Taxonomia i Detecció d'Incidents
Proposta didàctica
En aquest bloc treballem la RA2: Analitza i detecta incidents de ciberseguretat aplicant tècniques de monitoratge, classificació i taxonomia.
Criteris d'avaluació
-
CA2.1 Classifica incidents de ciberseguretat seguint taxonomies estàndard.
-
CA2.2 Estableix controls de monitoratge i detecció.
-
CA2.3 Detecta incidents de seguretat física.
-
CA2.4 Realitza monitoratge passiu via OSINT.
-
CA2.5 Classifica i documenta incidents detectats.
Continguts de referència
-
Taxonomia d'incidents de ciberseguretat
- 1.1 Classificació ENISA
- 1.2 MITRE ATT&CK Framework
- 1.3 Kill chain de Lockheed Martin
- 1.4 Tipus principals d'incidents
-
Eines de monitoratge i detecció
- 2.1 SIEM: Security Information and Event Management
- 2.2 IDS/IPS: Intrusion Detection/Prevention Systems
- 2.3 EDR: Endpoint Detection and Response
- 2.4 Correlació d'events i alertes
-
Seguretat física i incidents físics
- 3.1 Controls de seguretat física
- 3.2 Tipus d'incidents físics
- 3.3 Integració física-lògica
-
OSINT per a la detecció
- 4.1 OSINT framework i fonts
- 4.2 Shodan i Censys
- 4.3 VirusTotal i anàlisi de malware
- 4.4 Cerca de credencials compromeses
-
Classificació i valoració d'incidents
- 5.1 Criteris de classificació
- 5.2 Matriu d'impacte i probabilitat
- 5.3 Documentació inicial de l'incident
Programació d'aula
| Sessió | Continguts | Activitats | CAs Treballats |
|---|---|---|---|
| 21 | Taxonomia: ENISA i classificació d'incidents | CA2.1 | |
| 22 | MITRE ATT&CK: tàctiques i tècniques | CA2.1 | |
| 23 | Kill chain: del reconeixement a l'objectiu | CA2.1 | |
| 24 | SIEM: arquitectura i funcionament | CA2.2 | |
| 25 | Wazuh: desplegament i configuració bàsica | Pràctica | CA2.2 |
| 26 | Correlació d'events i regles SIEM | CA2.2 | |
| 27 | IDS/IPS: Snort i Suricata | CA2.2 | |
| 28 | EDR: CrowdStrike, SentinelOne, Wazuh agent | CA2.2 | |
| 29 | Seguretat física: controls i incidents | CA2.3 | |
| 30 | OSINT: marc general i ús legal | CA2.4 | |
| 31 | OSINT: Shodan, Censys, VirusTotal | Pràctica | CA2.4 |
| 32 | Matriu d'impacte i classificació | CA2.5 | |
| 33-37 | Pràctica SIEM amb Wazuh | PR501 | CA2.2, CA2.5 |
| 38-40 | Projecte bloc 2 | Tots CA2.x |
1. Taxonomia d'incidents de ciberseguretat
Classificació ENISA
L'Agència de la Unió Europea per a la Ciberseguretat (ENISA) ha desenvolupat una taxonomia d'incidents que és el marc de referència per a les autoritats i organitzacions europees. Aquesta classificació és la base que utilitzen entitats com l'INCIBE-CERT i el CCN-CERT per reportar i analitzar estadísticament els incidents.
La taxonomia ENISA classifica els incidents en les categories principals següents:
1. Malware: Programari maliciós dissenyat per danyar, pertorbar o obtenir accés no autoritzat a sistemes. Inclou ransomware, trojans, spyware, adware, rootkits, i worms.
2. Atacs de disponibilitat (DoS/DDoS): Atacs que busquen exhaurir els recursos d'un sistema o servei per fer-lo inaccessible. Un atac DDoS (Distributed Denial of Service) utilitza múltiples fonts distribuïdes (sovint una xarxa de bots o botnet) per amplificar l'atac.
3. Accés no autoritzat / intrusió: Obtenció d'accés a sistemes, xarxes o dades sense autorització. Inclou l'explotació de vulnerabilitats, la utilització de credencials robades, i la escalada de privilegis.
