2over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: PAPEL BLANCO EL kit de erramientas de respuesta a incidentes Alien Poner el lazo de OODA para trabsjar en el mundo real ‘Cuando se tata de violaciones de datos, la mayoria de ecuerdo en gue no es una cuestién desi, pero cuando, En Cybertdge Del 2017, un asombroso 79% de las onganizaciones encuestadas admis Siendo victimes de ataques cibemnético, frente al 76 por cieno en 2016 y el 70 por ciento en 2015.1 Dado que las intrasiones son inevtables, es importante tenet las heramsientas adecuadas para detect un evento Rapidamentey para minimizarsu impacto en su organizaeién con un plan de respuesta efica ‘Creomos que la mejor manera de abordar la respuesta incidentes es Implementar el método OODA Loop, desarrollado por la Fuerza Aérea de EE.UU. Fl estratepa militar John Boyd. EI OODA Loop se centra en el "éoticas clave esencales para responder a cualquier crisis: Observe, Orientar, decidir y actuar, En este articulo, leer acerca de algunos casos de uso especifics en los que Las tecnologia y servicios de AlienVault le ayadan a observar, Oriente, Devida y Acide pare la respuesta efiea del incdente Alobservar los riesgos potencials y las amenazas inminentes, hay tes fatoresesencials de éxito (Que debe guar su actividad como un respondedor de incidents, = Observar desde todos los dngulos. + Aplicar Ia pririzacin basada en la lima inteligencia de amenazas, = Continuamente herramientas de supervisin dela seguridad afinar 1 hupieyber-edge com/201 6c hntps:/transiate googlousercontent comranslate_f Pagina 1 62over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: Pagina 2 PAPEL BLANCO (Observe desde todos los éngulos la Seguridad Unificada de AlienVault ‘ee gestn (USM im) ara que su plan de respuesta a incidents sea efectivo, usted, Necesidad de considera la seguridad de su organizacin una perspectivaholistica, Por ejemplo, es imposible Detectar amenazas de manera eficaz si su plan de seguridad no (Cuenta la folalidad de i informacion erica de su {niaestructura, Del mismo modo, un plan que no incluya Actulizaciones de inteligencia de amenaza deja a su orgenizacién ‘Vulnerable alas amenazas emergentes, AlienVauit USM proporeiona la visibilidad de seguridad de 360 grados que necesita para brida y entornos locales. El enfoque unificado de USM CCombina ls capacidades esenciales que su organizacia necesita enna sola solucién, ineluyendo Descubrimiento de actives, dtcecién de vulnerbilidads, dteocién de inteusos,supervisién del comportamiento, SIEM, log CConciencia através de su nube, nube Gest ¢intligencia de emenazas. Priorizareficazmente con la inteligencia de amenazas del equipo de investigaci de seguridad de AlienVault Labs La deteceén de amenazas comienza con la conciencia del paisaje de amenazas en constate evoluciSn, Un desafio para cualquier organizacién sin su propio equipo de investigaci6n dedicado, Con USM, la dltima Inteligencia de amenazas est integrada en Ie propia plataforma a través de actalizaciones coatinuss de AlienVoult Labs Security Research Team en la forma de reglas de correlacin, firmas de vulnerabilida y respuesta planillas. Como resultado, su plan de seguridad siempre est at tao para detectar amenazas emerpentes. Para ayudarlea priorzareficazmente cada [Evento de seguridad, USM autométicemente CClasiticaeada evento que oeurre Dentro de sus ambiente segin Al AlienVault Cyber Kill Chain- ‘Una representacin interactiva de la Secuencia de pasos que cuslquieratacante Necesita tomar para comprometer un sistema Y robar datos, Permite enfocat Suatencin en lo mis importante Amenazas al romper los atagues en Cinco categorias de amenazas, desde las ‘Alms bajo Esto le muestra la ntencién de ataque y Ie gravedad de la amsenaza y le proporciona Informacién de amenzas contextuales que necesita para ayudarle a entender emo intractan con