INFORMES REALIZADOS DURANTE EL CERTIFICADO DE GOOGLE CLOUD CIBERSECURITY

El Informe Final de Incidente de Seguridad lo elaboré a partir del "Proyecto de Respuesta ante Incidente de Violación de Seguridad de los Datos y Recuperación de los Sistemas Comprometidos" .

La situación es la siguiente:

Ya que mi equipo de seguridad contuvo, erradicó y se recuperó con éxito del incidente de Seguridad, el equipo pasó al siguiente paso del ciclo de vida de la Respuesta ante Incidentes: la Actividad Posterior al Incidente. En esta actividad, el equipo se dispone a hacer una reunión sobre lo aprendido de este incidente. Todas las partes interesadas Evaluarán el incidente, Valorarán las acciones de respuesta y también Identificarán áreas de mejora. Para realizar esta reunión, es necesario elaborar un Informe Final. Este informe hace una evaluación precisa de un incidente de seguridad.

Me delegaron la tarea de crear las secciones del Informe Final: "Resumen Ejecutivo" , "Respuesta y Recuperación" y "Recomendaciones".

El Resumen Ejecutivo consiste en un resumen de alto nivel del incidente de seguridad, en el que se incluye información crucial relacionada con la Violación de la Seguridad de los Datos y las principales conclusiones a tener en cuenta.

La sección "Respuesta y Recuperación" se divide en: "Medidas de Contención y Erradicación" y "Medidas de Recuperación". Comprenden una serie de acciones específicas de Respuesta y Solución que realicé como respuesta contra el incidente.

Las Recomendaciones son propuestas de mejora de los procesos y procedimientos relacionados con el Plan de Respuesta ante Incidentes, se añaden también sugerencias para implementar nuevos Controles de Seguridad y reducir riesgos que puedan ocurrir en el futuro.

Gracias a mi aportación en la elaboración del Informe, el Administrador del Equipo de Seguridad podrá revisar y finalmente usar el Informe para explicarlo en la Reunión sobre Las Lecciones Aprendidas en el Incidente.

INFORME final DE INCIDENTE DE SEGURIDAD

Índice:

RESUMEN EJECUTIVO
INVESTIGACIÓN
RESPUESTA Y RECUPERACIÓN
- Medidas de Contención y Erradicación
- Medidas de Recuperación
RECOMENDACIONES

RESUMEN EJECUTIVO

El equipo de seguridad detecta una actividad inusual en los sistemas en la nube. Una investigación más profunda de esta actividad revela rápidamente que la empresa ha sufrido una brecha de seguridad masiva en todas sus aplicaciones, redes, sistemas y repositorios de datos. Los atacantes obtuvieron acceso no autorizado a información sensible de los clientes, incluidos datos de tarjetas de crédito y detalles personales.

El incidente consistió en la infección de una de las máquinas virtuales de la aplicación por un malware. La máquina virtual infectada tenía habilitados los servicios SSH y RDP, con una IP pública que permitía al atacante establecer una conexión a través de esos puertos.

Se descubrió que la instancia de la máquina virtual se había creado con la cuenta de servicio predeterminada, que tenía acceso completo a las API de la nube. Esta configuración, combinada con roles IAM potencialmente excesivos asignados a los usuarios que accedían a la instancia, suponía un riesgo de escalada de privilegios.

Posteriormente, el atacante explotó la máquina comprometida para obtener acceso a la clave de usuario gestionada de la cuenta de servicio. Esto les permitió escalar aún más el ataque y dirigirse a otros servicios. En concreto, el atacante aprovechó las credenciales de usuario comprometidas para filtrar información no cifrada de tarjetas de crédito.

Durante el ataque, los autores identificaron un Bucket de Almacenamiento con acceso público habilitado desde Internet. Además, el bucket tenía un tipo de control de acceso detallado, que permitía el uso de IAM y ACL tanto a nivel de bucket como de objeto individual.