4. Fuita d'informació / Data breach: Divulgació no autoritzada d'informació sensible o confidencial, ja sigui a través d'atacs externs, errors interns o insider threats.
5. Frau / Enginyeria social: Incidents que impliquen engany per obtenir informació o accés. Inclou phishing, vishing (phishing per veu), smishing (phishing per SMS), i fraus BEC (Business Email Compromise).
6. Spam: Enviament massiu no sol·licitat de missatges, habitualment com a vector de distribució de malware o phishing.
7. Atacs a aplicacions web: SQL injection, Cross-Site Scripting (XSS), CSRF, i altres vulnerabilitats OWASP Top 10 explotades en aplicacions web.
8. Atacs a la cadena de subministrament: Compromís de proveïdors o components de programari que posteriorment afecta als clients. L'atac a SolarWinds (2020) és l'exemple paradigmàtic.
9. Abús de funcionalitat / Configuració incorrecta: Incidents causats per una configuració inadequada de sistemes o serveis exposats a Internet (per exemple, un bucket S3 d'AWS obert públicament).
MITRE ATT&CK Framework
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) és la base de coneixement sobre tàctiques i tècniques dels adversaris més completa i usada del món. A diferència de les taxonomies de classificació d'incidents, ATT&CK descriu com actuen els atacants, cosa que permet millorar la detecció i la resposta.
ATT&CK s'organitza en una matriu on les columnes representen les tàctiques (l'objectiu que busca l'atacant) i les files representen les tècniques (el mètode específic usat per assolir l'objectiu).
Les 14 tàctiques de MITRE ATT&CK Enterprise:
| # | Tàctica | Descripció |
|---|---|---|
| TA0043 | Reconnaissance | Recollida d'informació sobre l'objectiu |
| TA0042 | Resource Development | Preparació de recursos per a l'atac |
| TA0001 | Initial Access | Obtenció d'accés inicial a la xarxa |
| TA0002 | Execution | Execució de codi maliciós |
| TA0003 | Persistence | Manteniment de l'accés |
| TA0004 | Privilege Escalation | Obtenció de privilegis superiors |
| TA0005 | Defense Evasion | Evasió de controls de seguretat |
| TA0006 | Credential Access | Robatori de credencials |
| TA0007 | Discovery | Exploració de l'entorn |
| TA0008 | Lateral Movement | Moviment lateral per la xarxa |
| TA0009 | Collection | Recollida de dades d'interès |
| TA0011 | Command and Control | Comunicació amb la infraestructura de l'atacant |
| TA0010 | Exfiltration | Exfiltració de dades |
| TA0040 | Impact | Impacte sobre els sistemes o les dades |
La Kill Chain de Lockheed Martin
La Cyber Kill Chain, desenvolupada per Lockheed Martin el 2011, és un model lineal que descriu les 7 fases d'un atac cibernètic:
flowchart LR
A["1. Reconeixement\nRecon"] --> B["2. Armament\nWeaponization"]
B --> C["3. Lliurament\nDelivery"]
C --> D["4. Explotació\nExploitation"]
D --> E["5. Instal·lació\nInstallation"]
E --> F["6. Comandament\ni Control (C2)"]
F --> G["7. Accions\nsobre l'objectiu"]
Reconeixement: L'atacant recopila informació sobre l'objectiu: empleats (LinkedIn, OSINT), infraestructura (escaneig de ports, DNS), vulnerabilitats potencials.
Armament: Creació o adaptació del malware (o altra eina d'atac) per explotar la vulnerabilitat identificada.
Lliurament: Transmissió del malware a l'objectiu: correu de phishing, web maliciosa, USB drop, atac a la cadena de subministrament.
Explotació: El malware o el codi maliciós s'executa explotant la vulnerabilitat. Pot ser una vulnerabilitat de programari (CVE) o una vulnerabilitat humana (l'empleat fa clic).
Instal·lació: El malware s'instal·la al sistema per mantenir l'accés persistent (backdoor, troià, RAT).
Comandament i Control (C2): El malware estableix comunicació amb el servidor de l'atacant. Sovint usa canals xifrats o protocols legítims per evadir la detecció.
