CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
-
Upload
reuniones-networking-tic -
Category
Technology
-
view
7.580 -
download
12
description
Transcript of CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Leonardo Huertas Calle – SamuraiBlancoLeonardo Huertas Calle – SamuraiBlancowww.sncol.com
“ … La rapidez con que se pueda reconocer, analizar
y responder a las amenazas, minimizará el
daño y disminuirá los
costos de recuperación….”
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Equipo de Respuesta a incidentes de seguridad informática (Computer Security Incident Response Team). Término acuñado a finales de los 90’s .
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CERT o CERT/CC Equipo de respuesta a emergencias informáticas / Centro de Coordinación (Computer Emergency Response Team). Término registrado en EE.UU.
IRT Equipo de respuesta a incidentes (Incident Response Team)
CIRT Equipo de respuesta a incidentes informáticos (Computer Incident Response Team)
SERT Equipo de respuesta a emergencias de seguridad (Security Emergency Response Team)
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
“ Gusano MORRIS (1988): primer ejemplar de malware auto replicable que afectó a Internet. El 2 de noviembre de 1988 hizo su aparición el primer gusano (gusano informático) en Internet: Morris worm. Durante unas horas, aproximadamente el 10% de todas las máquinas de Internet se vieron afectadas por ese gusano. “Tomado de la Wikipedia.
Robert Morris
•El mundo se da cuenta de la necesidad de cooperación y coordinación entre administradores de sistemas y gestores de TI para enfrentarse a este tipo de casos.
•Días después del caso Morris la DARPA (Defence Advanced Research Projects Agency, Agencia de Investigación de Proyectos Avanzados de Defensa) crea el primer CSIRT: el CERT/CC ubicado en la Universidad de Carnegie Mellon, en Pitsburgh (Pensilvania).
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Es importante saber cual va a ser el entorno de actuación y cuales van a ser sus usuarios. Es por esto que se distinguen los siguientes sectores:
CSIRT del sector académico: prestan servicios a centros académicos y educativos, como universidades o centros de investigación, y a sus campus virtuales.
Grupo de clientes atendido: personal y los estudiantes de esos centros.
TIPOS DE CSIRTs
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT comercial: prestan servicios comerciales a sus clientes. En el caso de un proveedor de servicios de Internet, el CSIRT presta principalmente servicios relacionados con el abuso a los clientes finales (conexión por marcación telefónica, ADSL) y servicios de CSIRT a sus clientes profesionales.
Grupo de clientes atendido: Por lo general prestan sus servicios a un grupo de clientes que paga por ello.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT del sector CIP/CIIP: se centran principalmente en la protección de la información vital (CIP) y de la información y las infraestructuras vitales (CIIP). Por lo general, estos CSIRT especializados colaboran estrechamente con un departamento público de protección de la información y las infraestructuras vitales. Estos CSIRT abarcan todos los sectores vitales de las TI del país y protegen a los ciudadanos.
Grupo de clientes atendido: Sector público; empresas de TI de importancia fundamental; ciudadanos.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT del sector público: prestan servicios a agencias públicas y, en algunos países, a los ciudadanos.
Grupo de clientes atendido: Las administraciones y sus agencias. En algunos países también prestan servicios de alerta a los ciudadanos.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT interno: únicamente prestan servicios a la organización a la que pertenecen, lo que describe más su funcionamiento que su pertenencia a un sector. Por regla general, estos CSIRT no mantienen sitios web públicos.
Grupo de clientes atendido: Personal y departamento de TI de la organización a la que pertenece el CSIRT.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT del sector militar: prestan servicios a organizaciones militares con responsabilidades en infraestructuras de TI necesarias con fines de defensa.
Grupo de clientes atendido: Personal de instituciones militares y de entidades estrechamente relacionadas con éstas.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT del sector de la pequeña y mediana empresa (PYME): organizado por sí mismo que presta servicios a las empresas del ramo o a un grupo de usuarios similar.
Grupo de clientes atendido: pueden ser las PYME y su personal, o grupos de interés especial.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT de soporte: se centran en productos específicos. Suelen tener por objetivo desarrollar y facilitar soluciones para eliminar vulnerabilidades y mitigar posibles efectosNegativos.
Grupo de clientes atendido: Propietarios de productos.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT NACIONALCSIRT NACIONAL
Un CSIRT nacional se considera un punto de contacto de seguridad de un país. En algunos casos, el CSIRT del sector público también actúa como punto de contacto nacional.
Grupo de clientes atendido: Este tipo de CSIRT no suele tener un grupo de clientes directo, pues se limita a desempeñar un papel de intermediario para todo el país.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Desde otra perspectiva también puede servir como el “equipo de respuesta de último recurso”:
“si es necesario informar un incidente de ciberseguridad y no es claro dónde reportarlo, el informe se puede presentar ante este CSIRT, que lo remitirá al equipo de respuesta adecuado para su manejo o suministrará algún nivel mínimo de apoyo.”..
