, el ciclo de recopilación y análisis de datos se puede utilizar para representar el progreso de la investigación.Después de cada nueva iteración, la empresa tendrá una comprensión más precisa del siguiente paso en la construcción de la seguridad de la red.
Prepárese para la investigación de incidentes
La investigación de incidentes de seguridad en la red generalmente se divide en las etapas de recopilación de pistas, análisis de datos y resumen del informe.Entre ellas, la recopilación de pistas es una preparación muy crítica. Solo cuando se obtiene evidencia suficiente del ataque se puede analizar con mayor precisión el paradero del atacante y la ruta del ataque.
Cuando ocurre un incidente grave de seguridad en la red, los investigadores primero deben establecer la prioridad de las tareas de eliminación de acuerdo con el estado de daño de los activos y las características de los métodos de ataque, para que puedan tomar decisiones rápidas cuando sea necesario, y utilizar el método de exclusión cuando sea necesario. Descubre la verdad sobre ser atacado.
Cuando se inicia el proceso de investigación de incidentes de seguridad, los analistas de seguridad deben comprender la información relacionada con el incidente de la manera más completa posible, lo que requiere que estén completamente familiarizados con sus roles y responsabilidades en su trabajo diario. El entorno de TI que cambia rápidamente a menudo requiere que los analistas actualicen sus conjuntos de habilidades sincrónicamente en tiempo real, como comprender la computación en la nube, big data, etc. Al investigar incidentes de seguridad, los analistas deben poder identificar rápidamente el estado operativo de todos los activos de los que son responsables y participar activamente en la administración de vulnerabilidades y el proceso de descubrimiento de escaneo.
La cantidad y calidad de la información recopilada sobre incidentes de seguridad determinará el resultado de las investigaciones de incidentes, lo que ayudará a los analistas a comprender exactamente el alcance de la amenaza que enfrentan y las posibles consecuencias. Cabe señalar que, dado que muchos grupos de ataque han comenzado a utilizar el modelo de negocio Saas de "ataque como servicio", no es difícil comprender con precisión estas técnicas de ataque. Sin embargo, en algunos escenarios sensibles (como los ataques a sectores de infraestructura clave como la energía), los analistas de seguridad deben prestar atención a si existen métodos de ataque más no convencionales.
En muchos casos, los analistas pueden enfrentarse a información insuficiente, tiempo y falta de autoridad, y pueden llevar las investigaciones a un estado de confusión y pánico. En este caso, un equipo de investigación de incidentes bien capacitado debe articular su experiencia, obtener la comprensión y el apoyo de la empresa e impulsar la investigación del incidente.
Responsabilidades de los investigadores
Los investigadores de incidentes de seguridad de la red tienen acceso a una gran cantidad de información sobre incidentes, y cómo mantener la confidencialidad es un tema extremadamente delicado, y los investigadores deben ser plenamente conscientes de ello. Deben comprender que si una empresa sufre una violación de datos, podría provocar el colapso del negocio y consecuencias legales. Por lo tanto, los investigadores nunca deben causar tal daño a sabiendas.
Para aquellos involucrados en investigaciones de incidentes, solo deben prestar atención y recopilar los datos necesarios para completar sus propias tareas de investigación, por lo general, incluidas las cuentas de usuario que iniciaron sesión, los programas que se iniciaron y el tiempo de inicio del programa. A menos que se requiera específicamente, los investigadores no deben recopilar información confidencial que involucre a clientes que teman su divulgación. Cabe mencionar que toda la información recolectada durante la investigación es debidamente almacenada bajo estrictos protocolos de seguridad. Después de un período de tiempo especificado, los datos se eliminan.
También existe la preocupación de que los investigadores puedan compartir información sobre el incidente con otros. De hecho, todos los miembros del equipo de investigación no tienen la obligación de proporcionar a terceros (incluida la policía) información sobre los incidentes que se investigan, ya que corresponde a los gerentes de las empresas víctimas y a las víctimas reales decidir si denunciar o no. tales incidentes.
Además, el trabajo y las acciones de los investigadores no tienen como objetivo perturbar y castigar el sector de la seguridad de la información. No siempre es apropiado despedir al personal de seguridad por posible negligencia después de un incidente. Si bien esto sucede a veces, ningún sistema de seguridad es perfecto y es probable que haya lagunas. La responsabilidad por los incidentes de seguridad no tiene nada que ver con las investigaciones de incidentes de seguridad, es una decisión que debe tomar la gerencia de la empresa.
En el informe de investigación del incidente entregado por los investigadores, se debe incluir información completa sobre el proceso del incidente. Si el incidente se produjo debido a una vulnerabilidad no resuelta, preexistente y conocida, se debe adjuntar al informe el alcance total de la vulnerabilidad encontrada. Los investigadores no deben retener dicha información.
desafíos legales
Dado que la seguridad de la red se ha convertido en parte de la seguridad nacional, las empresas por sí solas no pueden resolver eficazmente muchos incidentes de ataques a la red. En muchos casos, las empresas deben optar por cooperar con el poder judicial, e incluso entregar la disposición final del incidente a la corte para que se dicte sentencia.
Debido a que la información judicial es pública, hacerlo podría hacer público un incidente de seguridad, lo que podría representar un riesgo para la reputación de la empresa. Por lo tanto, algunas empresas ocultaron deliberadamente la investigación de los incidentes de seguridad de la red debido a preocupaciones sobre la buena voluntad, lo que retrasó el manejo del asunto, lo que resultó en mayores riesgos de seguridad.
Por lo tanto, si ciertos incidentes de seguridad deben resolverse mediante un proceso judicial, la gerencia de la empresa debe tomar una decisión lo antes posible, lo que requiere una evaluación de riesgos integral. En este caso, es mejor que las empresas no realicen ningún cambio en la infraestructura de la red sin autorización, sino que busquen asesoramiento de un bufete de abogados de inmediato. Los abogados profesionales brindan servicios de asesoramiento y recomiendan los cursos de acción apropiados.
Otro desafío de riesgo legal en la investigación de incidentes de ciberseguridad es cómo garantizar que el proceso de copia, eliminación o sobrescritura de datos se controle y documente adecuadamente. Si la recopilación de pruebas no se realizó correctamente o violó los requisitos legales, los tribunales pueden impugnar la validez de los datos en un litigio y negarse a utilizar los datos.