Última actualización: octubre 18, 2022
13.2.2.13 Práctica de laboratorio: Manejo de incidentes (versión para el instructor)
Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece solo en la copia del instructor.
Objetivos
Apliquen todo lo que saben sobre procedimientos para el manejo de seguridad para formular preguntas sobre determinados escenarios de incidentes.
Antecedentes / Escenario
La respuesta a ante incidentes de seguridad informática se ha convertido en un componente vital de cualquier organización. El proceso para manejar un incidente de seguridad puede ser complicado e implicar a muchos grupos diferentes. Una organización debe tener estándares para responder ante incidentes. Estos estándares deben ser políticas, procedimientos y listas de comprobación. Para responder correctamente a un incidente de seguridad, el analista debe estar capacitado para saber qué hacer, y también tiene que seguir todas las pautas estipuladas por la organización. Las organizaciones disponen de muchos recursos que les permiten crear y mantener una política para el manejo de las respuestas ante incidentes de seguridad informática, pero en los temas de los exámenes de SECOPS (Operaciones de seguridad) de la CCNA se hace referencia específicamente a la Publicación especial 800-61 del NIST. Aquí pueden encontrar esta publicación:
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
Situación 1: Infestación por gusanos y agentes de Denegación distribuida de servicio (Distributed Denial of Service, DDoS)
Estudien el siguiente escenario para analizar y determinar las preguntas sobre el manejo de la respuesta ante incidentes que se deberían formular en cada etapa del proceso de respuesta ante incidentes. Consideren los detalles de la organización y el CSIRC cuando formulen sus preguntas.
Este escenario es una firma de inversiones pequeña y familiar. La organización tiene solo una sede y menos de 100 empleados. Es martes por la mañana y se libera un gusano nuevo; se propaga por medios extraíbles, y se puede copiar a sí mismo en recursos compartidos de Windows. Cuando el gusano infecta a un host, instala un agente de DDoS. Solo hubo firmas de antivirus disponibles varias horas después de que el gusano comenzara a propagarse. La organización ya había sufrido infecciones masivas.
La firma de inversiones ha contratado a un pequeño grupo de expertos en seguridad que suelen utilizar el modelo diamante para el manejo de incidentes de seguridad.
Preparación:
Las respuestas variarán especialmente dependiendo de los detalles del CSIRC. Ejemplos:
¿La organización consideraría que esta actividad es un incidente? Si es así, ¿qué políticas del a organización infringe esta actividad?
¿Qué medidas existen para intentar impedir que vuelva a ocurrir este tipo de incidente o para limitar su impacto?
Detección y análisis:
Las respuestas variarán especialmente dependiendo de los detalles del CSIRC. Ejemplos:
De haber alguno, ¿qué precursores el incidente podría detectar la organización? ¿Algún precursor podría hacer que la organización tomara medidas antes de que ocurra el incidente?
¿Qué indicadores del incidente podría detectar la organización? ¿Qué indicadores harían que alguien pensara que podría haber ocurrido un incidente?
¿Qué herramientas adicionales podrían necesitarse para detectar este incidente en particular?
¿De qué manera el equipo priorizaría el manejo de este incidente?
Contención, erradicación y recuperación:
Las respuestas variarán especialmente dependiendo de los detalles del CSIRC. Ejemplos:
¿Qué estrategia debería seguir la organización para contener el incidente? ¿Por qué se prefiere esta estrategia antes que otras?
¿Qué herramientas adicionales podrían necesitarse para responder ante este incidente en particular?
¿Qué personal participaría de los procesos de contención, erradicación y/o recuperación?
De haber alguna, ¿qué fuentes de evidencias debería obtener la organización? ¿Cómo se obtendría la evidencia? ¿Dónde se la almacenaría? ¿Cuánto tiempo se la conservaría?
Actividad posterior al incidente:
Las respuestas variarán dependiendo de los detalles del CSIRC. Ejemplos:
¿Qué podría hacerse para evitar que se repitan incidentes similares en el futuro?
¿Qué podría hacerse para mejorar la detección de incidentes similares?
Situación 2: Acceso no autorizado a registros de nómina
Estudien el siguiente escenario. Analicen y determinen las preguntas sobre el manejo de la respuesta ante incidentes que se deberían formular en cada etapa del proceso de respuesta ante incidentes. Consideren los detalles de la organización y el CSIRC cuando formulen sus preguntas.
Este escenario se trata de un hospital de mediana magnitud con varios consultorios y servicios médicos externos. La organización tiene decenas de sedes y más de 5000 empleados. Debido al tamaño de la organización, han adoptado un modelo CISRC con equipos distribuidos de respuesta ante incidentes. También tienen un equipo de coordinación que controla a los CSIRT y les ayuda a comunicarse entre sí.
Son las últimas horas de la tarde de un miércoles, el equipo de seguridad física de la organización recibe una llamada de una administradora de nómina que vio salir de su oficina a un desconocido, correr por el pasillo y salir del edificio. La administradora se había alejado de su estación de trabajo solo durante unos pocos minutos y la había dejado desbloqueada. El programa de nóminas sigue con la sesión abierta y en el menú principal, tal como ella lo había dejado, pero cree que han movido el mouse. Se le ha solicitado al equipo de respuesta ante incidentes que reúna evidencia relacionada con el incidente y determine qué medidas se deben tomar.
Los equipos de seguridad ponen en práctica el modelo de la cadena de eliminación y saben utilizar la base de datos VERIS. A modo de nivel de protección adicional, han tercerizado parcialmente el personal a una MSSP para tener monitoreo las 24 horas del día, los 7 días de la semana.
Preparación:
Las respuestas variarán dependiendo de los detalles del CSIRC. Ejemplos:
¿La organización consideraría que esta actividad es un incidente? Si es así, ¿qué políticas del a organización infringe esta actividad?
¿Qué medidas existen para intentar evitar que vuelva a ocurrir este tipo de incidente o limitar su impacto?
Detección y análisis:
Las respuestas variarán dependiendo de los detalles del CSIRC. Ejemplos:
De haber alguno, ¿qué precursores el incidente podría detectar la organización? ¿Algún precursor podría hacer que la organización tomara medidas antes de que ocurra el incidente?
¿Qué indicadores del incidente podría detectar la organización? ¿Qué indicadores harían que alguien pensara que podría haber ocurrido un incidente?
¿Qué herramientas adicionales podrían necesitarse para detectar este incidente en particular?
¿De qué manera el equipo priorizaría el manejo de este incidente?
Contención, erradicación y recuperación:
Las respuestas variarán dependiendo de los detalles del CSIRC. Ejemplos:
¿Qué estrategia debería seguir la organización para contener el incidente? ¿Por qué se prefiere esta estrategia antes que otras?
¿Qué herramientas adicionales podrían necesitarse para responder ante este incidente en particular?
¿Qué personal participaría de los procesos de contención, erradicación y/o recuperación?
De haber alguna, ¿qué fuentes de evidencias debería obtener la organización? ¿Cómo se obtendría la evidencia? ¿Dónde se la almacenaría? ¿Cuánto tiempo se la conservaría?
Actividad posterior al incidente:
Las respuestas variarán dependiendo de los detalles del CSIRC. Ejemplos:
¿Qué podría hacerse para evitar que se repitan incidentes similares en el futuro?
¿Qué podría hacerse para mejorar la detección de incidentes similares?