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Qué se protege?
Fuente: TB-Security
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Fuente: TB-Security
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Fuente: TB-Security
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Fuente: TB-Security
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Fuente: CERT/CC www.cert.org
Ciclo de vida de la gestión de incidentes
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Servicios Reactivos Servicios Proactivos Calidad de los Servicios de Gestión de la Seguridad
* Servicio de AlertasServicio de Alertas* Gestión de Incidentes* Análisis de incidentes* Respuesta a incidentes en sitio* Soporte de respuesta a incidentes* Coordinación de respuesta a incidentes* Gestión de vulnerabilidades* Análisis de vulnerabilidades* Respuesta a vulnerabilidades* Coordinación de respuesta a vulnerabilidades* Gestión de herramientas* Análisis de herramientas* Respuesta con herramientas* Coord. de rta. con herramientas
* Comunicados* Vigilancia tecnológica* Auditorias de seguridad o evaluaciones* Configuración y mantenim. de seguridad, herramientas y aplicaciones e infraestructura* Desarrollo de herramientas de seguridad* Servicios de detección de intrusos* Difusión de información relacionada con la seguridad
* Análisis de riesgos* Continuidad de negocio y plan de recuperación de desastres* Consultoría de seguridad* Sensibilización en seguridad * Educación / Entrenamiento* Evaluación de productos o certificación
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
Un CSIRT típico define las funciones siguientes en el Un CSIRT típico define las funciones siguientes en el equipoequipo
GeneralDirector general
PersonalDirector de la oficinaContableAsesor de comunicacionesAsesor jurídico
Equipo técnico operativoJefe del equipo técnicoTécnicos del CSIRT, encargados de la prestación de serviciosInvestigadores
Consultores externosContratados cuando se necesitan
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
““SugerenciasSugerencias“ de Herramientas disponibles para CSIRT“ de Herramientas disponibles para CSIRT
HERRAMIENTAS DE TRATAMIENTO DE INCIDENTES
•Administración de incidentes y seguimiento, rastreando acciones.
* RTIR http://www.bestpractical.com/rtir/ (Gratuita y de código fuente abierto para el tratamiento de incidentes).
Su diseño responde a las necesidades de los CERT y otros equipos de respuesta a incidentes.
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
•Herramientas de CRMSi el grupo atendido es muy amplio y necesita
localizar todos los detalles, una base de datos CRM le será útil. Existen diferentes variedades. Algunos ejemplos:
* SugarCRM http://www.sugarcrm.com/crm/* Sugarforce (versión libre de código fuente abierto)
http://www.sugarforge.org/
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
•Verificación de la información
*Website watcher http://www.aignes.com/index.htm (Comercial)
Detecta actualizaciones y cambios en los sitios web.
* Watch that page http://www.watchthatpage.com/ (Gratuito y comercial).
El servicio envía por correo electrónico información sobre cambios en páginas web
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
SOFTWARE DE ENCRIPTACIÓN DE CORREOS ELECTRÓNICOS Y MENSAJES
GNUPG http://www.gnupg.org/ (Gratuito)Permite encriptar y firmar los datos y comunicaciones.
PGP http://www.pgp.com/ (Comercial)
Se pueden encontrar más consejos en la Clearinghouse of Incident Handling Tools (CHIHT) - http://chiht.dfn-cert.de/
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
BÚSQUEDA DE INFORMACIÓN DE CONTACTOBuscar el contacto más indicado para la comunicación de incidentes no es tarea sencilla. Se pueden usar, por ejemplo, las siguientes fuentes de información:
– RIPE whois: http://www.ripe.net/whois
– IRT-object en la base de datos de RIPE: http://www.enisa.europa.eu/cert_inventory/pages/04_02_01.htm#08
– Trusted Introducer: http://www.enisa.europa.eu/cert_inventory/pages/04_01_03.htm#07
– Herramientas de verificación de identidades de la CHIHT: http://www.enisa.europa.eu/cert_inventory/pages/04_02.htm#04
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
ETAPA 1Educación
ETAPA 2Planificación
ETAPA 3Implementación
ETAPA 4Operación
ETAPA 5Colaboraciónnovato expertonovato
Etapas básicas para la creación de un CSIRTEtapas básicas para la creación de un CSIRT
0 a 5 meses
9 meses
+36 meses Operación
Curso de acción – puntos a considerar•Misión / Visión•Comunidad de usuarios•Alcance•Autoridad•Servicios (interacción / niveles / estructuras)•Interacciones externas•Terminología (incidentes, tipos, categorias)
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT alrededor del mundoCSIRT alrededor del mundo
Fuente: CERT/CC
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
PARA TENER EN CUENTAFirts - www.first.org
ALGUNOS CERTS www.ccn-cert.cni.eswww.arcert.gov.ar
www.csirt-antel.com.uywww.us-cert.gov
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org
CSIRT - CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaLeonardo Huertas Calle – SamuraiBlanco
www.sncol.comwww.samuraiblanco.org