Cyber Capability Toolkit - Cyber Incident Response - Denial of Service Playbook v2.3
Antonio CuevaTrabajo5 de Febrero de 2023
3.895 Palabras (16 Páginas)164 Visitas
Respuesta a incidentes cibernéticos
Libro de jugadas de denegación de servicio v2.3
[pic 1]
Control de documentos
título | Libro de jugadas de denegación de servicio |
Versión | 2.3 |
Fecha de emisión | 20/01/2020 |
estado | corriente de aire |
Propietario del documento | Gobierno escocés |
Nombre del creador | |
Nombre de la organización creadora | Grupo NCC |
Categoría de asignatura | Gestión de respuesta a incidentes cibernéticos |
Restricciones de acceso |
Historial de revisión de documentos
Versión | fecha | autor | Resumen de los cambios |
2.3 | 22/01/2020 | SG CRU | Versión genérica creada a partir de la guía del sector público |
contenido
1. Introducción
1.1. Visión general 4
1.2. Finalidad 4
1.3. Definición de denegación de servicio 4
1.4. Ámbito de aplicación 5
1.5. Ciclo de revisión 5
2. Fase 6 de preparación
3. Detectar 8
4. Remediación – Contener, Erradicar y Recuperar 13
5. Post Incidente 15
6. Apéndice A: Tipos de ataque DoS 17
7. Apéndice B: Diagrama de flujo 20
Introductien
visión general
En el caso de un incidente cibernético, es importante que la organización sea capaz de responder, movilizar y ejecutar un nivel adecuado de respuesta para limitar el impacto en la marca, el valor, la prestación de servicios y la confianza del público, el cliente y el cliente. Aunquetodos los incidentes cibernéticos son diferentes en su naturaleza y tecnologías utilizadas, es posible agrupar tipos y metodologías comunes de incidentes cibernéticos. Esto es con el fin de proporcionar una respuesta adecuada y oportuna dependiendo del tipo de incidente cibernéticoe. Los libros de jugadas específicos de incidentes proporcionan a los administradores de incidentes y a las partes interesadas un enfoque coherente a seguir al remediar un incidente cibernético.
Se hacen referencias tanto a un CIRT de TI básico como a un CIRT dentro de este documento. Esto es en reconocimiento de que el playbook será utilizado por organizaciones de diferentes tamaños. Algunos pueden gestionar inicialmente un incidente con un pequeño equipo de respuesta dentro de los servicios de TI, pero cuando hay un compromiso confirmado, esto puede escalar a un CIRT de nivel extendido compuesto por miembros de la organización fuera de los servicios de TI que seocuparán de las categorías acordadas de compromiso. El Libro de jugadas, al igual que con el Plan de Respuesta a Incidentes Cibernéticos (CIRP, por sus, por sus, debe ajustarse para reflejar la configuración de la organización.
Los libros de jugadas describen las actividades de aquellos queparticipan en la gestión de incidentes cibernéticos específicos. Sin embargo, es importante reconocer la velocidad a la que los incidentes cibernéticos pueden escalar y convertirse en un disruptor importante del negocio que requiere tanto continuidad del negocio como consecuencias. Se debe considerar desde el principio la posibilidad de involucrar a los líderes de las áreas de continuidad del negocio, resiliencia y políticas para que los problemas más amplios puedan gestionarse de manera efectiva. Por lo tanto, los líderes de continuidad y resiliencia del negocio dentro de la organización deben ser familiar con el Plan de Respuesta a Incidentes Cibernéticos (CIRP)y los Libros de Estrategias y cómo se vinculan con acuerdos de respuesta a incidentes más amplios.
propósito
El propósito del Libro de jugadas de respuesta a incidentes cibernéticos: denegación de servicio (DoS) es definir las actividades que deben ser considered al detectar, analizar y remediar un ataque DoS. El manual también identifica las partes interesadas clave que pueden ser necesarias para llevar a cabo estas actividades específicas.
Definición de denegación de servicio
Un ataque de denegación de servicio (DoS) es elparalizamiento intencionado de una red informática inundándola de datos para que una máquina o recurso de red no esté disponible para sus usuarios previstos al interrumpir temporal o indefinidamente los servicios.
Véase el Apéndice A.
alcance
Este documento ha sido diseñado para el uso exclusivo de los socorristas, como el equipo de Service Desk, al responder a un incidente cibernético. No es independiente y debe usarse junto con su Plan de Respuesta a Incidentes Cibernéticos (CIRP).
Ciclo de revisión
Este documento debe ser revisado para determinar su relevancia continua por el responsable del Equipo de Respuesta a Incidentes (CIRT) de Cyber al menos una vez cada 12 meses; después de cualquier incidente cibernético importante, un cambio de proveedor o la adquisición de nuevos servicios de seguridad.
