IR Flashcards
1) Preparación (Preparation)
En esta fase, se desarrollan políticas, procedimientos, y se asignan responsabilidades en caso de un incidente. Se capacita al personal, se establecen herramientas, y se realizan evaluaciones de riesgo para fortalecer la seguridad y minimizar el impacto de posibles incidentes.
2) Identificación (Identification)
Aquí, se detectan y reconocen incidentes de seguridad. Los equipos de seguridad monitorean los sistemas y analizan eventos sospechosos para identificar si un incidente es real. Esto puede incluir la revisión de alertas, análisis de logs, y correlación de eventos para entender la magnitud del incidente.
3) Contención (Containment)
Una vez identificado el incidente, se implementan medidas temporales para evitar que el ataque se propague y cause mayores daños. La contención puede ser a corto plazo (acciones inmediatas para frenar el incidente) o a largo plazo (acciones para asegurar el sistema hasta que se realicen correcciones permanentes).
4) Erradicación (Eradication)
Esta fase implica eliminar completamente las amenazas y las vulnerabilidades utilizadas en el ataque. Esto puede incluir la eliminación de malware, la reparación de vulnerabilidades explotadas y la actualización de los sistemas afectados para evitar futuras explotaciones.
5) Recuperación (Recovery)
Tras erradicar la amenaza, se trabaja en restaurar y validar la funcionalidad completa del sistema afectado. Esto implica reinstaurar los sistemas a un estado seguro, monitorear de cerca para detectar posibles recurrencias y verificar que el sistema esté operativo y libre de amenazas.
6) Lecciones aprendidas (lesson learned)
Esta fase es crucial para mejorar continuamente la capacidad de respuesta ante incidentes.
