Ante una intrusión ¿qué hacer?
-
Upload
eventos-creativos -
Category
Technology
-
view
1.108 -
download
2
description
Transcript of Ante una intrusión ¿qué hacer?
![Page 1: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/1.jpg)
![Page 2: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/2.jpg)
Índice
1.¿Por que yo?
2.Que hacer.
3.Y que había que haber hecho.
![Page 3: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/3.jpg)
¿Por que yo?Motivaciones
He estado aquí (zone-h.org)
Inyección de códigos para ejecutar exploits navegadores usuarios
Ejecución de scripts, en el servidor para envió de spam
Cabeza de Puente para realizar ataques sobre otros equipos
Robo información (propia o bien phising sobre terceros)
¿Era facil....?
![Page 4: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/4.jpg)
Que hacer
Ver por donde... Sin reiniciar, NI apagar el servidor.
Útil tener logs del servidor, información de trafico red, histórico comandos, cualquier cosa..... Que hayan dejado
Tras identificar por donde, ver el como resolver o evitar la intrusión (aka minimizar)
Restaurar copia seguridad
![Page 5: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/5.jpg)
Que hacer
Ftp, correo, cambio password
Solventar fallo aplicación, Inyección codigo (htm, php, asp), o de Sql... Intentar sanear valores de variables.
http://loco.com/index.php?zone=http://injeccion.com
if(eregi(“^http”,$zone.var)) then …..
¿Actualizar sistema....? ¿Aplicaciones...?
![Page 6: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/6.jpg)
Que habia que haber hecho
Backups, backups y backups
¿Comprimir..., cintas...?
¿Un día....? Ficheros, bases de datos….
Política recurrente... “hasta el infinito y mas alla”
Hay mejores alternativas... ¿snapshots, filesystems…?
![Page 7: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/7.jpg)
Que habia que haber hecho
Validación integridad backups¿Que es eso?
Numero de veces al año… (según periodicidad)
Entorno test o desarrollo, NUNCA en producción
![Page 8: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/8.jpg)
Que habia que haber hecho
Realizar análisis riesgos. LOPD, SGSI (aka iso-27000) …..
Securizacion servidor, servicios y aplicacionesLogs hacia servidor interno no accesible
![Page 9: Ante una intrusión ¿qué hacer?](https://reader035.fdocument.pub/reader035/viewer/2022062220/5566207ad8b42a61238b4ab4/html5/thumbnails/9.jpg)
Que había que haber hecho
Análisis vulnerabilidades, herramientas..Metasploit, OpenVas, Nessus, Outpost24, etc…
•Sistema operativo
Servicios
Aplicaciones
Es una ayuda, pero no la panacea…¿Actualizar...?