CERT-SG IRM-05: Malicious Network Behaviour

CERT-SG IRM-05: Malicious Network Behaviour

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle a suspicious network activity.

WHO SHOULD USE IRM SHEETS?

  • Administrators
  • Security Operation Center
  • CISOs and deputies
  • CERTs (Computer Emergency Response Team)

INCIDENT HANDLING STEPS — 6 steps are defined to handle security incidents:

  1. Preparation: get ready to handle the incident
  2. Identification: detect the incident
  3. Containment: limit the impact of the incident
  4. Remediation: remove the threat
  5. Recovery: recover to a normal stage
  6. Lessons learned: draw up and improve the process

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a actividad de red sospechosa o maliciosa.

Hallazgos clave

  • Preparacion - IDS: Asegurar herramientas de monitoreo actualizadas (EDR, NIPS, IPS); verificar acceso a dispositivos y capacidad de vigilar perimetros; asegurar capacidad de aislamiento de endpoints/areas con EDR o firewall
  • Preparacion - Red: Inventario de puntos de acceso de red actualizado con versionamiento; mapas de red y configuraciones actualizadas; buscar puntos de acceso no autorizados regularmente; monitorear accesos VPN y Cloud desde ubicaciones raras
  • Preparacion - Trafico base: Identificar trafico y flujos base; identificar flujos criticos para el negocio; politica de retencion de logs mayor a 6 meses
  • Identificacion: Fuentes de deteccion: usuarios/helpdesk, IDS/IPS/NIDS/EDR, personal de red, logs de firewall/proxy, quejas externas, honeypots; capturar trafico sospechoso con tshark/windump/tcpdump; identificar caracteristicas tecnicas del trafico (IPs origen, puertos, TTL, protocolos, maquinas objetivo, exploits, cuentas remotas)
  • Contencion: Activar celula de crisis si el acceso es a recursos estrategicos; desconectar area comprometida; aislar fuente del ataque; usar reglas de firewall/IPS/EDR para bloquear; en casos estrategicos: denegar destinos de egreso, limitar acceso a datos criticos, crear documentos trampa con watermarking, configurar logging verbose en servidor remoto seguro
  • Remediacion: Identificar y bloquear todos los canales de comunicacion del atacante; si es insider: involucrar management/HR/legal; si es externo: considerar equipos de abuso y fuerzas del orden; definir proceso de remediacion validado; referenciar IRMs de intrusion (2-Windows, 3-Linux)
  • Recuperacion: Verificar trafico de red normalizado; re-permitir conexiones a segmentos previamente contenidos; ejecutar paso a paso con monitoreo tecnico

Relevancia

Guia operativa para cuando se detecta actividad de red anomala que no encaja en categorias mas especificas. La enfasis en la retencion de logs (>6 meses) es critica ya que muchos compromisos se descubren meses despues. La tecnica de documentos trampa con watermarking como prueba de robo es una tactica avanzada notable. Sirve como punto de entrada que luego deriva a IRMs mas especificos segun el tipo de compromiso identificado.

Citas clave

"Having a good log retention policy is essential (more than 6 months)." (p. 4)

"At the end of this step, the impacted machines and the modus operandi of the attack should have been identified. Ideally, the source of the attack should have been identified as well. This is where you should do your forensic investigations, if needed." (p. 5)

"If the issue is considered as strategic (sensitive resource access), a specific crisis management cell should be activated." (p. 6)

"Create booby-trapped documents with watermarking that could be used as a proof of theft." (p. 6)

Conexiones

Themes