En la respuesta a incidentes, comúnmente hay dos enfoques para el aislamiento y la contención después de que se informa un incidente genuino.
- Los sistemas comprometidos se deshabilitan o desconectan, pero las operaciones continúan volviendo a un sistema redundante hasta que se resuelve el incidente, o se desconectan / deshabilitan temporalmente hasta que se resuelve el incidente
- ¿Los sistemas comprometidos no se desactivan o desconectan y el funcionamiento normal continúa? ¿Pero pasar tiempo para rastrear a los piratas informáticos y recopilar pruebas?
En ambos enfoques, hay sugerencias de expertos de que la desconexión no es aconsejable debido a razones forenses. Si es así, ¿cuál es la mejor manera de aislar / contener un incidente para que no se extienda más y, al mismo tiempo, no le haga saber al hacker que ya hemos detectado su existencia? OMI, creo que es una cuestión de tiempo y recursos? ¿Preferirías pasar tiempo rastreando a quién, cómo entraron? ¿O prefiere parchear y mostrar sus sistemas rápidamente?
Le pregunté esto, ya que realmente no tenemos un buen plan de respuesta a incidentes y estamos tratando de encontrar la mejor manera de manejar los incidentes.