Post on 09-Dec-2015
description
EQUIPOS DE RESPUESTA A INCIDENTES
(CSIRT/CERT)
César Augusto Zárate Camargo Analista Seguridad Informática
Investigador Informática Forense
SWAT Security IT CEO . Security Consultant
Nickname – C4m4l30n
http://swatsecurityit.com
Cesaraugusto.zarate@swatsecurityit.com
@c4m4l30n_caz
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
QUÉ ES UN CSIRT?
Un Equipo de Respuesta ante
Emergencias Informáticas (CERT, del
inglés Computer Emergency Response
Team) es un centro de respuesta a
incidentes de seguridad en tecnologías
de la información. Se trata de un grupo
de expertos responsable del desarrollo
de medidas preventivas y reactivas
ante incidencias de seguridad en los
sistemas de información.
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
QUÉ ES UN CSIRT?
Un CERT estudia el estado de
seguridad global de redes y
computadores y proporciona
servicios de respuesta ante
incidentes a víctimas de
ataques en la red, publica
alertas relativas a amenazas
y vulnerabilidades y ofrece
información que ayude a
mejorar la seguridad de
estos sistemas.
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Hablemos de su Historia Entre los 80-90: Hay Surgimiento de diversas
organizaciones:
En 1990: Conformación del FIRST - Forum of Incident
Response and Security Teams
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
CERT Statistics (Historical) Carnegie Mellon University's
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estadísticas de Incidentes Informáticos en Colombia 2013
KPMG presento la ultima encuesta de Fraude en Colombia, de estos datos
podemos observar…
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estadísticas de Incidentes Informáticos en Colombia 2013
KPMG presento la ultima encuesta de Fraude en Colombia, de estos datos
podemos observar…
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estadísticas de Incidentes Informáticos en Colombia 2013
Los tipos de fraude que sufren las empresas en Colombia
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estadísticas de Incidentes Informáticos en Colombia 2013
Los tipos de fraude que sufren las empresas en Colombia
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estadísticas de Incidentes Informáticos en Colombia 2013
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Documento CONPES 3701 Lineamientos para la Ciberseguridad y
la Ciberdefensa
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
¿Qué es un incidente de seguridad?
Un incidente de Seguridad Informática
está definido como un evento que atente
contra la Confidencialidad, Integridad y
Disponibilidad de la información
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Las funciones de un CERT/CSIRT son:
Ayudar al público objetivo (constituency) a atenuar y
prevenir incidentes graves de seguridad.
Ayudar a proteger informaciones valiosas.
Coordinar de forma centralizada la seguridad de la
información.
Guardar evidencias, por si hubiera que recurrir a pleitos.
Apoyar y prestar asistencia a usuarios para recuperarse
de las consecuencias de los incidentes de seguridad.
Dirigir de forma centralizada la respuesta a los
incidentes de seguridad - Promover confianza, que alguien
controla la situación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Servicios de un CERT/CSIRT :
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
1. Desarrollar una política de respuesta a incidentes
2. Desarrollar procedimientos para el manejo de incidentes,
basados en la Política
3. Establecer relaciones entre el equipo de respuesta a
incidentes y otros grupos, tanto internos (ej.: RRHH,
Legales, etc.) como externos (ej.: CERTs,etc.)