Accions sobre l'objectiu: L'atacant assoleix el seu objectiu: exfiltrar dades, xifrar fitxers (ransomware), sabotejar sistemes, usar la xarxa com a plataforma per atacar tercers.
Miniactivitat 2.1
Analitzeu l'atac WannaCry de maig de 2017 i mapegeu-lo a:
- Les 7 fases de la Kill Chain de Lockheed Martin. Per a cada fase, descriviu concretament com va actuar el malware.
- Les tàctiques MITRE ATT&CK rellevants (identifiqueu almenys 5 tàctiques i una tècnica específica per a cadascuna).
- La categoria ENISA en la qual classificaríeu l'incident.
Pistes: WannaCry va explotar la vulnerabilitat EternalBlue (MS17-010) del protocol SMB, propagant-se automàticament per xarxes sense pegar. Va xifrar fitxers i demanava rescat en Bitcoin. El va aturar un investigador (MalwareTech) que va registrar un domini que actuava com a kill switch.
2. Eines de monitoratge i detecció
SIEM: Security Information and Event Management
Un SIEM és la columna vertebral de les operacions de seguretat d'una organització madura. Combina dues funcionalitats:
- SIM (Security Information Management): Recollida, normalització i emmagatzematge de logs de múltiples fonts.
- SEM (Security Event Management): Correlació d'events en temps real i generació d'alertes.
flowchart TD
subgraph FONTS["Fonts de logs"]
A["Servidors\nWindows/Linux"]
B["Firewalls i\nRouters"]
C["Aplicacions\nweb"]
D["EDR /\nAntivirus"]
E["Active\nDirectory"]
end
subgraph SIEM_CORE["SIEM (Wazuh)"]
F["Agent de recollida"] --> G["Parser /\nNormalitzador"]
G --> H["Motor de\ncorrelació"]
H --> I["Indexador /\nBase de dades"]
I --> J["Interfície\nde visualització"]
H --> K["Sistema\nd'alertes"]
end
subgraph SORTIDES["Sortides"]
L["Dashboard"]
M["Alertes per correu / SIEM"]
N["Tickets (TheHive)"]
O["Informes"]
end
FONTS --> F
J --> L
K --> M
K --> N
I --> O
Wazuh és el SIEM de codi obert de referència. Proporciona:
- Agents: Programes lleugers instal·lats als endpoints que recullen logs, monitoritzen fitxers (File Integrity Monitoring - FIM), i detecten rootkits.
- Manager: Processa els events rebuts dels agents, aplica les regles de detecció i genera alertes.
- Indexador (OpenSearch/Elasticsearch): Emmagatzema i indexa tots els events per a cerques ràpides.
- Dashboard (Kibana/OpenSearch Dashboards): Interfície gràfica per a la visualització i la investigació.
Casos d'ús típics del SIEM:
- Detecció de brute force: Correlació de múltiples intents d'autenticació fallits en poc temps des de la mateixa IP.
- Lateral movement: Detecció d'un compte que autentifica a molts sistemes en un interval curt (comportament inhabitual d'un compte d'usuari normal).
- Data exfiltration: Volum anòmal de dades sortints cap a IPs externes no habituals.
- Accés en horaris no habituals: Un compte d'usuari que accedeix a les 3 de la matinada quan habitualment treballa de 9 a 18h.
- Malware conegut: Correlació d'indicadors de compromís (IOCs) coneguts: hash de fitxers, IPs de C2, dominis maliciosos.
IDS/IPS
IDS (Intrusion Detection System): Sistema que monitoritza el tràfic de xarxa o el comportament del sistema per detectar activitat sospitosa i generar alertes. Un IDS és passiu: detecta però no actua.
IPS (Intrusion Prevention System): Com un IDS però actiu: quan detecta tràfic maliciós, pot bloquejar-lo automàticament en temps real.
Tipus de IDS/IPS:
- NIDS/NIPS (Network-based): Analitzen el tràfic de xarxa. Es col·loquen en punts estratègics de la xarxa (DMZ, perimetre, entre segments). Snort i Suricata són els referents de codi obert.
- HIDS/HIPS (Host-based): S'executen al propi host. Monitoritzen activitat local: accés a fitxers, canvis en el registre, syscalls. Wazuh agent és un exemple de HIDS.
