Las etapas iniciales de una preparación previa a incidentes involucra obtener una gran imagen del riesgo corporativo. ¿Cuales son los activos críticos?. ¿Cual es la exposición?, ¿Cual es la amenaza?,¿Cuales requerimientos de regulación debe cumplir la organización? (Estos generalmente tienen algún riesgo asociados). Identificando el riesgo, se puede asegurar de invertir recursos para la preparación de incidentes, los cuales son los más probables afecten a la empresa.

Los reportes son los documentos fundamentales para los clientes. Crear buenos reportes toma tiempo, el cual muchas veces se podría pensar es mejor dedicarlo a otras tareas. Sin embargo, sin los reportes es fácil perder el rastro de aquello hecho. Es importante considerar; incluso dentro de una única investigación pueden existir muchos hallazgos, los cuales deben ser comunicados completamente sobre la investigación, lo cual podría ser difícil sin un reporte formal y periódico.

Muchos de lo desafíos para una respuesta de incidentes efectiva no son técnicos. El mantenerse organizado es uno de estos retos, siendo especialmente grande. Tal vez el termino “conciencia de la situación” no sea agradable, pero es de lo cual se habla. Las investigaciones deben tener un mecanismo para rastrear de manera fácil información y compartirla con los equipos auxiliares, además del líder de la organización. También se debe tener una manera para referirse específicamente a los incidentes, aparte de “todo comenzó el último martes”.

Los planes para remediar variarán enormemente dependiendo de las circunstancias del incidente e impacto potencial. El plan debe tener en consideración factores desde todos los aspectos de la situación, incluyendo el legal, empresarial, político, y técnico. El plan también debe incluir un protocolo de comunicación el cual defina quien en la organización dirá que y cuando. Finalmente el tiempo para remediar es crítico. El remediar tan pronto como sea posible, podría fallar en considerar información nueva o por descubrir.

Analizar datos es el proceso de tomar la evidencia preservada en la etapa previa, y realizar un examen enfocado en responder las preguntas de la investigación. Los resultados del análisis son normalmente documentadas en un reporte formal. Esta etapa en el ciclo de vida para respuesta de incidentes es donde usualmente se invierte la mayor parte del tiempo. La organización debe decidir cual análisis realizar por si mismo, o cuales porciones si lo hubiera se tercerizan. Las tres principales áreas para el análisis de datos son:

Una vez los sistemas han sido identificados y se tienen los indicadores de compromiso, el siguiente paso es recolectar datos adicionales para el análisis. El equipo para respuesta de incidentes debe crear un plan para recolectar y preservar evidencia, ya sea esta capacidad sea interna o de un tercero. Las metas principales cuando se preserva evidencia implican utilizar procesos los cuales minimicen los cambios hacia un sistema, minimicen el tiempo de interacción con un sistema, y permita crear la documentación adecuada.

Después de desplegar los Indicadores de Compromiso, se debería empezar a obtener lo denominado como “coincidencias”. Estas coincidencias implican una herramienta para Indicadores de Compromiso, encuentra una coincidencia para una regla definida o Indicador de Compromiso. Antes de tomar acciones sobre una coincidencia, se debe revisar la información de la coincidencia para determinar si es válido. Esto es normalmente requerido porque algunas coincidencias tienen menos fiabilidad por ser muy genéricos, o debido a los falsos positivos inesperados.

Utilizar Indicadores de Compromiso (IOCs) es grandioso, pero su real poder está en permitir a los equipos de respuesta de incidentes encontrar lo dañino de una manera automática, ya sea a través de una plataforma para respuesta de incidentes empresarial o a través de guiones WMI o VB. El éxito de una investigación depende de la habilidad de buscar Indicadores de Compromiso a través de la empresa y reportarlos de una manera automática; esto es lo considerado como el despliegue de los Indicadores de Compromiso.

La creación de IOC o Indicadores de Compromiso, es el proceso de documentar las características y artefactos relacionados a un incidente de una manera estructurada. Esto incluye todo desde la perspectiva de un host y la red; cosas más allá de únicamente un malware. Se debe pensar sobre elementos como nombres de directorios de trabajo, nombres de archivos de salida, eventos de login, mecanismos de persistencia, direcciones IP, nombres de dominio, e incluso firmas de protocolos de red sobre malware.

La recopilación de pistas iniciales es un paso fundamental en cualquier investigación. Existe un tema no muy adecuado durante las investigaciones; centrarse únicamente en encontrar malware. Es poco probable la única meta del atacante sea instalar malware. El atacante probablemente tiene otras metas en mente, tal vez robar correos electrónicos o documentos, capturar contraseñas, interrumpir la red, o alterar datos. Una vez el atacante está en la red y tiene credenciales válidas, no necesita utilizar malware para acceder hacia otros sistemas.