Infección del servidor: mejores prácticas posteriores a la limpieza

Esta pregunta podría ser altamente valorada en términos de "mejores prácticas".

Sin embargo, puede haber ciertos requisitos legales / contractuales o de la industria para la notificación al cliente o la investigación forense. Para obtener la respuesta óptima, deberá buscar orientación para un asesor legal específico para un incidente determinado. En el sentido general, usted debería hacer lo correcto y en el mejor interés de sus clientes / usuarios, pero si está operando un negocio, es posible que deba equilibrarlo con su deseo de tener un preocupación en marcha .

Un buen lugar general para comenzar sería con NIST SP 800-61: "Computadora Guía de manejo de incidentes de seguridad ". También puede consultar SP 800-86: "Guía para integrar técnicas forenses en la respuesta a incidentes ".

También hay algunos recursos CERT / SANS / etc:

• Publicaciones de certificados (por ejemplo, Manual para equipos de respuesta a incidentes de seguridad informática )
• Guía sencilla para personas de negocios
• SANS Sala de lectura: Manual del controlador de incidentes

Algunas referencias de leyes y requisitos de la industria (ejemplos específicos de EE. UU.):

• GLBA (Financial Inudstry): FDIC FIL-27-2005 Guidance , < a href="http://www.business.ftc.gov/documents/bus54-financial-institutions-and-customer-information-complying-safeguards-rule"> FTC Guidance
• HIPAA (Cuidado de la salud): Guía de HHS sobre la regla de notificación de incumplimiento
• PCI (Tarjetas de crédito): VISA Guidance ( Additional ), Documento de SANS sobre la Respuesta de Incumplimiento de PCI (Opinión / Investigación)
• Ley de Notificación de Infracción de California: Requisitos legales (vaya a 1798.82. (a))

Este informe del Servicio de Investigación del Congreso también proporciona un resumen de algunas leyes federales de los EE. UU. Este Berkley Law Paper también puede ser de interés para las leyes federales de los EE. UU.

Intentaré responder a tus preguntas lo mejor posible.

  

Informar a los clientes de la infección y limpiar

No informaría a los clientes a menos que tenga un SLA para hacerlo o esté sujeto a cumplimiento. A menudo esto solo causa el pánico de la gente de negocios. Sin embargo, si se pierde la PII, puede ser lo mejor para usted.

  

enviar las shells / archivos infectados a cualquier empresa de seguridad que informe   detalles del exploit utilizado por cualquier empresa de seguridad

Puede enviar los archivos a Virus Total (virustotal.com). Esto a menudo se distribuye a los proveedores de AV y puede ver si ya ha sido enviado por otros. Normalmente, todo lo que el vendedor necesite estará en el ejecutable que les enviará.

  

investigación / informes de atacar la dirección IP

Puede enviar detalles de las direcciones IP a los proveedores. Estoy familiarizado con McAfee con mi experiencia y su motor de reputación es Trusted Source (trustedsource.org) y puede enviar comentarios a ellos.

El mantenimiento de registros meticuloso es lo mejor para usted. Use la documentación para ayudar a justificar y crear políticas adicionales sobre seguridad y respuesta a incidentes. Seguramente, esta no será la última vez que será violado (no será algo en su contra, pero así es como es), pero un proceso específico que puede construir ayudará a las personas a mantener las cabezas de los primeros respondedores despejadas y les dará una dirección a seguir. . Busque una plantilla para un informe de respuesta a incidentes para comenzar con esto.

En todos los lugares donde he trabajado (sector público y privado F100), la parte más valiosa de las acciones posteriores al incidente es el informe. La retrospectiva es 20/20 y es importante que usted y su equipo comprendan todos los detalles y síntomas que se descubrieron. Debe utilizar estos puntos para comprender mejor su postura de seguridad y los procesos para manejar dichos incidentes o impactos en el servicio. Este es también el mejor momento para revisar la arquitectura, ya que los responsables de la toma de decisiones de negocios estarán más tranquilos con las bolsas cuando se produzca una infracción. La seguridad a menudo se pasa por alto o se ve solo como un gasto comercial sin beneficios para los márgenes de beneficio de la empresa cuando no hay incidentes de seguridad.

Básicamente, usted está preguntando sobre las mejores prácticas para el manejo de incidentes, pero esencialmente como aplicable 'después' ya ha manejado el incidente. Por lo que sé y en base a las preguntas específicas que ha presentado, no hay un enfoque de cookie para lo que su organización necesita hacer después de la fase de "lecciones aprendidas". Es realmente una cuestión de lo que eres legalmente responsable o simplemente de querer / querer hacer. Si la propiedad intelectual valiosa estaba involucrada, entonces eso potencialmente abre una lata de gusanos. Del mismo modo, hay ciertas "cosas" que requieren, te guste o no, que te pongas en contacto con la policía. Creo que todos entienden el punto. Caracterizar el tipo de incidente (ataques y robo de propiedad intelectual, DoS, malware, correo electrónico como hostigamiento o phishing, espionaje, infracciones de políticas como uso no autorizado, actividades ilegales, amenazas internas desde amenazas no destructivas hasta destructivas intencionales, etc.), determinando el alcance Los daños y luego ponerse en contacto con las partes apropiadas son todas las cosas que deberían haberse hecho durante la fase de contención. Aquí hay un recurso para ayudarle con dicha clasificación; documento de clasificación de casos CSIRT

Ahora, parece que ya has pasado por la identificación, la contención, la erradicación y la recuperación, ¿y supongo que has observado y / o estás observando cuidadosamente el regreso del atacante? Así que repasemos lo que generalmente se considera la mejor práctica en la fase 6 del manejo de incidentes estándar "by the book". Muchas organizaciones / personas "no tienen el tiempo" o se molestan en pasar por esta fase, pero seamos sinceros, los atacantes están mejorando todo el tiempo, por lo que usted también debe mejorar. Es hora de seguir adelante y cometer nuevos errores, pero el objetivo de este proceso es evitar repetir los mismos viejos. Lo que debe hacer ahora es documentar qué sucedió y cómo se pueden mejorar las capacidades de las operaciones para evitar que vuelvan a ocurrir incidentes similares. Una forma de hacerlo es mediante la creación de un informe de seguimiento. Lo ideal es comenzar con este informe de inmediato, inmediatamente después de la recuperación. El instituto SANS pone a disposición algunos formularios de incidentes útiles que puede utilizar en este proceso. En general, es una buena práctica alentar a todas las partes afectadas a revisar su borrador. Una vez que se haya revisado el informe, programe una reunión de "lecciones aprendidas" si puede. Idealmente, esta reunión debería ocurrir dentro de una o dos semanas después de reanudar la producción, mientras que los eventos aún están "frescos" en la memoria de todos. En general, el objetivo principal de la reunión es obtener un consenso sobre el resumen ejecutivo de su informe de incidentes. En mi opinión, la clave del resumen ejecutivo es ilustrar la importancia de contar con procedimientos de manejo de incidentes efectivos.

También, observe los "siete pecados mortales" del manejo de incidentes. Tu podrias encontrar esto útil.