Snort vs Suricata:
| Característica | Snort | Suricata |
|---|---|---|
| Creador | Cisco / Martin Roesch | OISF |
| Llicència | GPL | GPL |
| Multithreading | No (single-thread) | Sí (molt millor rendiment) |
| Processament de protocols | Limitat | Complet (HTTP, TLS, DNS...) |
| Lua scripting | Sí | Sí |
| Comunitat | Molt gran | Gran i creixent |
Regla de Snort/Suricata bàsica:
# Exemple de regla Suricata per detectar tràfic a un domini de C2 conegut
alert dns any any -> any any (
msg:"Possible C2 Communication - Known Malware Domain";
dns.query;
content:"malware-c2.evil.com";
classtype:trojan-activity;
sid:9000001;
rev:1;
)
# Regla per detectar escaneig de ports (SYN scan)
alert tcp any any -> $HOME_NET any (
msg:"Possible Port Scan - SYN Scan Detected";
flags:S;
threshold:type threshold, track by_src, count 20, seconds 3;
classtype:recon;
sid:9000002;
rev:1;
)
EDR: Endpoint Detection and Response
Els EDR (Endpoint Detection and Response) són la solució de seguretat en endpoints de nova generació. Mentre que l'antivirus tradicional funciona per signatura (compara fitxers amb una base de dades de malware conegut), els EDR utilitzen anàlisi de comportament, intel·ligència artificial i threat hunting proactiu.
Funcionalitats principals d'un EDR:
- Visibilitat total de l'endpoint: Tots els processos, connexions de xarxa, operacions de fitxers i canvis al registre són registrats.
- Detecció basada en comportament: Detecta activitat sospitosa fins i tot de malware desconegut (zero-day).
- Resposta automatitzada: Pot aïllar automàticament un endpoint compromès, matar processos maliciosos, o restaurar fitxers des de còpia de seguretat.
- Threat hunting: Permet als analistes cercar proactivament indicadors de compromís en tots els endpoints.
Solucions EDR rellevants:
- Microsoft Defender for Endpoint: Integrat en Windows, molt estès en entorns corporatius.
- CrowdStrike Falcon: Solució enterprise líder del mercat.
- SentinelOne: Reconeguda per les seves capacitats d'IA i resposta autònoma.
- Wazuh agent + moduls: Alternativa de codi obert que combina HIDS, FIM, i monitoratge de vulnerabilitats.
Miniactivitat 2.2
Un analista del SOC rep l'alerta SIEM següent:
[2024-03-15 03:42:17] ALERT HIGH: Anomalous authentication pattern
User: jgomez@empresa.cat
Source IP: 185.220.101.45 (TOR exit node - Romania)
Destination: VPN Gateway
Event: Successful login after 47 failed attempts
Previous logins: Mon-Fri 08:00-18:00 from 192.168.1.105 (Barcelona, ES)
Responeu les preguntes següents: 1. Quins indicadors de compromís (IOCs) identifiqueu en l'alerta? 2. Quines tàctiques MITRE ATT&CK podrien estar actives? 3. Quines accions immediates ha de prendre l'analista (ordre de prioritat)? 4. Quin nivell de severitat assignaríeu a aquest incident (Crític/Alt/Mitjà/Baix) i per qué? 5. Quines evidències caldria recollir per a la investigació?
3. Seguretat física i incidents físics
La intersecció entre seguretat física i lògica
La seguretat de la informació no és únicament digital. Els incidents de seguretat física poden tenir conseqüències lògiques devastadores, i viceversa. Un atacant físic que accedeix a un CPD (Centre de Processament de Dades) pot endur-se discos durs, instal·lar keyloggers de hardware, o simplement destruir equipament crític.
Incidents de seguretat física habituals:
Tailgating / Piggybacking: Un atacant segueix un empleat autoritzat a través d'una porta de seguretat sense necessitat d'autenticació pròpia. Les solucions inclouen portes amb torniquets que permeten el pas d'una sola persona, o mantraps (vestibulets amb dues portes on la primera ha de tancar-se abans d'obrir la segona).