INVESTIGACIÓN

Se llevó a cabo una investigación exhaustiva para determinar la naturaleza y el alcance del compromiso. Se identificaron los siguientes hallazgos:

1. Infección por malware: El análisis forense confirmó la presencia de malware en la máquina virtual comprometida. El tipo específico y la variante del malware se identificaron mediante un análisis en profundidad, proporcionando información sobre las técnicas del atacante y sus posibles motivaciones.

2. Acceso no autorizado: Las pruebas revelaron que el atacante obtuvo acceso no autorizado a la máquina virtual comprometida explotando servicios RDP y SSH abiertos. Los registros de acceso y el análisis del tráfico de red proporcionaron información crucial sobre el punto de entrada del atacante y sus actividades posteriores.

3. Escalada de privilegios: El examen forense indicó que el atacante aprovechó la máquina virtual comprometida para escalar privilegios y obtener acceso a sistemas y recursos sensibles. A través de la explotación de credenciales de cuentas de usuario y de servicio, el atacante fue capaz de moverse lateralmente dentro de la red y apuntar a servicios adicionales; en particular, obtener acceso no autorizado a BigQuery.

4. Exfiltración de datos: El análisis forense confirmó la exfiltración de información de tarjetas de crédito, incluidos números de tarjeta, nombres de usuario y ubicaciones asociadas. El atacante utilizó un cubo de almacenamiento con acceso público a Internet para iniciar y facilitar la filtración, exportando los datos comprometidos para su posterior recuperación remota.

Los hallazgos proporcionan información valiosa sobre el ataque, lo que permite a los responsables de la respuesta a incidentes comprender el vector del ataque, las acciones del atacante y los datos comprometidos. Estos hallazgos servirán como prueba crucial para futuras investigaciones, esfuerzos de recuperación y futuras mejoras de Ciberseguridad.

RESPUESTA Y RECUPERACIÓN:

Para remediar eficazmente el incidente, se adoptaron una serie de medidas en consonancia con las mejores prácticas del sector. A continuación se describen las medidas de contención, erradicación y recuperación aplicadas:

Medidas de contención y erradicación:

-Aislamiento de la máquina virtual comprometida: La VM cc-app-01 comprometida se aisló inmediatamente de la red para evitar nuevos accesos no autorizados y limitar su impacto en otros sistemas.

-Restringir el acceso RDP y SSH: Las reglas del cortafuegos se actualizaron rápidamente para restringir el acceso RDP y SSH a la máquina virtual comprometida, minimizando el potencial de explotación a través de estos servicios.

-Modificación del bucket de almacenamiento público: Se eliminó el acceso público al bucket de almacenamiento y se cambiaron los permisos del bucket para el acceso uniforme a nivel de bucket.

Medidas de recuperación

-Restauración a partir de una instantánea de confianza: La máquina virtual comprometida se restauró a partir de una instantánea de confianza tomada antes del incidente, garantizando un estado limpio y seguro.

-Revisión de la configuración de seguridad: Se llevó a cabo una revisión exhaustiva de las configuraciones de seguridad en todos los sistemas -incluidas las máquinas virtuales, los buckets de almacenamiento y la infraestructura de red- para identificar y rectificar cualquier error de configuración o punto débil.

-Mejorar la supervisión: Se reforzaron los mecanismos de supervisión, incluida la implementación de análisis de registros en tiempo real para permitir la identificación rápida de cualquier intento de acceso no autorizado o actividad sospechosa en el futuro.

Mediante la aplicación de estas medidas, el equipo de seguridad consiguió mitigar los riesgos inmediatos, eliminar la presencia del atacante y restaurar los sistemas afectados a un estado seguro y operativo.

