En la respuesta al incidente, ¿se debe recopilar evidencia antes o después de la contención del incidente?
Si ambos, ¿cuándo debería hacerse la recolección de evidencia antes y cuándo debería hacerse después ( los ejemplos son bienvenidos )?
NB: Para la recolección de evidencia, estoy pensando más específicamente en la memoria imágenes .
En una situación de respuesta a un incidente de seguridad, la contención del incidente debe presentarse antes de la preservación de la evidencia. Para darle un ejemplo, imagine un hack en su empresa. Usted querría limitar la capacidad del pirata informático para comprometer el sistema de su empresa más de lo que ya lo hizo.
Solo después de que el incidente ha sido contenido, la preservación de la evidencia entrará en juego. Es extremadamente importante preservar la integridad de la evidencia, como fechas / horas, inicios de sesión de usuarios, etc. al recopilar datos relevantes.
Esto debería darse por hecho, pero, como dijo Anthony, deseará contener el incidente ante todo. No tendría mucho sentido tratar de recopilar pruebas de un pirateo en una empresa de varios millones de dólares que confía en la seguridad de su información (cuentas de clientes, información personal de los empleados, archivos de bases de datos, etc.) mientras un atacante aún era libre. hacer aún más daño sin tomar medidas preventivas de inmediato.
Sí, el incidente debe ser contenido primero. Su trabajo (si trabaja para una empresa de seguridad) probablemente dependerá de eso.
Estoy de acuerdo con las respuestas de Anthony y Yokai.
Sin embargo, en algunos entornos, puede aislar el host afectado si es un incidente menor, por ejemplo. Phishing en su etapa temprana, por lo que no hay evidencia de movimiento lateral, etc.
En estos escenarios, donde se cree que el incidente no se ha extendido por toda la red, simplemente podría aislarlo.
A continuación, dependiendo de qué tan crítico sea el activo afectado, podría hacer una de dos cosas;
1) Si el activo afectado no es crítico, si es posible (y esto es discutible), deje que el ataque se reproduzca para luego analizarlo y obtener inteligencia si fue un ataque dirigido a la infraestructura de su compañía o un ataque genérico. Sin embargo, esto también depende de si tiene un equipo más grande de Respuesta a incidentes que pueda atender para detectar anomalías en el resto de la red y especialistas forenses que analizarán el ataque.
2) si el activo afectado es crítico, dependiendo de qué tipo de ataque sea ... por ejemplo, Phishing, ejecute exploraciones de AV, mientras revoca las credenciales de correo electrónico de negocios del usuario afectado, etc. Si es ransomware y otros, recopile evidencia y revertir el sistema operativo.
Al final, la respuesta a incidentes es extremadamente dinámica y se trata de decisiones rápidas con su equipo de IR, qué tipo de incidente está tratando y la naturaleza del entorno de red.
saludos
Lea otras preguntas en las etiquetas forensics incident-response