DFIR en tiempos de #cuarentena

Nuevas tecnologías como #contenedores #K8S #docker #cloud #WFH se están volviendo indispensables para las organizaciones. Junto con estas tecnologías empiezan las preguntas relacionadas a ¿como responder a un incidente en esta plataforma?, si bien creo que mucho tenemos una idea de que cosas hacer y como, me pareció bueno poner algunas ideas en practica:

Primero que nada, lo mas importante:



Es importante no entrar en pánico y empezar a randomizar acciones, tomar medidas innecesarias o perder el foco cuando tengamos que responder ante un incidente.

Podemos tomar varios frameworks para seguir buenas practicas como:

Usando frameworks conocidos nos va a ayudar a ver la imagen completa y cubrir el escenario en su totalidad.

En lo particular, cuando empiezo una guiá me gusta pensar en estos 6 pasos y que vamos a hacer/que estamos haciendo para cumplirlos:

Estos pasos son el inicio de todo, en esta etapa es donde debemos ser lo mas "verbose" posibles, arrojar todas las ideas y herramientas que conocemos/queremos para después formar un plan que sirva en la vida real, algo que siempre hablo cuando discuto la preparación de incidentes es que tenemos que ver la imagen completa, esto debe (y en lo personal me divierte mas) mostrar en donde estamos mal, se que es difícil este camino y se que no a todos nos gusta mostrar lo malo pero creo que la clave de un buen #DFIR es tener la capacidad de patear el tablero con lo que no esta bien, desafiar ideas y pedir ayuda.

tenemos que ser #hackersDFIR

Es importante, y creo que mas ahora, que trabajemos para dejar la casa en orden:

  • Definamos los procesos de comunicación.

  • Busquemos los problemas que podemos tener (sesiones remotas, como impedir un incidente remotamente, tener los accesos necesarios, etc).

  • Mejorar la visibilidad sobre end-points.

  • Awareness / Comunicaciones.

  • Actualizar procedimientos.

  • Definir script de respuesta (automatización).