RECOMENDACIONES

Este incidente ha proporcionado valiosas lecciones que pueden servir de base para futuras prácticas de ciberseguridad y ayudar a prevenir incidentes similares. Las siguientes son recomendaciones que sugerimos implementar para mitigar ataques similares futuros:

1. 1. Realizar evaluaciones de riesgos periódicas: Realice evaluaciones de riesgos periódicas para identificar y priorizar los posibles riesgos y vulnerabilidades de seguridad específicos de su organización. Esto incluye la evaluación de sistemas, redes, aplicaciones y activos de datos.

2. 2. Implemente la autenticación multifactor (MFA): Active la MFA en todos los sistemas y cuentas críticos para añadir una capa adicional de seguridad. Esta medida ayuda a proteger contra el acceso no autorizado, incluso si las contraseñas se ven comprometidas.

3. 3. Aplicar el principio del mínimo privilegio: Siga el principio del privilegio mínimo, concediendo a los usuarios sólo los permisos necesarios para realizar sus funciones laborales. Revise periódicamente los privilegios de los usuarios y elimine los derechos de acceso innecesarios.

4. Realice pruebas de penetración: Realice periódicamente pruebas de penetración y evaluaciones de vulnerabilidad para identificar y solucionar los puntos débiles de la seguridad. Esta medida ayuda a descubrir vulnerabilidades antes de que los actores maliciosos las exploten.

El siguiente documento se denomina "Notas del Informe de Cumplimiento", corresponde a una simulación de una tarea cotidiana como miembro de un Equipo de Seguridad en la Nube, este equipo se ha dividido en varios grupos para abordar los Marcos de Trabajo de Cumplimiento y sus correspondientes requisitos con el objetivo de alinearse con las leyes, normas y reglamentaciones en materia de Seguridad en la Nube.

Me uní al equipo que está trabajando para implementar Recomendaciones de Seguridad que utiliza el marco de trabajo del Instituto Nacional de Estándares y Tecnología (NIST). Dentro del NIST, NIST SP 800-53 detalla un catálogo de Controles de Seguridad para proteger los sistemas de información. El Gobierno de EE.UU. está obligado a usar ese marco de trabajo. Sin embargo, cualquier organización puede utilizarlo para aumentar la seguridad de sus sistemas de información.

Copia de Tabla de Controles de Seguridad del NIST

Mi grupo debe detectar todos los Controles de Seguridad en la Nube ineficaces y que contribuyan a las brechas de cumplimiento. Mi jefe me pidió que revisara los detalles de un Informe de Cumplimiento de los Recursos en la Nube en un Proyecto de la Nube.

INFORME DE CUMPLIMIENTO DEL NIST

Primero, detectaré las brechas de cumplimiento y, luego, brindaré sugerencias para su corrección. Para ello consultaré la descripción de los Controles de Seguridad del NIST SP 800-53.

Luego analizaré los detalles del informe de cumplimiento NIST SP 800-53. En este informe las columnas incluyen la siguiente información:

● Familia de control: En esta columna, se incluye la familia de control de NIST SP 800-53 vinculada con el hallazgo. A tener en cuenta que no se detallan todas las 20 familias de control.

● Categorías de hallazgos: Una abreviatura de la descripción del control de seguridad.

● Gravedad: El nivel de riesgo de la categoría de hallazgo: bajo, medio o alto.

● Descripción: Una descripción del problema de cumplimiento.

● Recursos afectados: El nombre y el número de los recursos que se ven comprometidos por cada estándar de cumplimiento. Un recuento de 0 indica que no se encontraron controles de seguridad no eficaces.

Por último, redactaré el documento "Notas del Informe de Cumplimiento", en el que desarrollo las Recomendaciones de Seguridad para cada Control de Seguridad ineficaz que no cumpla con el NIST SP 800-53.

Notas del Informe de Cumplimiento de un Ejemplo.pdf

Con estas notas consigo mejorar la Postura de Seguridad de la organización, ya que se alinean los controles de seguridad con los requisitos de cumplimiento del NIST. Además se reduce la superficie de ataque de un posible ataque malicioso.

Page updated

Google Sites

Report abuse