Directrices para la recopilación y el archivo de pruebas

upo de trabajo en red D. Brezinski

Solicitud de comentarios: 3227 In-Q-Tel

BCP: 55 T. Killalea

Categoría: Mejores prácticas actuales neart.org

                                                           Febrero de 2002

            Directrices para la recopilación y el archivo de pruebas

Estado de este memorándum

   Este documento especifica las mejores prácticas actuales de Internet para

   Comunidad de Internet, y solicita discusión y sugerencias para

   Mejoras. La distribución de este memorándum es ilimitada.

Aviso de copyright

   Copyright (C) The Internet Society (2002). Reservados todos los derechos.

Abstracto

   Un "incidente de seguridad" según se define en el "Glosario de seguridad de Internet",

   RFC 2828, es un evento del sistema relevante para la seguridad en el que el sistema

   La política de seguridad se desobedece o se viola de otra manera. El propósito de

   Este documento tiene como objetivo proporcionar a los administradores de sistemas pautas sobre

   la recopilación y archivo de pruebas pertinentes a dicha seguridad

   incidente.

   Si la recolección de evidencia se realiza correctamente, es mucho más útil en

   aprehender al atacante y tiene muchas más posibilidades de ser

   admisible en caso de procesamiento.

Tabla de contenido

   1 Introducción.................................................. 2

     1.1 Convenciones utilizadas en este documento.................... 2

   2 Principios rectores durante la recolección de pruebas....... 3

     2.1 Orden de volatilidad............................................. 4

     2.2 Cosas que se deben evitar.................................. 4

     2.3 Consideraciones sobre la privacidad.................................... 5

     2.4 Consideraciones legales............................................ 5

   3 El procedimiento de cobro............................................ 6

     3.1 Transparencia................................................. 6

     3.2 Pasos de la recolección............................................ 6

   4 El procedimiento de archivo............................................ 7

     4.1 Cadena de custodia............................................ 7

     4.2 El Archivo.................................................. 7

   5 herramientas que necesitarás............................................ 7

Brezinski & Killalea: Mejores prácticas actuales [Página 1]

RFC 3227 Recopilación y archivo de evidencias Febrero de 2002

   6 Referencias............................................................ 8

   7 Agradecimientos................................................. 8

   8 Consideraciones de seguridad.................................. 8

   9 Direcciones de los autores............................................ 9

   10 Declaración completa de derechos de autor.............................10

1. Introducción

   Un "incidente de seguridad", tal como se define en [RFC2828], es un incidente relevante para la seguridad.

   Evento del sistema en el que se desobedece la política de seguridad del sistema o

   de otro modo infringido. El propósito de este documento es proporcionar

   Administradores de sistemas con pautas sobre la recopilación y el archivo

   de evidencia relevante para tal incidente de seguridad. No es nuestro

   intención de insistir en que todos los administradores de sistemas sigan estrictamente

   Estas pautas se aplican cada vez que se produce un incidente de seguridad. En lugar de eso,

   Queremos brindar orientación sobre lo que deben hacer si deciden hacerlo.

   recopilar y proteger información relacionada con una intrusión.

   Esta colección representa un esfuerzo considerable por parte de la

   Administrador de sistemas. Se han logrado grandes avances en los últimos años.

   para acelerar la reinstalación del sistema operativo y

   facilitar la reversión de un sistema a un estado "conocido", haciendo así

   La "opción fácil" es aún más atractiva. Mientras tanto, poco se ha hecho

   hecho para proporcionar formas fáciles de archivar evidencia (la difícil

   opción). Además, aumentar las capacidades de disco y memoria y más

   Uso generalizado de tácticas de sigilo y de encubrimiento de huellas por parte de los atacantes

   han agravado el problema.

   Si la recolección de evidencia se realiza correctamente, es mucho más útil en

   aprehender al atacante y tiene muchas más posibilidades de ser

   admisible en caso de procesamiento.

   Debe utilizar estas pautas como base para formular su

   procedimientos de recopilación de evidencia del sitio y debe incorporar su

   procedimientos del sitio en su documentación de manejo de incidentes.

   Las pautas de este documento pueden no ser apropiadas para todas las situaciones.

   jurisdicciones. Una vez que haya formulado la evidencia de su sitio

   procedimientos de cobro, debe contar con la policía para su cumplimiento

   La jurisdicción confirma que son adecuadas.

1.1 Convenciones utilizadas en este documento

   Las palabras clave "REQUERIDO", "DEBE", "NO DEBE", "DEBERÍA", "NO DEBERÍA",

   y "PUEDE" en este documento deben interpretarse como se describe en "Clave"

   "Palabras que se utilizan en RFC para indicar niveles de requisitos" [RFC2119].

Brezinski & Killalea: Mejores prácticas actuales [Página 2]

RFC 3227 Recopilación y archivo de evidencias Febrero de 2002

2 Principios rectores durante la recolección de pruebas

...