Muchos de lo desafíos para una respuesta de incidentes efectiva no son técnicos. El mantenerse organizado es uno de estos retos, siendo especialmente grande. Tal vez el termino “conciencia de la situación” no sea agradable, pero es de lo cual se habla. Las investigaciones deben tener un mecanismo para rastrear de manera fácil información y compartirla con los equipos auxiliares, además del líder de la organización. También se debe tener una manera para referirse específicamente a los incidentes, aparte de “todo comenzó el último martes”. Se debe establecer una numeración o sistema de nombramiento para incidentes y utilizarlo para su referencia, además de documentar cualquier información o evidencia relacionada hacia un incidente específico.

¿Qué es “información signficativa de investigación”?. Se han encontrado algunos puntos de datos útiles los cuales son críticos para cualquier investigación. Estos elementos deben ser rastreados en tiempo real tan cercanamente como sea posible, porque los miembros del equipo los utilizarán como una “verdad fundamental” cuando se trate el estado de la investigación actual. Estos datos también son lo primero lo cual miembros del equipo referirán cuando provengan consultas desde la gerencia.

Lista de evidencia recolectada: Esto debe incluir la fecha y hora de la recolección además de la fuente de datos, ya sea una persona o un servidor. Asegurarse la cadena de custodia se mantiene para cada elemento. Mantener una cadena de custodia de cada elemento, y su presencia en una lista como un indicador del elemento ha sido manejado adecuadamente.

Lista de sistemas afectados: Rastrea como y cuando un sistema fue identificado. Anotar “afectado” incluye sistemas los cuales son sospechosos de un compromiso de seguridad, como también aquellos en los cuales simplemente se accede desde una cuenta sospechosa.

Lista de archivos de interés: Esta lista usualmente contiene solo software malicioso, pero también puede contener archivos de datos o resultados de comandos capturados. Rastrear el sistema donde un archivo fue encontrado, como también los metadatos del archivo.

Lista de datos accedidos o robados: Incluye nombres de archivos, contenido, y fecha de la exposición sospechosa.

Lista de actividad significativa del atacante: Durante el examen de una respuesta en vivo o datos forenses, se puede descubrir actividades significativas como logins o ejecución de malware. Incluir el sistema afectado además de la fecha y hora del evento.

Lista de IOCs basados en red: Rastrear direcciones IP relevantes y nombres de dominio.

Lista de IOCs basados en host Rastrear cualquier característica necesaria para formar un indicador bien definido.

Lista de cuentas comprometidas: Asegurarse de rastrear el alcance del acceso de cuentas, local o de todo el dominio.

Lista las tareas realizándose y las solicitadas por los equipos: Durante las investigaciones, usualmente se tienen tareas pendientes en cualquier momento. Desde peticiones por información adicional desde equipos auxiliares, hasta exámenes forenses, lo cual puede fácilmente dejar algo sin atender si no se está correctamente organizado.

Se puede utilizar una hoja de cálculo, o utilizar una interfaz web optimizada para múltiples usuarios. Es factible construir un sistema personalizado, pues tal vez no se encuentre una solución para la gestión de incidentes y casos el cual satisfaga nuestros requerimientos. Independientemente de aquello lo cual se decida utilizar en la organización, debe simplificarse tanto como sea posible los procesos.

Fuentes:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
https://www.sans.org/reading-room/whitepapers/incident/paper/36092