Investigación en el Proceso para Respuesta de Incidentes

  • Posted on: 26 February 2020
  • By: ReYDeS

La meta de una investigación es determinar los hechos describiendo lo ocurrido, como ocurrió, y en algunos casos, quien fue el responsable. Como un equipo comercial para respuesta de incidentes, el elemento “quien” puede no ser alcanzable, pero conocer cuando contratar ayuda externa o fuerzas legales es importante. Sin conocer los hechos, como la forma en la cual un atacante gana acceso hacia una red en primer lugar, o lo hecho por el atacante, no se está en una buena posición para remediar. Se puede sentir confortable simplemente desconectando el cable y reconstruir un sistema conteniendo malware, pero ¿se puede dormir en la noche sin conocer como el atacante ganó acceso, y aquello lo cual hizo?. Debido a todos valoramos el sueño, se debe desarrollar y refinar un proceso de cinco etapas, el cual promueve una investigación efectiva.

Tal vez sea mejo no actuar rápidamente

Durante una investigación, es probable se encuentre con descubrimientos, los cuales se considere requieran una acción inmediata. Normalmente el equipo para investigación inmediatamente reportará cualquier hallazgo crítico, hacia el individuo apropiado dentro de la organización afectada. El individuo debe sopesar el riesgo de actuar sin una comprensión suficiente de la situación versus el riesgo de actividades adicionales de investigación.

Por experiencia, en la mayoría de casos, es importante realizar un investigación adicional para poder conocer más información sobre la situación, y hacer una decisión apropiada. Esta perspectiva ciertamente tiene un riesgo, porque puede proporcionar al atacante con mayor oportunidad de causar daño. Sin embargo, se ha encontrado tomar medidas sobre información incompleta o información inexacta es mucho más arriesgado. No existe una respuesta final, y en cada incidente la organización debe decidir por si misma aquello aceptable.

Fuentes:

https://www.bankinfosecurity.com/tips-on-managing-incident-investigation...
https://www.faronics.com/news/blog/incident-response-planning-7-stages-i...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1