Post on 03-Feb-2015
Medidas a tener en cuenta Medidas a tener en cuenta como elementos probatorios como elementos probatorios
en caso de unaen caso de unaintrusión. Un caso prácticointrusión. Un caso práctico
Manuel H. Santander Peláez
GIAC Certified Forensic Analyst
ObjetivoObjetivo
• Presentar a los asistentes del evento V Jornada Nacional de Seguridad Informática una base de controles adecuada para llevar el registro de las acciones realizadas por los usuarios, con el fin de servir como pruebas a la hora de argumentar un caso de computación forense.
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
AgendaAgenda
• Introducción
• Proceso de atención de incidentes de Seguridad
• Factores críticos de éxito
• Línea base de controles propuesta
• Conclusiones
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
IntroducciónIntroducción
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
Tomado de http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2004.pdf
IntroducciónIntroducción
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
Hijacking de Sesiones
Falsificación de paquetes
19901980
Password Guessing
Autoreplicación de Código
Cracking de Passwords
Explotando Vulnerabilidades Conocidas
Deshabilitando Auditoría
Back Doors Sweepers
Sniffers
Diagnóstico no detectable
Conocimiento Técnico Requerido
Alto
Bajo2000
IntroducciónIntroducción
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
Tomado de http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2004.pdf
IntroducciónIntroducción
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• ¿Qué se considera una amenaza?
Es la posibilidad que un siniestro pueda ocurrir.
• ¿Qué se considera un riesgo?
Es toda amenaza evaluada en cuanto su posibilidad de ocurrencia y al impacto esperado.
IntroducciónIntroducción
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• ¿Qué se considera evidencia?
Se constituye en aquella porción de información que permite afirmar o descartar la ocurrencia de un hecho en específico. Debe correlacionar todas las posibles variables para no ser circunstancial.
Proceso de Atención de Proceso de Atención de Incidentes de SeguridadIncidentes de Seguridad
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• Objetivo:
Determinar el origen y las causas de los incidentes de seguridad informática que se presentan, con el fin de prevenir, mitigar, corregir y controlar los riesgos en la infraestructura informática que soporta los procesos críticos del negocio
Proceso de Atención de Proceso de Atención de Incidentes de SeguridadIncidentes de Seguridad
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• Metodología– Descripción del sistema– Verificación del incidente– Continuidad del servicio– Recolección de la evidencia– Creación y análisis de la línea de tiempo– Análisis específico de medios– Recuperación de datos– Realización de reportes– Implantación de recomendaciones
Factores Críticos de ÉxitoFactores Críticos de Éxito
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
Pasos críticos:
• Verificación del incidente:– Línea base de Seguridad– Cuentas y privilegios
• Recolección de la evidencia– Zona horaria– Rootkits– Logs arquitectura de seguridad
Factores Críticos de ÉxitoFactores Críticos de Éxito
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
Pasos críticos:
• Análisis específico de medios:– Recuperación de logs– Reconocimiento trojans– Correlación eventos Línea de Tiempo –
Firewall – IDS – IPS– Información de inicio de sesión del modelo de
autenticación
Factores Críticos de ÉxitoFactores Críticos de Éxito
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
Qué controles deben tenerse para asegurar el éxito en la realización de los pasos críticos?
DEMOSTRACIÓNDEMOSTRACIÓN
Línea base de controles Línea base de controles propuestapropuesta
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• Elementos:– Direcciones IP– Nombres de Usuario– Punto de Red– Roles
• Información del sistema de archivos:– Línea de tiempo
Línea base de controles Línea base de controles propuestapropuesta
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• Cómo correlacionar esta información para que tenga sentido?– Modelo integrado de autenticación– Registro correlacionado de asignación entre
nombre de usuario, dirección IP y permisos– Registro de inicio de sesión para el uso de los
recursos– Independencia de los ambientes– Identificación adecuada de los permisos
asignados
Línea base de controles Línea base de controles propuestapropuesta
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• Nivel de aplicación: Metadirectorios, Sistemas de Prevención de Intrusos (IPS), Registro de accesos de las aplicaciones.
• Nivel de transporte y red: Firewalls, IDS, IPSEC, VPN, DHCP.
• Nivel de Enlace de Datos: 802.1X, VLAN Dinámicas, Aseguramiento de puertos.
ConclusionesConclusiones
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• La metodología forense puede encontrar información de un hecho delictivo en el medio físico donde ocurrió, pero en forma aislada, lo cual no se constituye en prueba de fundamentación válida contra un sujeto en la corte.
ConclusionesConclusiones
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
• Debe constituirse un modelo integrado que provea la información requerida para que la evidencia encontrada en cualquiera de los casos sea contundente.
• Este modelo debe estar acompañado de políticas y procedimientos que garanticen el mano de la información del mismo
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
¿ Preguntas?¿ Preguntas?¿ Comentarios?¿ Comentarios?
V Jornada Nacional de Seguridad Informática – ACIS – 2005. Manuel Humberto Santander P.
Por su Atención,Por su Atención,¡Muchas Gracias!¡Muchas Gracias!
Manuel H. Santander P.Manuel H. Santander P.manuel@santander.namemanuel@santander.name