Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Objetivo: Establecer contactos, definir Detecte la infección La célula de crisis deberá de realizar y monitorear las
procedimientos y recolectar información para Se debe recopilar y analizar la información proveniente siguientes acciones:
ahorrar tiempo durante un ataque. de diferentes fuentes:
1. Desconecte el área infectada de Internet
Apoyo del Proveedor de Servicio de Int ernet (ISP) • Bitácoras de antivirus,
• Contacte con su ISP para entender cuáles son los • Sistemas de Detección de Intrusión (IDS), 2. Aísle el área infectada. Desconéctela de
servicios de mitigación para DDoS que ofrece (pagados y • Intentos sospechosos de conexión a servidores, cualquier red
gratuitos) que qué procesos debe usted seguir.
• Gran cantidad de cuentas bloqueadas,
• Tráfico de red sospechoso, 3. Si no se puede desconectar del tráfico crítico,
• De ser posible, suscriba una conexión redundante a permítalo después de asegurarse que no es un
Internet. • Intentos sospechosos de conexión a los
vector de infección o después de aplicar
firewalls,
técnicas validadas de elusión.
• Establezca contactos con su ISP y entidades de • Gran incremento en llamadas a Soporte,
cumplimiento de la Ley. Asegúrese que usted tiene la • Cargas altas o sistemas “colgados”,
posibilidad de emplear una vía de comunicación 2fuera de 4. Neutralice los vectores de propagación. Un
• Grandes volúmenes de email enviados, vector de propagación puede ser cualquier cosa
banda”, como una línea telefónica o una ADSL.
desde el tráfico de red hasta una falla en el
Invent ario Si se observan uno o mas de estos síntomas, deberán software. Se aplicarán contramedidas
• Prepare una lista blanca de las direcciones IP y protocolos de contactarse a los actores definidos en la etapa relevantes (parches, bloqueo de tráfico,
que usted debe de permitir si prioriza el tráfico durante un “Preparación” y si es necesario, crear una célula de deshabilitar dispositivos, etc.) Por ejemplo, se
ataque. No olvide incluir a sus clientes críticos, socios crisis. pueden emplear las siguientes:
clave, etc. • Herramientas de despliegue de parches
Identifique la infección (WSUS),
• Documente los detalles de su infraestructura de TI, Analice los síntomas para identificar el gusano, sus
incluyendo los dueños de los negocios, direcciones IP e • Windows GPO,
vectores de propagación y contramedidas.
IDs de circuito, ajustes de ruteo (AS, etc.). Prepare un • Reglas de firewall,
diagrama de topología de red y un inventario de activos.
Se pueden hallar pistas en: • Procedimientos operacionales.
Boletines de CERTs, 5. Repita los pasos 2 al 4 en cada sub-área del
Infraestructura de red área infectada hasta que el gusano deje de
Diseñe una buena infraestructura de red sin puntos únicos de Contactos externos de soporte (casas de antivirus, etc.),
Sitios de Seguridad (Secunia, SecurityFocus, etc.) propagarse. Si es posible, monitoree la infección
falla o cuellos de botella.
empleando herramientas de análisis (consola
Distribuya sus servidores DNS así como otros servicios Notifique al Jefe de Seguridad de la Información. del antivirus, bitácoras de servidor, llamadas a
críticos en diferentes Contacte a su CSIRT si es necesario. Soporte)