¿Qué se investiga después de un posible pirateo en los servidores?

5

Mi pregunta sigue las noticias recientes del incidente de piratería de Sony. Me preguntaba qué tipo de investigación lleva a cabo una empresa de seguridad o el FBI. Por ejemplo, si los servidores de red fueron pirateados, ¿qué es lo primero que se hace? ¿Cierran todas las redes de servidores para detener cualquier posible transmisión? Si la violación fue causada por un malware, ¿cómo pueden contenerlo efectivamente durante su análisis? El uso de sandbox tiene sus limitaciones, ¿ejecutarían todos los datos actuales en una nueva máquina físicamente separada, así como en una máquina virtual?

Tengo la sensación de que esta pregunta puede ser demasiado larga para responder, pero los pasos cortos serán suficientes y, si es posible, enlaces a procesos más detallados, si están disponibles. En última instancia, la respuesta es encontrar la fuente del hackeo, pero qué pasos se realizan en la investigación que conduce a la identificación del origen del hack.

    
pregunta user29568 19.12.2014 - 18:30
fuente

1 respuesta

4

Esto depende en gran medida de las políticas de la organización, pero estamos hablando de Incident Response (IR), que se encuentra bajo el término general de Administración de incidentes de seguridad informática .

La respuesta que se recibe generalmente depende del tipo de ataque, los actores de amenazas conocidos (si los hay) y los sistemas individuales o regiones de red que se sabe están comprometidos. Estas son distinciones importantes: no realizaría las mismas acciones con una estación de trabajo de recepcionista comprometida como lo haría con un sistema de soporte vital comprometido o un sistema de control industrial.

Los pasos principales en IR son:

  • Alerta: alguien notifica al equipo que se ha producido una posible infracción.
  • Clasificación: un respondedor de primer nivel realiza un análisis preliminar para identificar el nivel de amenaza y toma los pasos de IR prescritos para la clase de amenaza (por ejemplo, normal, crítica, etc.)
  • Acción: aislamiento y limpieza de los sistemas afectados, con los pasos que se toman para garantizar que todas las puertas traseras estén cerradas y el agujero original esté remendado.
  • Investigación: identificación de cómo apareció la amenaza, atribución de los atacantes, etc.

Luego, puede dividirlos y reorganizarlos según corresponda a una situación particular. En algunos casos, la organización puede estar únicamente interesada en recuperarse y continuar, por lo que la fase de investigación es mínima o incluso se omite. En otros casos, se puede considerar el proceso legal, por lo que se debe tener especial cuidado en proporcionar una sólida cadena de pruebas con herramientas que se sabe que están aprobadas por los tribunales locales. A veces, el paso de acción no implica limpiar la máquina en absoluto, en un intento de registrar y monitorear el comportamiento de los atacantes en tiempo real para obtener una atribución más fuerte.

En resumen: la respuesta es que depende de la organización y la situación. IR rara vez es en blanco y negro.

    
respondido por el Polynomial 19.12.2014 - 18:47
fuente

Lea otras preguntas en las etiquetas