Acaba de ser publicada por el NIST, una excelente Guia de Seguridad sobre la Gestión de Incidentes, donde e contempla desde la preparación de un equipo de respuesta ante incidentes, hasta los pasos para manejar el incidente una vez "producido".
Los pasos identificados por la guía como necesarios para la "gestión" del incidente son:
Preparación: consiste en la preparación del Sistema para resitir a los incidentes de seguridad, y configurar éstos de forma segura. Configuración segura de los Sistemas para intentar prevenir y/o reducir los incidentes de Seguridad. La guia proporciona una serie de "consejos" (técnico y/o prodedimentales) que preparan el sistema ante los incidentes de Seguridad.
Detección y Análisis: una vez ocurrido un suceso (evento / incidente) este debe ser identificado, categorizado, analizado, documentado y por supuesto notificado.
Contención, Eliminación y Recuperación: Una vez notificado, lo primero es contener el "incidente", para ello se debe de contar con un plan de contingencia, registrar las evidencias necesarias para posibles análisis forenses posteriores con la correspondiente "cadena de custodia", antes de realizar ninguna actuación en el Sistema. Una vez hecho esto, se esta en condiciones de aplicar el Plan de Contingencia, prodeceder a la contención, eliminación y recuperación de los Sistemas.
Lecciones aprendidas: Con objeto de evitar futuros incidentes de seguridad, es muy importante analizar lo sucedido y aprender de los errores cometidos. Además, se deberá de mantener las evidencias hasta que la investigación del incidente de seguridad se de por concluida. El periodo de retenciónn deberá de estar especificado en la política de Seguridad, o dependiendo del Sistema podrá venir impuesto por una normativa especifica.
El ultimo apartado de la guía proporciona una serie de recomendaciones, que nunca esta de mal recordar:
- Preparar todas las herramientas necesarias para la actuación en la gestión del incidente. Tener listo los equipos y juego de herramientas del Equipo de Respuesta (ERI).
- Prevenir los ataques mediante la "securización" de los Sistemas, redes y aplicaciones. Realizar periódicamente análisis de riesgos, y auditorías del Sistema
- Identificar los indicadores necesarios para generar las alertas de seguridad, por ejemplo, configurar sistema de correlación de eventos de Seguridad (SIEM).
- Crear los mecanismos necesarios, así como los canales de comunicación para informar de los incidentes de seguridad a los organismos necesarios (CERT) en caso de necesidad. Lista de teléfonos, contactos establecidos previamente, con persona de contacto, etc.
- Disponer una "baseline" en la auditoría y sistema de registro (logging) de los Sistemas, con el suficiente nivel de detalle como para poder realizar analisis forenses detallados en caso de ser necesario.
- Parametrizar el comportamiento habitual de la Red / Sistema, con objeto de categorizar mejor las amenazas, e identificar / categorizar los incidentes de seguridad.
- Establecer políticas de retención de logs, así como planes de contingencias.
- Muy importante, es establecer un "marco de referencia temporal común", todos los sistemas deberán de estar debidamente sincronizados en el tiempo.
- Crear un sistema (por ejemplo:Wiki) para compartir cada resolución de los eventos / incidentes con objeto de mantener una "base de datos" del conocimiento.
- Por supuesto, se deben de pautar / procedimentar todos los pasos necesarios para la gestión del incidente.
En la guía (SP-800-61-rev2) se puede encontrar con mayor detalle todo lo comentado en este artículo.
Descargar: NIST SP-800-61 Rev2 Computer Security Incident Handling Guide
Via @peterkruse
Excelente resumen.
ResponderEliminarEl enlace para descargar la norma no esta funcionando.