Gestion de Incidentes Parte1 2009
-
Upload
julio-cesar-gomez -
Category
Documents
-
view
183 -
download
0
Transcript of Gestion de Incidentes Parte1 2009
GESTIN Y TRATAMIENTO DE INCIDENTES DE SEGURIDAD DE LA INFORMACINArCERTIng. Lorena B. Ferreyro CISSP, CISM Junio 2009
TemarioUn poco de historia Algunas estadsticas Qu es un incidente de seguridad? Qu medidas tomar? Grupos de respuesta a incidentes Gestin de incidentes de seguridad Preparacin y prevencin Deteccin y notificacin Anlisis preliminar Contencin, erradicacin y recupero Investigacin Acciones posteriores Documentacin Caso de estudio
Un poco de historiaOrigen de los incidentes Dcada del 80
DECADAS DEL 80 - 90 Surgimiento de diversas organizaciones: National Institute of Standards and Technology (NIST) Purdue Universitys Computer Incident Advisory Capability (CIAC) Carnegie Mellon Universitys Software Engineering Institutes Computer Emergency Response Team/Coordination Center (CERT/CC) Internet Engineering Task Force (IETF)
1990 Conformacin del FIRST - Forum of Incident Response and Security Teams
Algunas estadsticasAo 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 1Q-3Q 2008 TOTAL Vulnerabilidades catalogadas 171 245 311 262 417 1090 2437 4129 3784 3780 5990 8064 7236 6058 43974 Vulnerabilidades de reportes directos 153 343 191 170 213 345 357 310 2082Fuente: http://www.cert.org/stats
CERT Coordination CenterCarnegie Mellon University Software Engineering Institute
Algunas estadsticas2008 Global Security SurveyDeloitteIncidente Ataques de mail (spam) Virus/gusanos Spyware Redes zombies DoS Defacement Acceso remoto Extorsin online Intrusin por WiFi Phishing/Pharming Una Ocurrencia 10% 11% 7% 4% 6% 5% 2% 2% 3% 7% Varias Ocurrencias 24% 15% 11% 3% 2% 1% 2% 1% 1% 22% Incidente Ingeniera Social Conducta inapropiada de empleados Robo de propiedad intelectual Fraude informtico Exposicin de informacin por web Amenazas fsicas Accidentes Otros No sabeFuente: http://www.deloitte.com/dtt/cda/doc/content/sk(en)_global_security_survey_130209.pdf
Una ocurrencia 5% 11%
Varias ocurrencias 7% 11%
6% 4% 4% 7% 8% 4% 20%
1% 10% 2% 6% 5% 2% 7%
Qu es un incidente de seguridad?Un evento es toda ocurrencia observable en un entorno informtico.
Un evento adverso es un evento con consecuencias negativas.
Un incidente de seguridad es: A) Un evento adverso en un entorno informtico, que puede comprometer o compromete la confidencialidad, integridad o disponibilidad de la informacin. B) Una violacin o inminente amenaza de violacin de una poltica de seguridad de la informacin, poltica aceptable de uso o mejores prcticas de seguridad.
Qu medidas tomar?
Medidas Preventivas Contraseas Planes de continuidad Polticas Firewalls Procedimientos de backup Cifrado, etc.
Medidas de Deteccin Registros de auditora Sensores de movimiento Revisiones de seguridad, etc.
Medidas Correctivas Esquemas de tolerancia a fallos Procdimientos de restore DRPs (Disaster Recovery Plans), etc.
Gestin de incidentes
Gestin de IncidentesConsiste en la asignacin oportuna de los recursos necesarios y su uso adecuado, con el objeto de prevenir, detectar y corregir incidentes que afectan la seguridad de la informacin.
Prevencin de incidentes Deteccin y el reporte del incidente Clasificacin del incidente Anlisis del incidente Respuesta al incidente Registro de incidentes Aprendizaje a partir de la experiencia Concientizacin y capacitacin
Algunos beneficios Responder a los incidentes en forma sistemtica. Facilitar una recuperacin rpida y eficiente de incidentes de seguridad, minimizando la prdida de informacin e interrupcin de servicios. Prevenir la ocurrencia reiterada de incidentes mediante el aprendizaje. Mejorar continuamente el marco de seguridad y el proceso de tratamiento de incidentes. Manejar correctamente los aspectos legales que pudieran surgir en el tratamiento de incidentes.