4. Definir guías para la comunicación con terceros en caso
de incidentes
5. Organizar un equipo de respuesta a incidentes, definir y
asignar funciones
6. Determinar qué servicios proveerá el equipo de respuesta
a incidentes
7. Entrenar al equipo de respuesta a incidentes
Creando una capacidad de respuesta de
incidentes:
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Gestión de incidentes de seguridad
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Criterios de categorización de incidentes:
• POR TIPO DE INCIDENTE
• POR LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS
Preparación y Prevención
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Criterios de clasificación de incidentes
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Criterios de clasificación
de incidentes
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Manejo de información
con terceras partes
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Otras medidas de preparación
1.Definir políticas, normas y procedimientos para
la gestión de Incidentes:
2.Preparar el CSIRT o VCSIRT
3.Entrenar al personal
4.Documentar un mapa de la topología y
arquitectura de la red
5.Documentar la configuración del equipamiento
6.Crear patrones de redes y sistemas
7.Comprender el funcionamiento normal
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Manejo de información
con terceras partes
1. Activar los logs en las diferentes plataformas y
aplicaciones y en el equipamiento de comunicaciones
2. Utilizar logging centralizado y crear una política de
almacenamiento de logs
3. Mantener los relojes de todos los equipos sincronizados
4. Crear sumas de comprobación criptográficas
(cryptographic checksums)
5. Definir e implementar esquemas de resguardos de datos
6. Contactos
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Preparación y Prevención
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Manejo de información
con terceras partes Considerar la necesidad de utilizar herramientas para:
1. Detección de incidentes
2. Monitoreo
3. Análisis de incidentes – análisis forense
4. Documentación de incidentes
1. 2. 3.
4.
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Prevención de incidentes
Análisis periódicos de riesgos
Mejores prácticas de seguridad
Auditorías periódicas
Administración de actualizaciones
Fortalecimiento de la seguridad de los
equipos
Seguridad en la red
Prevención de código malicioso
Concientización y capacitación de
usuarios
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Detección y Notificación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Detección y Notificación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Detección de incidentes
IDS - Sistemas de detección de intrusiones de
red (NIDS) o de host (HIDS)
Software de antivirus
Software de control de integridad de archivos
Sistemas de monitoreo de red (NMS)
Análisis de registros de auditoría (logs)
Información pública
Usuarios del organismo
Personas externas al organismo
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Detección de incidentes
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Detección de incidentes
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Detección de incidentes
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Análisis Preliminar
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Análisis Preliminar
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Análisis Preliminar
Cómo determinar el alcance:
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Métodos de recolección de información
Análisis Preliminar
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Contención, Respuesta y
Recuperación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Contención, Respuesta y
Recuperación Considerar los siguientes factores para la
selección de una estrategia:
Daño potencial de recursos a causa del incidente
Necesidad de preservación de evidencia
Tiempo y recursos necesarios para poner en práctica la
estrategia
Efectividad de la estrategia (ej.: total o parcialmente)
Duración de las medidas a tomar (ej.: período sin sistema)
Criticidad de los sistemas afectados
Características de los posibles atacantes
Si el incidente es de conocimiento público
Pérdida económica
Posibles implicancias legales
Relación costo-beneficio de la estrategia
Experiencias anteriores
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estrategias de contención de incidentes
Contención, Respuesta y
Recuperación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estrategias de erradicación de incidentes
Contención, Respuesta y
Recuperación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Estrategias de recuperación de incidentes
Contención, Respuesta y
Recuperación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Investigación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Recolección de evidencia
Investigación
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Proceso de recolección de evidencia
Investigación
1. Registrar información que rodea a la evidencia
2. Tomar fotografías del entorno de la evidencia
3. Tomar la evidencia
4. Registrar la evidencia
5. Rotular todos los medios que serán tomados como
evidencia
6. Almacenar toda la evidencia en forma segura
7. Realizar las investigaciones en “duplicados de trabajo”
de la evidencia original
8. Generar copias de seguridad de la evidencia original
9. Realizar revisiones periódicas para garantizar que la
evidencia se encuentra correctamente conservada
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Documento: Denuncia de un Incidente en el que se
encuentra involucrada Tecnología Informática.
Investigación
http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf
1)Dónde denunciar
2)Aspectos a tener en cuenta según el
denunciante
3)Quiénes deben estar involucrados
4)Recomendaciones generales
5) Recomendaciones relacionadas con la
obtención de evidencia digital César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Actividades Posteriores
1. Organizar reuniones
2. Mantener la documentación
3. Crear bases de conocimiento
4. Integrar la gestión de incidentes al
análisis de riesgos
5. Implementar controles preventivos
6. Elaborar Tableros de Control
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
Actividades Posteriores
Tablero de control de incidentes de seguridad
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com
César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com