Esto depende en gran medida de las políticas de la organización, pero estamos hablando de Incident Response (IR), que se encuentra bajo el término general de Administración de incidentes de seguridad informática .
La respuesta que se recibe generalmente depende del tipo de ataque, los actores de amenazas conocidos (si los hay) y los sistemas individuales o regiones de red que se sabe están comprometidos. Estas son distinciones importantes: no realizaría las mismas acciones con una estación de trabajo de recepcionista comprometida como lo haría con un sistema de soporte vital comprometido o un sistema de control industrial.
Los pasos principales en IR son:
- Alerta: alguien notifica al equipo que se ha producido una posible infracción.
- Clasificación: un respondedor de primer nivel realiza un análisis preliminar para identificar el nivel de amenaza y toma los pasos de IR prescritos para la clase de amenaza (por ejemplo, normal, crítica, etc.)
- Acción: aislamiento y limpieza de los sistemas afectados, con los pasos que se toman para garantizar que todas las puertas traseras estén cerradas y el agujero original esté remendado.
- Investigación: identificación de cómo apareció la amenaza, atribución de los atacantes, etc.
Luego, puede dividirlos y reorganizarlos según corresponda a una situación particular. En algunos casos, la organización puede estar únicamente interesada en recuperarse y continuar, por lo que la fase de investigación es mínima o incluso se omite. En otros casos, se puede considerar el proceso legal, por lo que se debe tener especial cuidado en proporcionar una sólida cadena de pruebas con herramientas que se sabe que están aprobadas por los tribunales locales. A veces, el paso de acción no implica limpiar la máquina en absoluto, en un intento de registrar y monitorear el comportamiento de los atacantes en tiempo real para obtener una atribución más fuerte.
En resumen: la respuesta es que depende de la organización y la situación. IR rara vez es en blanco y negro.