Shoulder surfing: Observació no autoritzada de pantalles o teclats. Especialment perillós en espais públics i open offices. La solució és l'ús de filtres de privacitat a les pantalles i l'educació als empleats.
Dumpster diving: Recuperació d'informació sensible de les escombraries. Documents impresos amb dades sensibles, notes adhesives amb contrasenyes, suports d'emmagatzematge antics... Les pol·lítiques de destrucció de documents (trituradora certificada DIN 66399) i el protocol de destrucció de suports de dades (degaussing, destrucció física certificada) mitiguen aquest risc.
USB baiting: Col·locació de USB drops (pendrives) en llocs estratègics (pàrquing de l'empresa, sala d'espera) esperant que algun empleat el connecti a un ordinador de l'empresa. Les pendrives poden contenir malware que s'executa automàticament (si l'autorun no s'ha desactivat) o simular ser un dispositiu HID (teclat) i executar comandes (atac Rubber Ducky).
Controls de seguretat física:
| Control | Descripció | Exemple |
|---|---|---|
| Control d'accés físic | Sistemes d'identificació per entrar a zones sensibles | Targetes RFID, biomètric |
| CCTV | Càmeres de videovigilància amb emmagatzematge | Enregistrament 30 dies |
| Seguretat perimetral | Protecció de l'exterior de les instal·lacions | Tanques, guardes |
| Zones de seguretat | Classificació d'àrees per nivell de restricció | CPD = zona restringida |
| Armaris sous clau | Protecció de servidors i equipament crític | Rack amb pany |
| Destrucció de suports | Protocol per a destrucció de dades i suports | Trituradora DIN P-4+ |
Miniactivitat 2.3
Un auditor de seguretat visita les oficines d'una empresa de 50 persones. Identificat com a auditor, realitza les activitats següents (totes amb autorització prèvia de la direcció):
- Prova d'entrar seguint un empleat per la porta principal sense passar la seva pròpia targeta: té èxit.
- Troba 3 post-its amb contrasenyes enganxades als monitors.
- Troba un USB a terra del pàrquing, el connecta a un portàtil de proves aïllat: conté un executable maliciós.
- Recupera de les escombraries un extracte bancari corporatiu imprès.
- Accedeix al CPD seguint un tècnic: la porta no és mantrap i no hi ha càmeres internes.
Elaboreu l'informe de seguretat física que hauria de lliurar l'auditor, incloent: vulnerabilitats identificades per ordre de gravetat, impacte potencial de cada vulnerabilitat, i recomanació de control per a cadascuna.
4. OSINT per a la detecció
Què és OSINT?
OSINT (Open Source INTelligence) és la recollida i anàlisi d'informació de fonts obertes i públicament disponibles. En l'àmbit de la ciberseguretat, OSINT s'utilitza tant per als defensors (monitoratge de la superfície d'atac pròpia, recerca de credencials compromeses, intel·ligència sobre amenaces) com per als atacants (reconeixement de l'objectiu).
La clau de l'OSINT és que tota la informació recollida és pública i legal d'obtenir. L'ús de tècniques OSINT no requereix accés no autoritzat a sistemes. És, per definició, informació que ja és accessible públicament; el valor de l'OSINT rau en la capacitat d'agregar, correlacionar i analitzar aquesta informació.
Límits legals de l'OSINT
Tot i que l'OSINT utilitza informació pública, cal tenir cura amb:
- Protecció de dades (RGPD): Agregar dades personals públiques pot constituir tractament de dades personals i requerir base legal.
- Terme d'ús de plataformes: Moltes plataformes (LinkedIn, Twitter/X) prohiben el scraping automatitzat en els seus termes d'ús.
- Finalitat: L'ús d'OSINT ha de ser legítim. Usar OSINT per a assetjament, stalking o espionatge industrial és il·legal.
- Targets autoritzats: Quan feu OSINT en context professional o formatiu, assegureu-vos que l'objectiu us ha autoritzat explícitament, o que es tracta del vostre propi domini/infraestructura.
Eines OSINT principals
Shodan: "El Google dels dispositius connectats"
Shodan és un motor de cerca especialitzat que indexa dispositius connectats a Internet: servidors, routers, càmeres IP, dispositius IoT, sistemes SCADA industrials, i qualsevol altre dispositiu que tingui un port obert. Shodan fa escanejos continus d'Internet i emmagatzema les respostes dels serveis trobats.
