Stages y software de código abierto

La era actual es de supercomputadoras en nuestros bolsillos. Sin embargo, a pesar de utilizar las mejores herramientas de seguridad, los delincuentes siguen atacando los recursos en línea. Esta publicación es para presentarte Respuesta a incidentes (IR), explica las diferentes etapas de IR y luego enumera tres software de código abierto gratuito que ayudan con IR.

¿Qué es la respuesta a incidentes?

RESPUESTA AL INCIDENTE

Que es un Incidente? Podría ser un ciberdelincuente o cualquier malware que se apodere de su computadora. No debe ignorar los IR porque le puede pasar a cualquiera. Si cree que no se verá afectado, puede que tenga razón. Pero no por mucho tiempo porque no hay garantía de nada conectado a Internet como tal. Cualquier artefacto allí puede volverse deshonesto e instalar malware o permitir que un ciberdelincuente acceda directamente a sus datos.

Debe tener una plantilla de respuesta a incidentes para poder responder en caso de un ataque. En otras palabras, IR no se trata de SI, pero se preocupa por CUANDO y CÓMO de la ciencia de la información.

La respuesta a incidentes también se aplica a los desastres naturales. Usted sabe que todos los gobiernos y las personas están preparados cuando ocurre un desastre. No pueden permitirse el lujo de imaginar que siempre están a salvo. En un incidente tan natural, el gobierno, el ejército y muchas organizaciones no gubernamentales (ONG). Del mismo modo, usted tampoco puede permitirse el lujo de pasar por alto la respuesta a incidentes (RI) en TI.

Básicamente, IR significa estar preparado para un ciberataque y detenerlo antes de que cause algún daño.

Respuesta a incidentes: seis etapas

La mayoría de los gurús de TI afirman que hay seis etapas de respuesta a incidentes. Otros lo mantienen en 5. Pero seis son buenos porque son más fáciles de explicar. Aquí están las etapas de RI que deben mantenerse enfocadas al planificar una Plantilla de Respuesta a Incidentes.

  1. Preparación
  2. Identificación
  3. Contención
  4. Erradicación
  5. Recuperación y
  6. Lecciones aprendidas

1]Respuesta a incidentes: preparación

Debe estar preparado para detectar y hacer frente a cualquier ciberataque. Eso significa que debes tener un plan. También debe incluir personas con ciertas habilidades. Puede incluir personas de organizaciones externas si no tiene talento en su empresa. Es mejor tener una plantilla de IR que explique qué hacer en caso de un ataque cibernético. Puede crear uno usted mismo o descargar uno de Internet. Hay muchas plantillas de Respuesta a incidentes disponibles en Internet. Pero es mejor involucrar a su equipo de TI con la plantilla, ya que conocen mejor las condiciones de su red.

2]IR – Identificación

Esto se refiere a identificar el tráfico de su red comercial para detectar cualquier irregularidad. Si encuentra alguna anomalía, comience a actuar según su plan de IR. Es posible que ya haya instalado equipos y software de seguridad para evitar los ataques.

3]IR – Contención

El objetivo principal del tercer proceso es contener el impacto del ataque. Aquí, contener significa reducir el impacto y prevenir el ciberataque antes de que pueda dañar algo.

La contención de la respuesta a incidentes indica planes a corto y largo plazo (suponiendo que tenga una plantilla o un plan para contrarrestar los incidentes).

4]RI – Erradicación

La erradicación, en las seis etapas de Respuesta a Incidentes, significa restaurar la red que fue afectada por el ataque. Puede ser tan simple como almacenar la imagen de la red en un servidor separado que no está conectado a ninguna red o Internet. Se puede utilizar para restaurar la red.

5]IR – Recuperación

La quinta etapa en Respuesta a incidentes es limpiar la red para eliminar cualquier cosa que pueda haber quedado después de la erradicación. También se refiere a devolver la vida a la red. En este punto, aún estaría monitoreando cualquier actividad anormal en la red.

6]Respuesta a incidentes: lecciones aprendidas

La última etapa de las seis etapas de Respuesta a incidentes se trata de investigar el incidente y anotar las cosas que fallaron. La gente suele perder esta etapa, pero es necesario saber qué salió mal y cómo evitarlo en el futuro.

Software de código abierto para gestionar la respuesta a incidentes

1]CimSweep es un conjunto de herramientas sin agentes que le ayuda con la respuesta a incidentes. También puede hacerlo de forma remota si no puede estar presente en el lugar donde sucedió. Esta suite contiene herramientas para la identificación de amenazas y la respuesta remota. También ofrece herramientas forenses que lo ayudan a verificar registros de eventos, servicios y procesos activos, etc. Más detalles aquí.

2]Herramienta de respuesta rápida GRR está disponible en GitHub y le ayuda a realizar diferentes comprobaciones en su red (casa u oficina) para ver si hay vulnerabilidades. Tiene herramientas para análisis de memoria en tiempo real, búsqueda de registro, etc. Está integrado en Python, por lo que es compatible con todos los sistemas operativos Windows – XP y versiones posteriores, incluido Windows 10. Compruébalo en Github.

3]TheHive es otra herramienta de respuesta a incidentes gratuita de código abierto. Permite trabajar en equipo. El trabajo en equipo facilita la lucha contra los ataques cibernéticos, ya que el trabajo (deberes) se mitiga a personas diferentes y talentosas. Por lo tanto, ayuda en el monitoreo en tiempo real de IR. La herramienta ofrece una API que el equipo de TI puede utilizar. Cuando se usa con otro software, TheHive puede monitorear hasta cien variables a la vez, de modo que cualquier ataque se detecte de inmediato y la respuesta a incidentes comience rápidamente. Más información aquí.

Lo anterior explica brevemente la Respuesta a incidentes, comprueba las seis etapas de la Respuesta a incidentes y nombra tres herramientas para ayudar a lidiar con Incidentes. Si tiene algo que agregar, hágalo en la sección de comentarios a continuación.

RESPUESTA AL INCIDENTE

Otros artículos relacionados

Deja un comentario