Coneixes els nostres serveis de Resposta davant d'Incidents i Anàlisi Forense Digital, basats en NIST CSF?

Els nostres serveis s'alineen amb les recomanacions, frameworks i estàndards internacionals de ciberseguretat , més importants i reconeguts a nivell mundial. Per aquest motiu, tota la nostra oferta està basada en el framework del NIST (Institut Nacional d'Estàndards i Tecnologies dels Estats Units) i, en concret en la seva proposta de marc de ciberseguretat , conegut com el NIST Cybersecurity Framework (NIST CSF) .

Així, l'oferta de Zerolynx s'articula a través d'una àmplia gamma de serveis professionals que matxen amb cadascuna de les sis funcions del framework NIST CSF:

• Identificació.
• Protecció.
• Detecció.
• Resposta.
• Recuperació.
• Govern.

En aquest article, ens centrarem en l'oferta de serveis de Zerolynx, destinats a la resposta davant d'incidents i elanàlisi forense digital.

L'objectiu dels serveis de resposta és enfrontar-se a situacions adverses, com ara els ciberatacs, o qualsevol altre tipus de ciberincident. La clau no és només adonar-se'n a temps i actuar, sinó donar una resposta a l'inconvenient:

• Tant a temps (actuant el més ràpidament possible, abans que la situació vagi a més , abans que l'impacte i els efectes siguin superiors, o que s'arribi a un punt en què es produeixi un desastre ja irrecuperable).
• Com a forma (utilitzant els mecanismes més adequats, efectius i eficients, actuant com calgui actuar conforme al tipus de situació que es produeixi, al tipus d'amenaça, risc, atac, elements afectats i probable impacte).

En definitiva, la resposta consisteix en la contenció de la amenaça, com més aviat millor i del millor manera possible, depenent del tipus d'amenaça de què es tracti i allò que aquesta pot suposar. Alguna cosa, a priori, banal, però res trivial per a personal no expert.

A més, el terme “ resposta ” pot tenir altres accepcions i implicar conceptes addicionals. Segons la RAE ( Reial Acadèmia de la Llengua Espanyola ) , pot significar:

• “Satisfacció a una pregunta, dubte o dificultat”.
• “Contestació…”.
• “Rèplica, refutació…”.
• “Acció amb què algú correspon…”.
• “Efecte que es pretén aconseguir amb una acció”.
• “Acció ofensiva executada després d'haver aturat un atac”. Aquesta, potser, la més adequada a la situació en què ens trobem, sonde podríem matisar: “Acció ofensiva executada després de haver aturat un CIBERatac”.

En resum, alguns dels termes que defineixen una resposta són:

• Actuar (actuar ofensivamente).
• Aturar / Aturar.
• Replicar (refutar, rebutjar).
• Resol.
• Contestar.

Així, la resposta davant d'incidents (resposta davant de ciberincidents) es podria definir com l'activitat consistent a actuar (en temps i forma) per aturar, rebutjar, resoldre o solucionar i respondre una amenaça (ciberamenaça) de la qual tenim constància que ja s'ha produït.

Com veiem, no és una única tasca independent i aïllada, sinó un cicle d'activitats, dependents i encadenades en el temps.

Cadascuna requereix una especialització concreta i uns temps d'activitat en el cicle corresponent. A més, caldrà ser conscients en tot moment de la fase de la resposta en què ens trobem (detecció imminent, actuacions preliminars o definitives, procés de detenció o rebuig de l'atac, resolució de l'incident i dels seus efectes, o contestació contra aquest atac o “atac a l'atac”) per poder actuar convenientment.

Per això, és vital comptar amb experts en la matèria. No es tracta, ni condueix a res, sinó que genera més problemes de “tractar de donar resposta, sigui com sigui”. Es tracta de donar una resposta concreta, exacta, a mida, amb coneixement, capacitat i experiència, de manera intel·ligent, coordinada i professional, d'acord amb la perillositat de la situació, els seus riscos, elements afectats, possible impacte, i fins i tot efectes col·laterals derivats d'ella.

Aquest és el motiu pel qual és necessari un assessorament i treball expert que permeti contenir i respondre com cal i espera. L'experiència en aquest tipus de situacions evita situacions de pollastres sense cap, amb perdó de lexpressió.

En el cas d'un atracament a un banc, seríeu capaços d'actuar com a intermediaris que analitzin la situació, negociïn, siguin capaços d'aturar els atracadors, resoldre la situació i respondre els delinqüents… i, tot això, en el moment oportú i cadència, fent els passos necessaris en cada moment?... Doncs el mateix en el cas d'un incident de seguretat digital (ciberincident).

Per això estan a la vostra disposició els experts equips de Zerolynx, que aporten coneixement, experiència, assessorament professional, responen, i realitzen un anàlisi forense quan tot ha conclòs perquè no torni a succeir (fins i tot amb pericials forenses, pericials judicials, etc., alineats amb el que dictamina el Article 340 de la Llei d'Enjudiciament Civil - 1/2000).

Tant a la resposta com a forense posterior, la nostra tasca aporta. Al moment inicial, la contenció és la clau. Com més aviat millor, i de la millor manera possible. A més, és molt important recollir les evidències existents en aquest moment, ja que després és probable que desapareguin.

