Esta mañana la revista digital Infoworld publicó un artículo llamado What to do if your public cloud is hacked en el cuál intentan dar una serie de consejos a la hora de sufrir un ataque informático sobre una instancia virtual en un proveedor de nube pública. El autor, da un terrible consejo como primera acción a desarrollar, Do shut down the machine instances as quickly as you can (Apagar la instancia tan pronto como pueda)

A continuación explicaremos por qué apagar la instancia virtual es una muy mala idea y las recomendaciones básicas si sufrimos un ataque informático en este tipo de entornos.

Mí máquina virtual alojada en nube pública ha sido comprometida, ¿qué debo hacer?

Lo que NO se debe hacer:

  • Apagar la instancia virtual: Esto eliminará evidencia vital ante una investigación, perderemos registros de la CPU, tablas de enrutamiento, tablas de procesos, archivos temporales y la posibilidad de recolectar la memoria RAM.
  • Alterar el sistema: Aplicar parches, hacer cambios de configuraciones, reiniciar la instancia, instalar herramientas desconocidas, matar procesos.
  • Contra-atacar: No intente atacar al atacante

 

 

Lo que se debe hacer:

  • Validar si tiene las habilidades para responder ante un incidente de lo contrario comuniquese con un especialista.
  • Registrar cada acción o cada paso desarrollado desde la detección del incidente, si confirma el incidente notifique al proveedor de servicios. Si se trata de ataque de DoS (Negación de servicio)  el proveedor de servicios le podría ayudar de forma más asertiva.
  • Priorizar las acciones a desarrollar con base en:
    – Impacto potencial
    – Criticidad de los recursos afectados
    – Criticidad de los datos afectados, ¿incumple alguna ley de protección de datos? Involucre al equipo jurídico
  • Contención de la amenaza: Tratar de prevenir que el atacante cause más daño, algunas acciones comprenden:
    –  Desactivar la tarjeta de red  desde el panel de control asignado por su proveedor cloud, evite hacerlo desde el sistema operativo.
    – Restringir el tráfico mediante reglas de firewall desde la consola que administra las VMs
  • Recolección de Evidencia:
    Con la instancia prendida, recolectar la evidencia según el orden de volatilidad iniciando por la evidencia más volátil ( tablas de enrutamiento, procesos, memoria RAM, información del sistema, archivos temporales )
    Apague la instancia desde el panel de administración, evite enviar una señal de apagado desde el sistema operativo de la VM y luego recolecte la evidencia menos volátil (Disco duro, logs remotos)
    – Solicite a su proveedor de servicios, registros o logs adicionales que le puedan ayudar en el proceso de investigación
  • Preservar la evidencia
  • Investigar el incidente con base en la evidencia recolectada, determine la causa y el impacto generado
  • Establezca las vías de erradicación, algunas opciones podrán ser:
    – Eliminar posibles virus o backdoors (puertas traseras)
    – Si se identifica la existencia de un rootkit, se recomienda crear la máquina virtual desde cero
    – Ubicar y restaurar el backup más reciente previo al incidente
    – Crear firmas de IDS/IPS, antimalware
    – Fortalecer las reglas de firewall
    – Instalar los últimos parches de seguridad tanto al sistema operativo como a las aplicaciones
    – Asignar nuevas credenciales y cambiarlas en otros sistemas
    – Fortalecer la configuración del sistema (hardening)
    – Evaluar posibles vulnerabilidades
  • Recuperar sus operaciones, ponga en marcha nuevamente su instancia virtual, solo si ya ejecutó las labores de erradicación
  • Monitorear las acciones, utilice sistemas de monitoreo o correlación de logs para prevenir posibles incidentes
  • Establezca las lecciones aprendidas, determine que fue lo que realmente sucedió y establezca mejoras para prevenir que algo similar vuelva a suceder.
  • Actualice su plan de respuesta a incidentes

Si requiere asesoría en este tipo de temas no dude en consultar con nuestro equipo especialista en respuesta a incidentes.

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like