¿Qué implica un proceso promedio de respuesta a incidentes para una red corporativa?

3

Estoy tratando de repasar el lado de la seguridad más orientado a los procesos y orientado a las políticas, y estoy interesado en la respuesta a incidentes. Entiendo que la mayoría de las empresas competentes en seguridad tienen algún tipo de proceso básico de respuesta a incidentes de seguridad que rige la forma en que tratan los incidentes de seguridad dentro de su red corporativa.

¿Qué elementos deben considerarse como parte de un proceso estándar de respuesta a incidentes? ¿Hay áreas específicas en las que debería enfocarse, como la integridad forense de la evidencia? ¿Es este el tipo de cosas que varía enormemente según la organización y los tipos de incidentes, o hay muchos elementos comunes?

    
pregunta Polynomial 29.01.2013 - 12:06
fuente

2 respuestas

7

Un conjunto básico de procesos debe incluir las siguientes categorías de alto nivel:

  • Análisis de amenazas : esto debe incluir todos los tipos de amenazas; desastres naturales, ataques terroristas, espionaje extranjero, etc., y deben revisarse anualmente para comprender y prepararse para los posibles incidentes. Estas amenazas deben asignarse a incidentes y estas asignaciones deben contribuir al desarrollo de los procedimientos de respuesta a incidentes. Esta es la etapa preparatoria clave.

  • Clasificación de incidentes : la clasificación debe ser de propiedad central y debe ser responsabilidad del negocio. Esta clasificación debe incluir umbrales de impacto y probabilidad, junto con los requisitos de escalamiento. Esto ayudará a determinar cómo se responden los incidentes, con qué urgencia y con qué tipo de resolución de expectativas.

  • Procedimientos operativos : los procedimientos de comunicación y escalamiento deben formalizarse y documentarse para cada unidad de negocios. Estos deben incluir personas o equipos nombrados, niveles de servicio, tiempos de respuesta y protocolos de comunicación dentro y fuera del equipo y la organización. Los equipos involucrados dependerán de la clasificación del incidente, pero cada equipo requerirá procedimientos operacionales para cumplir con los requisitos estándar de comunicación, medición, integridad y resistencia.

  • Revisión de incidente posterior : la revisión de incidente posterior debe estar formalizada y ser obligatoria para todos los incidentes. Esto debe incluir una evaluación de impacto completa para ayudar a la organización a comprender los costos incrementales, a largo plazo e intangibles del incidente.

  • Cierre final : el cierre debe incluir el registro del tiempo y las actividades de resolución de incidentes, así como la comparación con el resultado esperado para que se pueda mejorar.

Creo que, a partir de la redacción de la pregunta, que está más interesado en la sección de Procedimientos Operacionales, por lo que voy a bajar un nivel aquí:

Los procedimientos operativos incluirán elementos como:

  • Retención de toda la información registrada por el equipo del incidente desde el comienzo del incidente hasta al menos el cierre. Más allá de ese tiempo, la retención se realizará de acuerdo con los requisitos corporativos o normativos.
  • Al poner en espera toda la rotación de registros, en lugar de seguir el ciclo normal de rotación de registros, los registros que se remontan a una cantidad definida (esto puede ser una hora, un día o más) estarán disponibles para el equipo de investigación.
  • Como cualquier incidente podría ser un incidente criminal, no importa cómo se vea primero (como ejemplo, exfiltración tectónica : el robo oportunista de hardware ocurrió durante el caos causado por los terremotos en Nueva Zelanda) el registro de los datos debe ser lo más completo posible, y registrarse en un almacenamiento que sea Escritura Una vez, Lectura-Muchos si es posible, y se deben aplicar reglas forenses.
  • Identificación de actividades para remediar y volver rápidamente a Business-as-Usual, así como actividades para investigar completamente la causa raíz del incidente.
  • Los incidentes internos y externos pueden tratarse de manera muy diferente (por ejemplo, un empleado que ha robado datos críticos solo puede ser despedido y caminado fuera del sitio, pero la evidencia de que un competidor ha estado llevando a cabo espionaje industrial puede pasarse a la policía , o puede ocultarse silenciosamente: estas decisiones tendrán resultados comerciales, por lo que deben discutirse a nivel del Director de Riesgos o equivalente)

Recuerde que cada elemento o actividad es una opción de costo, por lo que rara vez vemos todos estos hechos. El primero en irse suele ser el registro forense de datos o actividades, ya que una empresa que sufre un incidente importante puede estar perdiendo dinero cada minuto que el incidente continúa. Es probable que el conductor vuelva a los procedimientos operativos normales primero, seguido de una investigación después del hecho.

Para obtener un par de detalles específicos sobre Respuesta a incidentes de seguridad informática, consulte este documento IETF y this documento CERT .

    
respondido por el Rory Alsop 29.01.2013 - 12:39
fuente
0

La respuesta a su pregunta no es simple, sugiero depender de SO / IEC TR 18044: 2004 y otras mejores prácticas, personalmente, creé algunas categorías para clasificar el nivel de riesgo (Crítico, Alto, Medio, Bajo) y también Identifiqué la mayoría de los eventos esperados, los eventos esperados se pueden definir fácilmente, por ejemplo:

  • Todos los eventos que coinciden con los principios de seguridad (Confidencial, integridad, disponibilidad) se pueden extender a aspectos más específicos (autenticidad, responsabilidad, no repudio, etc.).
  • Luego, clasifíquelos de acuerdo con lo interno y lo externo (si el atacante es un empleado o anónimo)

Ahora, para cada evento, cree una ubicación (Objetivos) para cada evento, serán ubicaciones lógicas o reales, después de esto, proporcione detalles a su plan.

¡Finalmente, obtenga el formulario de soporte de alta gerencia para su proyecto!

[1] enlace

[2] enlace

    
respondido por el Akam 29.01.2013 - 12:40
fuente

Lea otras preguntas en las etiquetas