Enfrentarse con un ataque depende de diferentes factores, ¿el ataque está en progreso? ¿Has descubierto que el plan de tu empresa se está enviando por el servidor de correo a una dirección de hotmail? ¿Te han llamado para localizar un servidor o un cluster muertos? ¿Cuáles son tus prioridades? ¿Restaurar el servicio? ¿Asegurar que los datos confidenciales están a salvo? ¿Perseguir al/los atacante(s)? Varias cosas a tener en cuenta:
Igualmente, antes de enfrentarse un ataque, tendrías que consultar con la política de la empresa. Si no se dispone de una, consulta con el jefe, el departamento legal, etc. También es una buena idea contar con un plan para tratar los ataques (p. ej, el servidor de correo es de prioridad uno, comprobar los servidores de ficheros es prioridad dos, a quién se notifica, etc.) lo cual evitará un montón de problemas a medida que vayan surgiendo (estate preparado). El libro "Practical Unix and Internet Security" se encarga de este tema detalladamente, de modo que no voy a repetirlo. Compra el libro.
Existe un documento excelente acerca de esto, mira el Apéndice D, "Cómo manejar e identificar pruebas de Red".
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.