su red Pagina 3 PAPEL BLANCO hntps:/transiate googlousercontent comranslate_f 2682over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: BI AlienVault Cybor Kill Chain se basa en la taxonomia Lockheed Martin Cyber Kill Chain, (Que hemos simplificado de siete pasos aun proceso de cinco pasos hasado en la Investigacién de Seguridad. Tnvestigacién del equipo sobre las nuevas herramientas, enica y ticas del atacate ‘Cuando su objetivo es eazar ataquesrépidamente, minimizar el dao, y ripidamente reeuperar, pido Priorizacin es la clave desu éxito. Al automatizar cl anilissy clasficacin de eventos con el ‘lies Vault Cyber Kill Chain, USM arma a su equipo de seguridad con una priorizaci6 automatizada para respuesta al incident, ‘Actualizar continuaments las herramientas de monitoreo de seguridad. Los atores maliciosos se enfrentancoastantemente a nuevas amenazas, Para mantenerse a dia con ells, su seguridad Plan tiene que evolucionar también, Entre la investigacién de nuevas amenazas, la aplicacién de esa informacién a Ia amenaza Los esfuereos de detecciGn la priorizaciGn dela intrusiones, y averiguar emo responder, la mayoria de ls organizacones son mal- Equipados para mantenerse actalizados por su eveta, Para hacer frente a este ret, el equipo de investigacién de seguridad de AlienVault Labs oftece una amenaza continua Inteligencia actaliza al pltaforma de USM si mismo de mode que su equipo est siempre equipado para detecta, Priorizary responder a las ltimas amenazas que afectan a su infiaestuctua erica, ‘A continuavién se muesira un ejemplo de lo que parece tratar una nueva amenaza dentro de AlienVault USM. {Que pasé? Una nueva wulnerabilidad de SSI. ha sido anunciada palin Qué haces? En primer lugar, asegirese de que su USM [EL medio ambiente est al dia con el La inteligencia de amenaza mis recente La investigacion de seguridad de AlienVault Labs Equipo. A continuacién, programe una snilisis de vulnerabildades, Puede analiza la Bscancar Ios resultados pata detectar la presencia De la vulnerbilidad y la vista SSL Orientacin sobre cbmo responder, 2 Hup/levberlockheedmartin conv soluionslevber-kill- chain Pagina 4 PAPEL BLANCO (Observe: Resumen Key Takeaway # 1: Observe desde todos los éngulos. {:Cémo ayuda AlienVault?AlicnVult USM unifica las siguientes capes distintas de seguridad hntps:/transiate googlousercontent comranslate_f a62over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: “Monitoreo de a telemetria para proporcionar una visién completa de 360 gradas de sus ativos > Deteccién de amenazas emergentes F equipo de investigacign de Alien Vault Security combina patentada Investigacion con puntos de vista de AlienVeultabierto Amenaza Exchange (OTXW) para claborar procesable Actualizaciones de ineligencia de amentza para la plataforma USM, actualizacién continua desu seguridad CCapacidades pare ayudarle a detecta y responder a las nuevas amenazas, > Vigilancia del comportamiento - Las reglas de corelacén que permiten detectr actividades sospechosas yactuar Répidamente cuando se identfican las amenavas potenciales. > Evaluacién de la vulnerabilidad - Los anilisis de vulnerabilidedes y ayoda monitorizacién continua vulnerabiidad Usted identifica los respos y prioriza la remediacin rpidamente > Anal inésestrctura, Esto ineuye sus cortafuegos, servidores, routers, controladores de dominio, Cargas de trabajo, servicios de cloud piblico y mas para alimentar su programa de respuesta a incidentes is de registros de eventos / SIEM - Unifica y analiza datos de observacién através de su totaidad Key Takeaway #2: Apligue prioridad a los emergentes AlionVault Labs Threat Intelligence {sCémo ayuda AlicnVault? Alien Vault USM asigna cada alarma de seguridad contra AlienVault Cyber Kill Chain pera que los analistas de seguridad entiendan la ntencign del comportamiento malicioso y span qué Incidentes