Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivo: Establecer contactos, definir Objetivo: Detectar el incidente, determinar su Objetivo: Mitigar los efectos de ataque en
procedimientos, obtener información y alcance e involucrar a las partes apropiadas. recursos de TI cercanos.
familiarizarse con las herramientas de Si el asunto se considera como estratégico (acceso a
Fuentes de detección: recursos sensibles), deberá activarse una célula
detección de intrusos para ahorrar tiempo
• Notificación por el usuario / mesa de ayuda;
durante un ataque. específica de gestión de crisis.
• Alerta del IDS;
Dependiendo de la criticidad de los recursos afectados,
• Detección por personal de red;
Sistemas de Detección de Intrusos se pueden realizar y monitorear los siguientes pasos:
• Queja de una fuente externa.
• Asegúrese que las herramientas de monitoreo estén Registre la actividad sospechosa en la red Desconectar de la red la zona afectada.
actualizadas y vigentes; Se puede conservar tramas de red en un archivo y
• Establezca contacto con los equipos de operación de transmitirlo a su equipo de respuesta a incidentes para su Aislar el origen del ataque. Desconectar la
red y de seguridad; posterior análisis. computadora(s) para realizar investigación posterior.
Para volcar el tráfico malicioso utilice herramientas de
• Asegúrese que esté definido un proceso de
captura de red (tshark, WinDump, tcpdump ...). Utilice un • Encontrar medidas de mitigación aceptables para el
notificación de alerta y que se conozca por todos. “hub” o “port mirroring” en una LAN afectada para recopilar tráfico crítico para el negocio en acuerdo con los
datos importantes.
Red administradores de las líneas de negocio.
La forensia de red requiere experiencia y
conocimientos. Pida asistencia o consejo a su • Terminar las conexiones no deseadas o procesos en
• Asegúrese que el inventario de puntos de acceso a la equipo de respuesta a incidentes. las máquinas afectadas.
red esté disponible y actualizado; • Utilice las reglas de firewall / IPS para bloquear el
• Asegúrese de que los equipos de red tengan mapas Analice el ataque ataque.
• Analice las alertas generadas por el IDS; • Utilice reglas de IDS para que coincida con este
de red y configuraciones actualizados;
• Revise las estadísticas y los “logs” de los dispositivos de comportamiento malicioso e informar al personal
• Busque de forma regular y cierre posibles puntos de red;
acceso de red no deseados (xDSL, WiFi, módem, ...); técnico sobre los nuevos eventos.
• Trate de entender el objetivo del tráfico malicioso e
• Asegúrese que estén en funcionamiento las • Aplique acciones ad hoc en caso de problemas
identifique los componentes de la infraestructura afectada
herramientas de gestión de tráfico. por ella;
estratégicos:
• Identifique las características técnicas del tráfico: • Bloquee en los filtros de Internet el destino de
Línea de base tráfico • Dirección IP de origen (es) exfiltración o ubicación remota;
• Puertos utilizados, TTL, ID Paquete, ... • Restrinja servidores de archivos estratégicos
• Identifique la línea de base del tráfico y de los flujos; • Protocolos utilizados para que rechacen conexiones desde la
• Identifique los flujos críticos de operaciones. • Máquinas específicas / servicios computadora comprometida;
• Exploit (s) • Seleccione el tipo de archivos pueden ser
• Cuentas remotas logueadas perdidos / robados y restringir el acceso a los
archivos confidenciales;
Al final de este paso, debería de haberse • Cree documentos falsos con marca de agua que
identificado las máquinas afectadas y el modus
puedan ser utilizados como una prueba de robo;
operandi del ataque. Lo ideal sería que se hubiera
identificado también el origen del ataque. Aquí es • Notifique a los usuarios de negocio dirigidas
donde usted debe hacer sus investigaciones sobre lo que debe hacerse y lo que está
forenses, si es necesario. prohibido;
Si se identifica que un equipo ha sido • Configurar capacidades de registro en modo
comprometido, recurra a la IRM dedicada a la detallado sobre el medio ambiente específico y
intrusión. guárdelas en un servidor remoto seguro.
Remedio 4 Recuperación 5
Objetivo: Adoptar medidas para detener el Objetivo: Restaurar el sistema a las
comportamiento malicioso. operaciones normales.