Enfoque de aislamiento y contención de incidentes

2

En la respuesta a incidentes, comúnmente hay dos enfoques para el aislamiento y la contención después de que se informa un incidente genuino.

  1. Los sistemas comprometidos se deshabilitan o desconectan, pero las operaciones continúan volviendo a un sistema redundante hasta que se resuelve el incidente, o se desconectan / deshabilitan temporalmente hasta que se resuelve el incidente
  2. ¿Los sistemas comprometidos no se desactivan o desconectan y el funcionamiento normal continúa? ¿Pero pasar tiempo para rastrear a los piratas informáticos y recopilar pruebas?

En ambos enfoques, hay sugerencias de expertos de que la desconexión no es aconsejable debido a razones forenses. Si es así, ¿cuál es la mejor manera de aislar / contener un incidente para que no se extienda más y, al mismo tiempo, no le haga saber al hacker que ya hemos detectado su existencia? OMI, creo que es una cuestión de tiempo y recursos? ¿Preferirías pasar tiempo rastreando a quién, cómo entraron? ¿O prefiere parchear y mostrar sus sistemas rápidamente?

Le pregunté esto, ya que realmente no tenemos un buen plan de respuesta a incidentes y estamos tratando de encontrar la mejor manera de manejar los incidentes.

    
pregunta Pang Ser Lark 01.12.2015 - 01:58
fuente

1 respuesta

3

En mi opinión, la respuesta debe estar alineada con su negocio. Depende de lo que valore más si se trata de confidencialidad, integridad, disponibilidad o rastreabilidad.

Si la disponibilidad o la trazabilidad son las más importantes: no apague los sistemas. Diseñe un procedimiento para reunir evidencias forenses tan pronto como sea posible y ejecútelo cuando sea necesario.

Si lo más importante es la confidencialidad o la integridad: apague los sistemas, extraiga imágenes forenses de los discos y realice un análisis forense con lo que tenga allí.

    
respondido por el Eloy Roldán Paredes 01.12.2015 - 08:38
fuente

Lea otras preguntas en las etiquetas