Llegamos a ustedes gracias a:



Reportajes y análisis

¿Trabaja en la respuesta a incidentes?

10 consejos para evitar la frustración y el agotamiento

[13/05/2014] Los recientes graduados de seguridad que entran en el mundo de la respuesta a incidentes, o aquellos con un fuerte background en seguridad que están haciendo un cambio en su carrera, se enfrentan a un entorno difícil, que a menudo conduce a la frustración y el agotamiento.

Hablando con base en la experiencia personal, Lesley Carhart, líder del equipo de respuesta a incidentes de seguridad del Centro de Operaciones de Seguridad (SOC) de Motorola Solutions, abordará el agotamiento asociado con carreras de respuesta a incidentes, poniendo especial énfasis en los que entran en la profesión, por primera vez, durante una presentación en CircleCityCon en Indianápolis, en junio.

La charla de Carhart mira el lado humano de la respuesta a incidentes, y evita la discusión de la metodología. En lugar de eso, ella ha creado una hoja de ruta basada en las "lecciones aprendidas" de su tiempo en las trincheras, y en cómo estas lecciones se puede utilizar para construir (no quemar) puentes entre los mundos de seguridad y empresariales.

En un resumen de su charla para CSO Online, Carhart dijo que ha visto numerosos ejemplos de agotamiento dentro de la comunidad de seguridad y en el SOC, dado que entrenan a los recién llegados.

"Si bien se están realizando esfuerzos a nivel normativo para proporcionar procesos de respuesta a incidentes de organización y procedimientos, se presta poca atención a la formación de los seres humanos para ser socorristas de incidentes mejor equipados", señala.

Además, si bien hay un montón de conocimiento público y de formación disponible, cuando se trata de la metodología de respuesta a incidentes, nada de eso prepara completamente a los recién llegados al campo; sobre todo cuando se trata de lidiar con la complejidad, el estrés, o la relación entre la seguridad y el negocio.

"Al no proporcionarse un fundamento adecuado para hacer frente a estos problemas, estamos fallando con la próxima generación de profesionales DFIR. Jóvenes brillantes, que tienen una educación técnica excelente, a menudo fallan o se retiran cuando se enfrentan a la burocracia corporativa, casos de alta presión, y a la falta de habilidades de negocios", explica.

Nadie se preocupa por mi Exploit
"Voy a comenzar con la más polémica de mis reglas, la que personalmente encuentro que causa el mayor estrés y fallas en la gente técnica que se mueve hacia respuesta a incidentes, señala Carhart.

La historia comienza con un joven brillante, un nuevo empleado que ha desarrollado una nueva herramienta, encuentra una vulnerabilidad interesante, o desarrolla un plan para hacer frente a alguna variante de una determinada pieza de malware. Cuando estos resultados, herramientas o planes se presentan a la gerencia, al joven se le dice que vuelva al trabajo.

"Se necesitaría un sociólogo para saber si el tipo de personalidad del hacker blanco promedio es parcialmente una consecuencia de la generación del milenio, o algo totalmente único. Independientemente, los profesionales de seguridad tienden a ser creativos, inteligentes e independientes", añade.

Pero estos rasgos no siempre se engranan con la sociedad corporativa, por lo que la primera regla que los nuevos socorristas de incidentes tienen que aprender es cómo vender cosas a sus organizaciones. Aunque los logros son importantes, tienen que presentarlas de una manera que cuantifique el valor.

"Tenemos que entender, al nivel más básico, lo que le preocupa a nuestras organizaciones. Al nivel más simple, casi todos quieren ganar dinero y evitar la pérdida del mismo. En casos excepcionales y específicos, puede ser que se preocupen por la vida y la muerte. Así que se deben cuantificar las cosas en estos términos cuando las presentamos a una empresa, ya sea que se trate de una cantidad de dólares que nuestra herramienta podría generar, las horas de trabajo que se perderán si no se toman acciones preventivas, o el número de vidas que se salvarán si nuestra operación militar tiene éxito, explica Carhart .