Fase de preparación
Fase de preparación | ||
Objetivos de la fase | La fase de preparación tiene los siguientes objetivos:
| |
actividad | descripción | participantes |
Prepárese para responder | Las actividades pueden incluir, pero no se limitan a: | |
Revise y ensaye los procedimientos de respuesta a incidentes cibernéticos, incluidas las funciones y responsabilidades técnicas y comerciales, la escalada a la gestión de incidentes importantes cuando sea necesario. |
Líder de continuidad del negocio | |
Revise los incidentes cibernéticos recientes y los resultados. |
| |
Revise la inteligencia de amenazas para detectar amenazas para la organización, las marcas y el sector, así como patrones comunes y riesgos y vulnerabilidades de reciente desarrollo. |
| |
Garantizar el acceso adecuado a cualquier documentación e información necesaria, incluido el acceso fuera de horario, para lo siguiente:
|
| |
Identificar y obtener los servicios de un proveedor de Cyber Forensic de 3rd party. |
| |
Definir indicadores de amenazas y riesgos y patrones de alertas dentro de la solución de gestión de eventos e información de seguridad (SIEM) de la organización. |
| |
actividad | descripción | participantes |
Informar a los empleados | Las actividades pueden incluir, pero no se limitan a: | |
Llevar a cabo campañas de sensibilización periódicas para destacar los riesgos de seguridad cibernética que enfrentan los empleados, incluyendo:
|
| |
Asegúrese de que la capacitación regular en seguridad sea obligatoria para aquellos empleados que administran datos y sistemas personales, confidenciales o de alto riesgo. |
|
detectar
Fase de detección | ||
Objetivos de la fase | La fase de detección tiene los siguientes objetivos:
| |
actividad | descripción | participantes |
Detectar y notificar el incidente | Las actividades pueden incluir, pero no se limitan a: | |
Confirme que el sistema está bajo ataque:
|
| |
Si existe una carga normal del sistema entonces puede ser comparada contra el tráfico actual visto. La revisión debe identificar si hay algún patrón de tráfico común, y necesitará la entrada de especialistas de la red. Los paquetes de ataque DoS a menudo tienen un elemento común, puede ayudar a familiarizarse con los ejemplos actuales más frecuentes en el Apéndice A: Tipos de ataque DoS. Será necesario trabajar con ingenieros de red que tengan herramientas/instalaciones de diagnóstico (como Netflow)para capturar y analizar los paquetes entrantes a los sistemas afectados para identificar:
|
| |
Informe del incidente cibernético a través de la Mesa de Servicio. Si aún no existe un ticket, genere un ticket que contenga información mínima. Para reportar un incidente, siga el proceso definido en el CIRP(inserte el enlace al CIRP). |
| |
Asigne la clasificación al incidente cibernético, basado en la información disponible relacionada con el ataque DoS y los tipos de incidentes (véase CIRP). |
| |
Reportar el Incidente Cibernético de acuerdo con el CIRP de la organización. Considere el valor de inteligencia para otras organizaciones y comparta en el CiSP |
| |
Cuando sea apropiado, considere la posibilidad de informar a la Oficina del Comisionado de Información (ICO), el regulador pertinente y o la Autoridad Competente (NISD), el Centro Nacional de Seguridad Cibernética (NCSC) y / o la Policía de Escocia |
| |
actividad | descripción | participantes |
Investigación inicial del incidente | Las actividades pueden incluir, pero no se limitan a: | |
Movilizar el CIRT de TI principal para iniciar la investigación inicial del incidente cibernético (consulte el CIRP para obtener más información). |
También se puede incluir en el CIRT lo siguiente cuando sea apropiado para el incidente:
| |
Cotejar los datos iniciales de incidentes, incluso como mínimo para lo siguiente;
|
| |
Investigue las fuentes de inteligencia de amenazas y considere la presentación de la Asociación para compartir información de seguridad cibernética(CiSP)para obtener más inteligencia y apoyar la mitigación por parte de otros. |
| |
Revise la categorización de incidentes cibernéticos para validar el tipo de incidente cibernético como un ataque DoS y evalúe la prioridad del incidente, en función de la investigación inicial. (Consulte CIRP para matriz de gravedad de incidentes) |
| |
actividad | descripción | participantes |
Notificación de incidentes | Las actividades pueden incluir, pero no se limitan a: | |
Reportar el incidente cibernético de acuerdo con el CIRP de la organización. |
| |
Reportar el Incidente Cibernético de acuerdo con el CIRP de la organización. Considere el valor de inteligencia para otras organizaciones y comparta en el CiSP |
| |
Cuando sea apropiado, considere la posibilidad de informar a la Oficina del Comisionado de Información (ICO), al Regulador y/o Autoridad Competente (NISD) pertinente, al Centro Nacional de Seguridad Cibernética (NCSC) y/o a la Policía de Escocia |
| |
Escale siguiendo los pasos apropiados en el CIRP. |
| |
actividad | descripción | participantes |
Establecer el requisito para una investigación forense completa | Las actividades pueden incluir, pero no se limitan a: | |
Considere la posibilidad de llevar a cabo una investigación forense completa, con el asesoramiento de un asesor legal. Todo el manejo de pruebas debe hacerse de acuerdo con la Guía de Buenas Prácticas para la Evidencia Digital de la Association of Chief Police Officers (ACPO). |
|
...