para investigar primero. El Equipo de Tavestigacion de Seguridad de AlienVaut Labs esa prioridad 1g ms recientes del atacante y epicando este “Monitorizando y analizando ls técnica, herramicntas y téct Aailisis del motor dereplas de laplataforma USM. Key Takeaway #3: Actualizacién continua de la herramientas de monitoreo de seguridad {sCémo ayuda AlienVault? USM recibe continuamente las actualizacones de intligencia de emenszas de la [Equipo de investigacin para que su plan de seguridad tenge siempre en cuenta las amenazas més recientes. USM ‘También le permite ajustar las alarmas que recibe para reflejar mejor ls espeificacionesespecifcas de su organizacién, Reguisitos de observacisn, 3 OTX esa primera comunidad de inteligencia de amenazas verdaderamente sbiera del mundo que permite la densa colaborativa con acceso @ Producto de Seguridad. ‘185k todos fos miembros de la comunidad OTX colaborar ativamente,reforzand sus propias defenses y ayudango a ottosw hacerlo Para obtener mas informacion, vaya a hips! OTX. Pagina 5 PAPEL BLANCO Toda la informacién que ha recogido durante la fase de observacin es esencial para detectar una [vento de seguridad que requiere su investigaci, Pero la informacién sin contexto no es suficiente para hntps:/transiate googlousercontent comranslate_f 4n62over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: Respuesta deincidente de ereuito eerado, [Abi es donde entra en fase de Oriente. La informacion contextual es esencial para la orientacin Todos ls datos del mando son iniles sin tener I contexto necesario para comprender la importancia de esos datos, Por ejemplo, un corte de ‘Su centro de datos podria ser un evento inofensivo (Ilo inesperado de ener) o algo mis Serio (ataque de denegacién de servicio), Sin el contexto nevesaro para orientate, por ejemplo, un correo eleceOnieo Anuncio de su ISP sobre la interpeién-no puede implementar una respuesta efectiva Sus objetivos de respuesta a incidentes durante la fase de Orient incuyen: Determine cance y el impacto de un ataque basado en la ltima imaigencia de amenazas + Revisin de eventos en el contexto de otra activided en la red para establecer una linea de tiempo, = Tnvestigar fuente de atague para determina la atibueidn (si es posible) y todos los datos adicionales ‘Que puede ayudar Ta toma de decisiones, Deteemia ol alcance y el impacto del atague basodo en Ia dima amenaze de iteligencia I Equipo de Investigacion de Seguridad de AlienVault Labs se basa en datos de amenazas de la AlienVault Open Threat Exchange (OTX) mientras investigan, monitereany analizan ls herraientas mis recientes del stacante Y tictcas. Convierton esta inteligeneia en acciones automatizadas (por ejemplo, reglascorelacionadas,alarmas y Respuesta) dentro de AlienVaut USM pare que pueda responder eficazmente tas nerramientas le prmiten determinar ripidaments los actives aectados y la gravedad de los Actividad o etaque. Pagina 6 PAPEL BLANCO He agui un ejemplo espevfico. En su entomo de AlienViault USMS, aparece una alarma para [Explotacin¢ instalacién. Al investigar més a fondo, usted ve que est implica un Que esti ejecutando una versién vulnerable de Java, y puede que no ea el iniew hntps:/transiate googlousercontent comranslate_f 562over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: vulnerable. Con AlienVault USM, revisa ripidamente todos ls eventos de todos sus activos para ver (Que otros sistemas tienen este tipo de actividad y eonfiguracion vulnerable. Adomés, usted ba Autométicamente un grupo de actives basado en estas caracteristicasS para poder remediar Todas estas vulnerabilidades como un grupo y seguir supervisindolas para validar estas correcciones sta "lista de vigilancia dindmica” le brinda el contexto necesario para una respuesta efectiva de incidentes de circuito cerado, Revisar el evento en elcontexto de otros