10.3. Implementación de un Plan de respuestas a incidentes

Una vez creado un plan de acción, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementación activa lo más seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los ejercicios prácticos son invalorables. La implementación del plan debería ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atención con respecto a algo antes de que el plan sea colocado en producción.

Si se detecta una violación mientras el CERT está presente para una reacción rápida, las respuestas potenciales pueden variar. El equipo puede decidir sacar las conexiones de red, desconectar los sistemas afectados, reparar la violación y luego reconectar rápidamente sin mayor complicación. El equipo puede también observar a los autores y hacer un seguimiento de sus acciones. El equipo puede inclusive redirigir a los autores a un pote de miel — un sistema o segmento de la red conteniendo intencionalmente datos falsos — usado para poder seguir la pista de la incursión de forma segura y sin interrupciones a los recursos de producción.

La respuesta a incidentes debe ir acompañada con recolección de información siempre que esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho más debería ser auditado activamente en tiempo real. Puede ser muy útil tener una toma instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos serán recursos excelentes para seguir tales anomalías en un sistema. Los administradores de sistemas saben qué procesos deberían aparecer y cuáles no cuando se ejecuta el comando top o ps. Los administradores de la red estan conscientes de cómo se vé el tráfico normal de la red cuando se ejecuta snort o hasta tcpdump. Estos miembros del equipo deberían conocer sus sistemas y ser capaces de notar una anomalía más rápido que cualquier otra persona que no esté familiarizada con la infraestructura.