Confiando en su herramienta de respuesta a incidentes

Como un Servicio de respuesta a incidentes, siempre debe tener mucho cuidado con los supuestos que hace cuando está en un sistema. En ese sentido, sus preguntas son bastante pertinentes.

Sin embargo, también ejerce su juicio (en algunos casos, quizás de forma incorrecta) sobre la cantidad de atención que se requiere en un caso particular. Hay límites sobre lo que puede hacer con los sistemas alojados en la nube pública. Intenta trabajar con esos límites (como no poder arrancar desde un CD); y encontrar soluciones donde sea posible. por ejemplo, si no necesita análisis forense en vivo, puede crear su propia "imagen de arranque confiable con herramientas confiables", iniciar desde esa imagen, adjuntar los discos en cuestión e investigar. Este es prácticamente el mismo principio que llevar sus propios discos de arranque (CD o unidades USB). Hago esto de manera predeterminada solo cuando estoy trabajando en servidores altamente sensibles, donde es probable que los adversarios estén altamente capacitados.

En todos los demás casos, tomo la ruta más eficiente / pragmática, como sugiere @ john-deters.

Live Forensics es un poco más resbaladizo. No hay consejos fáciles allí. Podría montar un disco con sus propias herramientas (en realidad, en muchos casos lo hace) pero eso conlleva sus propios riesgos.

Finalmente, si va a instalar herramientas de IR remotas (como GRR por ejemplo), solo puede tomar precauciones al instalar las herramientas. Como medida de precaución adicional, debe crear una alerta de integridad de archivo (para esto necesita registro remoto) para asegurarse de que el paquete GRR no esté alterado de ninguna manera. Si eso no se activa, es probable que (sí, probablemente no) en un terreno firme al iniciar sesión para IR de forma remota.

En el mundo real, eso no es práctico. Amazon no te dejará entrar por la puerta de su centro de datos para insertar un CD en una de sus computadoras en la nube. ¿Ha dejado de existir Amazon Web Services? ¿Eso ha impedido que las personas construyan muchos negocios exitosos en la nube de Amazon? La existencia (y la rentabilidad) de AWS sugiere que son bastante confiables.

En su lugar, intentamos instalar los agentes de seguridad del software en máquinas recién construidas, y tenemos un poco de confianza de que, mientras tanto, no se modificaron maliciosamente. Es un enfoque práctico que cubre la mayor parte de la superficie de ataque.

Considere lo contrario: ¿Cómo sabría si el CD que usaría para instalar el agente es una imagen genuina y no una falsificación inteligente que contenga un kit raíz? ¿Cómo sabes que el servidor no tiene un chip malicioso creado por una fundición poco confiable , e instalado por un proveedor de placa base sin escrúpulos? ¿Cómo sabes que algún intruso no ha instalado una placa COTTONMOUTH-III en la torre USB de la máquina mientras está sentada? esperando para despejar la aduana? En algún momento, tienes que dejarte ir y ejercer un poco de confianza. El truco es nunca dejar que la incapacidad de lograr la perfección absoluta evite que llegues a un estado "lo suficientemente bueno". Sí, siempre hay un hueco, un agujero en el proceso, algo que podría ser explotado por la persona adecuada en el momento adecuado. Minimice las brechas, sin duda, pero tenga en cuenta que van a existir independientemente de lo que haga.

Un enfoque más racional es realizar una evaluación de riesgos y un análisis de riesgos. Tienes un presupuesto de seguridad finito, todos lo hacen. ¿Desea gastarlo todo en llevar CD a sus servidores en la pequeña posibilidad de que ya esté infestado con un rootkit del que no está al tanto? ¿O tendría más sentido gastarlo en una amenaza más inmediata o un problema urgente, como implementar un sistema de respuesta y detección de intrusos en la red, capacitar a sus usuarios para que reconozcan los ataques de phishing o auditar su configuración TLS?

Primero golpea los problemas realistas.