Casos d'ús defensius de Shodan: - Trobar serveis exposats de la pròpia organització que no haurien de ser públics. - Verificar quins ports i serveis té exposats un servidor. - Detectar versions de programari obsoletes amb vulnerabilitats conegudes. - Monitoratge de la superfície d'atac pròpia.
# Cerques útils a Shodan (interfície web o API)
# Trobar servidors amb un banner específic
org:"Empresa SA" port:3389 # RDP exposat a Internet d'una organització
# Trobar servidors web amb una versió específica (potencialment vulnerable)
apache/2.2 country:ES
# Trobar càmeres IP sense autenticació
has_screenshot:true port:554 # RTSP streams oberts
# Trobar panells d'administració exposats
title:"phpmyadmin" country:ES
VirusTotal
VirusTotal és un servei d'anàlisi de fitxers i URLs que utilitza més de 70 motors d'antivirus simultàniament. Molt útil per:
- Verificar si un fitxer sospitós és malware conegut.
- Comprovar si una URL és maliciosa.
- Investigar un hash de fitxer per obtenir informació sobre el malware (comportament, connexions de xarxa, fitxers creats).
- Veure si una IP o domini ha estat associada a activitat maliciosa.
TheHive i Cortex
TheHive és una plataforma de gestió d'incidents de codi obert. Cortex és el seu motor d'anàlisi que integra centenars d'analitzadors (entre ells VirusTotal, Shodan, AbuseIPDB, MalwareBazaar, etc.) per enriquir automàticament els indicadors d'un incident.
Maltego
Maltego és una eina de visualització de relacions entre entitats OSINT. Permet construir grafs que mostren les connexions entre dominis, IPs, persones, organitzacions, correus electrònics, etc. La versió Community és gratuïta amb algunes limitacions.
SpiderFoot
SpiderFoot és un framework OSINT de codi obert amb una interfície web. Pot automatitzar la recollida d'informació des de centenars de fonts sobre un domini, una IP, una organització o una persona.
# Desplegament de SpiderFoot amb Docker
docker run -d \
--name spiderfoot-NOMCOGNOM \
-p 5001:5001 \
smicallef/spiderfoot
# Accedir a: http://localhost:5001
# Crear un nou scan i introduir el domini a investigar
Have I Been Pwned (HIBP)
Servei que permet comprovar si una adreça de correu electrònic o un domini han aparegut en bases de dades de credencials compromeses. Molt útil per a la monitoratge proactiva: si apareix el domini d'una empresa en una filtració, és un indicador que les credencials dels empleats poden estar compromeses.
Miniactivitat 2.4
Usant únicament eines OSINT legals i sense accedir a cap sistema sense autorització, realitzeu una investigació sobre el domini testphp.vulnweb.com (un domini públic de proves d'Acunetix, explícitament dissenyat per a pràctiques de seguretat):
- Quins serveis i ports té exposats? (podeu usar Shodan o eines de DNS públiques)
- Quines tecnologies usa el servidor web?
- Hi ha subdominis visibles públicament?
- Hi ha registres DNS que revelin informació de la infraestructura interna?
- Documenteu totes les troballes en un informe estructurat amb seccions: Metodologia, Troballes, Valoració del risc, Recomanacions.
5. Classificació i valoració d'incidents
Per què cal classificar els incidents?
La classificació permet assignar els recursos de resposta de manera proporcional a la gravetat real de l'incident. No tots els incidents requereixen la mateixa urgència: un escaneig de ports automàtic és molt diferent d'un ransomware actiu. Una classificació inadequada pot conduir a una resposta excessiva (cost elevat) o insuficient (l'incident s'agreuja).
