Respuesta a

Incidentes
MSC: Jesus Bernardo Ruiz Flores
 Vista Global
• Capacidad de respuesta

• Políticas y Guias

• Respuesta

• Fases

• Triage

• Contención

• Investigación

• Analisis y tratamiento

• Recuperación

• Información

• Métricas

• Información al público
 Objetivos
• Detectar un problema

• Detectar las causas

• Minimizar el daño que causa

• Resolver el problema

• Documentar cada paso, para futuras referencias

• Comunicar el evento de manera apropiada eficiente

Capacidad de respuesta
• Políticas

• Autoridad

• Quien tiene autoridad para reportar los incidentes

• Procedimientos

• Se debe realizar todo revisión de incidentes acompañado por un abogado

• Provado

• Se debe tener un metodo aprobado y metódico

• Administración de evidencia

• Se requiere que se tengan todas las herramientas necesarias, para manejar el incidente (Crash Box)

• Cables

• Disco Duros

• etc
 Fuentes externas
• Interacción con fuentes externas

• Jurisdicción

• Estado del crimen

• Naturaleza de la evidencia

• Naturaleza del crimen

 Fases

• Triada

• Investigación

• Contención

• Analisis y rastreo
 Triada
• Detección

• Falsos Positivos

• Clasificación

• Causa raiz del evento?

• Cantidad de sistemas afectados

• Notificación

• Priorización

• Escalamiento
 Objetivos fase de
investigación

• Reducir el impacto

• Identificar la causa

• Volver a funcionar lo más rápido posible

• Prevenir que el incidente se repite

 Consideraciones de la
investigación
• Debe considerar

• Adhesión a las políticas de la empresa

• Confidencialidad

• Leyes y regulaciones

• Manejo adecuado de evidencia

Proceso de investigación
• Identificar sospechosos

• Identificar testigos

• Identificar sistema

• Identificar equipo

• Buscar ordenes de cateo

Técnicas de investigación
• Análisis de propiedad y de posesión

• Determinar el individuo que creo, modifico o

accedió a un archivo

• Análisis de tiempo

• Análisis de de aplicación y de archivos

• Análisis de datos escondidos

• Oportunidad, medio y motivo

Comportamiento del criminal
• Criminales informáticos tienen modos de
operación específicos

• Herramientas/Software

• Comportamiento característico

• Tipo de sistema o redes que atacan

• Profiling
Entrevista vs. Interrogación
• Entrevista

• Preguntas abiertas

• Cuestionamiento general

• Cooperación

• Busca la verdad

• Interrogación

• Preguntas cerradas

• Objetivo Específico

• Hostil

• Peligrosa
 Componentes Fase de
investigación

• Análisis

• Interpretación

• Reacción

• Recuperación
 Contención
• Reduce el posible impacto del incidente

• La estrategia depende de:

• Categoría del ataque

• Elementos afectados

• Criticidad del sistema o dato

Reportes y documentación

• Garantizar de que la mayor cantidad de datos

se proveen a las personas indicadas, para
manejar el incidente y evitar la recurrencia

• Leyes

• Políticas

• Juicios
 Objetivo Fase de
recuperación

• Volver a las actividades

• Recuperar el negocio (Peor Caso)

• Recuperar el sistema

• Proteger la evidencia
Recuperación/Reparación

• Colocar el equipo en producción

• Asegurarse de que pueda soportar otro

ataque

• Verificar por vulnerabilidades y debilidades

Comunicación del incidente

• Información pública

• Reducir el impacto negativo

• Da la oportunidad de recuperar la confianza

del público

• Personal autorizado