Contencin

La clula de crisis deber de

realizar y monitorear las siguientes
acciones:
1. Desconecte el rea infectada de
Internet
2. Asle
el
rea
infectada.
Desconctela de cualquier red
3. Si no se puede desconectar del
trfico crtico, permtalo despus
de asegurarse que no es un
vector de infeccin o despus de
aplicar tcnicas validadas de
elusin.

4. Neutralice los vectores de propagacin.

Un vector de propagacin puede ser cualquier
cosa desde el
trfico de red hasta una falla en
el software. Se aplicarn contramedidas
relevantes
(parches,
bloqueo
de
trfico,
deshabilitar dispositivos, etc.)
Por ejemplo:
. Herramienta de Despliegue de Parches (WSUS)
. Windows GPO
. Reglas de Firewall

Herramienta de Despliegue de
Parches (WSUS)
Permite
a
los
administradores de las
tecnologas
de
la
informacin
implementar
las
actualizaciones
ms
recientes
de
los
productos de Microsoft
en los equipos con
sistemas
operativos
Windows.

Windows GPO
Es un conjunto de una o mas
polticas del sistema. Cada una
delas polticas del sistema
establece una configuracin del
objeto al que afecta.
Por
ejemplo
tenemos
las
polticas para:
*Establecer el titulo del
explorador de
internet
*Ocultar panel de control
*Deshabilitar el uso de
REGEDIT.EXE y
REGEDT32.EXE

5. Repita los pasos 2 al 4 en cada subrea del

rea infectada hasta que el gusano
deje de propagarse. Si es posible,
monitoree la infeccin empleando
herramientas de anlisis (consola
del antivirus, bitcoras de servidor,
llamadas a Soporte)

Debe de monitorearse la dispersin

del gusano.
Dispositivos mviles
Asegrese que el gusano no pueda
utilizar ninguna laptop, smartphone,
PDA o dispositivo removible de
almacenamiento como vector de
propagacin.
De
ser
posible,
bloquee
las
conexiones.
Pida a los usuarios finales que sigan
estas instrucciones.

Remedio
Identifique
Identifique herramientas y mtodos
de remedio.
Deben
de
considerarse
los
siguientes recursos:
Arreglos (fixes) del proveedor
(Microsoft, Oracle, etc.)
Base de datos de firmas del
antivirus
Contactos externos de Soporte
Sitios web de Seguridad
Defina un proceso de desinfeccin.
El proceso debe de ser validado por
un rgano externo, como su CSIRT.

Pruebe
Pruebe el proceso de desinfeccin y
asegrese que funciona
adecuadamente sin daar algn
servicio.

Despliegue
Despliegue las herramientas de
desinfeccin.
Se
pueden
usar
varias
opciones:
Windows WSUS
GPO
Despliegue de firmas de
antivirus
Desinfeccin manual
Advertencia: Algunos gusanos
podran bloquear alguno de los
mtodos de despliegue de
remedios. Si esto sucede,
deber de aplicarse algn

5. RECUPERACION
Verifique que todos los pasos previos se
hayan realizado correctamente y obtenga una
aprobacin de la jefatura ,antes de proceder
con los siguientes pasos.
1. Reabra el trfico de red que fue utilizado
como mtodo de propagacin por el
gusano.
2. Reconecte las sub-reas entre s.
3. Reconecte las laptops y mviles al rea
4. Reconecte el rea a su red local.
5. Reconecte el rea a Internet.
Todos estos pasos deben de realizarse en una
manera paso a paso y se debe de realizar
un monitoreo tcnico puesto en vigor por el
equipo de crisis.

6. REPERCUSIONES
INFORME
Deber de redactarse un informe de crisis
que ser distribuido entre todos los
actores de la clula de
manejo de crisis.
Deben de describirse los siguientes
temas:
Causa inicial de la infeccin
Acciones y lneas de tiempo de cada
evento importante
Qu sali bien
Qu sali mal
Costo del incidente

CAPITALICE
Debern de definirse las acciones para
mejorar los procesos de manejo de
infecciones de gusanos para capitalizar
esta experiencia.