Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Erradicación
Una vez contenido un incidente, puede ser necesario erradicarlo para eliminar por completo las fuentes de amenaza y proteger el sistema antes de pasar a la siguiente fase de recuperación. Las medidas de erradicación podrían incluir eliminar el malware y eliminar las cuentas de usuario comprometidas, así como identificar y mitigar todas las vulnerabilidades que se explotaron. Durante la erradicación, es importante identificar todas las cuentas, los recursos y las instancias afectadas del entorno para poder solucionarlas.
Se recomienda que la erradicación y la recuperación se realicen de forma gradual, de modo que se prioricen las medidas de remediación. En el caso de los incidentes a gran escala, la recuperación puede llevar meses. La intención de las primeras fases debe ser aumentar la seguridad general con cambios de gran valor relativamente rápidos (días o semanas) para evitar futuros incidentes. Las fases posteriores deben centrarse en los cambios a largo plazo (por ejemplo, cambios en la infraestructura) y en el trabajo continuo para mantener la empresa lo más segura posible.
En el caso de algunos incidentes, la erradicación no es necesaria o se lleva a cabo durante la recuperación.
Considere lo siguiente:
-
¿Se puede cambiar la imagen del sistema y luego reforzarlo con parches u otras contramedidas para prevenir o reducir el riesgo de ataques?
-
¿Se ha eliminado todo el malware y otros artefactos que han dejado los atacantes y se han reforzado los sistemas afectados para evitar nuevos ataques?