Així, contenem el atac / ciberatac o incident / ciberincident, alhora que analitzem la situació mitjançant tècniques forenses que ens permeten recollir les evidències de la situació, tal com s'ha de fer, perquè aquestes siguin vàlides i es puguin emprar a efectes administratius, legals, i fins i tot en seu judicial: preservació d'evidències i manteniment de la cadena de custòdia de les evidències recollides.

“L'experiència és mare de la ciència” i, igualment, haver patit un incident ens pot ajudar amb les lliçons apreses", que són de vital importància. És amb elles amb les que ens hem d'enfortir i construir un millor procés, sistema i mecanismes de defensa, detecció i resposta per a properes ocasions (pla de resposta).

Però, com funcionen i com es presten aquest tipus de serveis? Com els oferim des de Zerolynx perquè siguin el més efectius, eficients i beneficiosos per al teu negoci o empresa?

Sabem que cada empresa és un món, amb diferents sectors dactivitat, diferents portfolis de serveis i/o productes, diferents necessitats, objectius i estratègies.

Per aquest emotiu ens adaptem a la vostra empresa, a qualsevol tipus d'empresa, objectius i necessitats , oferint serveis de resposta totalment personalitzats a cada situació.

Així, en la prestació d'aquest tipus de serveis, establim diversos passos a l'hora de treballar:

1. Analitzem al detall la situació, revisant l'escenari i el seu entorn, els actius, els elements i el personal afectat (tant intern com extern -proveïdors, subcontractes o terceres parts, per exemple-) i els antecedents si és que existissin.
2. Amb l'objectiu de registrar l'incident, poder actuar i poder realitzar activitats forenses de tot el que ha passat i allò que s'hi pugui relacionar, realitzem la recollida d'evidències, aplicant els mecanismes necessaris per garantir la cadena de custòdia , generem un registre documental amb tota la informació.
3. La informació important és la que podem extreure de les evidències recollides, per a això emprem diferents tecnologies i tècniques forenses d'última generació, posant especial cura i focus en garantir la integritat d'aquesta informació i el no repudi de la mateixa.
4. En base a la norma UNE 71506, analitzem tota la informació recollida.
5. Amb tot això ja estarem en condicions de poder preparar i emetre un informe forense pericial acordeu el que estipula la norma UNE 197001) del que ha passat i les accions dutes a terme per aturar i donar resposta.

En concret, els nostres serveis de resposta , intel·ligència i ciberintel·ligència , són els següents:

• Peritatges Forenses. Quan sou víctimes d'un ciberincident o ciberatac , analitzem al detall la situació, els fets, els elements o actius afectats, les implicacions, els motius, els actors i vectors d'atac. Amb tot això, preparem un informe forense i, així, a més d'ajudar, podrem actuar com a pèrits tercers de part . Sobre aquest servei, parlem una mica fa un temps, des de diferents perspectives, als articles “ Caçadors d'evidències: Navegant per l'Anàlisi Forense de Correus Electrònics ” i “ Sistema expert portàtil per a l'Adquisició Segura i Semiautomàtica d'Evidències Digitals ” i “ Tan important és protegir-se com respondre ”.
• Threat Hunting, o Caça d'Amenaces. Ens encarreguem d'estar contínuament monitoritzant tots els possibles escenaris a la recerca de amenaces que podrien afectar la teva empresa. És com si assumíssim que la teva empresa serà ciberatacada per algun mitjà o mecanisme i estiguéssim contínuament vigilant-lo i vigilant els possibles canals d'entrada o vectors d'atac. Així podrem avançar-nos a un ciberatac i detectar-ho “en temps real”. Diguem que és el “servei xivato” que es troba analitzant de forma proactiva (no reactiva ) i emetent una alerta primerenca en cas de detectar alguna cosa sospitosa. Per això, estarem contínuament analitzant el que s'anomenen els TTPs (Tàctiques, Tècniques i Procediments) que utilitzen habitualment els ciberdelinqüents.
• Resposta davant d'Incidents . Teniu sospites, o la certesa, d'estar patint, o d'haver patit, un ciberatac ? No sabeu què fer i com comportar-vos, ni què fer? Aquest servei és la resposta, ja que us ajudarem en tot el procés, des de l'avaluació de la situació, fins a la detenció o contenció de la mateixa i l'avaluació del que ha passat, els motius que ho han provocat, els mecanismes emprats, etc. , per tal de poder restablir la vostra activitat amb normalitat, sense repercussions (o les menors possibles), sent a més capaços d'establir mesures per intentar evitar que no torni a succeir. Sobre aquest servei, ja vam donar alguna pinzellada a l'article “ Tan important és protegir-se com respondre ”.
• Disseny de Playbooks. El terme playbook us sona a xinès? Es tracta d‟una llista o concatenació d‟accions, d‟una guia estratègica i pràctica de passos a seguir, en resposta en una determinada situació que, en aquest cas és un ciberincident. Què fer, com, i en quin ordre, en aquest tipus de situacions? Un playbook és la resposta i guia a seguir pas a pas. Aquesta seqüència d'instruccions o activitats és emprada i aplicada pels equips de resposta davant de ciberincidents, de forma automatitzada generalment. Abans d'això, però, cal definir-la. Sou capaços de fer-ho a la vostra empresa? No us preocupeu! Nosaltres ens encarreguem de definir aquest playbook, adaptat i personalitzat a la vostra empresa, activitat, característiques i necessitats.