Guía para la respuesta de incidentes en Linux y Windows

La respuesta a incidentes es una de las actividades más importantes en el ámbito de la seguridad informática. Su objetivo principal es detectar, contener y remediar amenazas cibernéticas que puedan comprometer la integridad de sistemas y datos. Este documento proporciona una guía completa basada en procedimientos prácticos y comandos detallados tanto para entornos Linux como Windows.

¿Qué es la Respuesta a Incidentes?

La respuesta a incidentes consiste en un conjunto de acciones realizadas para gestionar eventos de seguridad en sistemas informáticos y redes. Esto incluye:

• Identificación de amenazas: Mediante la observación de procesos, conexiones y eventos anómalos.

• Análisis en vivo: Examinando los sistemas afectados en tiempo real para recopilar evidencias.

• Remediación: Implementación de soluciones para contener y resolver los incidentes detectados.

• La respuesta a incidentes requiere un conocimiento profundo del sistema, así como el uso de herramientas y comandos específicos.

Metodología Estandarizada para Respuesta a Incidentes

1. Preparación

Objetivo: Configurar los sistemas y equipos para una respuesta efectiva ante incidentes.

Acciones Esenciales:

1. Crear un equipo de respuesta a incidentes (CSIRT): Define roles y responsabilidades claras para los integrantes del equipo.

2. Herramientas recomendadas: Instala herramientas como:

   • SIFT Workstation (Linux): Ambiente especializado para análisis forense.

   • Velociraptor: Herramienta de monitoreo en endpoints.

   • Redline (Windows): Análisis de memoria y disco.

3. Políticas de seguridad: Documenta procedimientos, define métricas de éxito y entrena regularmente a los equipos.

Recomendaciones para Windows:

• Activa el registro avanzado de eventos usando GPO para capturar actividades clave.

• Configura Sysmon para monitoreo avanzado de procesos.

Recomendaciones para Linux:

• Asegúrate de que auditd esté habilitado y configurado para registrar eventos críticos.

• Implementa un monitoreo continuo con herramientas como osquery.

---

2. Identificación del Incidente

Objetivo: Detectar anomalías y determinar el alcance del incidente.

Pasos en Linux:

1. Verifica los procesos activos:

   ps aux --sort=-%cpu

   Esto mostrará los procesos ordenados por uso de CPU.

2. Inspecciona conexiones de red:

   netstat -antup | grep ESTABLISHED

   Busca conexiones sospechosas y verifica el PID asociado.

3. Registros del sistema:

   tail -n 50 /var/log/auth.log

   Revisa intentos de acceso.

Pasos en Windows:

1. Explora los procesos: Usa el Administrador de Tareas o PowerShell:

   Get-Process | Sort-Object CPU -Descending

2. Revisa conexiones activas:

   netstat -ano | findstr ESTABLISHED

   Identifica conexiones y relaciona el PID con el proceso en ejecución.

3. Registros de seguridad: Abre el Visor de Eventos:

   eventvwr.msc

   Filtra eventos bajo "Seguridad" para detectar accesos fallidos.

---

3. Contención

Objetivo: Limitar el daño y evitar la propagación lateral del ataque.

Linux:

1. Aislar el sistema de la red:

   ifconfig eth0 down

2. Bloquear direcciones IP específicas:

   iptables -A INPUT -s <IP> -j DROP

3. Monitorear actividad en tiempo real:

   tail -f /var/log/syslog

Windows:

1. Deshabilitar adaptadores de red:

   Disable-NetAdapter -Name "Ethernet"

2. Configurar reglas de firewall:

   New-NetFirewallRule -DisplayName "Bloqueo" -Direction Inbound -Action Block -RemoteAddress <IP>

3. Habilitar monitoreo con Sysmon: Asegúrate de que Sysmon esté configurado para registrar actividad crítica.

---

4. Erradicación

Objetivo: Eliminar el acceso del atacante y la presencia de malware o persistencia.

Linux:

1. Identifica y elimina procesos maliciosos:

   kill -9 <PID>

2. Revisa tareas programadas sospechosas:

   crontab -l

3. Encuentra archivos recientes:

   find / -mtime -2 -ls

Windows:

1. Termina procesos maliciosos:

   Stop-Process -Id <PID>

2. Revisa claves de inicio en el registro:

   reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

3. Ejecuta análisis con herramientas avanzadas: Usa Redline para analizar memoria y obtener indicadores de compromiso.

---

5. Recuperación

Objetivo: Restaurar el sistema a un estado seguro.