Grupos de respuesta a incidentes
CSIRT
Computer Security Incident Response Team FIRST - Forum of Incident Response and Security TeamsNIST - National Institute of Standards and Technology CIAC - Purdue Universitys Computer Incident Advisory Capability
CERT/CC - Carnegie Mellon Universitys Software Engineering Institutes Computer Emergency Response Team/Coordination Center IETF - Internet Engineering Task Force ArCERT - Coordinacin de Emergencias en Redes Teleinformticas
Grupos de respuesta a incidentesServicios reactivos Servicios proactivos Servicios de gestin de seguridad
Alertas y avisos Manejo de incidentes - Anlisis de incidentes - Respuesta a incidentes en sitio - Soporte en la respuesta - Coordinacin en la respuesta Manejo de vulnerabilidades - Anlisis de vulnerabilidades - Respuesta a vulnerabilidades - Coordinacin de la respuesta Manejo de artefactos(*) - Anlisis de artefactos - Respuesta a artefactos - Coordinacin de la respuesta
Anuncios Monitoreo tecnolgico Auditoras o anlisis de seguridad Configuracin y mantenimiento de herramientas, aplicaciones e infraestructura de seguridad Desarrollo de herramientas de seguridad Deteccin de intrusiones Provisin de informacin relacionada con la seguridad
Anlisis de riesgos BCP / DRP Consultora en seguridad Concienciacin en seguridad Capacitacin y entrenamiento Evaluacin o certificacin de productos
(*) Artefacto: Cualquier archivo u objeto hallado en un sistema, el cual puede formar parte de actividades no autorizadas en un sistema (ej.: ataques, reconocimiento, etc.) Fuente: http://www.cert.org/csirts/services.html.
Funciones de ArCERT Asistencia en el tratamiento de incidentes reportados Distribucin de informacin de alertas de seguridad y material de lectura Dictado de cursos de capacitacin en diversos temas relacionados con laseguridad informtica
Asistencia tcnica para el diagnstico del estado de un organismo enmateria de seguridad
Bsqueda de vulnerabilidades en servidores mediante herramientas comoSiMoS
Deteccin, seguimiento y anlisis de incidentesDeben los organismos crear sus propios CSIRTs?
Creando una capacidad de respuesta de incidentes Desarrollar una poltica de respuesta a incidentes Desarrollar procedimientos para el manejo de incidentes, basados en lapoltica
Establecer relaciones entre el equipo de respuesta a incidentes y otros
grupos, tanto internos (ej.: RRHH, Legales, etc.) como externos (ej.: CERTs, etc.)
