Universidad Tecnica de Loja

CREACION DEL CSIRT - UTPL
UNIVERSIDAD TCNICA PARTICULAR DE LOJA

ESCUELA DE CIENCIAS DE LA COMPUTACIN
CREACION DE UN EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD PARA LA UNIVERSIDAD TCNICA PARTICULAR DE LOJA CSIRT-UTPL
Tesis previa a la obtencin del Ttulo de Ingeniero en Sistemas Informticos y Computacin
Msc. Mara Paula Espinoza v.
DIRECTORA
REBECA ELIZABETH PILCO VIVANCO AUTORA
Loja - Ecuador 2008

1
Loja, Agosto de 2008
Msc. Mara Paula. Espinoza V. DIRECTORA DE TESIS
CERTIFICA:
Que la Seorita Rebeca Elizabeth Pilco Vivanco, autora de la tesis CREACIN DEL EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMTICA PARA LA UNIVERSIDAD TCNICA PARTICULAR DE LOJA CSIRT-UTPL, ha cumplido con los requisitos estipulados en el Reglamento General de la Universidad Tcnica Particular de Loja, la misma que ha sido coordinada y revisada durante todo el proceso de desarrollo desde su inicio hasta la culminacin, por lo cual autorizo su presentacin.
_________________________ Msc. Mara P. Espinoza V. DIRECTORA DE TESIS
AUTORA
El presente proyecto de Tesis con cada una de sus observaciones, anlisis, opiniones, evaluaciones, recomendaciones y conclusiones emitidas; es de exclusiva
responsabilidad de la Autora. Adems, es necesario mencionar que la informacin de otros autores empleada en el presente trabajo, est debidamente especificada en fuentes de referencia y apartados bibliogrficos.
_________________________ Rebeca Elizabeth Pilco Vivanco TESISTA
CESIN DE DERECHOS
Yo, Rebeca Elizabeth Pilco Vivanco, declaro conocer y estar en acuerdo con la disposicin del Estatuto Orgnico de la Universidad en su Art. 67, donde se enuncia que: Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos cientficos o tcnicos y tesis de grado que se realicen a travs, o con el apoyo financiero acadmico o institucional (operativo) de la Universidad.
_________________________ Rebeca Elizabeth Pilco Vivanco TESISTA
DEDICATORIA Cuando trabajamos en algo que contribuye a nuestro desarrollo personal y profesional siempre contamos con la ayuda de varias personas que con sus consejos nos ayudan a cumplir nuestros objetivos y metas, hoy quiero dedicar este trabajo a muchas personas que me han brindado su apoyo.. A mis padres Henry y Teresa, gracias por su esfuerzo, su paciencia y por el apoyo que me han brindado en todas las actividades que he realizado a lo largo de mi vida. Mis hermanos Daniel y Caty, gracias por ser parte de mi vida y sobre todo por su apoyo incondicional. Mis amig@s que junto con mis hermanos me han demostrado el valor de la amistad, gracias por los momentos bonitos que hemos compartido.
Rebeca
AGRADECIMIENTO
Quiero primeramente dar gracias a Dios por ser mi gua y mi fortaleza, gracias por haberme concedido la vida y por la compaa y la amistad de las personas que me rodean. Gracias a mis padres y mis hermanos por su esfuerzo, paciencia, apoyo constante y sobre todo por brindarme grandes momentos que me han enseado el valor de la familia. Gracias a la Universidad Tcnica Particular de Loja, a la Escuela de Ciencias de la
Computacin y a sus docentes, por permitirme formar parte de la universidad y prepararme en el mbito profesional y personal. Finalmente a mi Directora de Tesis Ing. Mara Paula, gracias por el tiempo dedicado para la culminacin de la presente tesis.
Rebeca
INDICE GENERAL
CERTIFICACIN........I AUTORA........II CESIN DE DERECHOS ...III DEDICATORIA.....IV AGRADECIMIENTO ...V
INTRODUCCION ....1 OBJETIVOS .....2 DESCRIPCION DELPROBLEMA..3
1. EQUIPOS DE RESPUESTA A EMERGENCIAS INFORMTICAS ..6 1.1. Antecedentes.6 1.2. Definicin...7 1.3. SERVICIOS DE UN CSIRT.......8 1.3.1. Servicios Reactivos.9 1.3.1.1. Alertas y Advertencias...10 1.3.1.2. Manejo de Incidentes.10 1.3.1.2.1. Anlisis de Incidentes.10 1.3.1.2.2. Respuesta a Incidentes en el Lugar....11 1.3.1.2.3. Soporte a la Respuesta a Incidentes...11 1.3.1.2.4. Coordinacin de la Respuesta a Incidentes....11 1.3.1.3. Manejo de Vulnerabilidades...12 1.3.1.3.1. Anlisis de las Vulnerabilidades..12 1.3.1.3.2. Respuesta a las Vulnerabilidades...12 1.3.1.3.3. Coordinacin de Respuesta a Vulnerabilidades.12 1.3.1.4. Manejo de Artifact...13 7
CREACION DEL CSIRT - UTPL 1.3.1.4.1. Anlisis de Artifact...13 1.3.1.4.2. Respuesta a Artifact....13 1.3.1.4.3. Coordinacin de Respuesta a Artifact13 1.3.2. Servicios Proactivos...13 1.3.2.1. Anuncios...13 1.3.2.2. Observatorio de Tecnologa....14 1.3.2.3. Evaluaciones o Auditorias de la Seguridad.14 1.3.2.4. Configuracin y Mantenimiento de las Herramientas, Aplicaciones, Infraestructuras y Servicios de Seguridad...14 1.3.2.5. Desarrollo de Herramientas de Seguridad...14 1.3.2.6. Servicios de Deteccin de Intrusiones.14 1.3.2.7. Difusin de la Informacin Relacionada con la Seguridad.15 1.3.3. Servicios de Administracin de Calidad de la Seguridad..15 1.3.3.1. Anlisis de Riesgos..15 1.3.3.2. Planificacin de la Continuidad del Negocio y Recuperacin del Desastre..15 1.3.3.3. Consultora de Seguridad16 1.3.3.4. Concientizacin.16 1.3.3.5. Educacin /Capacitacin.16 1.3.3.6. Evaluacin o Certificacin de Productos..16 1.4. Tipos de Equipos de Respuesta a Incidentes16 1.4.1. CSIRT del Sector Acadmico...17 1.4.2. CSIRT del Sector Comercial.17 1.4.3. CSIRT del Sector Publico.17 8
CREACION DEL CSIRT - UTPL 1.4.4. CSIRT del Sector Interno..17 1.4.5. CSIRT del Sector Militar18 1.4.6. CSIRT del Sector Nacional...18 1.4.7. CSIRT del Sector de la Pequea y Mediana Empresa....18 1.4.8. CSIRT de Coordinacin.18 1.5. Personal que conforma un CSIRT--.19
2. EQUIPOS CSIRT A NIVEL MUNDIAL ..28 2.1. FIRST.28 2.2. Equipos de Respuesta a Incidentes en Amrica.......29 2.3. Equipos de Respuesta a Incidentes en Europa..31 2.4. Equipos de Respuesta a Incidentes en Asia y Pacfico....32
3. INCIDENTES .....39 3.1.Definicin.....39 3.2. Manejo de Incidentes.......40 3.2.1. Modelo propuesto por NIST/SANS..40 3.2.1.1. Preparacin41 3.2.1.2. Deteccin y Anlisis.....41 3.2.1.3. Contencin, Resolucin y Recuperacin..44 3.2.1.4. Actividades Posteriores...45 3.2.2. Modelo Propuesto por el CERT/CC.45 3.2.2.1. Funcin Triage.46 3.2.2.2. Funcin Manejo...47 3.2.2.3. Funcin de Anuncio.47 3.2.2.3. Funcin de Retroalimentacin....48 3.2.3. Metodologa a usar en el CSIRT-UTPL49 9
CREACION DEL CSIRT - UTPL 3.3. Polticas y Procedimientos para la Respuesta a Incidente....................49 3.4. Norma ISO 17799....52
4. MODELO ORGANIZACIONAL DE UN CSIRT ....56 4.1. Equipo de Seguridad........56 4.2. CSIRT Interno Distribuido...58 4.3. CSIRT Interno Centralizado ...60 4.4. CSIRT Interno Combinado..62 4.5. CSIRT de Coordinacin ..64
5. PASOS PARA LA CREACION DE UN CSIRT..70 5.1. Creating a Computer Security Incident Response Team............72 5.1.1.Oobtener Apoyo de la Organizacin..72 5.1.2. Determinar el Plan Estratgico del CSIRT ..72 5.1.3. Obtener Informacin Relevante....73 5.1.4. Disear la Visin del CSIRT...74 5.1.4.1. Misin del Equipo.....74 5.1.4.2. Contituency....75 5.1.4.3. Lugar en la Organizacin........76 5.1.4.4. Relacin con otros Equipos....76 5.1.5. Comunicar la Visin y Plan Operativo del CSIRT..76 5.1.6. Comenzar la Implementacin del CSIRT.......76 5.1.7. Anunciar que el CSIRT est en Funcionamiento......77 5.1.8. Evaluar la Efectividad del CSIRT............78 5.2. Estructura del Documento RFC 2350...79
6. CREACION DEL CSIRT -UTPL .....85 10
CREACION DEL CSIRT - UTPL 6.1.Propuesta...............85 6.2. Plan Estratgico....85 6.3. Informacin de la UTPL..........87 6.4. Situacin Actual de la UTPL......88 6.5. Vision del CSIRT-UTPL...93 6.5.1. Misin CSIRT UTPL....93 6.5.2. Comunidad a la que el CSIRT va a Brindar Servicio....94 6.5.3. Lugar que ocupar el CSIRT en la UTPL....94 6.5.4. Relacin del CSIRT-UTPL con otros equipos......94 6.6. Comunicar la Vision y Plan Operativo del CSIRT.99 6.7. Implementacion del Equipo CSIRT UTPL.......99 6.7.1. Personal Requerido para el CSIRT UTPL......99 6.7.2. Equipos e Infraestructura.100 6.7.3. Servicios a Brindar.101 6.7.3.1. Servicios Reactivos.101 6.7.3.2. Servicios Proactivos102 6.7.3.3. Servicios de Gestin y Calidad de la Seguridad102 6.7.4. Polticas y Procedimientos103 6.7.5. Formularios..104 6.7.6. Financiamiento y Presupuesto.104
CONCLUSIONES.110 RECOMENDACIONEs113 ANEXOs........115 BIBLIOGRAFA...................167 REFERENCIAS......169
Plan Piloto para la Implementacin del CSIRT-UTPL 11
CREACION DEL CSIRT - UTPL Polticas del CSIRT-UTPL
INTRODUCCION
12
CREACION DEL CSIRT - UTPL Constantemente a nivel mundial se presentan importantes avances cientficos y tecnolgicos en las diferentes reas de conocimiento, una de ellas son los continuos avances en el tema de la Internet que si bien es cierto facilita la comunicacin y envo de recursos a travs de grandes distancias, tambin algunas personas hacen uso de esta para realizar otras actividades como ataques de spam, fraudes, etc., que ponen en peligro la informacin que se maneja en diferentes organizaciones a nivel mundial. Para algunas organizaciones el tema de seguridad de la informacin es indiferente, ya que nunca han sido vctimas de ataques no consideran necesario realizar gastos innecesarios en lo que concierna a seguridad de la informacin, sin embargo para una gran mayora de organizaciones a nivel mundial, la informacin que manejan es considerada como parte de sus activos, y para esto han implementado algunas estrategias de seguridad propuestas por organizaciones que trabajan constantemente en la bsqueda de soluciones y estrategias que permitan mejorar la seguridad de la informacin crtica que manejan, una de las estrategias que actualmente est siendo muy utilizada es la creacin de Equipos de Respuesta a Incidentes de Seguridad (CSIRT), equipos que han sido implementados a nivel mundial y que han dado grandes resultados, en lo que se refiere a la deteccin y respuesta de incidentes, estos equipos se han convertido en una parte muy importante de las organizaciones ya que se encargan de buscar las mejores estrategias para garantizar la proteccin de la informacin y sobre todo de realizar actividades proactivas y reactivas para el manejo de incidentes. En la presente investigacin se dan a conocer diferentes aspectos de un CSIRT, tales como la definicin, servicios que brinda, los modelos organizacionales que se aplican y los pasos que se deben seguir para la implementacin de un CSIRT. De acuerdo a las caractersticas de la Universidad se elegir el modelo organizacional y los diferentes servicios que el CSIRT-UTPL brindar a la comunidad, la implementacin de un equipo de esta naturaleza permitir realizar actividades conjuntas con el equipo NOC/SOC que funciona actualmente en la Universidad y de esta manera realizar exitosamente actividades de investigacin y resolucin de incidentes.
OBJETIVOS
13
GENERAL
Definir el esquema y funcionamiento de un CSIRT, que permita operar un Equipo de Respuesta de Incidentes Formales en la Universidad Tcnica Particular de Loja.
