Un equipo de representantes de Five Eyes ha emprendido una campaña de colaboración para el desarrollo de planes que ayuden a mejorar la respuesta a incidentes de ciberseguridad que representen amenazas contra los miembros del grupo; el más reciente esfuerzo del grupo es la creación de un manual de recomendaciones para amenazas cibernéticas. Cabe recordar que Five Eyes es un esfuerzo conjunto de los gobiernos de Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda para implementar los mejores planes de inteligencia y seguridad de la información.
Para ser más específicos, el manual fue elaborado por especialistas provenientes del Centro Australiano de Seguridad Cibernética, el Establecimiento de Seguridad de Comunicaciones en Canadá, el Centro Nacional de Seguridad Cibernética y el Equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda, el Centro Nacional de Ciberseguridad de Reino Unido, además de la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA): “Este es el resultado de un esfuerzo conjunto elaborado por las principales autoridades en ciberseguridad”, menciona el anuncio publicado por CISA.
Los expertos mencionan que este manual fue elaborado con apego a las mejores prácticas en la industria, mismas que deben ser implementadas cuando se presenta un incidente de seguridad, incluyendo recopilación de datos, eliminación de artefactos, registros y datos relevantes, además de recomendaciones sobre la eliminación completa de problemas menores que pudieran generar nuevas amenazas de seguridad.
Especialistas en ciberseguridad concuerdan en que un proceso de respuesta a incidentes exitoso requiere de una amplia gama de técnicas y procedimientos, por lo que la elaboración de una guía con métodos de aplicación general es una buena medida ante el avance del hacking malicioso. Entre las principales medidas que los expertos recomiendan se encuentran:
- Búsqueda de Indicadores de Compromiso (IOC): Los expertos recomiendan recolectar cualquier detalle relacionado con actividad maliciosa en todas las fuentes posibles, además de evaluar los resultados con el fin de detectar nuevos indicios para eliminar falsos positivos.
- Análisis de frecuencia: Recolectar grandes cantidades de datos para el cálculo de patrones normales de tráfico en la red y en sistemas host también es recomendable. Estos algoritmos predictivos pueden ser usados para identificar actividad anómala en un corto periodo de tiempo.
- Análisis de patrones: En el manual, los expertos de Five Eyes aseguran que es posible realizar tareas de análisis identificar patrones de mecanismos automatizados propios de los scripts o variantes de malware, además de actividad rutinaria de hackers maliciosos actuando de forma manual. Es necesario que los equipos de TI aprendan a separar los datos correspondientes a la actividad normal y la información potencialmente maliciosa.
- Detección de anomalías: Analice los valores únicos para múltiples conjuntos de datos y, en caso de ser necesario, investigue los datos asociados para encontrar cualquier indicio de actividad maliciosa.
El manual también incluye una lista de artefactos sobre los que los equipos de TI en las organizaciones afectadas pueden enfocarse para detectar indicios de actividad de hacking:
- Procesos en ejecución
- Servicios en uso
- Árboles de proceso padre-hijo
- Hash de integridad de ejecutables en segundo plano
- Aplicaciones instaladas
- Usuarios locales y de dominio
- Métodos de autenticación inusuales
- Nombres de usuario con formato irregular
- Puertos de escucha y servicios asociados
- Configuración de resolución del sistema de nombres de dominio (DNS) y rutas estáticas
- Conexiones establecidas y recientes
- Tareas programadas
- Artefactos de ejecución (Prefetch y Shimcache)
- Registros de eventos
- Detecciones de virus
Finalmente, el manual contiene un apartado para la descripción de los errores más comunes que los equipos de seguridad cometen al analizar un incidente de hacking. Al respecto, Five Eyes advierte que algunas acciones legítimas podrían resultar altamente perjudiciales para la investigación, lo que resulta altamente benéfico para los actores de amenazas. Un inadecuado proceso de respuesta a incidentes también podría provocar que los hackers maliciosos puedan cubrir sus huellas antes de que los investigadores puedan detectarlos, por lo que el manual de Five Eyes puede ayudar a los equipos de TI a dar los mejores pasos rumbo a un análisis integral y seguro.
El manual está disponible en este enlace y es una herramienta altamente recomendable para los equipos de seguridad en cualquier organización.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