Acciones recomendadas:

1. Linux:

   • Restaura configuraciones seguras para el firewall.

   • Asegúrate de que solo los servicios necesarios estén activos.

   systemctl list-unit-files | grep enabled

2. Windows:

   • Restaura configuraciones críticas usando políticas de grupo.

   • Verifica la integridad del sistema:

     sfc /scannow

---

6. Lecciones Aprendidas

Objetivo: Prevenir incidentes futuros mediante la documentación y mejora continua.

Actividades:

1. Documenta todo el incidente: Desde la detección hasta la recuperación.

2. Actualiza políticas de seguridad: Revisa y mejora las configuraciones de firewalls, permisos y monitoreo.

3. Realiza simulaciones periódicas: Evalúa la capacidad de respuesta del equipo ante nuevos escenarios.

---

Herramientas Avanzadas para Respuesta a Incidentes

1. SIFT Workstation: Análisis avanzado en Linux.

2. Redline: Análisis de memoria y disco para Windows.

3. Velociraptor: Recolección de evidencias en endpoints.

4. osquery: Consultas SQL para auditorías rápidas en Linux y macOS.

---

Elementos Críticos para la Respuesta a Incidentes

1. Cuentas de Usuario

El análisis de la actividad de los usuarios es fundamental para detectar comportamientos sospechosos. En sistemas Linux, algunos comandos útiles incluyen:

• /etc/passwd: Muestra información sobre las cuentas de usuario.

  cat /etc/passwd

• Comando passwd -S: Verifica las configuraciones de contraseña.

  passwd -S [usuario]

• Buscar usuarios sin propietario: Identifica usuarios temporales creados por atacantes.

  find / -nouser -print

En Windows:

• Gestor de Usuarios Locales: Presiona Windows+R y escribe lusrmgr.msc para acceder a los usuarios.

• Comando net user:

  net user

2. Registros del Sistema

Los registros proporcionan una vista histórica de eventos importantes. En Linux:

• Últimos inicios de sesión:

  lastlog

• Autenticaciones y accesos:

  tail /var/log/auth.log

En Windows, utiliza el Visor de Eventos:

• Presiona Windows+R, escribe eventvwr.msc y selecciona los eventos de interés.

3. Recursos del Sistema

Es crucial evaluar el uso de recursos para identificar procesos sospechosos.

• Uptime (tiempo en línea):

  uptime

• Uso de memoria:

  free -h

• Estado de procesos:

  ps aux

En Windows, el Administrador de Tareas y el comando tasklist permiten un análisis similar:

tasklist

4. Configuraciones de Red

La actividad de red puede revelar conexiones maliciosas o configuraciones comprometidas.

• Interfaces de red:

  ifconfig -a

• Puertos abiertos:

  netstat -nap

• Cache ARP:

  arp -a

En Windows, utiliza:

netstat -ano

5. Análisis de Archivos

La inspección de archivos sospechosos o recientes es esencial.

• Archivos grandes:

  find /home/ -type f -size +512k -exec ls -lh {} \;

• Archivos modificados recientemente:

  find / -mtime -2 -ls

En Windows:

forfiles /p c: /S /D -10

6. Servicios y Tareas Programadas

Revisar servicios en ejecución y tareas programadas puede ayudar a identificar malware o procesos no autorizados.

• Servicios en Linux:

  service --status-all

• Tareas programadas:

  cat /etc/crontab

En Windows, usa el Programador de Tareas (taskschd.msc) o comandos como:

schtasks

7. Configuraciones de Firewall

Revisar las configuraciones del firewall puede prevenir o contener accesos no deseados.

• Linux:

  iptables -L -n

• Windows:

  netsh firewall show config
  netsh advfirewall show currentprofile

8. Actividad en Puertos

Los puertos activos deben monitorearse cuidadosamente.

• Linux:

  netstat -tuln

• Windows:

  netstat -ano

---

Herramientas Clave

Linux

• cat, grep, lsof, iptables

Windows

• PowerShell: Comandos como Get-Process, Get-NetTCPConnection.

• WMIC:

  wmic process list full

---