Home Page Map Site WebMail Service

 

 

 

 

Detección y recuperación de incidentes causados por virus ( Parte II )

Realizar la limpieza luego de una infección severa causada por un virus puede tomar semanas en redes ip de gran envergadura. Desafortunadamente, no importa cuan profunda sea la limpieza, la misma no detendrá posibles infecciones subsecuentes. Pero no permita que esto lo desaliente sobre una investigación profunda sobre el ataque actual de virus sobre su organización, o de hacer cambios a las políticas y procedimientos que permitan responder de manera más efectiva en una próxima ocasión.

Aunque no sea posible o no exista en su organización un staff dedicado totalmente a lidiar con los incidentes de seguridad, es muy valioso considerar maneras a través de las cuales su staff pueda disminuir los tiempos de respuesta, coordinar mejor los flujos de información, ejecutar investigación sobre virus, recibir instrucciones del fabricante de su antivirus y fungir de interfaz entre distintas unidades de negocio y la aata gerencia. De hecho, la buena comunicación es probablemente la clave de una limpieza efectiva y de unos esfuerzos por mejorar la investigación y la seguridad en esta materia.

Creación de un procedimiento de limpieza

Un procedimiento claro y consiso de limpieza, creado con equipos de todas las áreas involucradas en el proceso, ayudará a todos dentro de la organización a desenvolver su trabajo de manera más eficiente. El esfuerzo debe incluir personal de help desk, administración de servidores web, administradores de servidores, mensajería, administradores de estaciones de trabajo y otros grupos de trabajo (VER PARTE I DE ESTE TRABAJO).

La limpieza comienza con la obtención de la firma de los virus, herramientas de remoción o instrucciones de remoción de parte del fabricante del antivirus de la organización. Las firmas y/o herramientas de remoción deben ser probadas antes de ser distribuidas hacia todos los sistemas. En algunos casos, se necesitará crear scripts o manualmente ejecutar las instrucciones de remoción provistas por el fabricante. Estos procesos están típicamente incluidos en las reseñas técnicas del virus.

Sobre los sistemas infectados que no poseen software antivirus, es recomendable remover primero el virus antes de instalar el antivirus. Con frecuencia, es más beneficioso desde el punto de vista de costos, recuperar los sistemas a partir de imágenes previamente almacenadas que tratar de reparar el daño. Los archivos alterados pueden ser recuperados si se realizó backup previo de los mismos.

Para un buen proceso de limpieza:

  • Obtener la firma del virus y las herramientas de corrección del vendedor del antivirus.

  • Probar la corrección del virus previamente en un laboratorio, si existe, en caso contrario, en equipos no críticos del ambiente de producción.

  • Desarrollar un método de ejecución de la reparación/corrección.

  • Crear un plan detallando como se reparará el daño. En dicho plan, limpie inicialmente todos los servidores de correo y perimetrales además de actualizar la firma del antivirus.

  • Distribuir la corrección a todas las estaciones de trabajo y servidores de la organización.

  • Aislar los sistemas que requieren reparación.

  • Ejecutar todas las herramientas de corrección sobre los sistemas infectados para eliminar/inhabilitar el virus.

  • Escanear todos los sistemas con la firma de virus actualizada, para remover todos los archivos infectados.

  • Eliminar todos los archivos temporales sospechosos, incluyendo directorios y archivos ocultos.

  • Remover o alterar información de configuración usada para la funcionalidad del virus o que pueda permitir la reaparición del virus.

  • Remover información de configuración que pueda ocasionar fallas en los sistemas.

  • Realizar búsqueda de nuevas particiones creadas por el virus y eliminarlas.

  • Buscar particiones de log pérdidas y restaurarlas.

  • Buscar cuentas de usuarios alteradas o agregadas y removerlas o restaurarlas.

  • Restaurar archivos cambiados o eliminados.

  • Actualizar los niveles de patching de seguridad de todos los sistemas para prevenir nuevas infecciones que tengan los mismos orígenes.

El personal de help desk generalmente puede liderar y documentar el proceso de limpieza, en conjunción con el personal de ti. La administración del proyecto hasta su culminación debería ser rápida y sencilla si se tienen las políticas y procedimientos en su lugar. Use formularios para llevar el progreso y para asegurar que todos los sistemas han sido desinfectados y patcheados. Tenga dos equipos de monitoreo separados para que hagan seguimiento del progreso de proyecto. Siempre que sea posible, use equipos y miembros de los mismos que estén familiarizados con el incidente, manejo de virus y vulnerabilidades.

