Particularmente prolífica en términos de publicaciones, Anssi (agencia nacional de seguridad de los sistemas de información) acaba de publicar una trilogía de guías centradas en la remediación. Objetivo ? Ayudar y apoyar a las empresas atrapadas en la trampa de un ciberataque para ayudarlas a adoptar (o anticipar) rápidamente los reflejos correctos a seguir y las acciones correctas a tomar para salir del problema. Si en tiempos normales la exposición a los riesgos cibernéticos ya es muy alta, los próximos meses prometen traer consigo sorpresas desagradables adicionales. "Publicamos estas guías ahora porque, en vísperas de los Juegos Olímpicos de París 2024, sabemos que el nivel de amenazas a las entidades será particularmente alto", nos explicó Emmanuel Naëgelen, director general adjunto de Anssi.

Estas tres guías de la agencia se basan en su experiencia y en una convocatoria de comentarios que le permitió recoger las opiniones de proveedores de servicios, expertos y también de CIO sobre la cuestión de la remediación de la ciberseguridad. “Estas tres guías capitalizan más de 10 años de intervenciones operativas de la agencia. Hemos desarrollado conocimientos operativos reales en la gestión y remediación de crisis cibernéticas”, continúa Emmanuel Naëgelen. Las tres guías de remediación y ciberataques de Anssi son las siguientes: claves de decisión, remediación piloto y remediación de Active Directory de nivel 0.

Índice
  1. Escenarios dependiendo de la urgencia del reinicio y los costos involucrados
  2. Definir claramente las prácticas de remediación
  3. Centrarse en las fases de remediación
  4. Un Active Directory saludable en un IS saludable

Escenarios dependiendo de la urgencia del reinicio y los costos involucrados

La primera guía para la remediación. poner las cosas en marcha interesará a los departamentos informáticos implicados en la aplicación de esta estrategia para organizarse mejor, pero también explicar a su jerarquía la importancia de un plan de acción estructurado en torno a tres pilares: contención, desalojo y erradicación, con la reconstrucción subyacente de El EI afectado por un ciberataque. Si la urgencia de reiniciar y los costes -tanto como los daños causados- varían significativamente de una empresa a otra, los CIO pueden resumir sus acciones con su dirección general en función de varios escenarios.

Anssi ha determinado tres destinados a poner de relieve la evolución de estos costes para una empresa afectada por un ataque, en caso de que el incidente se repita: un primero en el que el reinicio de emergencia de servicios vitales es de bajo coste, pero los riesgos de resurgimiento son alto, un segundo en el que el plan de seguridad se extenderá en el tiempo y un último en el que el coste de la primera remediación es alto pero se considera como un punto de partida para "una oportunidad de paso importante para sentar las bases del estado de la situación". -Seguridad artística.” Anssi también presenta recomendaciones para una remediación exitosa, incluyendo navegar la tormenta, tomar decisiones de estructuración, establecer objetivos estratégicos centrados en las empresas, ser flexible, vigilar a las personas, etc.

Definir claramente las prácticas de remediación

En su segunda guía, Anssi enfatiza los pasos de remediación a seguira saber: contención del atacante (evitar que el incidente empeore), expulsión del intruso del corazón del EI (recrear una base de confianza a partir de la cual llevar a cabo la reconstrucción) y erradicación de la influencia del adversario (eliminar la capacidad del atacante para regresar a través de puertas traseras dejadas durante la intrusión). Cabe señalar que en su introducción la agencia advierte que su documento “no captura todas las dimensiones de la gestión de incidentes” y que “complementa la gestión y la investigación de crisis”. El plan de remediación se divide en uno o más objetivos estratégicos, cada uno de los cuales se desglosa en objetivos operativos que requieren la ejecución de un subproyecto. “Es crucial secuenciar objetivos en todos los niveles y clasificarlos por prioridad para gestionar esta ejecución en el tiempo”, especifica la agencia. “Los ritmos, actores y medios de ejecución de este plan varían, no sólo según la fase de su avance, sino también según el nivel de preparación de la organización y el control del sistema antes del incidente”.

En cuanto a los objetivos estratégicos, giran en torno al control y validación del plan de remediación, su estructuración (identificación de los objetivos estratégicos, variación de los objetivos operativos para los cuales se apoyan acciones técnicas), su identificación y remediación y la continuidad del negocio implementado. “Durante incidentes destructivos o durante la fase de contención, sin duda se implementarán medidas para mantener la actividad junto con la remediación. Estas medidas pueden basarse en planes de continuidad del negocio y también en análisis de impacto en el negocio o análisis de riesgos, que normalmente ya han realizado el trabajo de priorizar los activos esenciales de la empresa. ¿Podemos leer en esta guía? En cuanto a los objetivos operativos, Anssi considera que deben realizarse en varios ejes (efecto sobre el avance hacia uno o más objetivos estratégicos, complejidad y coste de implementación y capacidad de mantenimiento en la duración". En esta guía, la agencia también enumera una interesante Una serie de obstáculos a evitar que pueden surgir cuando, atrapadas en la intensidad de un incidente, las empresas lamentablemente confunden velocidad y prisa, entre ellas: confiar en la implementación de una solución de seguridad "milagrosa", definir objetivos poco realistas, dispersar objetivos, apuntar a. acciones técnicas demasiado complejas, mantener objetivos inflexibles ante un obstáculo, hacer que objetivos sostenibles sean llevados a cabo exclusivamente por equipos temporales, plantear objetivos contrapuestos a recursos limitados...