Actividad en red pare establecer una CCronograma AlienVanit USM proporsiona una CCronograma para que todos los eventos CConexiones entre y entre ionados. Eventos dispares pero rel 5 Este cjemplo utiliza datos de wulnerabilidad o CVE para crear autométicamente un grupo de activo, pera puede wtlizar cualquier caracterstca Grupo de actives. Ejemplos incluye: + Valor det activo Red! + Software que se ejeeua en ativos + Sensor que monorea los acivor {Tip de'ipontivo de stv {Puerto abittoo servicios que se ejecutan en activos Ubieacion de los activos 6 Pagina 7 PAPEL BLANCO Al ver todos los eventos en una linea de tiempo visual, pode excanearficilmente todos los eventos y actividades de seguridad ‘A través de sured sin tener que consular varias consol, aplicaciones o bases de datos. I enfogue simplifcado de visualizaion de dat Los eventos requieren mis investigacién, Con el fin de proporcionar suficiente contexto todavia no abrummara su AlienVault eligi utilizar un diseRosimplificado para la linea de tiempo del evento de USM. facia Ja toma de conclusionesrépidas sobre Investigue la fuente del ataque para determinar la stibueion (si es posible) y cualquier informacinadicional que Puede ayudar la toma de decisiones ‘Segin el experto en seguridad ciberética Bruce Schneier6, un fuerte stibucion puede levar sla disuasién, Eso ayudar a detectary prevent futurosatagues yatacantes que “Tambign puede proporcionar el conexto esencialp ‘Pucden compartir las mismas motivaciones, herrumicntasy técnica, El Equipo de Investigacién de Seguridad de Alien Vault Uso de datos de amenazas AlienVault OTX de todo el mundo para informar las aetualizaciones de inteligencte de amenaza a AlicnVault USM permite a nuestros clientes utilizar esta intligencia para obtener respucstas de incidentes més confibles Aqui hay un ejemplo de las trincheras, Enel entora de demostracién de Alien Vault USM, no nos importa un poco De empujar y empujar de los ne'erdo-pozos en el eiberespacio, De hecho, nos ayuda a eaprurarinteresantes [Eventos que podemnos compartir con nuestro clientes y sacios. Como se puede ver en esta capture de pantalla, AlienVault USM muestra que la fuente de este atague de autentiacién de fuerza brua? tiene una dreceién IP ‘Asociado con un conocido actor malo, Al hacer ec en et "SI" anterior, pede revisar Informacién sobre este a ante en particular. hntps:/transiate googlousercontent comranslate_f 562over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: 6 ups: /ivww.schneier com blog/archives!2015/0Vatack 7 Los atagues de autenticacion de fuerza brta son uns de las técticas de eatoga y ataque mis utilizadas YY puesto que el protocolo SSH tiene un historial de vulneabilidades, es un objetive comin, Pagina 8 PAPEL BLANCO Ademés, puede buscar esta dreccién IP en todos sus eventos para encontrar cualquier hntps:/transiate googlousercontent comranslate_f 7162over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: Actividad adicional que puede aber impactado actives adicionales, ORIENT: Resumen Key takeaway # I: Determine el aleance y l impacto del atague usando la itima inteligencia de amenazas. {{Cémo ayuda AlionVaule? El equipo de investigacién de seguridad de Alien Vault Labs orienta alos clientes de USM Weatificando las diimas amenazas, dando como resultado la visién mis amplia de vectores de amenazas, téenicas de alacantes, Y defenses efectivas, Las ideas que el equipo extrae de AlienVault OTX amplian el contexto de la amenaza “Mediante el uso dela multtud y la comunidad de verificacn de amenazas de inteligencia sobre los iltimos ataques. Mediante Actualizaciones de amenazas continuas en forma de reglas de corelaci,firmas de vulnerbilidad y Pantlas de remediacin, el Equipo de Investigacion de Seguridad leayude a convert a iteligene en USM. Pagina 9 PAPEL BLANCO Key takeway # 2: Revise el evento en el contexto