Los equipos de respuesta a incidentes de ciberseguridad tienen opciones cuando se trata de herramientas de comunicación: Microsoft Teams, Slack, Zoom y muchos otros. Algunos requieren una suscripción o licencia comercial, otros son gratuitos. Algunas son herramientas de nicho diseñadas específicamente para la respuesta a incidentes. Algunas son herramientas genéricas de comunicación empresarial que los equipos de IR han adaptado para su uso durante un incidente de seguridad informática.
Los profesionales que trabajan en la respuesta a incidentes saben que a veces, en una situación de evento en vivo, los canales de comunicación normativos inesperadamente pueden no estar disponibles por razones que no puede controlar. Por ejemplo, si el ransomware ha derribado su servidor de Exchange, buena suerte enviando correos electrónicos de emergencia a su equipo. Si Slack es su herramienta principal y los canales están obstruidos con tráfico malicioso, las comunicaciones del equipo pueden verse comprometidas.
Este potencial para la interrupción de la comunicación significa que tener múltiples herramientas y vías que los miembros del equipo pueden usar puede significar la diferencia entre la reanudación rápida de las comunicaciones y el costoso tiempo dedicado a tratar de encontrar una manera de restaurar los negocios como de costumbre. Con esto en mente, una opción poco ortodoxa para considerar agregar a la caja de herramientas de su equipo es la herramienta de colaboración
Discordia
Ahora sé lo que estás pensando: "¿No es Discord para juegos? La respuesta a incidentes es demasiado seria para la diversión y los juegos".
Sin embargo, resulta que Discord no es un juguete. En cambio, es una plataforma de comunicaciones con todas las funciones con toneladas de características que los equipos de respuesta a incidentes pueden utilizar de inmediato. Como mínimo, es otro canal de comunicación que debe tener disponible si sus preferidos no están disponibles, pero sospecho que después de haberlo utilizado, se dará cuenta de que tiene algunas ventajas sobre otras plataformas.
¿Qué es discord y qué hace?
En esencia, Discord es un sistema diseñado para permitir la comunicación de voz y texto en tiempo real. Diseñado originalmente con los juegos en mente, la plataforma desde entonces ha evolucionado para ser mucho más. Así como las plataformas de transmisión como Twitch se han adaptado para incluir contenido más allá de los juegos (arte de performance, música en vivo, noticias y contenido educativo), Discord ha ampliado sus horizontes con características que se prestan a tareas más allá de los juegos.
Por ejemplo, la colaboración dentro de Discord es fluida e ininterrumpida: puede tener comunicación de voz sincrónica al mismo tiempo que intercambios de texto asincrónicos.
Es gratis y fácil de usar, y puede atraer a nuevos miembros en unos segundos.
Permite el intercambio rápido de archivos y otra información, y funciona en todas las plataformas de dispositivos (desde Windows, macOS y Linux hasta iOS y Android). ¿Necesita acceso rápido desde alguna otra plataforma? Hay un cliente de navegador que te permitirá hacer eso también.
Es fácil comenzar a usar Discord. Puede descargar el cliente Discord o simplemente usarlo en su navegador. Elija un nombre de usuario, proporcione su dirección de correo electrónico y verifique con captcha.
Las conversaciones dentro de Discord se organizan en "servidores": grupos que consisten en usuarios que pueden ser públicos o restringidos por invitación (cómo lo usaría en un contexto de respuesta a incidentes).
Después de obtener acceso a la plataforma, los usuarios pueden buscar servidores existentes o iniciar los suyos. Los miembros del equipo incluso tienen acceso a un bot de Discord que automáticamente les notificará a ellos u otros cuando haya un cambio o actualización en el servidor.
Usando Discord en tu programa
Las comunicaciones tienen lugar dentro de los servidores, que pueden contener múltiples "canales". Este enfoque es muy flexible. Por ejemplo, puede crear un servidor para su centro de operaciones de seguridad, departamento de TI o cualquier grupo de usuarios que necesiten colaborar durante un incidente.
De hecho, puede tener varios servidores y cambiar entre ellos para aumentar la eficiencia y la escala, o para adaptarse a diferentes entornos. Es posible que tenga un canal de texto para enviar imágenes o documentos desde su computadora portátil. Puede usar un canal separado para las comunicaciones de voz desde su teléfono móvil. O podrías hacer ambas cosas al mismo tiempo.
Probablemente ya veas el poder de esto. Por ejemplo, después de compartir artefactos como código, capturas de paquetes, muestras o datos de registro, los miembros del equipo pueden unirse instantáneamente a un canal de voz para hablar a través de esas muestras. Pueden establecer sesiones de chat privadas en la herramienta para trabajar individualmente. Cambiar entre canales de voz, texto y archivos compartidos puede ser significativamente más rápido que con otras herramientas.
Por supuesto, el elefante en la sala que tendrá que abordar con los poderes de su organización es la seguridad de la plataforma. ¿Se puede confiar en Discord para facilitar conversaciones de tanta importancia?
Resulta que Discord se toma muy en serio la seguridad. Utiliza TLS1.3 para las conexiones de los usuarios, por lo que la información se cifra en tránsito. Las imágenes y los enlaces se transmiten a través del sistema para evitar ataques DDoS contra usuarios individuales. Cuando hace clic en un enlace, aparece una ventana emergente que le permite saber que está abandonando el sitio.
Discord tiene un seguimiento de ubicación de IP incorporado, por lo que cuando inicia sesión desde una dirección IP diferente debe confirmar que sigue siendo usted. Tiene capacidad de autenticación de dos factores y detección de virus incorporada.
Una posible consideración es que, de acuerdo con el
Términos de servicio de Discord, no puede "cargar o transmitir (o intentar cargar o transmitir) archivos que contengan virus, troyanos, gusanos, bombas de tiempo, cancelbots, archivos o datos corruptos, o cualquier otro software o programa similar o participar en cualquier otra actividad que pueda dañar el funcionamiento del Servicio o las computadoras de otros usuarios ".
Esto tiene el potencial de restringir un poco el uso, ya que para permanecer en estricto cumplimiento de los términos, no podrá compartir directamente malware u otras muestras. Si adopta la herramienta para el uso de seguridad, deberá asegurarse de que los ingenieros no violen los términos sin darse cuenta, informándoles de esta restricción de manera clara y anticipada.
Mi argumento final es que Discord proporciona capacidades sólidas de comunicación y colaboración que pueden incorporarse directamente en los recursos disponibles de un equipo de respuesta a incidentes. Tiene la ventaja de ser "amigable para los jóvenes", lo que significa que los nuevos participantes en su equipo tendrían una probabilidad mucho mayor de saber cómo usar la herramienta desde el primer momento.
En caso de apuro y cuando las fichas están bajas, ¿por qué ponerse de pie en la ceremonia? Utilice una herramienta valiosa que pueda ayudarlo a hacer lo que necesita hacer, incluso si la herramienta en cuestión originalmente fue diseñada para juegos.
Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente los puntos de vista de ECT News Network.
Nathan Ivinjack es un técnico de éxito de clientes en
Blanca, una plataforma de seguridad WiFi y IoT residencial gestionada por AI para proveedores de servicios.