El objetivo de la fase de contención de un incidente consta en impedir que un incidente de seguridad se pueda extender a otros recursos impidiendo que tenga un mayor impacto sobre la organización (separando equipos de la red afectada, deshabilitando cuentas comprometidas, cambiando contraseñas, etc.).
Debe primar la contención rápida y efectiva, estableciéndose también las oportunas medidas que permitan un análisis forense para determinar lo ocurrido y obtener, posteriormente, lecciones aprendidas. En función de la tipología del incidente, será recomendable tomar evidencias antes incluso de realizar ciertas acciones de contención.
Es recomendable tener un modelo de actuación para la contención basado, por ejemplo, en preguntas que debemos hacernos y que, en función de las respuestas a las mismas, realicemos unas acciones u otras.
ABC
Recomendación para una efectiva contingencia:
Realización de copias periódicas de seguridad, contando con procedimientos para la realización y restauración de las copias y realizando comprobaciones periódicas para corroborar que las copias se restauran de manera correcta.
Identificación de los servicios y procesos críticos junto con los activos tecnológicos que los sustentan y sus dependencias.
Concienciación y formación a los empleados por tal de hacer un correcto uso de los sistemas corporativos.
Elaboración de un plan de crisis por tal de identificar las primeras acciones a realizar cuando ocurre un incidente.
Acciones relevantes:
Toda acción realizada en un sistema puede tener un alto impacto en el negocio, con lo que hay que realizar un análisis de impacto previo a cualquier acción.
Deshabilitar cuentas de usuario.
Cambio de contraseñas de cuentas de usuario.
Aislamiento de equipos.
Segmentación de red.
Limitación de acceso a recursos.
Limitación de permisos de usuario.
NOTA: En la contención de un incidente, es importante no apagar los dispositivos afectados por tal de evitar la pérdida de eventos en caso de necesitar una investigación forense.
