Volver
RESPUESTA A INCIDENTES DE CIBERSEGURIDAD (IFCT124)
 
Duración en horas:  86
OBJETIVOS  

Identificar las características de los ataques informáticos, programar herramientas de detección, y reaccionar para detener el ataque (contener) y recuperar el funcionamiento de los procesos de negocio.
CONTENIDOS  

1. GESTIÓN DE RESPUESTA A INCIDENTES

1.1. Descripción de un equipo de respuesta a incidentes

1.1.1. Estructura organizativa

1.1.2. Distribución de funciones y operación

1.2. Organización de un equipo de respuesta a incidentes

1.2.1. Creación de procedimientos, políticas y planes para respuesta a incidentes

1.3. Identificación de servicios

1.3.1. Servicios Reactivos

1.3.2. Servicios proactivos

1.3.3. Gestión de la ciberseguridad

1.4. Relación de las fases en la respuesta a incidentes

1.4.1. Detección del incidente

1.4.2. Análisis de datos e identificación del incidente

1.4.3. Contención y erradicación del incidente

1.4.4. Recuperación del incidente

1.4.5. Notificación del incidente por regulación

1.5. Localización y contacto de los equipos de coordinación y respuesta a Incidentes de ciberseguridad: CSIRTs

1.5.1. Agencia de Ciberseguridad de Cataluña: modelos de interrelación y servicio

1.5.2. Foros internacionales: FIRST, TERENA-GEANT, Trusted Introducer

1.5.3. Agentes nacionales: INCIBE, CCN-CERT, CNPIC

1.5.4. Asociación nacional de equipos de respuesta a incidentes: CSIRT.ES

2. RECOGIDA DE DATOS Y GESTIÓN DE ALARMAS

2.1.Recopilación de datos significativos

2.1.1.Identificación de las fuentes de datos internas de un centro de operaciones de seguridad, mediante herramientas de monitorización de red y sistemas informáticos.

2.1.2.Identificación de fuentes de datos externas: Análisis de inteligencia del ataque (investigación, Threat Intelligence) e Inteligencia en fuentes abiertas (OSINT)

2.1.3.Recogida de evidencias digitales: búsquedas ciegas, preservación de la confidencialidad de los datos, preservación de la cadena de custodia y gestión de copias de seguridad.

2.2.Análisis de datos de intrusiones

2.2.1.Evaluación del impacto potencial de la intrusión y determinación del nivel de alerta correspondiente

2.2.2.Detección de intrusiones (IDS)

2.2.3.Protección contra intrusiones (IPS)

2.2.4.Gestión de datos

2.2.5.Análisis forense: Conocer las buenas prácticas de recogida de evidencias digitales, para mantener su validez en caso de realizarse una denuncia por los daños sufridos.

2.3.Correlación de datos y generación de alarmas

2.3.1.Gestión de logs de los diferentes sistemas y servicios

2.3.2.Sistemas de gestión de eventos de seguridad (SIEM)

2.3.3.Homogeneización de los datos. Filtrado y normalización de las fuentes.

2.3.4.Tratamiento de las alarmas: automatización de respuestas y Comunicación del escenario del incidente

2.3.5.Otras herramientas: Orquestación y automatización (SOAR), Visualización de datos y Generación automática de informes

3.RECOMENDACIONES DE BUENAS PRÁCTICAS Y MARCO REGULADOR

3.1.Interpretación, selección y aplicación de las herramientas y los estándares internacionales y nacionales de detección y respuesta a incidentes de ciberseguridad

3.1.1.MITRE ATT&CK

3.1.2.SIGMA (Security Management Services)

3.1.3.SIEM (OSSIM)

3.1.4.IDS (SNORT)

3.1.5.RTIR

3.1.6.OTRS

3.1.7.LUCIA

3.2.Clasificación de normativas de protección de datos personales

3.2.1.RGPD de la UE (Reglamento General de Protección de Datos Europeo)

3.2.2.LOPD-GDD (Ley orgánica de protección de datos y garantía de derechos digitales española)

3.3.Adecuación al Esquema Nacional de Seguridad

3.3.1.Metodología de análisis y gestión de riesgos (MAGERIT)

3.3.2.Herramientas de análisis, evaluación y gestión de riesgos (PILAR)

3.4.Aplicación de la Directiva NIS

3.4.1.Proveedores de servicios esenciales

3.4.2.Impacto en las empresas suministradoras

3.5.Definición de los principios de la ética profesional:

3.5.1.En la respuesta a incidentes

3.5.2.En la captura y custodia de evidencias

4. DESARROLLO DE UNA RESPUESTA A UN INCIDENTE DE CIBERSEGURIDAD

4.1.Extracción de información:

4.1.1.De una fuente de datos de tráfico en una red corporativa

4.1.2.De fuentes OSINT

4.2.Automatización de los procesos de detección de intrusiones:

4.2.1.Integración de fuentes de datos en una herramienta SIEM.

4.2.2.Selección de los parámetros para la detección y generación de alarmas relevantes.

4.3.Gestión de la respuesta a un incidente de seguridad informática.

4.3.1.Identificación de fuentes de cooperación para optimización de la respuesta a un incidente de ciberseguridad

4.3.2.Planificación de actuaciones y procedimientos

4.3.3.Resolución de un ciber-incidente