ESPECFICOS
Estudiar los diferentes tipos, funciones, estructura y la forma en la que estn constituidos los Equipos de Respuesta a Incidentes de Seguridad. Estudiar los Equipos CSIRT a nivel mundial. Definir los requerimientos de la UTPL para la creacin de un CSIRT. Elaborar polticas y procesos para el funcionamiento del CSIRT-UTPL
14
DESCRIPCIN DEL PROBLEMA

La Universidad Tcnica Particular de Loja actualmente brinda una gran cantidad de servicios tanto a estudiantes como pblico en general, la mayor parte de estos
servicios se realizan haciendo uso de diferentes medios, uno de ellos la Internet, a travs del cual autoridades, personal administrativo, profesores y alumnos realizan varios trmites y operaciones muchos de los cules son de gran importancia para el continuo funcionamiento y crecimiento de la Universidad, el constante avance de la Internet a su vez que permite la facilidad de comunicacin tambin abre puertas que permiten que la informacin que se genera en la UTPL sea puesta en peligro debido al mal manejo de recursos tanto por personal interno como externo y tambin por actividades externas como ataques de hackers. De acuerdo a la problemtica actual de la universidad existen grupos que se encargan de atender los diferentes incidentes los mismos que son atendidos cuando alguien los reporta, pero no se llevan registros estadsticos de los incidentes atendidos, existen polticas que deben ser conocidas y aplicadas en cada grupo, pero estas no son aplicadas por los usuarios, no se tiene un rea formal en la que se pueda realizar el reporte de incidentes ni que se encarguen de realizar el seguimiento de los mismos. Es importante que exista un grupo que se encargue de realizar actividades no solamente de atencin a incidentes cuando estos ocurren sino que realicen actividades proactivas y de investigacin, es decir un grupo que siempre est atento a los diferentes reportes de incidentes que son emitidos por otros Equipos CSIRTs a nivel mundial para no solamente esperar cuando suceda un incidente de grandes consecuencias, sino estar preparados para mitigar los posibles daos que un incidente pueda causar y sobre todo trabajar en proyectos que contribuyan a mejorar la seguridad de los sistemas e informacin que se maneja en la UTPL . Ante esta situacin se sugiere la creacin de un Equipo de Respuesta a Incidentes de Seguridad para la Universidad Tcnica Particular de Loja (CSIRT-UTPL) que est en capacidad de: Brindar servicios reactivos y proactivos en la atencin de Incidentes de Seguridad. Trabajar en temas de investigacin que contribuyan a mejorar la seguridad de los sistemas de la UTPL.
15
CREACION DEL CSIRT - UTPL Concientizar al personal de la UTPL sobre la importancia de conocer y utilizar las polticas establecidas en la Universidad. Brindar asesora para la creacin de Equipos CSIRT a nivel nacional
16
17
1. EQUIPO DE RESPUESTA A EMERGENCIAS INFORMTICAS CERT

(Computer Emergency Response Team)
OBJETIVO
Conocer el inicio de los Equipos de Respuesta a incidentes, servicios que brindan, personal que forma parte del equipo y implementar un CERT en una organizacin. beneficio que brinda el
1.1.
ANTECEDENTES
El 22 de noviembre de 1988, fue lanzado el primer virus informtico [1] conocido como Gusano de Internet (WORM) fue creado por Robert Morris, el programa en mencin fue lanzado desde un ordenador, su funcionamiento consista en generar copias de s mismo y auto enviarse a otros ordenadores, este incidente afect a muchos computadores incluidos equipos de la Nasa, el Gobierno y Fuerza Area, destruyendo importante informacin y ocasionando millonarias prdidas. A raz de este acontecimiento la Agencia DARPA (Defense Advanced Research Projects Agency) anunci la creacin de un Equipo de Respuesta a Emergencias Informticas (CERT), conformado por un grupo de expertos encargados de enfrentar emergencias de seguridad y trabajar en la prevencin de futuros incidentes, adems de convertirse en un grupo que tambin brindara asesoramiento en la formacin de equipos similares a nivel mundial. En la actualidad el Centro de Coordinacin CERT (CERT/CC) [2], se encuentra
ubicado en el Instituto de Ingeniera de Software (SEI-Software Engineering Institute) de la Universidad de Carnegie Mellon en Pittsburg, Pensilvania. Las investigaciones que se realizan en el CC/CERT son financiadas por el Gobierno Federal y el Centro de Desarrollo (FFRDE) operado por la universidad. CC/CERT es una marca que est registrada en los EEUU en la oficina de patentes y marcas de la Universidad de Carnegie Mellon, es por eso que en algunos pases y para el desarrollo del presente proyecto utilizaremos el trmino CSIRT para referirnos a los Equipos de Respuesta a Incidentes de Seguridad Informtica. 18
1.2.
DEFINICIN
Un CERT (Computer Emergency Response Team) es un Equipo de Respuesta a Emergencias Informticas. Est conformado por un grupo de personas que son responsables de identificar y brindar soluciones a las diferentes amenazas1 y vulnerabilidades2 que se presentan en los sistemas de informacin de una organizacin, se encargan de reforzar y proteger la seguridad, brindan respuestas y elaboran planes y estrategias para responder ante cualquier incidente3, vulnerabilidad o ataque de terceros. Los objetivos principales de un CSIRT son: Minimizar los daos ante cualquier ataque o amenaza. Proveer asistencia rpida y efectiva. Ayudar a la prevencin de futuros incidentes. En un CSIRT se realizan varias funciones, entre ellas: Supervisar los sistemas para evitar infracciones de seguridad. Documentar los incidentes de seguridad. Ofrecer servicios de consultora de seguridad. Sensibilizar a la organizacin en temas de seguridad a travs de cursos y manuales con las mejores prcticas. Los servicios que brinda un CSIRT se clasifican en: reactivos, proactivos y servicios de calidad. Los servicios agrupados dentro de cada una de las categoras son varios y sern analizados ms adelante, se debe recalcar que no importa si son pocos los servicios que se ofrecen lo importante es brindarlos de la mejor manera. A nivel mundial los CERT son conocidos con diferentes acrnimos tales como: CSIRT : Equipo de Respuesta a Incidentes de Seguridad informtica
1
Amenazas: Causa potencial de un incidente no-deseado, el cual puede resultar en dao a un sistema u organizacin.
2
Vulnerabilidad: Es una debilidad en los procedimientos de seguridad, que puede ser explotada accidental o intencionalmente, esto conlleva a la violacin de las polticas de seguridad, puede ser falta de mantenimiento, desactualizacin de los sistemas crticos.
3
Incidentes: Eventos que atentan contra la confidencialidad, disponibilidad y la integridad de la informacin.
19
CREACION DEL CSIRT - UTPL CIRC : Capacidad de Respuesta a Incidentes Informticos CIRT : Equipo de Respuesta a Incidentes Informticos IRC : Centro de Respuesta a Incidentes o Capacidad de Respuesta a Incidentes IRT : Equipo de Respuesta a Incidentes SIRT : Equipo de Respuesta a Incidentes de Seguridad
1.3.
SERVICIOS DE UN CSIRT
Los servicios que ofrece un CSIRT son establecidos de acuerdo a la misin y tipo de organizacin que lo va a implementar, para que un equipo sea considerado como un CSIRT debe brindar principalmente servicios de manejo de incidentes. De acuerdo a [3] los servicios que brinda un CSIRT estn agrupados en tres categoras: Servicios Reactivos Servicios Proactivos Servicios de Gestin de Calidad de la Seguridad El detalle de cada categora se detalla en la siguiente tabla:
Tabla 1: Servicios que Brinda un CSIRT
Servicios Reactivos
Servicios Proactivos
Servicios de Gestin de Calidad de la Seguridad
Alertas y Advertencias Manejo de Incidentes o Anlisis de incidentes o Respuesta al incidente en el lugar. o Soporte de Respuesta a
Anuncios Observacin de la tecnologa Auditoras y evaluaciones de Seguridad. Configuracin y Mantenimiento de las Herramientas, Aplicaciones,
Anlisis de riesgo Planificacin de continuidad del negocio y recuperacin de desastres. Consultora de Seguridad. Concientizacin. Educacin / Capacitacin. Evaluacin y/o certificacin de productos. 20
CREACION DEL CSIRT - UTPL incidentes. o Coordinacin de Respuesta a incidentes. Manejo Vulnerabilidades o Anlisis de vulnerabilidades o Respuesta a vulnerabilidades o Coordinacin de Respuestas a Vulnerabilidades. Manejo de Artifacts o o Anlisis de Artifacts Respuesta a Artifacts o Coordinacin de la respuesta a Artifacts4 de Infraestructuras y Servicios de Seguridad. Desarrollo de Herramientas de Seguridad. Servicios de Deteccin de Intrusin Divulgacin de Informacin
1.3.1. SERVICIOS REACTIVOS Los servicios reactivos consisten en brindar respuesta, a cualquier solicitud de asistencia y cualquier amenaza o ataque que hayan ocurrido en los sistemas, los mismos pueden ser ocasionados por terceras personas o de manera accidental por el personal de la organizacin, los servicios reactivos son las estrategias posteriores al ataque.
4
Artifact: Cdigo Malicioso encontrado en un sistema, pueden incluir virus a computadoras, troyanos, gusanos, y herramientas de software o hardware.
21
CREACION DEL CSIRT - UTPL Los servicios reactivos comprenden: 1.3.1.1. Alertas y Advertencias
Comprende el recibir y entregar informacin que describe reportes de nuevas vulnerabilidades, alertas de intrusin, cdigo malicioso y ataques de intrusos, estos ataques pueden ser virus, gusanos, troyanos, robo de contraseas por citar algunos. Estos reportes tambin incluyen las acciones que se recomiendan para la resolucin de problemas en el menor tiempo posible. Esta informacin puede ser generada por el propio CSIRT o puede ser recibida por parte de organizaciones, o personas particulares. Existen algunas fuentes en donde se puede encontrar informacin sobre vulnerabilidades, puede ser en internet, a travs de sitios pblicos que brindan informacin sobre vulnerabilidades como el CERT/CC, y otros equipos a nivel mundial. 1.3.1.2. Manejo de Incidentes
Comprende el anlisis, clasificacin y respuesta a todos los informes recibidos sobre incidentes y vulnerabilidades. Las actividades que incluyen al manejo de incidentes son: Proteger los sistemas y redes afectados por acciones de intrusos. Brindar soluciones y estrategias de mitigacin a partir de alertas o advertencias. Filtrar el trfico de la red. Desarrollar estrategias de respuesta o workaround5. El manejo de incidentes se clasifica en: 1.3.1.2.1. Anlisis de Incidentes.
Consiste en la evaluacin de toda la informacin que se ha recolectado acerca de un incidente, con esta informacin se realiza una evaluacin de los daos que el incidente ha causado para comenzar a restaurarlos y determinar estrategias de respuesta para mitigar en el menor tiempo posible los efectos de este ataque.
workaround: solucin temporal a un problema en un sistema.
22
CREACION DEL CSIRT - UTPL Dependiendo de los objetivos y la misin de un CSIRT existen otros procesos que se pueden utilizar como complemento del anlisis de incidentes: Recoleccin de Evidencia Forense. Consiste en la recoleccin de la documentacin existente y realizar un anlisis de todas las pruebas de un sistema informtico, esto se realiza con la finalidad de determinar cambios en el sistema para reconstruir los eventos que han ocurrido. Estas pruebas incluyen, realizar una copia bit a bit del disco duro de los sistemas afectados, la bsqueda de cambios en el sistema, como la instalacin de nuevos programas, archivos, etc. Seguimiento o Rastreo Consiste en realizar una revisin minuciosa de los sistemas afectados, realizar un seguimiento para saber la hora en que el intruso tuvo acceso al sistema, cmo ingreso al sistema, que redes utiliz para lograr el acceso, etc. 1.3.1.2.2. Respuesta a Incidentes en el Lugar
Consiste en proveer asistencia directa, no slo a travs de contacto telefnico, sino que se traslada al lugar en donde se encuentran los destinatarios para brindarles ayuda necesaria para que se recuperen de un incidente, algunas actividades que se realizan son: revisar y analizar fsicamente los sistemas afectados para llegar a la reparacin y recuperacin de los sistemas. 1.3.1.2.3. Soporte a la Respuesta a Incidentes
Proporcionan ayuda a los equipos que han sufrido algn ataque ya sea enviando documentacin, realizando contactos telefnicos etc., a diferencia de la respuesta a incidentes en el lugar estos no se trasladan hacia los clientes, sino recogen los datos y realizan la interpretacin de los mismos y orientan en cuanto a que estrategias tomar para mitigar los riesgos. 1.3.1.2.4. Coordinacin de la Respuesta a Incidentes
El CSIRT coordina las tareas de respuesta entre las partes involucradas en el incidente, estas incluyen a la vctima del ataque, los sitios relacionados con el ataque, incluye tambin a las partes que proporcionan apoyo de tecnologas de la vctima, 23
CREACION DEL CSIRT - UTPL estos pueden ser proveedores de servicios de internet, otros CSIRTs, administradores de sistemas y de redes. El trabajo de coordinacin consiste en reunir informacin del contacto, reunir estadsticas acerca de la cantidad de sitios involucrados, y coordinar con otros CSIRT con la finalidad de intercambiar informacin. Dada la importancia de entender la gestin de incidentes, ms adelante se dedicar un captulo a su estudio ms detallado. 1.3.1.3. Manejo de Vulnerabilidades.
Involucra la recepcin de informacin y reportes acerca de las vulnerabilidades de software y hardware, se realiza un anlisis de las causas y efectos de las vulnerabilidades en los sistemas y se desarrolla estrategias para reparar las mismas. El manejo de Vulnerabilidades comprende las siguientes etapas: 1.3.1.3.1. Anlisis de las Vulnerabilidades
Consiste en buscar en donde se encuentran las vulnerabilidades y como pueden ser explotadas, para esto se realizan exmenes tcnicos tanto al hardware como al
software para determinar en donde estn ubicadas las vulnerabilidades y cmo pueden ser explotadas para disminuir las probabilidades de un nuevo ataque y el funcionamiento de este. El anlisis puede incluir la revisin del cdigo fuente, pueden usarse sistemas de prueba para realizar simulaciones y evaluar los puntos en donde hay vulnerabilidades para ajustar la seguridad en esos puntos. 1.3.1.3.2. Respuesta a las Vulnerabilidades
Consiste en determinar una respuesta apropiada para mitigar o reparar una vulnerabilidad, esto implica que los miembros del equipo deben estar en constante investigacin y desarrollo de correcciones y soluciones provisionales como parches, etc., tambin debe informar a los dems equipos las estrategias de mitigacin
encontradas mediante avisos o alertas. 1.3.1.3.3. Coordinacin de Respuesta a Vulnerabilidades.
El CSIRT notifica a la organizacin la vulnerabilidad encontrada y comparte toda la informacin posible acerca de cmo reparar o mitigar la vulnerabilidad, la coordinacin 24
CREACION DEL CSIRT - UTPL de respuestas a vulnerabilidades incluye tambin comunicacin con otros CSIRTs y compartir informacin de estrategias de respuesta para solucionar vulnerabilidades. 1.3.1.4. Manejo de Artifact
El manejo de cdigo malicioso incluye el recibir informacin y copias acerca de los artifacts que se usan en los ataques de intrusos. Una vez recibido el Artifact se procede a revisar y analizar su naturaleza y su funcionamiento, posteriormente se desarrollan estrategias de respuesta para detectar, remover y tomar medidas contra estos. El manejo de Artifact se clasifican en: 1.3.1.4.1. Anlisis de Artifact
Se realiza un examen tcnico para identificar cualquier tipo de cdigo malicioso, si se encuentra alguno se compara con otros artefactos ya conocidos con la finalidad de determinar las funciones que realiza. 1.3.1.4.2. Respuesta a Artifact
Implica el determinar acciones apropiadas para remover todo tipo de cdigo malicioso en un sistema, tomar acciones de prevencin, esto puede implicar la creacin de firmas que pueden ser agregadas a un software antivirus. 1.3.1.4.3. Coordinacin de Respuesta a Artifact
Este servicio comparte los resultados del anlisis y las estrategias de respuesta que pertenecen a una instancia, con otros CSIRTs, y expertos en seguridad. 1.3.2. SERVICIOS PROACTIVOS Los servicios proactivos estn diseados para mejorar los procedimientos de seguridad en la organizacin, los principales objetivos son evitar incidentes y reducir su impacto cuando se produzcan. Los servicios proactivos comprenden: 1.3.2.1. Anuncios
Incluyen alertas de intrusin, advertencia de vulnerabilidades, recomendaciones de seguridad, entre otros. Permiten informar a otros grupos sobre las nuevas 25
CREACION DEL CSIRT - UTPL vulnerabilidades, ataques y herramientas de intrusin que se han detectado, facilitando que la comunidad est alerta y tome medidas para proteger sus sistemas de los problemas encontrados. 1.3.2.2. Observatorio de Tecnologa
El CSIRT est siempre investigando los ltimos avances en lo que se refiere a nuevas formas de ataque, el cmo prevenirlas y evitarlas en un futuro, se mantienen en contacto con otros CSIRTs que tienen experiencia para resolver incidentes, utilizan tambin otro tipo de informacin como listas de correo, sitios web de seguridad y artculos actuales en el campo de la tecnologa. 1.3.2.3. Evaluaciones o Auditoras de la Seguridad
Esta tarea consiste en el conjunto de acciones que realiza el personal en reas que corresponden a la auditora, con la finalidad de asegurar que todos los recursos operen en un ambiente de seguridad y control eficiente, para evitar ataques y vulnerabilidades a los sistemas de seguridad de la organizacin. Todas las evaluaciones que se realizan son a nivel de seguridad lgica y fsica, deben establecer polticas de seguridad, estrategias de continuidad, realizar pruebas a los sistemas para ver que sistemas pueden ser ms vulnerables. 1.3.2.4. Configuracin y Mantenimiento de las Herramientas, Aplicaciones, Infraestructuras y Servicios de Seguridad. Consiste en realizar una gua de cmo configurar y mantener en forma segura las herramientas, y aplicaciones que se usan en el CSIRT. El CSIRT puede realizar configuraciones y mantenimiento de todos los equipos y herramientas de seguridad, tanto de clientes externos como de la organizacin tomando en cuenta todas las normas de seguridad. 1.3.2.5. Desarrollo de Herramientas de Seguridad
Esta actividad comprende el desarrollo de herramientas software. Estas pueden ser el desarrollo de parches o de distribuciones seguras que puedan ser utilizados para soluciones a problemas, estas herramientas son desarrolladas a medida que el CSIRT las requiera. 1.3.2.6. Servicios de Deteccin de Intrusiones 26
CREACION DEL CSIRT - UTPL Consiste en revisar los archivos de log de los sistemas de deteccin de intrusos, para detectar alarmas o intentos de ataques a la red, y proceder a aplicar estrategias para eliminarlos y minimizarlos, en algunos casos se requiere de herramientas o conocimientos especializados para analizar e interpretar la informacin y as identificar alarmas y posibles ataques a la red, luego del anlisis se posteriormente se procede a aplicar estrategias de respuesta adecuadas para minimizar posibles riesgos. 1.3.2.7. Difusin de Informacin Relacionada con la Seguridad.
La difusin de la informacin proporciona toda la informacin til para mejorar la seguridad, esta informacin es publicada por el CSIRT y puede incluir: o o o o o Comunicados de alertas y vulnerabilidades Reportes de las mejores prcticas Asesoramiento sobre seguridad informtica Desarrollo de actualizaciones correctivas Estadsticas actuales de los reportes de incidentes puede incluir adems reportes provenientes de fuentes
La informacin a publicar
externas como otros CSIRTs o expertos en seguridad.
1.3.3. SERVICIOS DE ADMINISTRACION DE CALIDAD DE LA SEGURIDAD

Son servicios diseados para mejorar la seguridad de la organizacin, realizando evaluaciones de las experiencias obtenidas de la puesta en marcha de servicios reactivos y proactivos. 1.3.3.1. Anlisis de Riesgo
Comprende la capacidad de la organizacin de evaluar y analizar todas las amenazas y riesgos que se presentan, la habilidad de la organizacin para asegurarse contra amenazas reales. Los equipos que prestan estos servicios ayudan a desarrollar actividades de anlisis de riesgo de la seguridad de la informacin de nuevos sistemas o evaluar amenazas contra los sistemas de la comunidad atendida. 1.3.3.2. Planificacin de la Continuidad del Negocio y Recuperacin de Desastres. 27
CREACION DEL CSIRT - UTPL Se deben desarrollar planes de contingencia para determinar cmo conviene responder a una emergencia, y as asegurar la continuidad de las operaciones, los CSIRTs planifican como responder a informtica. 1.3.3.3. Consultora de Seguridad incidentes y amenazas a la seguridad
Los miembros del equipo CSIRT se encargan de brindar asesoramiento a los miembros de la organizacin o comunidad a la que van dirigidos los servicios de un CSIRT en el campo de la seguridad de la informacin, la elaboracin de polticas y mejores prcticas de seguridad, asesoramiento en la instalacin de aplicaciones, etc. 1.3.3.4. Concientizacin
Consiste en prestar servicios de orientacin en cuanto al manejo de las polticas que se deben seguir en una organizacin, esto es muy importante porque al lograr que el personal que entienda la importancia del uso de polticas se va a lograr que todas los procedimientos que ellos realicen sean seguros, se minimicen prdidas y puedan reportar de algn ataque, otra manera de concientizar es mediante la publicacin de artculos, boletines u otros recursos informativos que aconsejen sobre las precauciones que conviene seguir, y as mantenerse informados sobre las nuevas amenazas. 1.3.3.5. Educacin / Capacitacin
Realizacin de talleres, cursos y seminarios para proveer informacin acerca de las actividades principales en el campo de la seguridad de la informacin, y todas las herramientas que se pueden usar para responder ante un incidente. 1.3.3.6. Evaluacin o Certificacin de Productos.
Se pueden realizar evaluaciones de herramientas y otros servicios destinados a garantizar la seguridad, el cumplimiento de las polticas y de los requerimientos del CSIRT.
1.4.
TIPOS DE EQUIPOS DE RESPUESTA A INCIDENTES (CSIRTs)
Los CSIRTs que existen en las diferentes organizaciones no estn estructurados de la misma manera, cada CSIRT es diferente de otro en aspectos como: Misin y objetivos del equipo 28
CREACION DEL CSIRT - UTPL Comunidad a la que brinda servicios Los servicios que brinda a la organizacin Los diferentes sectores en los que se ha implementado equipos CSIRT son: 1.4.1. CSIRT del Sector Acadmico Prestan servicios a centros educativos, el grupo de clientes atendidos est conformado por estudiantes y personal de universidades, colegios, etc., un ejemplo de este tipo de CSIRT es el equipo de respuesta a incidentes de la Universidad de Mxico (UNAM-CERT), el Centro de Atencin de Incidentes de Brasil (CAIS/RPN), entre otros. 1.4.2. CSIRT del Sector Comercial Como su nombre lo indica prestan servicios comerciales, a clientes profesionales que pagan por este tipo de servicios, un ejemplo de este tipo de CSIRT es IBM-ERS que es un equipo contratista comercial de servicios, provee servicios de respuesta de incidentes, deteccin de intrusos, probando mensual y semanalmente
vulnerabilidades. 1.4.3. CSIRT del Sector Pblico Brindan servicios a instituciones pblicas en cualquier ciudad y pas, se consideran tambin puntos de apoyo de CSIRT nacionales, un ejemplo es el equipo de respuesta a incidentes de Argentina (ArCERT) que brinda sus servicios al sector de la administracin pblica, CCN-CERT que brinda servicios a la administracin pblica de Espaa, entre otros. 1.4.4. CSIRT del Sector Interno Este tipo de CSIRT brinda servicios a organizaciones a las que pertenecen, por ejemplo bancos, organizaciones de telecomunicaciones, generalmente no mantienen sitios web pblicos, solamente se puede mantener contacto con ellos por correo electrnico, algunos ejemplos de organizaciones que poseen este tipo de CSIRT son: ORACERT (Oracle global Secutiry Team): Este equipo brinda servicios solamente a los clientes de ORACLE que se encuentran incluidos en sus bases de datos.
29
CREACION DEL CSIRT - UTPL MCERT (Motorola Cyber Emergency Response Team): Equipo que trabaja solamente con el personal interno de Motorola y los equipos que desarrollan sus productos, las actividades principales de este equipo son el brindad apoyo a la infraestructura tecnolgica de Motorola. NABITSAR (National Australian Bank IT Security Assessments and Response): Grupo que pertenece al Banco Nacional de Australia, brinda soporte y respuesta a todos sus stakeholders6. NOKIA-NIRT (Nokia Incident Response Team): Brinda servicios al sector industrial de NOKIA en pases como Australia, China, Dinamarca. 1.4.5. CSIRT del sector Militar
Prestan servicios a instituciones militares, con fines de defensa, algunos de estos equipos son el ACERT/CC (Army Computer Emergency Response Team Coordination Center), NAVCISRT (Navy Computer incident Response Team). 1.4.6. CSIRT del sector Nacional Los CSIRT nacionales, son los equipos que se convierten en puntos de contacto para todo un pas, entre sus actividades estn el reducir el nmero de incidentes de seguridad dirigidos a los sistemas de un pas, proporcionan apoyo tcnico para detectar y prevenir vulnerabilidades, un ejemplo de este tipo de CSIRT son el SINGCERT (Equipo de respuesta a incidentes de Singapur), el Centro de Coordinacin del CERT de Japn (JPCERT/CC), CCIRC (Canadian Cyber Incident Response Centre), 1.4.7. CSIRT del sector de la pequea y mediana empresa. Este tipo de equipos brindan servicios a pequeas organizaciones, a grupos de usuarios que poseen caractersticas similares como lo es el sector de la pequea empresa, un ejemplo de este tipo de CSIRT es el Centro Nacional de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin para PYMES de INTECO 1.4.8. CSIRT de Coordinacin El trabajo de los CSIRTs de coordinacin es el conocer las amenazas a la seguridad, de la informacin a travs de la coordinacin con otros CSIRTs, proporcionan apoyo
6
Stakeholders: Es el pblico interesado, es decir cualquier persona o entidad que es afectada por las actividades de una organizacin, estas personas pueden ser: accionistas, clientes, etc.
30
CREACION DEL CSIRT - UTPL tcnico a otros CSIRTs a travs de actividades de manejo de incidentes, envan informacin detallada sobre cmo prevenir y recuperarse de ataques. Un ejemplo de este tipo de CSIRT es el CERT /CC.
1.5.
PERSONAL QUE CONFORMA UN CSIRT
Dependiendo del tipo de CSIRT, estructura organizacional, misin, servicios y comunidad a la que brinda servicios, el personal que formar parte del equipo debe poseer algunas caractersticas, tanto personales como tcnicas que permitan responder adecuadamente a los incidentes. Habilidades Personales Tcnicas de comunicacin Relaciones humanas. Espritu de Equipo. Innovadores, analticos e ntegros, son un equipo que trabaja dando soluciones a problemas. Capaces de tomar decisiones rpidas ante ataques y situaciones de emergencias de manera que nada quede sin dar respuesta. Capacidad de seguir polticas y procedimientos.
Habilidades tcnicas. Conocimientos de seguridad de la informacin. Conocimiento de los sistemas operativos que utilizan en la organizacin. Realizar la supervisin constante de los sistemas para evitar y localizar infracciones en las seguridades. Las labores que se realizan debern servir para enviar informes de los incidentes encontrados, con la finalidad de informar acerca de ese incidente a los dems CSIRTs. Conocimiento de aplicaciones y protocolos de internet. Realizar auditoras a los sistemas tanto a nivel de software y hardware. Brindar servicios de capacitacin.
Adicionalmente de las caractersticas mencionadas, un equipo CSIRT est conformado por diferentes reas que deben ser cubiertas ya sea por personal de la organizacin o personal nuevo. Si se trabaja con personal de la organizacin se deben 31
CREACION DEL CSIRT - UTPL establecer horarios para que pueda realizar tanto las actividades del CSIRT y las actividades del departamento en el que trabajan. Algunos documentos [4] en cuanto a la eleccin del personal sugieren pero no se limitan a: Lder de equipo Personal de hotline, HelpDesk, o clasificacin de incidentes. Equipo de Respuesta a incidentes y vulnerabilidades Administradores de Redes Desarrollador Web Especialista en plataformas Miembros Asociados al CSIRT. Lder de Equipo.- Se encarga de coordinar las actividades y tareas del CSIRT, es responsable de revisar todos los avances que realice el equipo, encargado de representar al equipo ante otros CSIRTs o directivos de la organizacin, se encarga de la asignacin de tareas y de entrevistar a los nuevos miembros del equipo.
Personal de hotline, HelpDesk o clasificacin de incidentes.- Personal encargado de atender las llamadas telefnicas que lleguen al CSIRT en las que se reporten incidentes de seguridad, brindan asistencia inicial de acuerdo al tipo de incidente que se reporte. La clasificacin debe ser realizada de acuerdo a las prioridades que se han establecido en el equipo. Equipos de Repuesta a Incidentes y Vulnerabilidades.- El equipo de respuesta tiene la responsabilidad del control y la respuesta de incidentes, vulnerabilidades encontradas, de manera que al momento de ocurrir alguna amenaza o incidente el equipo est preparado para controlarlos. Otras funciones que cumple el personal encargado de la respuesta a incidentes son: Coordinar actividades que sean necesarias para llegar a la comunidad objetivo, ya sea mediante la emisin de boletines, desarrollando manuales que contengan buenas prcticas de seguridad, etc. Difunden informacin sobre vulnerabilidades, amenazas y todo lo que se relacione con incidentes. 32
CREACION DEL CSIRT - UTPL Desarrolla manuales de capacitacin para los miembros del equipo CSIRT. Supervisar los sistemas de deteccin de intrusos Realizar pruebas de penetracin. Analizar y realizar seguimientos de las vulnerabilidades y cdigos maliciosos encontrados. Mantenerse en constante investigacin en cuanto a temas de desarrollo de soluciones o parches que ayuden a la solucin de vulnerabilidades. Difundir informacin sobre las vulnerabilidades encontradas, informar sobre las soluciones, parches y dems recursos utilizados para su solucin.
Administradores de Redes.- Profesionales que se encargan de todos los aspectos que se relacionan con el rea de redes, son encargados de mantener la infraestructura de red del CSIRT, a travs de servidores seguros, correo electrnico seguro y cualquier requerimiento exigido por el CSIRT. Desarrolladores Web.- Personas encargadas del mantener y crear el sitio web del CSIRT, actualizar la aplicacin con contenidos referentes al CSIRT. Especialistas de Plataformas.- Son encargados de aportar conocimientos especficos y apoyo en las diferentes plataformas, ayudan en el anlisis, respuestas y aporte de nuevos conocimientos en sistemas operativos como Linux, Windows, Solaris, etc., Miembros Asociados al CSIRT.- A ms de los profesionales que son parte del equipo de respuesta a incidentes, los miembros asociados son profesionales que se encargan de brindar soporte en reas diferentes, los miembros asociados pertenecen a otras reas de la organizacin algunos miembros asociados son: Departamento Legal.- Equipo encargado de brindar el soporte legal al momento de establecer polticas y planes de seguridad, brindar el asesoramiento de que pasos seguir si se alguien viola estas polticas, se encargan tambin de la revisin y elaboracin revelacin de la informacin. Relaciones Pblicas.- Este departamento se encarga de promocionar al equipo, de realizar comunicaciones, solicitudes de informacin. 33 de los acuerdos de no
CREACION DEL CSIRT - UTPL Representantes de Recursos Humanos.- Son encargados de desarrollar la descripcin de los perfiles para contratar el personal del CSIRT, de desarrollar las polticas y procedimientos en el caso de remover a los empleados internos que se encuentren comprometidos en una actividad informtica no autorizada o ilegal. Una vez que se ha definido el personal que va a formar parte del CSIRT, se debe definir la estructura organizativa del equipo. De acuerdo al manual publicado por Enisa7 [5], algunos de los modelos son: Modelo de Estructura Independiente. Modelo Incrustado Modelo Universitario Modelo Voluntario Modelo de Estructura Independiente
Figura.1: Modelo de Empresa Independiente
Este modelo es utilizado cuando el equipo es independiente de la organizacin, est conformado por su propio personal. De acuerdo al organigrama, este equipo est conformado por: General Manager: Director General del Equipo Technical Manager: Jefe de Equipo Tcnico, tcnicos del CSIRT e investigadores. Office Manager: director de la Oficina Accountant: personal Contable Legal Consultant: Asesor Jurdico Communication Consultant: Consultores Externos
7
Agencia Europea de Seguridad de las Redes y de la Informacin
34
CREACION DEL CSIRT - UTPL Modelo Incrustado
Figura 2: Modelo Organizativo Incrustado
Este modelo se utiliza si se va a implementar un CSIRT en una organizacin que ya tiene un departamento de seguridad. En este tipo de estructura el CSIRT est dirigido por un Jefe de Equipo que es responsable de todas las actividades. Cuando se presentan incidentes el Jefe de Equipo rene a todos los tcnicos necesarios para dar solucin a los incidentes, de ser necesario puede solicitar asistencia a los dems equipos de la organizacin. Modelo universitario: Este modelo es adoptado por los CSIRTs acadmicos y de investigacin, la mayor parte de las organizaciones acadmicas estn formadas por diversas
universidades y campus con diferentes ubicaciones y que se extienden a lo largo de todo un pas, la mayora de organizaciones son independientes entre s y poseen su propio CSIRT. Estos CSIRTs se organizan en torno a un CSIRT central que los coordina y es el nico punto de contacto con otros equipos. El CSIRT central se encarga de distribuir informacin sobre incidentes con otros CSIRTs. A continuacin se presenta un modelo de CSIRT Universitario.
35
Figura 3: Modelo Universitario
Modelo Voluntario: Consiste en un grupo de personas que se renen para compartir informacin y ayudarse mutuamente, actan de forma espontnea y depende de la motivacin de los participantes.
DISCUSIN
Los equipos de respuesta a incidentes de seguridad informtica (CSIRT) surgen a finales de los aos 80 con la finalidad de mitigar y brindar soluciones oportunas a los diferentes tipos de incidentes y vulnerabilidades que se presentan en los sistemas de informacin, actualmente la implementacin de este tipo de equipos ha sido considerada como una nueva estrategia de seguridad que ha sido tomada en cuenta en diferentes organizaciones, la implementacin de este tipo de equipos ha permitido tomar medidas de prevencin a posibles ataques, brindar soluciones oportunas a incidentes ocurridos para mitigar un posible riesgo, llevar un registro de los principales incidentes que se presentan en los sistemas crticos lo que ha permitido la generacin de reportes estadsticos y sobre todo la sensibilizacin a los usuarios sobre la importancia de conocer y manejar las diferentes polticas de seguridad implementadas en cada organizacin, lo que contribuye a mantener la confidencialidad, disponibilidad e integridad de la informacin que se maneja. 36
CREACION DEL CSIRT - UTPL Para crear un CSIRT es importante tomar en cuenta el sector en el cual va a ser implementado, actualmente este tipo de equipos funcionan en sectores comerciales, organismos pblicos, privados, militares, gubernamentales, acadmicos y sectores de la pequea y mediana empresa, cada uno enfocando sus servicios a la comunidad objetivo que representan, as mismo existen los CSIRTs de Coordinacin, que son equipos que se encargan de facilitar y coordinar la respuesta a incidentes entre varios CSIRTs a nivel mundial. El modelo a implementar en la UTPL es el modelo de CSIRT acadmico, modelo que define como comunidad objetivo a estudiantes y personal que forma parte de la universidad, los servicios que presta van enfocados de acuerdo a las actividades que se realizan en el centro de estudios, existen varios equipos CSIRT implementados en sectores acadmicos, como el CAIS/RPN de Brasil y el UNAM CERT de Mxico los servicios que brindan estn orientados al tratamiento de incidentes, auditora de sistemas, capacitacin, reportes estadsticos y sobre todo investigacin, rea que actualmente en la UTPL es considerada como eje transversal en el desarrollo de las actividades de cada CITTE. Los servicios que brinda un CSIRT son varios, para escoger los servicios a brindar se debe tomar en cuenta el tipo de organizacin en la cual van a ser implementados, otros factores que se deben tomar en cuenta son: la situacin actual de la organizacin en el tema de seguridad y la comunidad objetivo a la cual se va a brindar los servicios iniciales, de acuerdo a la experiencia de otros equipos CSIRT se sugiere varios servicios iniciales como la emisin de alertas, comunicados y tratamiento de incidentes. El personal que forma parte de un CSIRT posee variedad de conocimientos y habilidades tanto personales como tcnicas, es importante recalcar que el personal que trabaje en el CSIRT debe estar capacitado en temas referentes a los sistemas que se manejan en la organizacin, polticas, procedimientos de seguridad, etc., se debe establecer el horario de trabajo de los miembros del equipo, es decir definir si van a brindar atencin las 24 horas del da los siete das a la semana o solamente en horario de oficina, se han descrito algunas estructuras organizacionales que deben ser tomadas en cuenta al momento de definir el personal que trabajar en el CSIRT UTPL.
37
CREACION DEL CSIRT - UTPL Tomando en cuenta los informes estadsticos publicados por el CSI/FBI8 durante el ao 2007 [6] el 59 % de los ataques que se reportaron en las organizaciones a nivel mundial, fueron ocasionados por el personal interno que hace mal uso de los recursos de la misma, otros indicadores se detallan a continuacin: Ataques de Virus 52 % - (65% en el ao 2006) 25 % Denegacin de Servicios 25% Acceso no Autorizado a la Informacin 61% de las organizaciones identifican al atacante y mejoran sus polticas. Sabotaje 4%, entre otros. Informacin ms detallada de los Informes Anuales del CSI/ FBI. Disponible en: <http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf > De acuerdo a las estadsticas la mayora de organizaciones encuestadas estn en la capacidad de identificar al atacante, lo que nos seala que se estn tomando medidas para mejorar la seguridad. Si bien es cierto ninguna organizacin est libre de ser vctima de las diversas formas de ataques que existen actualmente, pero si est en la capacidad de tomar medidas de prevencin que contribuyan a mitigar los posibles daos causados, la implementacin de un CSIRT no asegura que una organizacin sea inmune a las diferentes formas de ataque, pero si garantiza que los integrantes del equipo tomen medidas de prevencin para la deteccin y resolucin de incidentes, un CSIRT se convierte en un punto de contacto para atender emergencias informticas y sobre todo para realizar actividades de investigacin en los temas que ayuden a mejorar la seguridad de los sistemas en las organizaciones y de manera particular en la Universidad.
CSI/FBI: Computer Crime and Security Survey / http://www.gocsi.com
38
2. EQUIPOS CSIRT A NIVEL MUNDIAL

39
OBJETIVO
Estudiar los diferentes Equipos de Respuesta a Incidentes a nivel mundial, organizaciones que los agrupan, servicios que brindan y la comunidad a la que estn enfocados.
2.1.
FIRST
FIRST- Foro de Respuesta a Incidentes y Equipos de Seguridad [7] es la organizacin que agrupa a todos los Equipos de Respuesta a Incidentes del mundo, su sede se encuentra en los Estados Unidos, fue fundado en 1990. Informacin ms detallada disponible en < http://www.first.org> El FIRST cuenta en la actualidad con ms de 180 miembros distribuidos en pases de Europa, Amrica, Asia y Oceana, cada uno de los CSIRTs que conforman este foro son de tipo gubernamental, educativo, empresarial y financiero.
Figura 4: CERTs afiliados al FIRST
El objetivo de esta organizacin: fomentar la cooperacin y la coordinacin en la prevencin de incidentes, promoviendo el intercambio de informacin y la colaboracin entre todos los equipos a nivel mundial. Algunos de los beneficios de pertenecer al FIRST son: Disponibilidad de comunicacin a travs de foros entre los miembros de los diferentes CSIRTs a nivel mundial, lo que facilita la respuesta ante diferentes
40
CREACION DEL CSIRT - UTPL incidentes, proporciona tambin diferentes mecanismos de asistencia y comunicacin de manera segura. Anualmente se organiza la conferencia sobre Manejo de Incidentes de Seguridad, conferencias que tienen como punto central el anlisis de las ltimas estrategias utilizadas en la prevencin y respuesta de incidentes, anlisis de vulnerabilidades y todo lo relacionado al tema de seguridad informtica, todas las conferencias son dirigidas al pblico en general. Para los equipos que pertenecen al FIRST se establecen reuniones cada dos aos, las mismas que tienen como objetivo compartir informacin sobre el uso de herramientas y aspectos que afectan las operaciones de respuestas a incidentes. Todos los equipos que pertenecen al FIRST reciben informacin de primera mano, ante determinado incidentes obtienen todo el apoyo del FIRST para resolverlo, brindan colaboracin e intercambio de ideas. Para ser parte del FIRST uno de los requisitos que se debe cumplir es el proceso de auditora, la misma que es realizada por un equipo que sea parte del FIRST, los aspectos que se evalan son: estructura del equipo, procedimientos de respuestas a incidentes, conocimientos del personal que conforma el equipo en cuanto a metodologa y procesos utilizados, entre otros aspectos.
2.2.
EQUIPOS DE RESPUESTA A INCIDENTES EN AMRICA
La Organizacin de Estados Americanos (OEA), en el ao 2003 aprob la resolucin AG/Res. 1939 (XXXIII-O/03), que consiste en el Desarrollo de una estrategia interamericana para combatir las amenazas a la seguridad ciberntica, la elaboracin de esta estrategia estuvo a cargo del CICTE (Comit Interamericano contra el Terrorismo). [8] La iniciativa surge ante la necesidad de incrementar la seguridad de las redes y sistemas de informacin con la finalidad de dar solucin a las vulnerabilidades y proteger a los usuarios, y a la seguridad nacional de las constantes amenazas que se pueden ocasionar. El objetivo del proyecto es agrupar a los pases que pertenecen a OEA para crear una red de Equipos de Respuesta a Incidentes que funcione constantemente y que estn 41
CREACION DEL CSIRT - UTPL en la capacidad de responder de la mejor manera a incidentes y amenazas a la seguridad informtica, para esto la secretaria del CICTE se encarga de brindar la capacitacin necesaria para su implementacin, a travs de entrenamiento al personal encargado de las diferentes reas que afectan la seguridad crtica de la infraestructura. Hasta junio de 1997 [9], 12 estados miembros de la OEA entre ellos Argentina, Bahamas, Bolivia, Brasil, Canad, Chile, Costa Rica, Estados Unidos, Guatemala, Mxico, Surinam y Uruguay han establecido un CSIRT Nacional, para combatir las amenazas a la seguridad de sus sistemas computacionales, en la siguiente grfica se indican algunos de los pases que poseen un CSIRT.
Figura 5: Pases que perteneces a la OEA que poseen CSIRTs
Las primeras medidas que se tomaron en cuenta para la creacin de la red hemisfrica fueron: Identificacin de organizaciones CSIRT existentes. Establecer un modelo de servicio, los CSIRTs nacionales debern ser designados por sus gobiernos respectivos. Se deben establecer un conjunto de normas para la cooperacin y el intercambio de informacin entre los CSIRTs. Es importante tomar en cuenta la confianza que debe existir entre los equipos, ya que cada uno maneja informacin importante y exclusiva, para lograr la confianza entre los equipos es necesario contar con una infraestructura segura para el manejo de informacin delicada y con procedimientos de proteccin contra la fuga de informacin. Creacin de Conciencia Pblica: Los CSIRTs nacionales deben tener en cuenta que el pblico sabe cmo notificar un incidente y a quin notificarlo. 42
2.3.
EQUIPOS DE RESPUESTA A INCIDENTES EN EUROPA
TF-CSIRT [10] (Task Force Collaboration of incident Response Teams), es una organizacin europea cuyas actividades se centran en Europa y en pases vecinos, en cumplimiento con los trminos aprobados por el comit tcnico de (Organizacin de las Redes Acadmicas Europeas) el 6 de junio de 2006. Tiene como objetivo promocionar la colaboracin entre equipos de respuesta a incidentes europeos. En el siguiente grfico se puede observar geogrficamente la distribucin de los CSIRTs Europeos: TERENA
Figura 6: Equipos de Respuesta a incidentes en Europa
TF-CSIRT proporciona un foro en donde los miembros de la comunidad puedan intercambiar experiencias y conocimientos, promueve el uso de estndares y procedimientos para responder a incidentes de seguridad informtica, adems participa activamente brindando ayuda en la creacin de nuevos equipos y capacitacin de los miembros de los equipos existentes en cuanto a tcnicas y herramientas para el manejo de incidentes. Los primeros CERTs tuvieron su origen en el mbito universitario en 1992, cada uno de los equipos existentes cumple con tres objetivos bsicos que son: Informar sobre la importancia de la Seguridad. Prevencin de Incidentes 43
CREACION DEL CSIRT - UTPL Respuesta a incidentes que ocurran en la comunidad.
2.4.
EQUIPOS DE RESPUESTA A INCIDENTES EN ASIA Y PACFICO
APCERT [11] (Asia Pacific Computer Emergency Response Team), es un comit que agrupa a todos los CERTs de Asia y el Pacfico, algunos de los pases que forman parte de APCERT son Japn, Corea, Hong-Kong, Taiwn, Tailandia, Malasia, Singapur, Australia, Bruselas, China, Indonesia, Filipinas, Taipi, India y Vietnam, son aproximadamente 17 equipos que forman parte de APCERT. En la grfica se puede visualizar la distribucin de los equipos que pertenecen al APCERT:
Figura 7: Equipos que pertenecen al APCERT
Este comit tiene a su cargo: Mantener una red de contactos con expertos en seguridad informtica Informar a los equipos de la regin en todo lo que se refiere a incidentes de seguridad informtica a travs del desarrollo de medidas para hacer frente a los incidentes. Facilitar el intercambio de informacin y de tecnologas entre los miembros. Ayudar a los dems equipos a llevar a cabo de manera eficaz y eficiente la respuesta a un incidente. 44
CREACION DEL CSIRT - UTPL El APCERT est organizado bajo una directiva, la misma est compuesta por Presidentes, Vicepresidentes, Comits de Gestin, Secretara, Equipos Miembros y los diferentes grupos de trabajo, cada una de estas dignidades est representada por un CERT perteneciente a la regin dependiendo de la dignidad que ocupe debe cumplir con las responsabilidades inherentes al cargo. En la Seccin de Anexos, (Ver Anexo1: Equipos CSIRT a Nivel Mundial) se puede encontrar informacin ms detallada de cada Equipo de respuesta a incidentes en el mundo. Las tablas que se presentan a continuacin contienen un breve resumen de los principales servicios que brindan, se hace referencia a los Equipos CSIRT Acadmicos, de Gobiernos y los equipos que brindan servicios a la Administracin Pblica. CSIRTs Pblicos Equipo CSIRT ArCERT (Argentina) SERVICIOS Coordinacin, anlisis y respuesta a incidentes Difusin de Informacin a travs de listas de seguridad Cursos de Capacitacin Concientizacin a travs de jornadas de seguridad Asistencia para el tratamiento de incidentes Polticas de Seguridad de Informacin Desarrollo de Productos y Servicios. CCN-CERT (Espaa) Capacitaciones Inspecciones de Seguridad Crear herramientas para Auditora y guas de seguridad de Equipos Anlisis de cdigo malicioso Investigacin Boletines sobre informacin tcnica Herramientas para valoracin de riesgos CNCERT/CC CHINA Manejo de Incidentes de Seguridad en Redes Pblicas Deteccin, prevencin y respuesta a incidentes 45
CREACION DEL CSIRT - UTPL Intercambio de informacin y coordinacin de medidas con organizaciones internacionales. Recolectar informacin de eventos de seguridad Capacitacin en temas de seguridad Consultora
CSIRTs Acadmicos Equipo CSIRT CAIS /RPN (Brasil) SERVICIOS Tratamiento de Incidentes Divulgacin de Informacin Monitoreo y deteccin de intrusos Auditora de Sistemas Educacin y Entrenamiento UNAM-CERT (Mxico) Servicio de Respuesta a incidentes de seguridad Realiza investigaciones para mejorar la seguridad de otros sitios Emitir boletines con reportes de vulnerabilidades Coordinar con otros grupos de seguridad para lograr la interconexin de las comunidades acadmicas de red clara Portal del usuario casero, que proporciona herramientas para proteger los sistemas, brindar informacin sobre riesgos y amenazas existentes y cmo protegerse de estos. Iris- CERT (Espaa) Servicios de Respuesta a incidentes, que incluye el Triage de los incidentes y la coordinacin de los incidentes. Servicios proactivos como : Servicios de informacin, capacitacin, auditoras y estadsticas. CSIRTs Nacionales Equipo CSIRT CL-CERT (Chile) SERVICIOS Difusin de Alertas Capacitacin Tecnolgica Anlisis de Mercado, focalizado en la generacin de ndices 46
CREACION DEL CSIRT - UTPL y monitoreo de aspectos de seguridad. Asesora a instituciones pblicas en la toma de decisiones, formulacin de polticas y buenas prcticas. CanCERT Canad Recopilacin, Anlisis y difusin de informacin Reporte de amenazas y vulnerabilidades. Brindar respuesta a incidentes al gobierno de Canad, empresas y organismos acadmicos. AusCERT (Australia) Emisin de Boletines Capacitaciones Reportes de incidentes Gestin de incidentes Coordinacin y Manejo de incidentes CTIR.GOV (Brasil) Recibir notificaciones de incidentes, seguidos por el anlisis de los casos concretos. Elaboracin de respuesta a los incidentes. Anlisis de los activos de informacin y de la estructura tecnolgica de la informacin de la administracin pblica federal. CERT.br (Brasil) Sirve de punto Central para coordinar la respuesta a incidentes para los usuarios de internet. Coordinas respuestas a los incidentes relacionados con las redes brasileas. Establecer relaciones de colaboracin con otras entidades USCERT (EEUU) Analizar y reducir vulnerabilidades cibernticas Difusin de Informacin de Alertas Coordinacin de actividades de respuesta a incidentes Reportes de incidentes y vulnerabilidades Boletines esCERT (Espaa) - UPC Brinda servicios reactivos y preventivos a la UPC Respuesta a incidentes Servicio de Aviso de Vulnerabilidades Capacitacin JPCERT/CC (Japn) Anlisis y respuesta de incidentes Alertas de Seguridad 47
CREACION DEL CSIRT - UTPL Coordinacin con otros CSIRTs Educacin KrCERT/CC (Korea) Anlisis de incidentes Monitoreo de Red Investigacin de Tcnicas de Hacking Coordinacin de Respuestas a incidentes SingCERT Singapur Servicios de Seguridad Reporte de incidentes Respuesta a incidentes
Discusin
A partir de los aos 90 surge la iniciativa de crear un organismo que agrupe a todos los equipos de respuesta a incidentes del mundo, surge el FIRST que como se ha indicado anteriormente es un Foro que fomenta la cooperacin entre CSIRTs, iniciativas similares surgieron en Europa, en el ao 1992 SURFnet9 crea el primer CSIRT europeo, actualmente existen ms de 100 equipos conformados que brindan servicios a diferentes organizaciones europeas. A nivel mundial existen varias organizaciones entre ellas empresas proveedoras de servicios de internet, universidades, gobiernos y organizaciones privadas que han implementado un Equipo de Respuesta a Incidentes de Seguridad (CSIRT), muchas de las cules buscan un objetivo comn, la atencin y respuesta a incidentes, independientemente del sector al que brinden servicios, de acuerdo a [12] existen alrededor de 195 equipos distribuidos en 43 pases, en Europa y Asia existen
alrededor de 118 equipos, Estados Unidos 61, Canad 11 y Amrica Latina 8 equipos, todos pertenecen al FIRST, la mayora de estos equipos brindan servicios al sector privado, a proveedores de servicios de Internet, sector acadmico, de Gobierno, financiero, militar y sectores industriales y comerciales, los servicios son varios dependiendo de la organizacin. En Amrica latina algunos pases que pertenecen a la OEA han implementado equipos CSIRT la mayor parte de equipos pertenecen al FIRST, lo mismo ocurre en otros sectores que no pertenecen al gobierno, tal es el caso de Per que posee dos
9
http://cert.surfnet.nl/.
48
CREACION DEL CSIRT - UTPL equipos de Respuesta a Incidentes para al sector privado, situacin similar ocurre en Paraguay, ambos pases actualmente trabajan en la implementacin de un CSIRT de Gobierno. Una iniciativa muy importante en la que es protagonista el Equipo de Respuesta a Incidentes de la Universidad de Mxico (UNAM-CERT) es el de promover varias estrategias de seguridad para detectar y dar seguimiento a las diferentes actividades en internet, desde hace algunos aos colabora directamente en una propuesta realizada por RedCLARA (Corporacin Latinoamericana de Redes Avanzadas10) en la que se propone crear un Grupo de Trabajo de Seguridad (GT - CSIRT) que cuente con la participacin de los diferentes equipos CSIRTs, con la finalidad de fomentar la colaboracin entre las redes acadmicas y promover una cultura de seguridad informtica en la regin de Amrica latina y el Caribe, est propuesta incluye la cooperacin con otras iniciativas como TF-CSIRT (Equipos Europeos) y APCERT (Equipos de Asia y Pacfico). En Ecuador no hay propuestas de Equipos CSIRT, existen algunas empresas que brindan servicios de manejo de incidentes y capacitacin en temas de seguridad, las mismas trabajan con empresas que contratan sus servicios pero en su mayora cuando son vctimas de ataques. A nivel de gobierno no hay un sector que se encargue de la seguridad de los sistemas crticos que se manejan, a nivel de pas tampoco existen organizaciones que publiquen registros estadsticos que indiquen los diferentes tipos de incidentes que ocurren. Uno de los objetivos que se pretende alcanzar con el presente proyecto es el que el CSIRT-UTPL se convierta en un punto de apoyo para la creacin de equipos similares en Ecuador y de esta manera formar parte de las diferentes iniciativas que funcionan actualmente en Amrica Latina, pero sobre todo ser el punto de apoyo para la creacin de CSIRTs acadmicos en las diferentes universidades que existen en nuestro pas y as crear un CSIRT de gobierno lo que dar como resultado mejorar los niveles de seguridad en los sistemas informticos de nuestro pas.
10
www.redclara.net
49
3. INCIDENTES
50
OBJETIVO
Realizar una descripcin acerca de conceptos fundamentales, el manejo y los diferentes tipos de incidentes. Detallar las principales polticas que se utilizan para el manejo de incidentes.
3.1.
DEFINICION
Se define como incidente [13] cualquier evento que comprometa la confidencialidad, integridad y disponibilidad de la informacin de la organizacin, esto incluye la violacin a polticas de seguridad de la organizacin y mejores prcticas de seguridad. Los eventos son sucesos observables en un sistema, existen eventos que no causan daos tales como: acceso a una pgina web, envos de correo electrnico, etc., pero existen tambin otro tipo de eventos que son adversos a lo indicado y que causan dao tales como: accesos no autorizados a un sistema, ataques a pginas web, ejecucin de cdigo malicioso, etc. Para que una organizacin pueda brindar respuestas giles ante un incidente es importante mantener un plan o metodologa para el manejo de los mismos, esta metodologa detalla un conjunto de pasos debidamente aprobados que se deben seguir para reducir las prdidas y los daos que un incidente puede causar. Los incidentes pueden ser: Uso inapropiado de los recursos de la red. Intentos no autorizados al sistema (Robo, borrado y alteracin de informacin). Ataques de virus, gusanos, troyanos. Mal uso de los recursos informticos Mal funcionamiento de software o hardware Acceso a pginas de contenido restringido Servicios internos inaccesibles Violacin de normas de acceso a internet Mal uso de correo electrnico de la organizacin Violacin de polticas y procedimientos de seguridad, entre otros. De acuerdo al tipo de incidentes, estos se clasifican por prioridades [14]: 51
CREACION DEL CSIRT - UTPL Emergencia.- Se consideran como emergencia los incidentes que no admiten demoras, todos los reportes de emergencia deben ser atendidos de manera inmediata haciendo uso de todos los recursos disponibles, se pueden considerar emergencias ataques a sistemas crticos, incidentes producidos en equipos manejados por los directivos de la organizacin, ataques a las infraestructuras de red, etc. Prioridad Alta.- Son aquellos incidentes que requieren ser atendidos antes que otros, as sean detectados posteriormente, son procesados antes que los incidentes de prioridad inferior, por ejemplo accesos a cuentas privilegiadas, ataques de denegacin de servicios, sistemas crticos, etc. Prioridad Normal.- Este tipo de incidentes son atendidos en orden de llegada, si es que no existen incidentes de emergencia y alta prioridad, sino son atendidos luego de un tiempo, por ejemplo acceso a un sistema ajeno, sistemas de usuarios, etc. Prioridad Baja.- Son atendidos en orden de llegada, afectan a recursos no tan indispensables pueden ser atendidos luego de 4 das.
3.2.
MANEJO DE INCIDENTES
De acuerdo a [15] se presentan dos criterios en cuanto al manejo de incidentes: 3.2.1. Modelo propuesto por NIST11 / SANS12
De acuerdo a [15], [16] y [17], este modelo presenta seis procesos importantes que son:
Preparacin
Deteccin y Anlisis
Contencin, Resolucin Recuperacin
Acciones Posteriores al cierre
Figura 8: Fases del Manejo de Incidentes
3.2.1.1.
Preparacin
Contempla las siguientes actividades:
11
NITS: Instituto Nacional de Estndares y Tecnologa - http://www.nist.gov/ SANS: Organizacin lder en capacitacin de seguridad informtica. - http://www.sans.org/
12
52
CREACION DEL CSIRT - UTPL Prepararse para el Manejo de Incidentes.- Consiste en tener presente todos los recursos disponibles que sean de utilidad en el proceso del manejo de incidentes, desarrollar polticas y procedimientos para gestionar todos los incidentes y determinar los de mayor ocurrencia. Prevencin de Incidentes.- Consiste en realizar evaluaciones peridicas de los sistemas y aplicaciones de la organizacin. Las evaluaciones que se realicen permitirn minimizar los riesgos e identificar los recursos crticos de la organizacin. Algunas prcticas que se pueden realizar y que son recomendadas son: o Seguridad en los Host.- Todos los host deben ser protegidos adecuadamente, deben estar configurados con los servicios mnimos de acuerdo a cada usuario. o Seguridad de Red.- El permetro de la red debe estar configurado para no permitir el acceso a actividades no permitidas, solamente deben permitirse las actividades que permitan el buen funcionamiento de la organizacin, algunas actividades incluyen redes privadas virtuales (VPN), etc. o Prevencin de Cdigo Malicioso.- Uso de software para detectar virus, gusanos y caballos de troya en servidores, estaciones de trabajos, sistemas operativos, aplicaciones a nivel de servidor y de clientes. o Sensibilizacin a los usuarios.- Consiste en sensibilizar a todos los usuarios sobre la importancia de entender y aplicar las polticas y procedimientos en relacin con el uso adecuado de redes, sistemas y aplicaciones, el aplicar las polticas de la organizacin ayudar a reducir la frecuencia de incidentes, especialmente los relacionados con cdigo malicioso. 3.2.1.2. Deteccin y Anlisis
Esta etapa incluye las siguientes categoras: Categoras de incidentes.- Consiste en detallar los posibles incidentes que pueden suceder, algunas de las categoras de incidentes son: Denegacin de Servicios.- Ataques que impidan el uso autorizado de redes, sistemas y aplicaciones. Cdigo Malicioso.- Virus, gusanos y troyanos. 53
CREACION DEL CSIRT - UTPL Accesos no autorizados.- Accesos a sistemas, redes, aplicaciones, datos u otros recursos sin contar con la debida autorizacin.
Seales de un incidente.- Para la mayora de organizaciones es un poco complicado el identificar un incidente y determinar que daos puede causar, las seales de que un incidentes puede ocurrir se basan en dos categoras: Indicadores.- Seales de que un incidente ha ocurrido o puede estar ocurriendo ahora, por ejemplo. o o o o El software antivirus alerta cuando se detecta que un host est siendo infectado por algn virus o gusano. Cuando el servidor web se bloquea Cuando los usuarios se quejan de la lentitud de los host para el acceso a internet. Aviso de un usuario de robo de datos.
Precursores (Advertencias).- Son los signos de que un incidente puede ocurrir en el futuro, algunos ejemplos de advertencias son: o o o o Los logs del servidor web muestran entradas de un escaneo de vulnerabilidades. Anuncios de que una vulnerabilidad puede ser explotada en los servidores de correo. Anuncio de exploit Alerta de IDS sobre escaneos de red.
Recursos para identificar Indicadores y Precursores.- La mayora de indicadores y precursores que se debe considerar son: Sistemas de Deteccin de Intrusiones (IDS) Software Antivirus Sistemas de monitoreo de Red Anlisis de Registros de Auditora (logs) Informacin de vulnerabilidades Informacin de Incidentes de otras organizaciones. Anlisis de Incidentes.- Cuando el equipo considera que ha ocurrido un incidente lo primero que se debe realizar es un anlisis para determinar el alcance y lo que origin el incidente mediante el uso de las herramientas software que se requieran, esto servir para determinar las herramientas y mtodos que se 54
CREACION DEL CSIRT - UTPL utilizaron, vulnerabilidades explotadas y el impacto de las mismas en las actividades de la organizacin. El primer anlisis servir para llevar a cabo actividades de contencin y de posteriores anlisis de los efectos causados por el incidente. Documentacin del Incidente.- Una vez que se ha descubierto un incidente es importante realizar la documentacin del mismo, en la documentacin se incluyen todos los antes y despus del incidente, es decir, empezar documentando todos los eventos del sistema y los cambios observados desde que se descubri el incidente hasta la resolucin final. Todos los documentos en los que se realice la documentacin del mismo deben ser firmados por el encargado de manejar los incidentes. En estas tareas es recomendable que trabajen dos personas una para que se encargue de realizar el registro de todos los eventos y otra para que se encargue de realizar las tareas tcnicas. Se debe mantener los registros de cada uno de los incidentes en una base de datos, de esta manera si el mismo incidente vuelve a ocurrir se sabe qu hacer, la informacin que se debe incluir en la base de datos es la siguiente: Resumen del incidente Medidas adoptadas por los encargados de manejar los incidentes Informacin de contacto para los interesados (administradores del sistema, etc.) Lista de pruebas realizadas durante la investigacin. Priorizacin del Incidente.- Es uno de los procesos ms importante en el manejo de incidente, los incidentes deben ser atendidos de acuerdo a prioridades, la prioridad de un incidente se establece de acuerdo a dos factores: Efectos tcnicos y potenciales del Incidente.- Es decir no slo considerar los efectos tcnicos del incidente en ese momento, sino tambin los efectos futuros que este pueda causar. Criticidad de los Recursos Afectados.- La criticidad de un recurso se basa en sus datos o servicios y las relaciones de interdependencia con otros recursos, por ejemplo si existe un problema con un servidor y al mismo tiempo se reporta un incidente en la Direccin General, la prioridad la tendr el incidente que est ocurriendo en la Direccin General. 55
Notificacin del Incidente.- Cuando un incidente es analizado y priorizado se debe notificar a la organizacin, en base a las polticas del equipo de respuesta a incidentes en cuanto a la informacin que debe ser notificada y a quin debe ser notificada. Algunas de las personas que suelen ser notificadas incluyen: Lder del Equipo. Otros equipos de respuesta a incidentes. Departamento legal (en el caso de incidentes con consecuencias jurdicas).
3.2.1.3.
Contencin, Resolucin y Recuperacin
Contencin.- Consiste en evitar la propagacin del incidente, en esta fase es importante la toma de decisiones, cuando previamente se han establecido estrategias y procedimientos. Debe determinarse distintas estrategias de contencin para cada unos de los incidentes, cada criterio debe ser claramente documentado para facilitar la adecuada y rpida toma de decisiones. Debe recoger evidencias de los incidentes con fines de anlisis, las evidencias pueden ser sistemas de informacin, etc. Algunos criterios para determinar las estrategias adecuadas incluyen: Dao potencial de recursos a causa de incidentes Necesidad de preservar evidencia Criticidad de los sistemas afectados Por ejemplo: Si ocurre un Acceso no Autorizado debido a varios intentos fallidos de login, la estrategia de contencin sera el bloqueo de la cuenta. Resolucin.- Eliminar las causas y componentes asociados al incidente, y otras actividades que se consideren para resolver el incidente y prevenir futuras ocurrencias. Recuperacin.- Los administradores del sistema restablecen el funcionamiento normal para prevenir incidentes similares, algunas de las medidas pueden incluir el restablecimiento del sistema desde cero, instalacin de parches, cambio de contraseas, implementacin de firewalls, listas de control de acceso, etc. 56
3.2.1.4.
Actividades Posteriores
Aprender de los incidentes, a travs de reuniones que se realizan luego de que ha sucedido un incidente, ayuda a mejorar las medidas de seguridad y el proceso de manejo de incidentes. Otras de las actividades propuestas son: Recoleccin de evidencia Listas de comprobacin de Manejo de incidentes Modelo propuesto por el CERT/CC13
3.2.2.
El modelo propuesto por el CERT/CC y descrito en [3] y [15] describe las siguientes funciones clasificadas en las siguientes categoras:
Figura 10: Funciones del Manejo de Incidentes
Funcin de Triage. Funcin de Manejo. Funcin de anuncio. Funcin de Retroalimentacin. 3.2.2.1. Funcin Triage14
13
http://www.cert.org/
57
CREACION DEL CSIRT - UTPL El objetivo de esta funcin es asegurar que toda la informacin destinada para el manejo de incidentes sea canalizada a travs de un nico centro de coordinacin independientemente del medio (correo electrnico, fax, telfono, etc.) que se utiliza para enviar la informacin, para su apropiado manejo y distribucin. El Triage consiste en recibir la informacin, clasificarla y ordenarla con la finalidad de determinar si el reporte que se recibe est relacionado con eventos pasados o son nuevos eventos, luego se asigna una prioridad inicial que est de acuerdo al esquema de prioridades que se est manejando. Algunas alternativas que se pueden usar para mejorar la calidad de la informacin que se enva son: Uso del Nmero Secuencial.- Se debe utilizar un esquema de numeracin secuencial que pueda ser entendido por todos y al que se tiene acceso de manera pblica, este nmero se debe manejar en todas las comunicaciones que tengan relacin con algn evento. Los nmeros de seguimiento son las etiquetas que el sistema utiliza para ordenar y almacenar automticamente la informacin. Es aconsejable utilizar un prefijo para cada funcin as por ejemplo e CERT/CC sugiere los siguientes prefijos: CERT #: para el seguimiento de incidentes. VU#: es el prefijo utilizado para el seguimiento de
vulnerabilidades. INFO#: prefijo usado para la identificacin de otro tipo de informacin.
Utilizacin de formatos de Reporte Estndar.- Con el uso de reportes se asegura de que la informacin sea completa, los formatos que se manejan deben ser claros, concisos y de fcil acceso, para estos reportes se incluye el siguiente tipo de informacin: o o o
14
Informacin de contacto de las personas que reportan el incidente. Nombre de los equipos y direcciones de red de los host involucrados en el incidente. Informacin Relevante como logs, informacin de zonas horarias, etc.
Triage: La palabra triage proviene del trmino francs trier que significa seleccionar o escoger, elegir o clasificar.
58
CREACION DEL CSIRT - UTPL o Nmeros de secuencia que hayan sido asignados por otro CSIRT o por el equipo de seguridad. Pre-Registro de la Informacin de Contacto.- Este mecanismo consiste en solicitar informacin acerca de: o o o 3.2.2.2. Puntos de contacto confiables Restricciones en la difusin de la informacin Claves para encriptar la informacin.
Funcin de Manejo
El objetivo de esta funcin es proporcionar respuesta y soporte a los informes recibidos de la comunidad a la que brinda servicios. Esta funcin proporciona algunos de los siguientes atributos: Presentacin de Informes.- Un lugar para la recepcin de informes de incidentes relacionados con la comunidad. Anlisis.- Examinar los sitios afectados, revisar los documentos y avisos tcnicos para proveer soporte tcnico, y asistencia en el lugar del incidente. Notificacin.- Consiste en la adecuada respuesta y recuperacin de la informacin a la comunidad a la que el CSIRT brinda servicios., mediante la notificacin se mantiene comunicaciones con las personas afectadas por el incidente. 3.2.2.3. Funcin de Anuncio
El propsito de la funcin de anuncio es generar informacin para la comunidad, el objetivo de la funcin anuncio es la de revelar detalles de las amenazas actuales y de las medidas que pueden ser adoptadas para mitigar estas amenazas. Algunos tipos de anuncios son:
Titulares.- Usualmente toma la forma de un mensaje corto, el objetivo es informar a la comunidad o a personas externas eventos que puedan ser importantes en un futuro prximo. Alertas.- Son avisos a corto plazo acerca de los acontecimientos crticos, contienen informacin acerca de ataques recientes, nuevas vulnerabilidades, etc. 59
CREACION DEL CSIRT - UTPL Avisos.- Proporcionan a mediano o largo plazo informacin sobre los problemas y las soluciones adecuadas para ayudar a evitar incidentes. Estos contienen informacin acerca de las nuevas vulnerabilidades y pueden tambin brindar informacin sobre las actividades de los intrusos. Para su Informacin.- Son documentos parecidos a los avisos pero ms cortos y menos tcnicos dirigidos a un pblico ms general. Estos documentos contienen informacin a manera de instructivos con temas relacionados a la seguridad, pueden ser usados por personal no tcnico. Guas.- Son una secuencia de pasos que ayudan a ampliar los conocimientos de la personas en temas de seguridad. Procedimientos Tcnico.- Son guas ms completas, estas contienen ms detalles tcnicos y son dirigidos a grupos de expertos. 3.2.2.4. Funcin de Retroalimentacin
El manejo de incidentes es el objetivo de todo CSIRT pero tambin es necesario atender otro tipo de requerimientos, esto es importante porque as no se afecta la imagen del equipo en el sentido de que no brinda respuesta a otro tipo de solicitudes o requerimientos que son distintos del manejo de incidentes, forman parte de las siguientes categoras: Seguridad General de Computadores.- Bsqueda de informacin para mejorar la seguridad y evitar incidentes a travs de medidas de seguridad o la manera de contactarse con el CSIRT en caso de ocurrir un incidente. De esta manera el CSIRT ayuda a concientizar a la comunidad sobre la importancia de tomar medidas de seguridad en los sistemas y evitar incidentes. Requerimientos de los Medios.- Solicitudes de parte de los medios de comunicacin para los artculos relacionados con la seguridad de los sistemas, el equipo debe estar preparado para manejar adecuadamente este tipo de solicitudes por parte de los medios, garantizando as mismo que las polticas del equipo en cuanto a la publicacin de la informacin no sean violadas. Otros Requerimientos.- Estos incluyen solicitudes enviadas al equipo para dar conferencias, solicitudes para hacer uso de derechos de autor, etc. Requerimientos fuera del Alcance.- No tienen que ver con los servicios prestados por el CSIRT. Se puede hacer referencia a un enlace de preguntas frecuentes (FAQ) que tengas respuesta a preguntas como: Cmo conectarse a internet?, Qu herramientas de software puedo utilizar?, etc. 60 estos requerimientos
CREACION DEL CSIRT - UTPL Para todos estos requerimientos se debe direccionar un archivo de preguntar frecuentes (FAQ), interno slo para los miembros del equipo en el que se describen los procedimientos relacionados con la manipulacin de los diferentes tipos de solicitudes y el tipo de respuesta que se puede dar a cada una de ellas, y con indicaciones sobre cmo establecer prioridades, por ejemplo si las solicitudes son los gerentes de la organizacin deben ser asignados con mayor prioridad y luego deben ser seguidas por los dems miembros de la comunidad. Otro de los beneficios de de tener un FAQ interno es que este puede ser utilizado como una herramienta de aprendizaje para nuevo personal que forme parte del CSIRT. 3.2.3. Metodologa a utilizar en el CSIRT-UTPL Para el manejo de incidentes en la UTPL se utilizar la metodologa diseada para el manejo de incidentes y vulnerabilidades [18], la misma se basa en el anlisis de las diferentes metodologas existentes para el manejo de incidentes y vulnerabilidades. La metodologa propuesta est estructurada de la siguiente manera: Anlisis de Vulnerabilidades.- La misma que est divida en tres fases: Prevencin, Identificacin y Correccin. Atencin a Incidentes de Seguridad.- Basada tambin en tres fases: Prevencin, Identificacin y Correccin. La metodologa citada propone formatos para el registro de incidentes y vulnerabilidades, los mismos que sern adaptados a las necesidades del CSIRTUTPL. 3.3. POLTICAS Y PROCEDIMIENTOS PARA LA RESPUESTA A INCIDENTES
Las polticas consisten en un conjunto detallado de pasos que se deben seguir para proteger todos los recursos importantes de una organizacin, cabe resaltar que entre esos recursos se encuentra la informacin que se genera en cada una de las organizaciones. Las polticas que se desarrollan deben garantizar la integridad, confidencialidad y la disponibilidad de los datos, las polticas se desarrollan en base a estndares15, procedimientos16 y los diferentes conjuntos de mejores prcticas17.
15 16
Estndares: Guas que especifican la implementacin de las polticas. Procedimientos: Pasos que especifican requerimientos para las polticas y estndares sean
61
Las polticas y procedimientos se definen de acuerdo a la organizacin en la que se van a implementar, pero existen algunos elementos fundamentales como: Declaracin de compromiso de Gestin Fines y objetivos de las polticas mbito de aplicacin de las polticas (A quin, para quin y en qu circunstancias se aplican). Definicin de incidentes de seguridad Estructura de la organizacin y delimitacin de funciones Medidas de ejecucin Presentacin de informes y formularios. Algunas polticas que se sugieren en [3] y [19] pero no son limitadas a las que se presentan a continuacin: Poltica de Clasificacin de la Informacin. Poltica de Diseminacin de Informacin. Poltica de Medios de Comunicacin. Poltica de Seguridad. Polticas de Errores Humanos
Poltica de Clasificacin de la Informacin: En el equipo CSIRT se debe mantener una poltica de clasificacin de la informacin, el no mantener una poltica de clasificacin puede ocasionar que los miembros del equipo clasifiquen la informacin de acuerdo a su percepcin, en el mejor de los casos la clasificarn correctamente, sino no la clasificarn, un ejemplo de esta poltica en el caso ms sencillo puede ser: o Dividir la informacin en dos categoras: informacin Sensible y Todos los dems, lo que se encuentre en Informacin Sensible debe ser manejado con mucho cuidado, lo que se encuentre en Todos los Dems debe considerarse como informacin pblica.
aplicados.
17
Mejores Prcticas: Conjunto de reglas que sirven para dar cumplimiento a los estndares .
62
CREACION DEL CSIRT - UTPL Poltica de Diseminacin de la Informacin: Poltica que ayuda a determinar la informacin que se debe dar, a quin y cundo, a que llamadas y e-mails debemos responder, etc. La mayora de los equipos trata la informacin que recibe de manera confidencial, y no comparten la informacin sino solamente entre sus miembros, la informacin es compartida nicamente en el caso en el que los dueos de la informacin den su autorizacin, algunas excepciones de esta polticas incluye el uso de la informacin solamente para generar reportes estadsticos. Se deben tomar en cuenta aspectos sobre el envo de informacin por parte del CSIRT cuando se genera informacin sobre ataques o vulnerabilidades encontradas, se debe determinar a quin se reporta, por ejemplo miembros del CSIRT, comunidad, medios de comunicacin, etc. La informacin que se va a enviar se determina de acuerdo a la poltica de categorizacin de la informacin. Poltica de Medios de Comunicacin: Los medios de comunicacin son una poderosa herramienta para dar a conocer la informacin del CSIRT, es
aconsejable disponer de personal que se encargue de ser el portavoz del equipo, de esta manera terceras personas no tienen acceso a datos delicados. La informacin que se da a los medios incluye reportes de alertas, boletines e invitaciones a eventos, cursos, etc., que desarrolle el CSIRT.
Poltica de Seguridad:
Toda organizacin cuenta con un manual de
seguridad en que se toman en cuenta todos los aspectos para la seguridad de la misma, la poltica debe abarcar varios aspectos tales como: o o o o o Seguridad Fsica Seguridad de la Red Local Manejo de Incidentes de Seguridad Local Seguridad de la informacin local Manejo de desastres y continuidad del negocio.
Poltica de Errores Humanos: Todos somos humanos y todos cometemos errores, la poltica de errores humanos ayuda a minimizar los daos causados por el personal, si algn funcionario comete un error se lo corrige de manera constructiva. Las polticas de errores humanos no deben decir: Cometa los 63
CREACION DEL CSIRT - UTPL errores que quiera, nosotros siempre seremos amables con usted, la poltica debe indicar claramente : o o o o Si un funcionario comete un error que puede tener malos resultados, debe informar lo antes posible al personal apropiado. Despus de resuelto el problema el funcionario que cometi el error debe reunirse con el lder del grupo y analizar las causas del error. Establecer mtodos para que el error no vuelva a ocurrir, puede ser a travs de capacitaciones, etc. Si los errores persisten se debe tomar otras medidas
3.4.
Norma ISO 17799
En el ao 2005 esta norma es revisada y renombrada como ISO 17799:2005, en julio de 2005 la Organizacin Internacional para la Estandarizacin (ISO) cambi la denominacin de la ISO 17799:2005 por 27002:2005, la norma no cambia el contenido, est compuesta por 11 Dominios , controles19 [20]. Esta norma hace referencia a las recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin, el objetivo principal de esta norma es el de proporcionar una base para desarrollar normas de seguridad que permitan establecer transacciones y relaciones de confianza entre las organizaciones, a nivel general los dominios por los que est compuesta esta norma son:
Tabla 3: Dominios y Controles Norma ISO 17799:2005
18
39 objetivos de control
y 133
N Dominios
1. Poltica de Seguridad: Proporciona directrices y recomendaciones para dar soporte a la Gestin de la Seguridad de la informacin 2. Organizacin de la Seguridad de la Informacin: Gestin de varios aspectos, entre ellos: recursos, tercerizacin etc., dentro de la organizacin.
Controles
1
18
Objetivos de Control: Resultados que se espera alcanzar, mediante la implementacin de controles.
19
Controles: Procedimientos que reducen el nivel de riesgo.
64
CREACION DEL CSIRT - UTPL 3. Gestin de Activos Inventarios y nivel de proteccin de activos 4. Seguridad de Recursos Humanos Reducir riesgos de errores humanos. 5. Seguridad Fsica y Ambiental Evitar entre otras cosas accesos no autorizados a la empresa y a datos. 6. Gestin de Comunicaciones y Operaciones: Garantizar la operacin y actividades del grupo a la organizacin. 7. Control de Acceso. Evitar el ingreso de personal no autorizado a los sistemas crticos de la empresa, 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin: Evitar prdidas, asegurar que la seguridad est incorporada a los sistemas de informacin. 9. Gestin de Incidentes de Seguridad de la Informacin: Gestionar los incidentes que afectan a la organizacin. 10. Gestin de la Continuidad Comercial: Saber qu hacer ante interrupciones de las actividades de la organizacin, proteger los recursos crticos frente a fallas, ataques o desastres. 11. Conformidad: Evitar el incumplimiento de las leyes y requerimientos de seguridad. 2 3 2
10
Todos los dominios son importantes, pero cada organizacin identifica los dominios aplicables de acuerdo a su situacin actual. Para definir las polticas del Equipo CSIRT UTPL tomaremos como base el dominio 9: Gestin de Incidentes de Seguridad de la Informacin (Ver: Anexo 2: Dominio 9), ms adelante detallaremos los aspectos principales a tomar en cuenta para la Elaboracin de las Polticas para el CSIRT-UTPL.