de otra actividad en la ed para establecer una lines de tiempo, {Como ayuda AlienVault? Alien Vault USM proporciona una vista unifieada de todos Tos eventos para CConexiones entre entre eventos spares pero relacionados. El defo simplificado y el usuario Feil de ver hace que sa fcil ver eventos dentro de un cronograma contextual para ayudar en la ‘Toma de devsiones Clave para levar #3: Investigue la fuente del staque para determina I atribucidn (ies posible) y cualquier otro Inteligencia que puede ayuder a la toma de decisiones. {sCémo ayuda AlienVault?Trabajando con otros lideres dela industria de la seguridad eibemética como Kaspersky [En proyectos como Operation Blockbuster8, el Equipo de Investigacion de Seguridad de AlinVault Labs trabaja, Incansablemente para descubsiry analizar los detalles de las campafas de ataque para la atibucién Gable. Comunidad- Como 1s pulsos AlienVault OTX y OTX (colecsiones de 1oC generadas por el OTX (Comunidad) permiten alos defensores describiry enviar cualquier tipo de amenaza en linea incluyendo malware, CCampatas de fraude e incluso hackers patrocinados por el estado. Estos descubrimientos estin estrechamente AlienVault USM en fa forma de diectivascomelacionadss para el andisis automatizado de eventos y respuesta al incident, Las dos primera etapa en el bucle OODA -observa y orienta son todo subre el monitereo de seguridad Benciales Recoplar ef mayor nimero de datos posibieycolocarlo en cl context de las politicas locales y globales. Riesgo para que pueda tomar la mejor decisién posible hntps:/transiate googlousercontent comranslate_f ane2over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: sobre la Operacion BlockBuster, echa un vistazo al artculo de blog de Jaime Blasco del Fquipo de Investigacion de Sege 9 PAPEL BLANCO Estas dos primers fases se benefician del uso de heramiemtas automatizadas par la ecolcecin y andisis de datos, pero Decidir qué hacer sobre la bese de esta intcligencia por desgracia no puede ser subcontratado a ls no humanos. A Menos ain no Dicho esto, ol AlionVault Labs Equipo de Investigaciin de Seguridad, Alion Vault USM, y el lienVault OTX CComunitaria proporcionan la mayor cantidad de orientacién posible para abtencr las mejores decisiones y resultados posibles. Los principales abjtivos de respuesta a incidents para la fase de Decide incluyen los siguientes + Determina los prximos pasos inmediats pars responder al incident, = Detalles de la pind de activosy proriar su respuesta, = Documento de todas las tetcas de remediacion prevista para los bienes afeetados Determine los pr6ximos pasos inmediatos para responder al incidente Una de las mayores devisiones que tienen Ios espondedores de incidentes es e6mo navegar por el equilibrio nite Ia necesidad de preserva Ia evidencia versus la nocesidad de recuperase rpidamente [sta decsin se maneja mejor antes de su primer incidente. De hecho, el estindar de Procedimiento sobre el manejo de lo inidentes debe venir directamente de la alta dreeein y el De directors, on fa guia de su equipo legal. Preservar 0 no la evideneia versus simplemente ‘ecuperarno es una decisién ficil de tomar, pero uno que usted tendri que trabajar tan pronto como sea posible ‘Y tenga en cuenta, que el camino a seguir a menudo variané en funcién de la industria en la que se encuentra, el gobiemo locel Leyes y leyesesttales el tipo de datos en cuestiin, ef método en que se so era un trabajo interior conta uno exterior, Como puede ver, esta no es un decisién que tomar ala ligera,y nosotros Le pido que pda orientacén sobre esta cuestén, Mientras tanto, AlienVault est qui para hacer su vida mis fei, especialmente cuando se trata dela seguridad hntps:/transiate googlousercontent comranslate_f 962over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: ‘RYE MPL SAATTDS FRIAR NS SNRs 008 BRST Pb PRA TREGIAT Sta