Me estoy preparando para el libro de Oriyano para CEH. Se refiere a las fases de respuesta a incidentes del NIST. Estas fases son:
No puedo entender la diferencia entre la fase de investigación y la fase de análisis y seguimiento. Ambos se refieren al análisis y la disección de la evidencia recopilada en la empresa o con expertos externos.
¿Alguna ayuda?
Saludos.
La versión corta es que la investigación está recopilando información, y el análisis está poniendo la información (obtenida de la investigación) en una imagen completa.
El Consejo de EC (órgano rector de la CEH) dice
La investigación forense de piratería informática es el proceso de detección de ataques de piratería y extracción adecuada de pruebas para informar el delito y realizar auditorías para prevenir futuros ataques.
Después de obtener esta información, se puede hacer un análisis sobre la información. Un análisis podría incluir el riesgo de un ataque repetido, qué información se tomó, otros sistemas vulnerables que también podrían ser explotados, qué buscaba el atacante, etc.
Lea otras preguntas en las etiquetas incident-response