Construir buenas relaciones
Una dura realidad es que la seguridad no gana todas las batallas en los negocios.

Sin embargo, aunque la mayoría de departamentos de seguridad existen dentro de un vacío, los programas de respuesta a incidentes, no. Las personas de respuestas a incidentes y los conductores deben coordinar sus esfuerzos, desde TI hasta legal, y desde ingeniería hasta marketing. Además los programas de respuesta necesitan soporte de esas áreas.

Incluso cuando las personas en que confiamos no estén técnicamente calificadas o se resistan a las medidas de remediación, es crucial que mantengamos la calma y la cortesía", señala Carhart.

"Aunque el primer pensamiento bajo estrés a menudo puede ser el de arremeter contra los equipos humanos que no responden; es muy probable que la mayoría de roles de respuesta a incidentes, interactúen con la misma gente repetidamente. Nunca deberíamos quemar los puentes. En numerosas ocasiones, he tenido que volver al personal de TI que estuvo involucrado como ayuda en un incidente anterior. Están mucho más dispuestos a hacerme favores si he sido educada y servicial en el pasado".

Otro consejo es hacer buenas conexiones dentro de su comunidad local de seguridad, así como en la comunidad en línea. Esto abre varias vías de apoyo que incluyen correlaciones entre las muestras de malware, posibles oportunidades de capacitación, e información sobre las nuevas vulnerabilidades o exploits.

La comunicación importa
Mientras mantiene la calma y es educado, recuerde que la comunicación verbal y escrita no es solo una habilidad necesaria dentro de respuesta a incidentes, también es una gran debilidad.

"La seguridad informática es un campo especializado y exigente que a menudo atrae a personas que no están particularmente interesadas en estudios de lenguajes. Desafortunadamente, en respuesta a incidentes, no solo hay que lidiar con muchos equipos humanos diferentes, sino que también tenemos que hacer frente a todos los niveles de conocimientos técnicos. De hecho, muchos de los equipos en los que a menudo confío no son técnicos: abogados, relaciones públicas, e incluso de recursos humanos", anota Carhart. No tiene que ser una eminencia en oratoria, pero debe tener la habilidad de expresarse de una manera que la gente no técnica pueda entender completamente. La gente te juzga basándose en la manera de comunicarse, agrega.

"Esto significa intentar una buena ortografía, gramática y la puntuación en la comunicación escrita, y en los innumerables informes que se requieren de un respondedor a incidentes. La conclusión es que la gente volverá a pedir ayuda a las personas que pueden entender, con elogios y con oportunidades de progreso".

No asuma nada
"Un respondedor de incidentes no solo recibe información de los usuarios finales, sino de otros numerosos equipos humanos, desde técnicos hasta no técnicos. Inclusive el analista de malware más inteligente, ingenieros, analistas forenses y ejecutivos de nivel C pueden y cometerán errores. Durante un incidente de seguridad estresante y agitado, puede ser increíblemente tentador asumir hechos o conclusiones que nos presentan por el valor de su apariencia, en lugar de verificarlos o considerarlos, señala Carhart.

El método científico debe ser aplicado a la respuesta a incidentes. Empieza desde el principio, reúne y verifica todos los hechos, y luego confirma o corrige cualquier cosa que no se vea bien.

"Una suposición incorrecta puede causar que toda nuestra investigación vaya en la dirección equivocada, y se descarrile totalmente una recuperación. Como profesionales de seguridad, estamos constantemente bombardeados con historias de terror y paranoia. Esto también puede influir fácilmente en las conclusiones que sacamos al principio de una investigación".

En resumen, no busque hechos para que encajen en una conclusión, construya una conclusión a partir de los hechos.

Otros supuestos a evitar incluyen la línea de pensamiento de que todo el mundo tiene la capacidad y experiencia necesaria para realizar tareas técnicas que los equipos de respuesta a incidentes consideran simples. Por otra parte, está la suposición de que todo el mundo tiene las herramientas y recursos necesarios para llevar a cabo esas tareas. Ambos están muy lejos de la verdad.