amenaza YY cémo responder. Pagina 11 PAPEL BLANCO Revise los detalles del activo y pririce su respuesta ‘Cuando eres un respondedar de incidentes, cuanto ms sepas sobre los ativos de tured, mejor Usted estar en investigar los incidents que los involucran, Esto es certo especialmente de los srvidores ens Ambiente. ‘A menudo no est claro cémo se configura un activo 0 qué software es instalado, a pesar de comprobsr una variedad De hetramientas de gestibn, hojas de cdleulo y ors documentos, Con AlienVault USM, puede ver detalles acerca de (Cada activa dentzo de la plataforma, as como datos cnriquecidos sobre las vulnerabilidadesexistentes, el software y Servicios insalados y cualquier azenaza activa que se ejecute conta ellos. hntps:/transiate googlousercontent comranslate_f s0n62over2017 Pagina Pagina Elbit de herramientas de respuesta aincdentes AlerVauts: 2 PAPEL BLANCO Documenta todas las ticticas de remediacin planificadas para los actives afectados ‘Una vez que hays confirmed el impacto y el aleance del incident, debers comegitlo tan répido como Posible contener los dais y recuperarse. Es una buena idea documentar estos pasos de remediacién Con informacin sobre los activos espcificos, asf como lo que se hizo, por quigsy cuindo, Una pista de auditoria Com esto es muy iil, sobre todo porque en este momento usted no sabe qué tipo de preguntas que obtendré De su jefe ode sa jefe en el Fturo, De su jefe o de su jefe ene futuro. Debid a que USM proporeiona plantas de respuesta para ayudar alos profesionales de Tl a resolver cada incidente es cil Pra tomar medidas de inmediat y realizar un seyimiento de fos pasos que ha tomado, en lugar de desviarse con Investigacién para averiguar qué hacer a continuscién, Determine qué alarmas deben responder seg la politcas de ss organizacién, ‘A vooos las necesidadesinicas de su organivacién requicren, mas personalizada, Basado en su Las necesidades especificas de la organizacién, puede austar los controles dentro de USM para aumentarolimitar la alarmas recibes. Por ejemplo, puede > Crear una alarma para todos los eventos con un determinado destino IP > Suprimir las alertas sobre el uso de Dropbox en los ordenadores de los empleados debido a que su organizacién tiene Aprob la solicitud de uso comercis 13 hntps:/transiate googlousercontent comranslate_f ne2over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: DECIDE: Resumen (Clave para levar# 1: Determine los préximos pasos inmediatos para responder al incidents {Como ayuda AlicnVault? AlienVault USM integra inteligencia emergente de amenazas con guia operacional esrta por Investigadores de seguridad de AlienVault Labs que estin personalizados para cada slarma, pare que pueda Decisiones en el ealor del momento, Key takcaway #2: Revite los detalles del activo y prioticesu respuesta {sCémo ayuds AlienVault? |Larica eapacidad de invemtario de activos de AlienVaul USM permite los administradores de TI ver los detalles de ead activo para Guiara los que tesponden sobre qué hacer en easo de us incident (Clave para levar# 3: Documentar todas las teticas de remediaeion planificadas para Tos sctves afectados {Como ayude AlienVault? AlienVault USM proporcione platills de respuesta para alarmas en la plataform, permitiendo ‘Admins para centarse en la immplementacin de sus esfuerzos de remediacién en lugar de buscar las respuestas Clave para llevar # 4: Determine qué alarmas responder de acuerdo a las politicas de su organizacién {Cémo ayud AlienViat? ‘AlicnVault USM le permite ajustar las alarmas que recibe dentro dela pltaforma basads ens [Necesidades especificas de la organizacin. Pagina 14 PAPEL BLANCO. hntps:/transiate googlousercontent comranslate_f 12862over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: A estas altura, hemos recorido cada tuna de las tres primerasfases de una efectiva respuesta a