Centrarse en las fases de remediación

“El proyecto de remediación se secuencia en tres fases sucesivas: contención, desalojo y erradicación. Conviene no abordar apresuradamente ninguna de estas etapas: fallar en una etapa generalmente compromete la siguiente y nos obliga a repetir total o parcialmente las etapas anteriores”, advierte Anssi. En cuanto a la fase de contención, los objetivos son los siguientes: preservar las huellas, limitar la propagación de los daños y los impactos comerciales, limitar la libertad del atacante y aumentar el conocimiento del ataque. En cuanto a la fase de desalojo, sus objetivos apuntan a crear una base de sistema y de red fuera del alcance del atacante, establecer medios de administración confiables, conciliar la necesidad de asegurar los elementos importados del sistema comprometido y minimizar los trabajos de reconstrucción y construcción. Servicios confiables de autenticación y administración de sistemas.

“Las operaciones de desalojo deben ser objeto de una cuidadosa preparación: identificación del núcleo mínimo, arquitectura de la nueva infraestructura, adquisición e instalación de servidores y estaciones de administración, planificación de cambios de identificadores. Por otro lado, se recomienda planificar un momento de cambio repentino del sistema comprometido a un sistema sano. Lo repentino del cambio tiene como objetivo reducir las oportunidades para que el atacante comprometa el nuevo núcleo de confianza cuando entre en producción”, señala Anssi. En cuanto a la fase de erradicación (eliminar el acceso del adversario, eliminar posibles rutas de retorno del atacante y ganar visibilidad de los intentos de retorno), esto puede resultar en el despliegue de un EDR y supervisión en las estaciones de trabajo, la división del SI en subsistemas y la migración asociada en una arquitectura controlada con inspección o reinstalación de máquinas. O la implementación de una colección de eventos detallados junto con una campaña para buscar compromisos en los registros y migrar datos a nuevas instancias de servicio. En términos de estrategia de reconstrucción, según Anssi destacan dos enfoques: el aislamiento (división del SI en subredes aisladas entre sí) o la santificación (creación de una red sana en la que los servicios “desinfectados” se reinstalan o se reintegran gradualmente) .

Un Active Directory saludable en un IS saludable

La última parte del tríptico de Anssi sobre la remediación es la más técnica, centrada en “ reconstruir el núcleo de confianza de Active Directory ". Está dirigido a los responsables de TI y de seguridad informática que deben gestionar la remediación después de un incidente de ciberseguridad. “Cada incidente de seguridad presenta sus especificidades: modo de funcionamiento del atacante, requisitos comerciales, etc. », advierte la Agencia en la introducción de su documento. “Los objetivos de seguridad y protección a veces pueden garantizarse mediante diferentes metodologías. Por lo tanto, es importante rodearse de expertos en Active Directory (soporte de editores, proveedores de servicios, etc.) capaces de llevar a cabo y adaptar también las acciones descritas en este documento. para diagnosticar y afrontar imprevistos.

Esta guía está estructurada en 4 partes, 3 son acciones técnicas sobre nivel 0 de Active Directory (investigación, desalojo y supervisión) y anexos. “Los objetivos de la investigación técnica para Active Directory de nivel 0 son garantizar que no se repliquen elementos maliciosos desde el controlador de dominio comprometido a los controladores de dominio pivote (controlador de dominio utilizado durante la reparación para permitir la finalización de modificaciones de Active Directory en un entorno aislado). y reconstruido”, explica Anssi.

En cuanto a las acciones técnicas de desalojo, la agencia las divide según tres escenarios de remediación: restablecer los servicios vitales en la medida de lo posible, recuperar el control del EI y aprovechar la oportunidad para preparar un control duradero del EI. A continuación, estos escenarios se cruzan con numerosas acciones técnicas de desalojo en un cuadro resumen especialmente legible. Luego, la guía pasa a las diferentes acciones que se deben llevar a cabo para garantizar que las máquinas AD de nivel 0 no se vean comprometidas (reinstalar todos los controladores de dominio, eliminar rutas de control peligrosas, etc.), renovar los secretos para evitar el uso de cuentas comprometidas por parte del atacante. (administrador, krbtgt...), endurecimiento de AD y objetos de directorio privilegiados, etc. “Como parte de la implementación del Nivel 0, los secretos se renuevan porque potencialmente están en posesión del atacante. Si el atacante busca utilizar secretos antiguos, se generarán y registrarán errores”, indica también Anssi en la parte de su guía sobre acciones técnicas para la supervisión del nivel 0 del AD. Finalmente, los anexos no deben descuidarse y proporcionar su parte de información y consejos útiles para definir el alcance del tercero 0 del AD o para garantizar las garantías de seguridad y protección de una operación de remediación.