Educación y documentos
Los equipos de respuesta a incidentes deben tomar notas rigurosas sobre el entrenamiento, el trabajo del día a día, y los incidentes. Esto incluye cualquier tarea que el equipo haga más de una vez, las tareas que solo una persona sabe cómo hacerlas, y las lecciones aprendidas después de cada incidente.

El punto, señala Carhart, es que ser capaz de referenciar rápidamente procesos y notas nos ahorrará estrés de más y confusión cuando se trabaja bajo presión. Por otra parte, la administración debe dar tiempo y financiación para capacitar a su equipo de seguridad. Pero hay más en esto que simplemente asistir a una clase o dar un examen de certificación. "Las habilidades de respuesta a incidentes deben ser ahondadas hasta que se ejecuten fácilmente bajo presión", señala.

"La policía y los militares entrenan con armas de fuego hasta que disparar adecuadamente es su segunda naturaleza. El personal de respuesta a desastres tiene una respuesta regular y gran cantidad de ejercicios de entrenamiento de heridos en masa. Los bomberos practican en edificios condenados. El objetivo es hacer tareas críticas y procesos tantas veces en un ambiente de alta presión que puedan ser realizados sin mucho esfuerzo. No hay razón por la que no deberíamos estar haciendo lo mismo, anota Carhart.

Sin embargo, la educación para los usuarios finales y otras unidades de negocio es simplemente importante. Cuanto más apoyo y comprensión reciba un equipo de respuesta a incidentes del resto de la organización, más fácil será su trabajo.

Además, los respondedores de incidentes tienen que tomar responsabilidad personal en su propio entrenamiento y conocimientos de seguridad. Para decirlo sin rodeos, no hay excusa para que un respondedor a incidentes no tenga una idea general acerca de lo que está en los titulares de ese día en noticias de seguridad. El acceso a dicha información es demasiado fácil de conseguir.

Priorización inteligente
A menudo, pasando por alto en el entrenamiento, la priorización es quizás la habilidad más básica e integral que un equipo de respuesta a incidentes puede tener.

"Hay días abrumadores como respondedor a incidentes, cuando todo va mal al mismo tiempo. Afortunadamente, las habilidades utilizadas en la priorización en otras industrias son bastante universales y muchas pueden ser fácilmente aplicadas a la seguridad", señala Carhart.

"En primer lugar, los pocos minutos que se toman durante un incidente para respirar y planear nuestros próximos pasos, casi siempre valen la pena. Es en este punto, durante la priorización o triaje, nuestros procesos previamente documentados, la metodología y la formación se convierten en la clave".

La recomendación es utilizar una matriz de riesgo, que ofrecerá una evaluación aproximada del riesgo de un incidente y la prioridad que va de baja a extrema. Este método de triaje también permite a los equipos de respuesta a incidentes explicar sus decisiones de gestión.

No se asuste
Para tener una mejor comprensión de este tema, hay que mirar los dos tipos de personas que entran en pánico durante un incidente de seguridad.

En el primer tipo están las personas extremadamente técnicas que han encontrado minucias. Pueden ser expertos en sus campos, pero probablemente están perdiendo el panorama general, o no han podido dejar de pensar en la situación.

En el segundo grupo están las personas sin conocimientos técnicos que han visto algo que los ha alarmado. Eso pudo haber venido de un correo electrónico, un reportaje o una conversación al paso.

"Nosotros, como gente de seguridad podemos caer en los dos grupos dependiendo de la situación -ninguna persona es un experto en todos los campos de seguridad. La seguridad con pánico (al igual que con cualquier otra cosa), no es una buena seguridad. Una vez más, volvemos a caer en nuestro método científico, y revisamos cualquier información que recibimos que no parece de hecho o confiable", anota Carhart.

