En sospecha de breach, evite sobrescribir logs y disco. Tome snapshots o imágenes si el proveedor lo permite. Preserve timestamps y cadena de custodia. Tenga un runbook y contactos para soporte legal y del proveedor.
Preservar evidencias
- No sobrescriba: Evite reiniciar, borrar o ejecutar herramientas que escriban mucho en disco. Los logs y el contenido del disco pueden ser necesarios para investigación y legal.
- Snapshots: Si el proveedor lo ofrece, tome snapshot o imagen del/los sistema(s) afectado(s) antes de hacer cambios. Guarde en cuenta o región separada si puede.
- Logs: Copie logs (auth, app, firewall, IDS) a un almacenamiento seguro, append-only o write-once. Preserve timestamps y origen.
Cadena de custodia y documentación
- Quién, cuándo, qué: Documente quién accedió a qué y cuándo. Use acceso de solo lectura cuando pueda.
- Legal y proveedor: Tenga contacto con asesoría legal y con el proveedor. El proveedor puede necesitar preservar evidencias (ej. logs de red, de acceso). Pregunte pronto qué pueden retener y por cuánto tiempo.
- Runbook: Tenga un runbook corto de respuesta a incidentes: preservar evidencias, aislar si hace falta, notificar, escalar.
Después del incidente
- Análisis: Prefiera analizar en copias (snapshots, copias de logs) en lugar de sistemas en vivo. Restaure sistemas afectados desde backups conocidos o reconstruya tras asegurar las evidencias.
- Lecciones aprendidas: Documente qué pasó, qué se preservó y qué se puede mejorar.
Resumen
En sospecha de breach: no sobrescriba; tome snapshots si puede; preserve logs y timestamps; documente cadena de custodia. Tenga runbook y contactos. Analice en copias cuando pueda.
