CERT-SG IRM-04: Ddos

CERT-SG IRM-04: Ddos

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle Distributed Denial of Service incidents.

WHO SHOULD USE IRM SHEETS?

  • Administrators
  • Security Operation Center
  • CISOs and deputies
  • CERTs (Computer Emergency Response Team)

INCIDENT HANDLING STEPS — 6 steps are defined to handle security incidents:

  1. Preparation: get ready to handle the incident
  2. Identification: detect the incident
  3. Containment: limit the impact of the incident
  4. Remediation: remove the threat
  5. Recovery: recover to a normal stage
  6. Lessons learned: draw up and improve the process

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a incidentes de Denegacion de Servicio Distribuida (DDoS).

Hallazgos clave

  • Preparacion - ISP: Contactar ISP para entender servicios de mitigacion DDoS; suscribirse a conexion redundante y servicio Anti-DDoS; asegurar soporte telefonico 24/7; canal de comunicacion fuera de banda (telefono)
  • Preparacion - Inventario: Crear whitelist de IPs criticas (clientes, partners); documentar infraestructura IT con IPs, circuit IDs, configuracion de routing (AS), topologia de red
  • Preparacion - Infraestructura: Disenar red sin puntos unicos de fallo ni cuellos de botella; desplegar WAF contra DDoS de capa aplicacion; distribuir DNS y servicios criticos en diferentes AS; configurar DNS TTL=600 para facilitar redireccion; considerar sitio de backup
  • Identificacion: Considerar que el DDoS puede ser cortina de humo para un ataque mas sofisticado; analizar reportes del scrubbing centre; identificar diferenciadores del trafico DDoS (IPs origen, puertos, URLs, flags de protocolo); usar Tcpdump, Tshark, Snort, Netflow, Ntop, MRTG, Cacti, Nagios; buscar demandas de extorsion, reivindicaciones en redes sociales
  • Contencion: Deshabilitar features especificas si son el cuello de botella; throttlear/bloquear trafico DDoS lo mas cerca posible del "cloud"; cambiar a sitios alternativos via DNS; enrutar a traves de servicio de traffic-scrubbing; configurar filtros de egreso contra backsquatter traffic; en caso de extorsion, ganar tiempo con el atacante
  • Remediacion: Acciones tecnicas principalmente ejecutadas por ISP/proveedor anti-DDoS: filtering, traffic-scrubbing/sinkhole/clean-pipe, balanceo de IP publica, blackhole routing; reportar a reguladores si hubo impacto mayor; considerar involucrar fuerzas del orden
  • Recuperacion: Verificar que servicios impactados sean accesibles; confirmar rendimiento de vuelta al baseline; revertir medidas de mitigacion; reiniciar servicios detenidos

Relevancia

Guia critica para respuesta a DDoS que enfatiza la preparacion como el elemento mas importante. A diferencia de otros IRMs, aqui el ISP y el proveedor anti-DDoS son actores centrales en la remediacion, ya que las acciones tecnicas efectivas se ejecutan principalmente a nivel de red. La advertencia de que un DDoS puede ser cortina de humo para un ataque mas sofisticado es un punto tactica clave.

Citas clave

"The 'preparation' phase is to be considered as the most important element of a successful DDoS incident response." (p. 5)

"Keep in mind the DDoS attack could be a smokescreen hiding a more sophisticated and targeted attack." (p. 5)

"If the bottleneck is at the ISP's or anti-DDoS service's side, only they can take efficient actions. In that case, work closely with your ISP and/or anti-DDoS provider and make sure you share information efficiently." (p. 7)

"Ensure that the recovery-related actions are decided in accordance with the network teams. Bringing up services could have unexpected side effects." (p. 9)

Conexiones

Themes