10.5. Restauración y recuperación de recursos

Mientras la respuesta a incidentes está en progreso, el equipo CERT debería estar investigando al mismo tiempo que trabajando en función de la recuperación de los datos y el sistema. Desafortunadamente, es la naturaleza de la violación lo que dicta el curso de la recuperación. Tener sistemas redundantes o respaldos de datos fuera de línea, es invalorable durante estos momentos.

Para recuperar sistemas, el equipo de respuestas debe colocar en funcionamiento cualquier sistema caído o aplicaciones, tales como servidores de autenticación, servidores de bases de datos y cualquier otro recurso de producción.

Se recomienda tener hardware de respaldo de producción listo para ser usado, tales como discos duros extra, servidores de respuesto en caliente, y otros similares. Los sistemas ya listos deberían tener todo el software de producción cargado y listo para uso inmediato. Quizás sólo los datos más recientes e importantes necesitarán ser importados. Estos sistemas ya hechos deberían ser mantenidos aislados del resto de la red. Si un ataque ocurre y los sistemas de respaldo son parte de la red, entonces se frusta el propósito de tener un sistema de respaldo.

La recuperación de un sistema puede ser un proceso tedioso. En muchas ocasiones hay dos cursos de acción a partir de los cuales escoger. Los administradores pueden llevar a cabo una reinstalación limpia del sistema operativo en cada sistema afectado seguido de la restauración de todos los datos y aplicaciones. Alternativamente, los administradores pueden remendar el sistema de la vulnerabilidad y volverlo a poner en producción.

10.5.1. Reinstalación del sistema

Al realizar una reinstalación limpia se asegura que el sistema afectado estará limpio de cualquier troyano, puertas traseras o procesos maliciosos. La reinstalación también asegura que cualquier dato (si ha sido restaurado a partir de una fuente de respaldo confiable) esté limpio de cualquier modificación maliciosa. La desventaja de una reinstalación total del sistema es el tiempo que implica reconstruir los sistemas desde el principio. Sin embargo, si hay disponible un sistema de respaldo en caliente donde la única acción a tomar es descargar los datos más recientes, entonces el tiempo fuera de servicio es reducido en gran medida.

10.5.2. Emparchar el sistema

El emparchado del sistema afectado es un curso de acción más peligroso y debería ser tomado con gran precaución. El riesgo con reparar un sistema en vez de llevar a cabo una reinstalación, es determinar si el sistema se ha limpiado lo suficiente de huecos, troyanos y datos dañados. La mayoría de los rootkits (programas o paquetes que un pirata usa para ganar acceso como root a su sistema), comandos troyanos y ambientes shell, estan diseñados para esconder las actividades maliciosas de las auditorías. Si se toma la salida de reparar el sistema, se deberían usar solamente binarios confiables (por ejemplo, a partir de un CD-ROM de sólo lectura).