La mayoría de las veces, cuando se detecta un intruso, lo desconectamos a la vez. Sin embargo, hay ciertos casos en los que el intruso no está desconectado.
¿Cuáles son los beneficios de no desconectar al intruso? ¿Puedo decir algo como, algunas organizaciones querrían rastrear la identidad del intruso y, al no desconectar al intruso, es posible?
Conocer a un atacante y no desconectarlo le permitirá recopilar evidencia sobre el atacante, como determinar el motivo del ataque, determinar las herramientas que usa el atacante, determinar el modo de operación del atacante y tal vez ... solo tal vez, pero no es probable, poder rastrear la conexión hasta el atacante. Luego, podría intentar usar la atribución para determinar posibles sospechosos.
Hacer esto podría tener implicaciones legales y de reputación. Imagine lo que las noticias de Fox dirán en el aire cuando descubran que usted permitió que el atacante tuviera acceso a su red, comprometiendo la confidencialidad de los datos de la compañía. En mi opinión, a menos que el atacante esté actualmente en un honeypot que todos hayan configurado deliberadamente, es mejor desconectarlos y ver la evidencia que tiene actualmente.
Otra consideración es que una desconexión indica claramente al atacante que ha sido detectado. Luego, pueden probar un enfoque diferente desde otra dirección IP y ver cuán lejos llegan antes de ser detectados.
Si tiene operaciones 24x7, puede tener sentido alertar automáticamente a un operador de un ataque, pero hacer que desconectar al atacante sea una acción manual.
En general, es preferible desconectar al intruso y luego cerrar la conexión a Internet para evitar que vuelvan y causen más estragos en la red. Una vez que esto sucede, puede revisar los registros y determinar cómo obtuvieron acceso en primer lugar, a qué datos se accedió, etc. Algunos atacantes muy determinados intentarán continuamente obtener acceso a una red. Los intrusos patrocinados por el estado vienen a la mente aquí.
La respuesta depende de quién eres y de a qué está accediendo el atacante. Si eres un usuario doméstico que teme perder tus contraseñas bancarias o números de tarjeta de crédito, sí, desconéctate. Si usted es un investigador corporativo interno capacitado en la captura de pruebas forenses, y el atacante es sorprendido hurgando en sus sistemas, es probable que empiece a presentar un incidente y comience a rastrear su actividad.
Sin embargo, si el sistema al que está accediendo el atacante contiene bases de datos de la información protegida por el gobierno federal de sus clientes (GLBA, HIPAA, FERPA, COPA, etc.) o su información financiera cubierta por las regulaciones de PCI (números de tarjetas de crédito, etc.), Probablemente debería comunicarse con la oficina local del FBI y preguntar por su unidad de delitos informáticos. En ausencia de cualquier otro plan de respuesta, lo haría de inmediato mientras el crimen está en curso, pero en cualquier caso, es probable que deba informárselo dentro de las 24 horas posteriores al descubrimiento. Deben proporcionarle la respuesta adecuada, que puede incluir "no hacer nada durante dos horas mientras enviamos a alguien a investigar".
Lo más importante es que su respuesta debe determinarse por adelantado y escribirse en una política de seguridad de la información junto con el consejo de su abogado corporativo. Tal vez decida colocar una empresa investigadora en el retenedor y usarlos como su primer contacto (para evitar la mala publicidad relacionada con el FBI si determinan que el atacante no tuvo acceso a los datos protegidos). Pero es importante planificar esto por adelantado: si ocurre un ataque a la medianoche, es probable que la primera respuesta de su administrador no llame al abogado para pedirle consejo.