Nivells de severitat
La majoria d'organitzacions utilitzen un esquema de 4 nivells de severitat per als incidents:
| Nivell | Nom | Descripció | Temps de resposta |
|---|---|---|---|
| P1 | Crític | Sistemes crítics compromesos, dades personals exfiltrades, servei completament aturat, ransomware actiu | Immediat (< 1h) |
| P2 | Alt | Accés no autoritzat a sistemes importants, malware detectat però confinat, incident en progrés | < 4h |
| P3 | Mitjà | Vulnerabilitat explotada sense impacte confirmat, comportament anòmal en investigació | < 24h |
| P4 | Baix | Incident menor, falsos positius resolts, intents fallits documentats | < 72h |
Matriu d'impacte i probabilitat
La valoració d'un incident combina dos eixos: l'impacte que tindria si es materialitzés (dany potencial a la confidencialitat, integritat o disponibilitat) i la probabilitat que es produeixi (o que ja s'hagi produït).
quadrantChart
title Matriu de Valoració d'Incidents
x-axis Probabilitat baixa --> Probabilitat alta
y-axis Impacte baix --> Impacte alt
quadrant-1 Risc CRÍTIC - Acció immediata
quadrant-2 Risc ALT - Planificar resposta
quadrant-3 Risc BAIX - Monitorar
quadrant-4 Risc MITJÀ - Mitigar
Ransomware: [0.85, 0.95]
Phishing: [0.90, 0.60]
Escaneig de ports: [0.95, 0.15]
Vulnerabilitat zero-day: [0.20, 0.95]
DDoS: [0.65, 0.70]
Accident físic: [0.30, 0.50]
Documentació inicial de l'incident
En el moment de detectar un incident, cal crear immediatament un registre inicial (ticket d'incident) que inclogui:
REGISTRE D'INCIDENT - INFORME INICIAL
======================================
ID Incident: INC-2024-0342
Data/hora detecció: 2024-03-15 09:27 CET
Detectat per: SIEM Wazuh / Analista: M. Puig
Severitat inicial: P2 - Alt
DESCRIPCIÓ BREU:
Activitat anòmala detectada: múltiples connexions RDP des d'una IP externa
(185.234.56.78) al servidor DC01 de l'Active Directory. 23 intents fallits
seguits d'autenticació exitosa amb el compte "svc_backup".
SISTEMES AFECTATS:
- DC01.empresa.local (Active Directory)
- Possible accés a: servidors del segment de serveis
IOCs INICIALS:
- IP origen: 185.234.56.78 (AS: Digital Ocean, geolocalització: Singapore)
- Compte compromes: svc_backup
- Porta de connexió: TCP/3389 (RDP)
ACCIONS IMMEDIATES PRESES:
- [09:31] Bloqueig de IP 185.234.56.78 al firewall perimetral
- [09:35] Bloqueig del compte svc_backup a l'AD
- [09:40] Notificació al CISO i a l'equip de resposta
PROPER PAS:
- Investigació de l'abast de la intrusió
- Anàlisi forense del DC01
Miniactivitat 2.5
A partir del registre inicial de l'incident del bloc de text anterior, completeu les tasques de classificació:
- Confirmeu o reviseu la severitat P2 assignada justificant la vostra decisió amb els criteris de la matriu.
- Identifiqueu quin model de la kill chain podria estar actiu i en quina fase estaria l'atacant.
- Quins altres sistemes o serveis de l'empresa podrien estar en risc si el compte
svc_backupté accés privilegiat? - Quins logs addicionals caldria consultar per entendre l'abast de l'incident?
- Amplieu el registre amb les seccions que hi falten: "Impacte potencial estimat" i "Pla d'acció a curt termini".
Activitats
-
AC503. (RA2 // CA2.1) Mapa de tàctiques MITRE ATT&CK: a partir d'un incident real (ex: SolarWinds), identifiqueu totes les tàctiques i tècniques usades pels atacants i representeu-les en la matriu ATT&CK Navigator.
-
AC504. (RA2 // CA2.2) Configuració bàsica de regles SIEM: amb Wazuh en Docker, configureu 3 regles personalitzades per detectar escenaris específics (brute force SSH, accés a directori /etc/shadow, creació de nou usuari privilegiat) i documenteu les proves de detecció.
-
PR501. (RA2 // CA2.2, CA2.5) Pràctica completa SIEM amb Wazuh: desplegament, configuració d'agents, simulació d'incidents, anàlisi d'alertes i informe d'incidents detectats. Veure Pràctica SIEM.