incidentes plan. Hemos demostrado cémo AlienVault USM, el equipo de investigacia de seguridad de AlienVault Labs y [La comunidad de AlienVault OTX proporcions ls base que necssta pera OBSERVAR, ORIENTAR y DECIDIR emo Para responder e incidentes. ‘Ahora es el momento de actar ero primero... nla seccim anterior, hablamos sobre la necesidad de decidir si su equipo de IR debe Centrarse en preserva la evideneia (con el fin de procesar une vilacién de los datos) frente a la recuperacién rip (y Potencialmente perder artafactos forenses transitorios) Esta decisin va mucho mis alla del aleance de este documento, y Es importante, Mientras tanto, si est interesado en preservar los datos para una investigacién mis profinda, SIFT (SANS Investigative Forensies Toolkit) es una coleccin de varias herramientas de c6digo abierto que Realizandotareas de ails forense 9 Para os fines de este documento, nos centramos en la reeuperacin y a remediat6n, esi como en las ‘Alien Vault le ayuda a alcanzar estos objetivos esenciales de respuesta a incidents dentro de a fase de la Ley: + poner en pricticarépidamente remediacin de todos los bienes afetados y verifcar que la reparacién ha sido Implementado adecuad: ate, - programas de insruceién sobre la seguridad Revisién y actualizacin de las politicas de seguridad o seg el easo, - Revisin (y potencilmente reconfiguar) ls controles de monitoreo de seguridad en base a las leccionesaprendidas de la incideme 9 Un equipo internacional de experts forenss,liderado por el miembro de la Facultad de SANS, Rob Le, cro la estacin de trabajo de SANS ( Uailizato'y ponero a disposicion de toda la comunidad como servicio publi CComprugbelo en: hip digital-orensics sans org/communty/downloadstioverview 4 Pagina 15 Es diffi cubrir todas las posibles actividades de remediacin que pueda necesitar implementa, ya que Dependeré en gran medida de la menaza specifica, el impacto, los activos objetivo y el aleance. Dicho est Jo mis probable es ‘Que probablemente includ actividades tales come: > Sistemas de parches (sistema operative, aplicaciones, firmware, et) > Eliminacin del software innecesarins 0 no auorizados > Archivos del sistema Reconfiguracin (por ejemplo, li eliminacién de archivos DLL, la contiguracién del registro, et.) > Laaplicacin de ls nuevas ACL en los routers 0 la aieién de reglas de firewall > Activaciino instalacin de reglas de eortafuegos personales hntps:/transiate googlousercontent comranslate_f 3862over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: > Revocarprvilegios de acceso > Restablecimiento de contraseiss > Terminacin de cuenlas no uslizados 0 innecesarios >oyimis AlienVault USM le ayuda a verfiear que la remediacidn se ha implementado correctamente ex una variedad de ‘formas, En primer Ingar, nesta evaluacién de la vulerabildad puede wilizarse para analiza los Han sido parcheados para verificer que los arreglos han funcionad y no han introducdo resgos adicionales Ademis, Ia capacidad de inventario de activos capture y recopila todos los datos de actives, incuidos Ios instalados Software y servicios. Estas dos funciones combinads le ayudan a confirmar, de un vistazo, si un parche Se ha aplicado o se ha instalado o babiltado un fiewall personal Revise y ectalice los programas de capactacién sobre concienciasin de seguridad o las polticas de seguridad setin corresponds. Cada investigacion de ineidentes de seguridad le brinda la oportunidad de evalua To bien que Programa de seguridad estéfuncionsndo (en términos de conciencia de seguridad, politicas, procedimientos y ‘Giacia). Los usuarios deben ser culpados por cada incidente de seguridad, pero los usuarios més vigilantes Seguridad cibernétca, mis probable es que disminuys el riesgo de incidentes, tanto en teminos de Frecuencia e impacto global. Un buen primer paso es investigar la actividad del usuario para