Definir guas para la comunicacin con terceros en caso de incidentes Organizar un equipo de respuesta a incidentes, definir y asignar funciones Determinar qu servicios proveer el equipo de respuesta a incidentes Entrenar al equipo de respuesta a incidentes
Gestin de incidentes de seguridad
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Contencin, erradicacin y recupero
Investigacin
Actividades posteriores
Gestin de incidentes de seguridad
Preparacin
Deteccin y Notificacin
Anlisis Preliminar
Contencin, erradicacin recupero
Investigacin
Actividades posteriores
Preparacin y Prevencin
Gestin de incidentes de seguridad
Preparacin y Prevencin
Preparacin y Prevencin
Criterios de categorizacin de incidentes POR TIPO DE INCIDENTE POR LA ENVERGADURA DE LOS DAOS PRODUCIDOS ETC.Ejemplo de clasificacin por TIPO DE INCIDENTE:
Denegacin de servicio Cdigo malicioso Acceso no autorizado Uso inapropiado Incidente mltiple
Gestin de incidentes de seguridad
Preparacin y Prevencin
Preparacin y Prevencin
Criterios de clasificacin de incidentes
Efectos negativos producidos por el incidente o potenciales
+
Criticidad de los recursos afectados
=
CRITICIDAD DEL INCIDENTE
Gestin de incidentes de seguridad
Preparacin y PrevencinEjemplo de clasificacin:
Preparacin y Prevencin
1. Analizar los efectos del incidente y los recursos afectados:Incidente Efectos negativos producidos Grave DoS Cdigo malicioso Acceso no autorizado Uso inapropiado Incidente mltiple Scanning de puertos Etc. X X X X X X Moderado Leve Servidor Web Servidor de archivos Servidor de aplicacin Estaciones de trabajo Router Firewall Sistema de Gestin Aplicativos X X X X X X Recursos Criticidad de los recursos afectados Alta Media X X Baja
Gestin de incidentes de seguridad
Preparacin y Prevencin
Preparacin y Prevencin
Ejemplo de clasificacin y priorizacin:2. Determinar la clasificacin del incidente:Criticidad de los recursos afectados Alta Grave Moderado Leve MUY GRAVE GRAVE MODERADO Media GRAVE MODERADO LEVE Baja MODERADO LEVE LEVE
Efectos negativos producidos por el incidente o potenciales
3. Definir el tiempo mximo que puede tardarse en comenzar a tratar cada incidente:MUY GRAVE: GRAVE: MODERADO: LEVE: 10 minutos 30 minutos 2 horas 4 horas
Gestin de incidentes de seguridad
Preparacin y Prevencin
Preparacin y Prevencin
Manejo de informacin con terceras partesDENTRO DEL ORGANISMOMEDIOS AUTORIDADES PROVEEDORES ISPs CSIRT TERCEROS AFECTADOS PRENSA RRHH BCP SEGURIDAD FSICA
FUERA DEL ORGANISMO
CSIRTs
DIRECCIN SEGURIDAD DE LA INFO. TECNOLOGA LEGALES
Gestin de incidentes de seguridad
Preparacin y PrevencinOtras medidas de preparacin
Preparacin y Prevencin
Definir polticas, normas y procedimientos para la gestin deincidentes
Preparar el CSIRT o VCSIRT Entrenar al personal Documentar un mapa de la topologa y arquitectura de la red Documentar la configuracin del equipamiento Crear patrones de redes y sistemas Comprender el funcionamiento normal
Gestin de incidentes de seguridad
Preparacin y PrevencinOtras medidas de preparacin
Preparacin y Prevencin
Activar los logs en las diferentes plataformas y aplicaciones y en elequipamiento de comunicaciones
Utilizar logging centralizado y crear una poltica de almacenamiento de logs Mantener los relojes de todos los equipos sincronizados Crear sumas de comprobacin criptogrficas (cryptographic checksums) Definir e implementar esquemas de resguardos de datos Contactos
Gestin de incidentes de seguridad
Preparacin y Prevencin
Preparacin y Prevencin
Po l
tic a
s
Poltica de Seguridad de la Informacin Gestin de Incidentes
i en tos
No Es rma t n s y da r es
Pr
oc
Procedimientos de Gestin de Incidentes
ed im
Gestin de incidentes de seguridad
Preparacin y Prevencin
Preparacin y Prevencin
Considerar la necesidad de utilizar herramientas para:
Deteccin de incidentes Monitoreo Anlisis de incidentes anlisis forense Documentacin de incidentes Etc.
Gestin de incidentes de seguridad
Preparacin y PrevencinPrevencin de incidentes
Preparacin y Prevencin
Anlisis peridicos de riesgos Mejores prcticas de seguridad Auditoras peridicas Administracin de actualizaciones Fortalecimiento de la seguridad de los equipos Seguridad en la red Prevencin de cdigo malicioso Concientizacin y capacitacin de usuarios
Gestin de incidentes de seguridad
Deteccin y Notificacin
Preparacin y Prevencin
Anlisis Preliminar
Contencin, erradicacin Y recupero
Investigacin
Actividades posteriores
Deteccin y Notificacin
Gestin de incidentes de seguridad
Deteccin y Notificacin
Deteccin y Notificacin
DETECCIN DE UN INCIDENTE
AdvertenciaSeal que indica la posible ocurrencia de un incidente
IndicadorSeal de que un incidente ocurri o est ocurriendo en este momento
Deteccin manual o automtica
Gestin de incidentes de seguridad
Deteccin y NotificacinADVERTENCIAS
Deteccin y Notificacin
INDICADORES
Anuncio de exploit Amenaza de ataque web Alerta de IDS sobre escaneo dered
Aviso de IDS sobre buffer overflow Antivirus detecta troyano en unaPC
Acceso lento a Internet Cambio de configuracin deseguridad en el log de un servidor Bloqueo de cuenta por intentos fallidos de login Aviso de un usuario de robo de datos
No todo incidente presenta una advertencia Es posible que no se detecten las advertencias
Gestin de incidentes de seguridad
Deteccin y NotificacinDeteccin de incidentes
Deteccin y Notificacin
IDS - Sistemas de deteccin de intrusiones de red (NIDS) o de host (HIDS) Software de antivirus Software de control de integridad de archivos Sistemas de monitoreo de red (NMS) Anlisis de registros de auditora (logs) Informacin pblica Usuarios del organismo Personas externas al organismo
Gestin de incidentes de seguridad
Deteccin y NotificacinNotificacin de incidentes
Deteccin y Notificacin
NOTI FICA CIN INICI AL Usuario comn
Categorizacin y clasificacinNO TIF FO ICA RM CI AL N
A ARM ALHERRAMIENTA
Receptor primario segn normasEj.: Equipo de gestin de incidentes
Personal de Informtica
Personas afectadas Dueos de la Informacin afectada Legales, Prensa, etc.
Pautas de notificacin Formularios de notificacin Mtodos de notificacin
Gestin de incidentes de seguridad
Deteccin y NotificacinNotificacin de incidentesQu datos incluir en el formulario? Datos del reporte ID Fecha y hora Datos del incidente Clasificacin Breve descripcin Efectos producidos Descripcin detallada Responsable de atencin Datos del reportante Nombre Cargo Area Tel / Interno Mail
Deteccin y Notificacin
Gestin de incidentes de seguridad
Deteccin y NotificacinNotificacin de incidentesQu datos incluir en el formulario? Datos sobre la solucin Estado Fecha de cierre Detalle: tareas, tiempos, responsables TABLA DE ESTADOSPendiente Informado En curso Resuelto Demorado
Deteccin y Notificacin
Si bien el incidente ha sido reportado, an no se lo ha comunicado al Responsable de Seguridad Informtica. El incidente ha sido reportado al Responsable de Seguridad Informtica pero an no se lo ha tratado. El incidente ha sido reportado al Responsable de Seguridad Informtica y se encuentra en tratamiento. El incidente ha sido resuelto. El tratamiento ha sido interrumpido por motivos a detallar.
Gestin de incidentes de seguridad
Deteccin y Notificacin
Deteccin y Notificacin
Reporte del incidente: Desbordamiento de buffer en un servidorDATOS DEL REPORTE ID: 0001 DATOS DEL INCIDENTE Categora: Acceso no autorizado a root Descripcin breve: El IDS ha detectado la ejecucin del comando id en un servidor Web, desde Internet. Descripcin detallada: DATOS DEL REPORTANTE Nombre: Raul Fernandez Cargo: Administrador de red Area: Tecnologa Tel / Interno: DATOS SOBRE LA SOLUCION Estado: En curso Detalle de tareas realizadas: Fecha de cierre: Email: Clasificacin: MUY GRAVE Efectos producidos: No detectados an. Responsible de atencin: Juan Perez Fecha/Hora: 04-06-2007 / 16:20
Gestin de incidentes de seguridad Anlisis Preliminar
Preparacin y Prevencin
Deteccin y Notificacin
Contencin, erradicacin y recupero
Investigacin
Actividades posteriores
Anlisis Preliminar
Gestin de incidentes de seguridad
Anlisis PreliminarINDICADORES
Anlisis Preliminar
ADVERTENCIAS
Realmente se trata de un incidente de seguridad?
RECOLECCIN DE INFORMACIN
Gestin de incidentes de seguridad
Anlisis Preliminar
Anlisis Preliminar
Recoleccin de informacin para analizar
Alcance del incidente, es decir, qu redes, sistemas y aplicacionesafecta
Qu origin el incidente Cmo ocurri (o est ocurriendo) el incidente mtodos,herramientas utilizadas, vulnerabilidades explotadas, etc..
El impacto potencial en las actividades del organismo
Gestin de incidentes de seguridad
Anlisis PreliminarCmo determinar el alcance
Anlisis Preliminar
Cuntos equipos fueron comprometidos? Cuntas redes se vieron envueltas? Cun dentro de la red logr penetrar el atacante? Qu nivel de privilegio logr el atacante? Qu es lo que est en riesgo? Cmo impacta en las actividades del organismo el compromiso de los equipos? Se encuentran en riesgo aplicaciones crticas? Quin sabe acerca del incidente y cmo puede afectar esto el impacto del mismo? Cun conocida es la vulnerabilidad explotada por el atacante? Hay otros equipos con la misma vulnerabilidad?
Gestin de incidentes de seguridad
Anlisis PreliminarMtodos de recoleccin de informacinA C C I O N E S R E S
Anlisis Preliminar
U
L
T
A
D
O
S
Indagacin a los administradores de sistemas Personal del organismo Revisin de reportes de herramientas de deteccin de intrusiones Revisin de logs de comunicaciones, plataformas y sistemas Revisin de la topologa de red y listas de acceso
Obtener datos sobre sucesos anormales en los sistemas
Obtener datos sobre sucesos anormales en las actividades cotidiana Conocer detalles del incidente Detectar actividades anormales Detectar posibles cambios no autorizados
Gestin de incidentes de seguridad Contencin, respuesta y recupero
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Investigacin
Actividades posteriores
Contencin, erradicacin y recupero
Gestin de incidentes de seguridad
Contencin, erradicacin y recupero
Contencin, erradicacin y recupero
CONTENCIN
Evitar que el incidente siga produciendo daos.
ERRADICACIN
Eliminar la causa del incidente y todo rastro de los daos.
RECUPERO
Volver el entorno afectado a su estado original.
Gestin de incidentes de seguridad
Contencin, erradicacin y recupero
Contencin, erradicacin y recupero
Considerar los siguientes factores para la seleccin de una estrategia:
Dao potencial de recursos a causa del incidente Necesidad de preservacin de evidencia Tiempo y recursos necesarios para poner en prctica la estrategia Efectividad de la estrategia (ej.: total o parcialmente) Duracin de las medidas a tomar (ej.: perodo sin sistema) Criticidad de los sistemas afectados Caractersticas de los posibles atacantes Si el incidente es de conocimiento pblico Prdida econmica Posibles implicancias legales Relacin costo-beneficio de la estrategia Experiencias anteriores
Gestin de incidentes de seguridad
Contencin, erradicacin y recuperoEstrategias de contencin de incidentesIncidente Acceso no autorizado Ejemplo Sucesivos intentos fallidos de login
Contencin, erradicacin y recupero
Estrategia de contencin Bloqueo de cuenta Desconexin del equipo afectado de la red Apagado del sistema Incorporacin de reglas de filtrado en el firewall
Cdigo malicioso Infeccin con virus Acceso no autorizado Reconocimiento Compromiso del root Scanning de puertos
Gestin de incidentes de seguridad
Contencin, erradicacin y recuperoEstrategia de erradicacin de un incidenteEjemplos:Incidente DoS Uso no autorizado Ejemplo SYN Flood Utilizar laborales personal las para PCs lucro
Contencin, erradicacin y recupero
Estrategia de erradicacin Reconfigurar el router para minimizar el efecto de flooding Comunicar al personal las polticas de uso de recursos. Implementar monitoreo del uso de las PCs. Impartir sanciones por mal uso. Aplicar los parches de seguridad faltantes en plataformas y aplicaciones web. Reconfigurar de la seguridad de la base de datos.
Vandalismo Robo de informacin
Defacement a un sitio web Robo de datos sensibles de clientes de la base de datos Infeccin de un servidor con virus
Cdigo malicioso
Detectar el cdigo malicioso y eliminarlo del equipo. Actualizar el software de antivirus.
Gestin de incidentes de seguridad
Contencin, erradicacin y recuperoEstrategia de recupero de un incidenteEjemplos:Incidente DoS Virus Ejemplo SYN Flood Gusano en la red
Contencin, erradicacin y recupero
Estrategia de recupero Restitucin del servicio cado. Correccin de efectos producidos. Restauracin de backups. Reparar el sitio web. Reinstalacin del equipo y recuperacin de datos.
Vandalismo Intrusin
Defacement a un sitio web Instalacin de un rootkit
Gestin de incidentes de seguridad Investigacin
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Contencin, erradicacin y recupero
Actividades posteriores
Investigacin
Gestin de incidentes de seguridad
InvestigacinRecoleccin de datosINFORMACIN BASADA EN HOST
Investigacin
Live Data Collection Forensic duplication
Ej.: Fecha y hora del sistema, aplicaciones corriendo en el sistema, conexiones de red establecidas, puertos abiertos, aplicaciones escuchando en dichos puertos, estado de la placa de red Ej.: Backups, archivos copiados recientemente, etc.
INFORMACIN BASADA EN LA RED Ej.: Logs de IDSs, logs de monitoreo,
informacin recolectada mediante sniffers, logs de routers, logs de firewalls, informacin de servidores de autenticacin
OTRA INFORMACIN
Ej.: Testimonio de personal
Gestin de incidentes de seguridad
InvestigacinRecoleccin de evidenciaAUTENTICIDAD
Investigacin
Quien haya recolectado la evidencia debe poder probar que es autntica
CADENA DE CUSTODIA Registro detallado del tratamiento de la evidencia,incluyendo quienes, cmo y cuando la transportaron, almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma. Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.
VALIDACION
Gestin de incidentes de seguridad
InvestigacinProceso de recoleccin de evidencia1. 2. 3. 4. 5. 6. 7. 8. 9.Registrar informacin que rodea a la evidencia Tomar fotografas del entorno de la evidencia Tomar la evidencia Registrar la evidencia Rotular todos los medios que sern tomados como evidencia Almacenar toda la evidencia en forma segura
Investigacin
Realizar las investigaciones en duplicados de trabajo de la evidencia original Generar copias de seguridad de la evidencia original Realizar revisiones peridicas para garantizar que la evidencia se encuentra correctamente conservada
Gestin de incidentes de seguridad
InvestigacinDocumento:Denuncia de un Incidente en el que se encuentra involucrada Tecnologa Informtica.
Investigacin
http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf
Dnde denunciar Aspectos a tener en cuenta segn el denunciante Quines deben estar involucrados Recomendaciones generales Recomendaciones relacionadas con la obtencin de evidencia digital
Gestin de incidentes de seguridad
Actividades posteriores
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Contencin, erradicacin y recupero
Investigacin
Actividades posteriores
Gestin de incidentes de seguridad
Actividades posteriores
Actividades posteriores
Organizar reuniones Mantener la documentacin Crear bases de conocimiento Integrar la gestin de incidentes al anlisis de riesgos Implementar controles preventivos Elaborar Tableros de Control
Gestin de incidentes de seguridad
Actividades posterioresTablero de control de incidentes de seguridad Qu registrar? Qu medir? Cantidad de incidentes tratados Tiempo asignado a los incidentes Daos ocasionados Cantidad de personas avocadas
Actividades posteriores
Vulnerabilidades explotadas Frecuencia de ataques Prdidas Demora en la resolucin
DocumentacinLa documentacin de un incidente debe comenzar inmediatamente luego de detectado el mismo, y debe continuarse a medida que avanza su anlisis. Qu documentar?
Reporte del incidente Estado actual Conclusiones del anlisis Acciones tomadas Evidencias obtenidas Contactos involucrados Prximas acciones
Preguntas?
Gracias por su atencinConsultas: [email protected] Reporte de Incidentes: [email protected]