El termino documentación en este ámbito se refiere a las políticas, procedimientos, gestión de conocimiento, o flujo de trabajo dentro del Equipo para Respuesta ante Incidentes. Existen dos áreas importantes a considerar por el Equipo para Respuesta ante Incidentes. Existen muchos otros tópicos valiosos, pero el Equipo para Respuesta ante Incidentes debe evaluar cual tiene más sentido documentar.

Manejo de Evidencia

Existen categorías generales y funciones básicas del software necesario para un equipo de Respuesta ante Incidentes, para consecuentemente realicen un buen trabajo.

¿Cual software utilizar?

Las soluciones actuales de hardware facilitan al equipo para respuestas ante incidentes, el realizar tareas forenses y de respuesta ante incidentes, utilizando los sistemas de cómputo adecuados. Sistemas de alto nivel de los principales proveedores de computadoras; en conjunción con hardware forense especializado; cumplirá las necesidades del equipo para respuesta ante incidentes. Es altamente probable se trabaje en dos escenarios, en la oficina y en el campo. Consecuentemente se debe considerar soluciones para cada uno de estos dos escenarios.

Como para cualquier otro equipo, el equipo para respuesta ante incidentes necesita diversos recursos para realizar un trabajo exitoso. Además a los elementos estándar de la organización; como proporcionar entrenamiento y crear documentación; un equipo para respuesta ante incidentes tiene requerimientos únicos relacionados con el hardware y el software. Incluso si ya se han establecido anteriormente recursos para el equipo, se puede encontrar útil tener una perspectiva aún más profunda sobre el área.

Debido a se está trabajando para una empresa consultora, los entregables son la parte más importante de aquello proporcionado hacia los clientes. Es importante para cualquier equipo visualizar aquello hecho en términos del servicio entregado, y definir elementos estándar los cuales producirán. Los entregables más importantes para un equipo de respuesta para incidentes son los reportes de la investigación. Los reportes puede variar desde una simple página con actualizaciones de estado, hasta reportes detallados del examen forense, los cuales pueden estar constituidos por más de 30 páginas.

Durante un incidente se requieren tener diversos equipos de profesionales trabajando de manera concurrente; como el equipo de investigación central, los equipos auxiliares, los equipos legales, y los administradores de sistemas, quienes no únicamente responden hacia las tareas del equipo central, sino son quienes también realizan las acciones pertinentes por si mismos. Una buena comunicación es fundamental, consecuentemente resulta esencial definir como esto funciona de manera óptima antes de el inicio de un incidente.

Definir la misión del equipo para respuesta ante incidentes ayudará a mantener al equipo enfocado, además de definir las expectativas con el resto de la organización. Todos los elementos de la misión del equipo para respuesta de incidentes deben ser completamente establecidas y apoyadas por la gerencia superior, de otra manera, el equipo para respuesta ante incidentes podría no ser capaz de tener un impacto dentro de la organización. La misión del equipo debe incluir todos o algo de los siguiente elementos:

La suplantación del Agente de Usuario es sencilla utilizando navegadores web como Firefox o Chrome, pues existen diferentes addons o extensiones disponibles para este propósito. La extensión de nombre “User-Agent Switcher and Manager”, engaña a los sitios web intentando obtener información sobre la navegación web, para estos entreguen contenido distinto al requerido.

De esta manera se puede alterar la cadena Agente de Usuario, para indicar se está utilizando un teléfono móvil , y de esta manera visualizar la versión móvil de un sitio web, el cual posiblemente cargue más rápido.

Muchas implementaciones NAC (Network Access Control) utilizando agentes disolubles o sin cliente, deben acomodar sistemas donde el agente no es soportado. Los dispositivos móviles como teléfonos, iPads, entre otros, pueden requerir acceso hacia la red, pero no ser soportados por el proveedor NAC. En estos casos la organización puede excluir dispositivos específicos de la autenticación y de la verificación para cumplimiento. Para los atacantes esto crea un oportunidad de suplantar al dispositivo no soportado, par consecuentemente evadir el sistema NAC.

Los sistemas de portal cautivo en línea también son responsables de hacer un puente, o encaminar tráfico desde una red no fiable hacia una red fiable en base a la información de la dirección IP (Internet Protocol) o dirección MAC (Media Access Control), para validar previamente a los usuarios autenticados. Conociendo esto, se tiene una oportunidad de evadir la autenticación de un portal cautivo, suplantando a un usuario previamente autenticado, asumiendo su dirección MAC o dirección IP.