obtener una comprensin de eGmo los usuarios en su ‘Onganizacién tipicamente se comportan. AlienVault USM proporciona vsibilidad de a actividad del usuario en los Su entomno para que pucda verificar que se estin siguiendo ls poiticas de seguridad y que cuslguie violacién Se documentan¢ investigan. Vea fa caprura de pantalla a continuscién para ver un ejemplo de cémo USM puede ayudar Pagina 16 PAPEL BLANCO. hntps:/transiate googlousercontent comranslate_f 14062over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: Revisar (y potencialmente reconfigurat os controles de monitoreo de seguridad basados en las lecciones| incidonte ‘Una vez que haya eompletado y veriicado todos los pasos de remediacién necesarios (y esto se aplica para parches Sistemas, asi como moditiear las poitess de seguridad, ahora es el momento de hacer un snisis eric de tds la Incidencia de las leecines aprendidas, Preintese asi mismo ya su equipo: > .Qué sali bien? > {Qué nos hemos perdido? > {Qué podriamos haber hecho mejor? Durante este andlisis, puede descubrr la necesidad de aumentar el monitoreo de cieros ativos © activos Grupos. Con AlienVault USM, puede habilitar IDS basados en host en actives locales especifics y Grupos de sctivos para supervisar el rendimiento del sistema, asi como los eambios en ls archivos eitcos del sistema, ‘Ademés, puede decidir realizar exploraciones de vulnerabilidad semanales © mensuales. AlienVault USM permit Usted puede programar exploraciones de vunerabilidades en cualquier frecuencia, yoffece muchas opciones para ejecutar Estas exploraciones, diecistis Pagina 17 PAPEL BLANCO ACT: Resumen Key takeaway # 1: Implomentarrépidament fa remediacin en todos los aetivos afectados y verificar que la remediacion ha Hecho comrectameate {Cémo ayuda AlienVaull? {La evaluacién integrada de vulnerabilidades de AlienVauit USM comprucba las ébilidades CConfiguraciones ertneas que podrian exponer los sistemas «un mayor riesgo, Inventario de activos de AlienVault USM Proporeiona dats granulares sobre sus activos, por fo que puede verifcar que los parches necesarios Han sido instalados o que se an inhabiitad servicios especificos. Key takeaway #2: Revisar y actuazar los programas de capactacién sobre concientizacin de seguridad o las politics de seguridad como spropiado, Cémo ayuda AlienVaul? AlienVault USM offece una visin global de su postura de seguridad, facilitando la ‘Vea los resultados desu capacitacién en seguridad y cumplimiento de politeas «Io largo del tiempo. Key takeaway #3: Revisr (y potencialmentereconfigutar) las controles de monitoreo de seguridad basados en leceiones Aprendido de ineidente {Cémo ayuda AlienVaul”? a plataorma AlienVault USM facilita el ajuste fino de las capacidades de monitoreo de seguridad hntps:/transiate googlousercontent comranslate_f 15162over2017 Elbit de herramientas de respuesta aincdentes AlerVauts: Especiicamente en lo que se deduce de un andisis post-mortem Resumen AlienVault USM, el equipo de investigacién de seguridad de AlienVault Labs y Alien\Vault OTX proporcionan Fundscién que sted necesita pera la respuesta eficaz del incidents, De le observacién y la oriensacién ls decison y Actuando, AlienVault es su socio en la detocign y respuesta alas mas amenszas contra su entorno om Locales y enfornos de nube. Gracias a nuestro enfoqu todo en uno para el monitoreo de seguridad, usted y ‘Sus comparetos é respuesta incidents tendrén més tiempo pare dedicarse Is eaza activa de amenszas y menos tiempo nla gestin de productos puntulesindividuales Obtenga ms informs ‘Alien Vault (USM e 200 ‘Eaplorarelentomo de demosracfn en line Comience a detectr amenavas con una prucha gratuite de alienvault usm OR Agi Laas peta uP Pg ScD ARR USM APlianes,AliznApp,AlienApps Os nombres pueden seca comerciales de sus especvos propio. hntps:/transiate googlousercontent comranslate_f 166