Investigue la causa

Existen dos razones para investigar la causa de un ataque de virus. La primera es entender cuales vulnerabilidades fueron explotadas, para poder mitigar el riesgo en el futuro. Una investigación forense puede proveer información adicional que pueda ser usada para incrementar la seguridad en contra de los ataques de virus.

Otra razón importante para investigar es aquella que tiene que ver con la obtención de evidencia para posibles acciones civiles o legales.

Una de las primeras cosas a determinar es si el ataque fue perpetrado desde su ambiente operativo y de ser afirmativo el análisis, que empleados o antiguo empleado están involucrados. De ser necesario probarlo, un experto forense probablemente sea requerido.

El experto forense extraerá la información necesaria de los sistemas comprometidos sin alterar la data original. El preservar la información es crucial para la interpretación del grado de ocurrencia de actividad maliciosa y para entender la extensión del daño causado.

Se puede causar más daño que bien tratando de ejecutar labores forenses sin tener la experiencia necesaria. Hasta que el experto forense se haga presente, proteja la evidencia tomando las siguientes acciones:

  • Escoja uno de los sistemas y aislelo con propósito forense, preferiblemente el sistema zero, el primero infectado (si el mismo puede ser identificado).

  • No hacer cambios en los sistemas seleccionados a menos que sean dirigidos por los expertos forenses, o para proteger la data en los sistemas o para detener la propagación del virus.

  • Asegurarse de que la normal operación no sobre escribirá la data, de ser necesario, desconecte los sistemas de la red. Pero apague los sistemas para prevenir la infección de data importante.

  • Si la máquina infectada es un sistema crítico que no puede detener su operación, tome un respaldo de los archivos claves incluyendo archivos de registro y logs.

Mejore las políticas, tecnologías y procedimientos

No corra riesgos con la seguridad de su red ip. Para colocar el sistema de protección lo más efectivo posible, busque y documente las debilidades de sus políticas y soluciones de seguridad.

Una buena política de seguridad incluye metas de alto nivel, standards a ser usados para conseguir esas metas y procesos para conseguir los standards. En el proceso de determinación de los cambios necesarios en la organización, se deben considerar los siguientes:

  • Actualizar las políticas para considerar nuevas amenazas.

  • Incluir sanciones como parte de las políticas de seguridad. Deshabilitar sistemas que violen las políticas de manera automática y sancionar a las personas involucradas.

  • Crear procedimiento para la respuesta a incidentes.

  • Clarificar la estructura de procesos de reporte y comunicación entre los departamentos de tecnología y entre los equipos, para simplificar el proceso de respuesta ante infecciones.

  • Educar a los usuarios y asegurarse de que conocen a quien contactar cuando sospechan de la infección por virus.

  • Educar a la alta gerencia sobre la importancia de la protección proactiva contra los virus.

  • Requerir respaldo de todos los servidores críticos.

Una vez que las políticas han sido actualizadas, la infraestructura de tecnología puede necesitar algunos cambios para implementar las políticas, incluyendo:

  • Instalación de soluciones antivirus para filtrado de correo, tráfico de internet e interno y acceso a archivos locales.

  • Implementar soluciones antivirus de gestión centralizada para controlar configuraciones y mantener las firmas de virus actualizadas.

  • Instalar sistemas de detección de intrusos tanto para redes como para servidores.

  • Simplificar la topología de las redes para segmentarla fácilmente al momento que se presente una infección.

  • Instalar tecnología de filtrado de contenido para bloquear emails que contengan texto sospechoso.

  • Implementar soluciones de detección/prevención de intrusos a nivel de desktops.

Opcionalmente, la organización puede requerir out sourcing para la gestión antivirus de un site, subnet, servidor o función.

Conclusión

Los virus y los códigos maliciosos son los frustrantes pero inevitable consecuencia de las actuales abiertas y flexibles redes ip. En vista de que cada evento de virus difiere del último, no existe una bolita mágica para una completa defensa. Pero la planificación proactiva, la vigilancia constante y las soluciones tecnológicas apropiadas, pueden de manera más que efectiva ayudar a las organizaciones a lidiar de manera efectiva con este mal.
 

Ver otras sugerencias de seguridad

Si desea conocer más de nuestra empresa, comuníquese con nosotros y gustosamente le atenderemos.

Empresa  |  Soluciones y Servicios  |  Clientes  |  Alianzas Estratégicas  |  Atención al Cliente  |
Publicaciones  |  Sugerencias de Seguridad  |  Mapa del Site  |  Contáctenos  |  Página Inicial  ]