Práctica de laboratorio: Manejo de incidentes

Objetivos
Apliquen todo lo que saben sobre procedimientos para el manejo de seguridad para formular preguntas
sobre determinados escenarios de incidentes.

Antecedentes / Escenario
La respuesta a ante incidentes de seguridad informática se ha convertido en un componente vital. El proceso
para manejar un incidente de seguridad puede ser complicado e implicar a muchos grupos diferentes. Una
organización debe tener estándares para responder ante incidentes. Estos estándares deben ser políticas,
procedimientos y listas de comprobación. Para responder correctamente a un incidente de seguridad, el
analista debe estar capacitado para saber qué hacer, y también tiene que seguir todas las pautas estipuladas
por la organización. Las organizaciones disponen de muchos recursos que les permiten crear y mantener
una política para el manejo de las respuestas ante incidentes de seguridad informática, pero en los temas de
los exámenes de SECOPS (Operaciones de seguridad) de la CCNA se hace referencia específicamente a la
Publicación especial 800-61 del NIST. Aquí pueden encontrar esta publicación:
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

Situación 1: Infestación por gusanos y agentes de Denegación distribuida de servicio

(Distributed Denial of Service, DDoS)
Estudien el siguiente escenario para analizar y determinar las preguntas sobre el manejo de la respuesta
ante incidentes que se deberían formular en cada etapa del proceso de respuesta ante incidentes.
Consideren los detalles de la organización y el CSIRC cuando formulen sus preguntas.
Este escenario es una firma de inversiones pequeña y familiar. La organización tiene solo una sede y menos
de 100 empleados. Es martes por la mañana y se libera un gusano nuevo; se propaga por medios extraíbles,
y se puede copiar a sí mismo en recursos compartidos de Windows. Cuando el gusano infecta a un host,
instala un agente de DDoS. Solo hubo firmas de antivirus disponibles varias horas después de que el gusano
comenzara a propagarse. La organización ya había sufrido infecciones masivas.
La firma de inversiones ha contratado a un pequeño grupo de expertos en seguridad que suelen utilizar el
modelo diamante para el manejo de incidentes de seguridad.
Preparación:

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 3 www.netacad.com
Práctica de laboratorio: Manejo de incidentes

Se evaluará la instalación e intervención de un antivirus sobre cada uno de los equipos que se tienen,
permitiendo la visión de posibles amenazas como la infestación de gusanos, así como el estudio de su
propagación y funcionamiento.

Detección y análisis:
Bajo un escaneo por parte de un antivirus licenciado, reconocido y con bases de virus actuales se logrará
una detección e identificación de posibles malware existentes (gusanos), la limpieza de estos, evitando
posibles propagaciones de gusanos u otras amenazas. Del mismo modo, se garantizará un sistema o
software actualizado dando paso a un escaneo más optimo bajo un aseguramiento de versionamiento; donde
se incluye una supervisión de disponibilidad de direccionamiento que se utiliza bajo la red razón que el
gusano requiere encontrar una finalidad o IP lo que hace factible su detección.

Contención, erradicación y recuperación:

Mediante políticas de seguridad configuradas por el antivirus sobre comportamientos anómalos, se puede
definir que componentes y elementos muestran conductas que pueden llegar a interpretarse o ser gusanos;
lo cual se colocaran en cuarentena para observar su conducta acorde al sistema o en su defecto la posible
eliminación o limpieza de estos.

Actividad posterior al incidente:

Tanto el antivirus como el sistema trazará un log de eventos o registros que concederá información
fundamental para establecer si hubo algún tipo de filtración sobre información reservada a manera que esto
difiere a probables exposiciones que deben ser comunicadas para una validación o prueba correspondiente
en la red o los hosts posiblemente infectados antes de hacer uso o conexión de los mismos.

Situación 2: Acceso no autorizado a registros de nómina

Estudien el siguiente escenario. Analicen y determinen las preguntas sobre el manejo de la respuesta ante
incidentes que se deberían formular en cada etapa del proceso de respuesta ante incidentes. Consideren los
detalles de la organización y el CSIRC cuando formulen sus preguntas.
Este escenario se trata de un hospital de mediana magnitud con varios consultorios y servicios médicos
externos. La organización tiene decenas de sedes y más de 5000 empleados. Debido al tamaño de la
organización, han adoptado un modelo CISRC con equipos distribuidos de respuesta ante incidentes.
También tienen un equipo de coordinación que controla a los CSIRT y les ayuda a comunicarse entre sí.
Son las últimas horas de la tarde de un miércoles, el equipo de seguridad física de la organización recibe una
llamada de una administradora de nómina que vio salir de su oficina a un desconocido, correr por el pasillo y
salir del edificio. La administradora se había alejado de su estación de trabajo solo durante unos pocos
minutos y la había dejado desbloqueada. El programa de nóminas sigue con la sesión abierta y en el menú
principal, tal como ella lo había dejado, pero cree que han movido el mouse. Se le ha solicitado al equipo de
respuesta ante incidentes que reúna evidencia relacionada con el incidente y determine qué medidas se
deben tomar.
Los equipos de seguridad ponen en práctica el modelo de la cadena de eliminación y saben utilizar la base
de datos VERIS. A modo de nivel de protección adicional, han tercerizado parcialmente el personal a una
MSSP para tener monitoreo las 24 horas del día, los 7 días de la semana.
Preparación:
Validar los componentes disponibles a nivel de software y hardware que se encuentran instalados sobre
cada uno de los equipos en los consultorios, así como sobre el uso del hospital.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 2 de 3 www.netacad.com
Práctica de laboratorio: Manejo de incidentes

Detección y análisis:
Mediante el acceso a los diversos sistemas que se manejan se puede tener certeza de posibles intrusiones o
amenazas que se encuentran en cada uno de estos, a razón de considerar un estudio en los controles de
ingreso.

Contención, erradicación y recuperación:

Determinar e indagar indicios que conlleven a los diferentes factores frente a los acontecimientos y
elementos implicados en la situación; con el fin de hacer arreglos o actuar según corresponda evitando,
disminuyendo el impacto, así como asegurando y salvaguardando datos e información de prioridad.

Actividad posterior al incidente:

En primera instancia se opta por una capacitación al equipo de seguridad con respecto a mejores prácticas
sobre controles de acceso brindando pautas esenciales para no incurrir en situaciones futuras; por tanto,
cada sistema deberá tener un monitoreo constante bajo los ingresos tanto autorizados como no autorizados
garantizando la integridad, confiabilidad de los y hacia los usuarios.

Conclusión

1. Se comprende que se deben tomar estrategias para detectar posibles vulnerabilidades o amenazas
para dar solvencia a incidentes que se puedan considerar sobre cada una de ellas.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 3 de 3 www.netacad.com