"Este es un buen momento para mostrar la distinción entre respondedores a incidentes y manejadores de incidentes, nuevamente. En una situación ideal, ambas funciones deberían existir, y el manejador debería hablar a los miembros del equipo de pánico, a la gerencia y a los usuarios finales, mientras que los respondedores trabajan en la investigación relativamente ininterrumpida.

Recuerde lo básico: La práctica, la buena documentación y la formación, y las habilidades de triaje. Cuando se sienta abrumado, los equipos de respuesta a incidentes deben recurrir a estas líneas de vida.

La especialización es para los insectos
"La tendencia en seguridad de la información es comenzar como analista de registros, y luego pasar a una función especializada, como la de pruebas de penetración, análisis de malware, desarrollo de exploits, o análisis forense digital. La mayoría de la gente se acerca más a algunos de estos campos que otros. Como respondedor de incidentes, debemos regresar a ser generalistas. Esto no es para decir que la experiencia especializada no es útil. Sin embargo, el riesgo es que nuestra especialización coloree la forma en que percibimos un incidente, explica Carhart.

"Mi experiencia es en la ciencia forense digital. Si miro el mismo sistema comprometido como analista forense, como mi colega que es un analista de malware, puedo ver un caso muy diferente. Mientras que él verá los detalles de los códigos binarios del malware y sus comunicaciones en los sistemas comprometidos, yo advertiré los archivos modificados, borrados y movidos y los sistemas remotos accedidos.

Para ser efectivos, ambos deben ver el incidente a través de los ojos de un analista de malware, un analista de red, un tester de penetración, y un analista forense. Al mismo tiempo, tampoco tiene que convertirse en un experto en estas habilidades, hay recursos disponibles para ayudar cuando sea necesario. Pero a un nivel generalista de conocimientos es importante, aunque solo sea para comprender los pasos que se necesitan seguir a continuación.

Vea el panorama general
Hay muchos tipos diferentes de incidentes de seguridad, explica Carhart, desde los ataques dirigidos, hasta brotes de malware y las amenazas internas.

Cada uno tendrá un impacto en el negocio diferente en distintas partes de una organización víctima, y un respondedor a incidentes tiene la responsabilidad de entender el panorama de negocios.

"Él o ella debe ser en general consciente de los sistemas y proyectos que pueden ser blancos o de interés para un atacante, y debe ser capaz de saber a quién contactar para obtener más información acerca de ellos. El respondedor a incidentes también debería estar haciendo lo suficiente esfuerzo para entender las diferencias culturales, legales, ambientales y financieras entre nuestras unidades de negocio y las locaciones físicas. Esto permitirá que el equipo de seguridad entienda cómo impactarán los incidentes a cada uno de manera diferente, y cómo deberán ser remediados de manera distinta, señala la ejecutiva.

Mantenga el control del incidente
Un respondedor a incidente conduce la coordinación de la respuesta y la recuperación, y se asegura de que los diversos equipos responsables se mantengan en la ruta y calendario previstos. Ellos son los que determinan a dónde se dirige la investigación a continuación.

La responsabilidad del administrador de incidentes será la de programar actualizaciones regulares de comunicación y de estado con todos los equipos afectados. Este aspecto del trabajo puede requerir algunas habilidades de gestión de proyectos y personas que muchas universidades no ofrecen a los estudiantes de seguridad de la información.

"Yo sugeriría a cualquier persona que lucha con la puesta en cronograma de tareas -o que trata con la alta gerencia- que tome un curso básico de administración. Asistir a conferencias de seguridad y reuniones (especialmente hablando en conferencias), puede ayudar a construir esas habilidades, explica Carhart.

Finalmente, un respondedor a incidentes debe enorgullecerse de su trabajo, y asumir la responsabilidad de sus errores. Cada incidente es diferente, y cada persona con el tiempo eventualmente cometerá errores. Lo mejor que podemos hacer es aprender de ellos y no repetirlos".

Steve Ragan, CSO (EE.UU.)