¿Qué debería contener un reporte de incidente Ciberseguridad?

Estimados lectores, en la siguiente entrega me referiré a un tema, que hoy está siendo un verdadero problema en las empresas.

Me gustaría ahondar en cuáles son los elementos mínimos que debería contener un reporte de incidente de Ciberseguridad, el cual puede ser compartido, con directorio, equipos técnicos, proveedores, partners, fiscalizadores e inclusive a la comunidad.

Blogdelciso

Este post tiene como predecesora la Playbook de respuesta incidentes y cómo armar un programa moderno de Ciberseguridad, para poder entender el contexto que se presenta a continuación.

Primero debemos entender que la información tiene diferentes estados y diferentes niveles de criticidad durante el transcurso de un incidente, por lo cual debemos ser meticulosos para compartirla de la mejor manera optima posible.

También que entre los miles de tipos de distintos de Incidentes, hay distinta información que podemos obtener rápidamente y alguna que requiere investigación, ergo no todos los informes contienen los mismo campos, puesto depende del ataque, distintos IOC serán añadidos, por esto tratare de homologar una base mínima, basada en las buenas practicas de los CERT mundiales.

Por lo anterior es clave al momento de compartir información, etiquetarla para que esta tenga los resguardos adecuados, un modelo ideal es:

Traffic Light Protocol (TLP)

Traffic Light Protocol (TLP) es un esquema creado para fomentar un mejor intercambio de información sensible (pero no clasificada) en el ámbito de la seguridad de la información. A través de este esquema, de una forma ágil y sencilla, el autor de una información puede indicar hasta dónde puede circular la información más allá del receptor inmediato, y este debe consultar al autor original cuando la información necesite ser distribuida a terceros.

¿Cómo se utiliza?

Se utiliza un código de cuatro colores, cuyo significado se puede consultar en la siguiente tabla:

Código Cuándo utilizarlo Cómo compartirlo Color Fondo
 TLP:RED  Se debe utilizar  TLP:RED  cuando la información está limitada a personas concretas, y podría tener impacto en la privacidad, reputación u operaciones si es mal utilizada. Los receptores no deben compartir información designada como  TLP:RED  con ningún tercero fuera del ámbito donde fue expuesta originalmente. #ff0033 #000000
 TLP:AMBER  Se debe utilizar  TLP:AMBER  cuando la información requiere ser distribuida de forma limitada, pero supone un riesgo para la privacidad, reputación u operaciones si es compartida fuera de la organización. Los receptores pueden compartir información indicada como  TLP:AMBER  únicamente con miembros de su propia organización que necesitan conocerla, y con clientes, proveedores o asociados que necesitan conocerla para protegerse a sí mismos o evitar daños. El emisor puede especificar restricciones adicionales para compartir esta información. #ffc000 #000000
 TLP:GREEN  Se debe utilizar  TLP:GREEN  cuando la información es útil para todas las organizaciones que participan, así como con terceros de la comunidad o el sector. Los receptores pueden compartir la información indicada como  TLP:GREEN  con organizaciones afiliadas o miembros del mismo sector, pero nunca a través de canales públicos. #33ff00 #000000
 TLP:WHITE  Se debe utilizar  TLP:WHITE  cuando la información no supone ningún riesgo de mal uso, dentro de las reglas y procedimientos establecidos para su difusión pública. La información  TLP:WHITE  puede ser distribuida sin restricciones, sujeta a controles de Copyright.

Fuente Incibe: https://www.incibe-cert.es/tlp

Entonces ya conociendo que el informe que desarrollaremos, va tener un TLP asociado, que derechamente significa con quien sera compartido.

Les presento algunas ideas de los componentes mínimos que debería tener un informe que sea compartido, y es lo que nos convoca:

Resumen Ejecutivo

{Un extracto del evento pensado para ser leído y entendido de manera simple}

Resumen Técnico

{Permítase, escribir la cronología, y los eventos relevantes sucedidos }

IOC

{En esta zona debe añadir los indicadores de compromiso obtenidos de las muestras de malware u otros}

IP

{En esta zona debe añadir los indicadores de compromiso a nivel de IP}

Dominios

{En esta zona debe añadir los indicadores de compromiso a nivel de Dominios y Subdominios}

Correos

{En esta zona debe añadir los indicadores de compromiso a solo casillas de correo}

HASH MD5

{En esta zona debe añadir los indicadores de compromiso a nivel MD5 } ¿Como se obtiene en Linux? md5sum file1.txt

HASH SHA-256

{En esta zona debe añadir los indicadores de compromiso a nivel MD5 } ¿Como se obtiene en Linux? sha256sum file1.txt

IOA

{Toda la información recopilada basado en el Cyber Kill Chain conozca más en https://www.blogdelciso.com/tag/cyberkillchain/}

 Impacto

{¿Riesgos empresariales asociados al incidente?}

Riesgo

{¿Riesgos empresariales asociados al incidente?}

Acciones tomadas / Recomendas

{¿Qué se hizo, o qué se debería hacer? dependiendo si es un informe preventivo o }

Fuentes

{¿De donde obtuvo la información?}

Versionamiento

{Documente los cambios es vital ,detalle quien modificó el documento, cuando y que cambio}

Nombre Modificación Fecha

DESCARGAR PLANTILLA

https://docs.google.com/document/d/1yRHIltqT_YMg2aYkoaKFs8kQ1BVIcVm_z2oVoKjV_8w/edit?usp=sharing

2 comentarios sobre “¿Qué debería contener un reporte de incidente Ciberseguridad?

Responder a Máster en Ciberseguridad INESEM Cancelar respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: