¿Qué hacer?
Versión corta
- Determina qué ocurre.
- Responde a la emergencia.
- Avisa a la jefatura y a los usuarios o clientes oportunamente.
- Notifica al CSIRT.
- Recopila información.
- Resuelve el problema.
- Recupera la operación de los sistemas afectados.
- Avisa nuevamente a jefatura y usuarios.
Versión larga
Durante un incidente, es importante mantener la calma y tratar de actuar con rapidez pero tomándose un tiempo prudente para pensar en lo que estás haciendo, porque usualmente no hay segundas oportunidades para capturar información útil para el proceso que vendrá después.
Los siguientes son los pasos que desde el CSIRT de Gobierno recomendamos para hacer frente a un incidente de ciberseguridad:
- Determina qué ocurre. ¿Tienes un sitio web o un sistema interno caído? ¿Tus usuarios no tienen acceso a algún sistema importante? ¿Salió publicada información de tu servicio en la prensa? Recopila la mayor cantidad de datos posibles y que sean relevantes para presentarlos de forma ordenada a tu jefatura o (si existe) al comité de emergencia.
- Responde a la emergencia. Una vez identificado el problema, actúa rápido y toma las medidas necesarias para resolver el problema. Así, en el caso de un sitio web afectado por un defacement, o una aplicación expuesta a Internet caída, redirígela a una página estática que diga, por ejemplo, “en mantención”. Si existen máquinas en tu red interna que estén infectadas y atacando a otras, desconéctalas físicamente de la red y retira los aparatos para que los usuarios no los sigan usando. Muchas personas en este etapa piensan inmediatamente en tomar medidas legales (en nuestra experiencia, más motivados por querer hacer algo y no saber cómo contribuir en lo técnico). Lo más importante durante un evento es recuperar las capacidades o activos perdidos. Luego de recuperadas las capacidades, habrá tiempo de sobra para discutir qué medidas legales puedes tomar.
- Avisa a la jefatura y a los usuarios o clientes oportunamente. Prepara un par de párrafos que expliquen brevemente qué ocurrió, que se está haciendo para solucionar el problema y qué se hará dentro de los próximos minutos u horas.
- Notifica al CSIRT. Recuerda que debes notificarnos, según lo establecido en la Ley Marco de Ciberseguridad. Puedes notificar en nuestro sitio web, o llamarnos por teléfono, o enviarnos un correo a [email protected]. No necesitas venir físicamente a nuestras oficinas.
- Recopila información. Si la emergencia está controlada, continúa reuniendo información para realizar una investigación forense. Esto incluye: copias de los filesystems afectados, logs de las aplicaciones, listas de procesos en las máquinas infectadas, etc. Crea copias de la información afectada, calcula hashes de la información y guarda todo en un medio de almacenamiento permanente. Si no tienes posibilidad de hacer un análisis forense, contáctanos para ver si podemos ayudarte.
- Resuelve el problema. Dependiendo de cuál sea la causa del problema, resuélvela. Por ejemplo, ¿abusaron de un PhpMyAdmin que estaba expuesto a Internet? Deja de exponer la aplicación. ¿Hay un bucket en AWS mostrando datos sensibles? Baja el bucket o déjalo como privado. ¿Comprometieron tus máquinas internas a través de una vulnerabilidad de MS Windows? Aíslalas e instala las actualizaciones de seguridad no aplicadas. ¿Hay usuarios desconocidos o permisos en exceso otorgados a usuarios existentes? Arregla los permisos según las políticas oficiales. En esta etapa, el objetivo es tapar el agujero para evitar que siga entrando agua, no es sacar el agua. Si tienes la posibilidad de hacerlo, delega tareas a quienes puedan ayudarte con indicaciones muy claras sobre qué hacer.
- Recupera la operación de los sistemas afectados. Ahora sí, hay que sacar el agua del bote. Levanta una máquina limpia desde el último backup disponible y asegúrate que esté limpio. Una vez que el sistema esté disponible de nuevo, recupera la información faltante por el período en que el sistema estuvo caído o atacado. Cuando tengas una copia limpia y actualizada del sistema, redirige (e.g., DNS) el sitio público a la copia limpia.
- Avisa nuevamente a jefatura y usuarios. Infórmale a la jefatura y los usuarios que la operación volvió a la normalidad. Construye un relato breve sobre qué ocurrió y las medidas que se tomaron para solucionar el problema (post-mortem del incidente).
- Respira hondo y distribuye el post-mortem a la jefatura y los usuarios que corresponda. Vuelve a contactar al CSIRT para enviar una actualización de lo que ocurrió.
Si tienes dudas o necesitas apoyo, también puedes enviar un correo a [email protected] o llamar al 1510.