Discusin
El personal que forma parte de un equipo CSIRT deben poseer un claro conocimiento de lo que representa un incidente de seguridad y los diferentes mecanismos de respuesta y manejo de los mismos, algunos puntos que se deben tomar en cuenta en el manejo de incidentes son los procesos de triage (clasificacin) de la informacin 65
CREACION DEL CSIRT - UTPL recibida, estos procesos son definidos de acuerdo a las prioridades establecidas por el equipo, es importante destacar el uso de metodologas de respuesta a incidentes ya que garantiza una respuesta basada en un conjunto de pasos no solamente empricos sino pasos secuenciales y probados que ayuden a dar una adecuada respuesta. El llevar un adecuado registro de incidentes a travs de formatos establecidos ayuda a clasificar los reportes en informacin critica e informacin no crtica, la informacin que sea concerniente a incidentes y su solucin ser guardada en repositorios de informacin que ser utilizada en futuros incidentes, la informacin obtenida debe ser clasificada y publicada por el equipo de acuerdo a los medios que se utilicen, ya sea por internet o boletines impresos. Implementar la Norma ISO en las organizaciones ayuda a incrementar los niveles de seguridad en los sistemas de informacin, se adopta una correcta planificacin de la seguridad y sobretodo una mejora de la imagen de la organizacin. El adecuado uso y aplicacin de polticas basadas en estndares proporciona guas para una adecuada repuesta y contribuye al equipo en el cumplimiento de uno de los requisitos de ingreso al FIRST el mismo que seala que las polticas deben ser realizadas de acuerdo a la norma ISO, en el caso de la Universidad las polticas del CSIRT-UTPL sern aadidas al Manual de Polticas de Seguridad existente en la Universidad, que actualmente se encuentra en proceso de aprobacin.
66
4.
MODELO ORGANIZACINAL DE UN CSIRT
OBJETIVO
67
CREACION DEL CSIRT - UTPL Estudiar los diferentes modelos organizacionales de un Equipo de Respuesta a Incidentes de Seguridad (CSIRT). El documento [21] publicado por el CERT/CC, hacen referencia a los diferentes tipos de modelos organizacionales que se deben revisar durante la implementacin del CSIRT, en cada uno de los modelos presentados se realiza primeramente una descripcin del modelo, que comprende la definicin, comunidad a la que va dirigido, servicios que presta y la infraestructura requerida. Existen cinco modelos organizativos: Equipo de Seguridad CSIRT interno Distribuido CSIRT interno Centralizado CSIRT Interno Combinado (Centralizado y Distribuido) CSIRT de Coordinacin En algunos de los modelos se utiliza el trmino interno porque el CSIRT se ubica en la organizacin, centralizado que se encuentra cerca de la organizacin y distribuido porque se encuentra ubicado en edificios, ciudades y regiones geogrficas lejanas.
4.2.
EQUIPO DE SEGURIDAD
Se encarga de la seguridad interna y externa de la organizacin, manejan problemas de seguridad y tecnologas como firewalls, antivirus, deteccin de intrusiones, etc. Su objetivo principal es configurar, proteger redes y sistemas, detectar anomalas y de ser necesario dar respuesta a las anomalas identificadas, se realizan actividades reactivas, la misin principal es que si hay fallas en un sistema buscar inmediatamente todas las soluciones posibles para que el sistema funcione nuevamente. Un equipo de Seguridad no se considera como un CSIRT porque no hay personal establecido que se encargue de manera formal del manejo de incidentes ni de las acciones que esto conlleva, es decir ser proactivos, estar preparados antes de que un incidente ocurra y si este ocurre saber qu hacer. Un equipo de seguridad puede ser implementado en organizaciones como instituciones de gobierno, instituciones educativas y comercios que tengan una necesidad de seguridad y esta por lo general comienza con equipos dedicados a la 68
CREACION DEL CSIRT - UTPL seguridad central con componentes como firewalls, Redes privadas virtuales (VPN), sistemas de deteccin de intrusos (IDS) y antivirus. En este modelo no hay una infraestructura organizacional para el manejo de incidentes, no se mantienen repositorios de datos sobre incidentes que pueden ser utilizados por la organizacin. Los servicios que brinda un equipo de Seguridad son: Anlisis de incidentes Respuesta de incidentes en el Lugar Coordinacin de la Respuesta a incidentes Respuesta a Artifacts y Vulnerabilidades Configuracin y mantenimiento de Herramientas de Seguridad, Aplicaciones e Infraestructura. Servicios de Deteccin de Intrusos Los servicios adicionales que puede brindar son: Alertas y peligros Anlisis de Vulnerabilidades y Artifacts Coordinacin de Respuesta de Vulnerabilidades y Artifacts Desarrollo de Herramientas de Seguridad Otros Servicios (Servicios Reactivos y Proactivos, anuncios, auditorias de seguridad, etc.). El lado negativo de implementar un equipo de seguridad en una empresa en lugar de un CSIRT es que no se poseen patrones de las diferentes amenazas y por lo tanto no se puede mitigar esas amenazas, esto se produce por la falta de un manejo coordinado de los incidentes. Otro aspecto negativo es la presentacin de informes pues no hay una manera ordenada para la presentacin, anlisis y respuesta de los mismos debido a que no hay un formato establecido para el registro de esa informacin.
4.3.
CSIRT INTERNO DISTRIBUIDO
Es interno porque est conformado por personal de la empresa, y distribuido porque el personal del equipo se encuentra distribuido en todos los sectores geogrficamente separados de la organizacin. 69
CREACION DEL CSIRT - UTPL La diferencia fundamental con el de seguridad es que en el equipo interno Distribuido se encarga del manejo y respuesta de incidentes- de manera ms formal, se basa en el uso de polticas, procesos, procedimientos y establece mtodos de comunicacin con otras organizaciones en temas de seguridad. Este equipo cuenta con una oficina central en la organizacin a la que llegan todos los reportes de las diferentes secciones de la misma, est dirigida por el lder del CSRIT que se encarga tambin de la asignacin y revisin de tareas. Los miembros del equipo son escogidos de acuerdo a sus habilidades tcnicas relacionadas con el manejo de diferentes plataformas, tecnologas, aplicaciones y prcticas de seguridad. El lder o gerente del grupo tiene toda la autoridad para dar respuesta a los incidentes que se producen, las medidas que se tomen deben contar con la aprobacin del lder del CSIRT y de la gerencia. Este modelo se implementa en grandes organizaciones que se encuentran distribuidas a lo largo de una regin, en organizaciones gubernamentales e instituciones educativas que se encuentren dispersas geogrficamente. Para proceder a la estructura e implementacin se debe tomar en cuenta el tamao de la organizacin, el nmero de ubicaciones geogrficas en donde funciona la empresa, nmero de plataformas y sistemas de apoyo, la experiencia del personal y los servicios que el CSIRT va a ofrecer. Algunas de las funciones del un CSIRT Distribuido Interno son: Ayudar al anlisis de incidentes y vulnerabilidades Fomentar la conciencia entre los miembros de la organizacin en temas de seguridad. Proporcionar una base de conocimientos de todos los sistemas de la empresa Promover las mejores prcticas de seguridad. Se puede asignar a cada departamento diferentes tareas, por ejemplo un grupo se encarga de realizar la manipulacin de incidentes en su departamento, otra puede ser responsable del anlisis de vulnerabilidades de un sistema operativo, los miembros del equipo deben mantenerse en contacto constante a travs de comunicaciones
70
CREACION DEL CSIRT - UTPL seguras, como correo electrnico, reuniones a travs de medios virtuales, y tambin reuniones en las que todos estn presentes. Para que este modelo tenga xito en su implementacin debe existir cooperacin entre todos los miembros de los diferentes equipos responsables, el gerente del CSIRT debe tener un conocimiento claro de todas las actividades que se realizan en los diferentes grupos, debe existir una comunicacin constante, deben existir polticas y procedimientos claros sobre el manejo de incidentes y vulnerabilidades, y procedimientos de cmo responder ante los mismos. Para que la implementacin de este modelo sea exitosa se recomiendan algunos pasos: Debe existir el compromiso de la Gerencia para apoyar a las actividades del CSIRT en cada una de las reas en las que funciona. El lder del equipo CSIRT debe conocer muy bien cada rea del CSIRT para poder asignar las tareas y acciones que permitan maximizar el xito del equipo. Los miembros del equipo deben tener conocimientos y entender las diferentes tecnologas. Establecer polticas y procedimientos claros para el reporte de incidentes y vulnerabilidades, como manejarlos, notificarlos y procedimientos de resolucin de los mismos. Garantizar la infraestructura del equipo. El personal que se sugiere para este modelo es: Lder del equipo o Administrador del CSIRT Personal de apoyo Administrativo Analistas (depende de los servicios ofrecidos, ayudan a levantar estadsticas de incidentes, datos de IDS, alertas de seguridad y documentos tcnicos). Miembros Distribuidos (Dependiendo del tamao de la organizacin). Personal del Departamento Jurdico, relaciones pblicas, comunicaciones. Expertos Tcnicos (Administradores, conocedores de las diferentes
plataformas (Windows, Solaris, etc.)).
71
CREACION DEL CSIRT - UTPL Los servicios a brindar se definen de acuerdo a la organizacin, se realiza un anlisis actual del sistema, red y administradores de seguridad de la organizacin y as poder definir la situacin real de la misma. Las limitaciones de implementar este grupo es que si es implementado en diferentes reas de la organizacin es un inconveniente para que el CSIRT funcione como un todo, el estar distribuido puede ocasionar algunos problemas logsticos tales como: Conflictos al momento de estableces prioridades para los incidentes. Personal con distintos niveles de experiencia que se reflejen negativamente al momento de coordinar la informacin y aplicar los planes de respuesta a incidentes.
4.4.
CSIRT INTERNO CENTRALIZADO
En este tipo de modelo el CSIRT se ubica en la zona cntrica de la organizacin, se encarga de las actividades de manipulacin de incidentes, son el nico punto de contacto al que se reportan incidentes, vulnerabilidades y cdigo malicioso; se encargan del reporte anlisis y respuesta de todos los incidentes que son reportados en la organizacin, realizan el anlisis de vulnerabilidades y desempean un papel activo en la difusin de informacin sobre temas de seguridad, en algunos casos el personal que trabaja en el grupo es al 100%, es decir solo trabaja para el CSIRT. Este modelo es utilizado en organizaciones pequeas, en las que el nmero de
edificios y sistemas pueden ser manipulados por un grupo CSIRT o por un departamento de tecnologas de informacin. Puede ser aplicado tambin en organizaciones grandes, pero la desventaja de aplicar este tipo de equipo en una empresa es cuando se debe definir la autoridad del CSIRT, y al existir varios grupos en diferentes sitios no se puede definir una sola autoridad. El personal que forma parte del equipo debe estar compuesto por personal de experiencia en las diferentes plataformas, si esto no es posible se puede trabajar en estrecha colaboracin con el equipo encargado de estas actividades.
Las actividades del CSIRT son controladas por un lder del equipo, quien tambin es el encargado de representar al equipo en las juntas con los Directivos de la organizacin. 72
CREACION DEL CSIRT - UTPL Algunos de los servicios de este tipo de CSIRT es el de mantener un portal Web en el que se proporciona informacin a la organizacin, puede estar compuesto de varias secciones tales como: Preguntas frecuentes (FAQ), informacin de seguridad, boletines, polticas, etc. El modelo Centralizado proporciona a la organizacin: Llevar una gestin proactiva, que permita proporcionar una visin ms amplia de las amenazas a las que puede estar expuesta la organizacin. Una estructura estable para la construccin de un CSIRT y as lograr que los incidentes sean manejables y previsibles. En este modelo es muy importante la orientacin al personal en temas de seguridad, que cada miembro del equipo tenga bien entendido cules son las funciones que debe realizar. Debe tomar en cuenta mtodos de clasificacin de incidentes (triage), es importante que todos lo que conforman la organizacin entiendan la importancia de reportar ataques, virus y actividades anormales en los sistemas que manejan, todos deben comprender y aplicar tambin todas las polticas y procedimientos de seguridad. El personal del equipo debe dedicar el 100% de tiempo al trabajo del CSIRT y puede estar conformado por: Director o lder del equipo Personal de apoyo administrativo Personal Tcnico (que depende del tamao de la organizacin, recursos disponibles, servicios que ofrece, se debe tomar en cuenta la cobertura que se va a realizar es de 24*7*36520, pueden ser de 2 a 4 tcnicos dependiendo de la anteriormente indicado. Administrador de Sistemas: provee apoyo en la infraestructura del equipo CSIRT, esta puede ser una posicin compartida con otro departamento. Personal para el triage y hotline. Desarrolladores Web Recursos Humanos
20
24*7*365 : La cobertura que va a dar el CSIRT, las 24 horas del da, los siete das a la
semana, los 365 das del ao.
73
CREACION DEL CSIRT - UTPL Asistencia Legal Investigadores Expertos Tcnicos (expertos en diferentes plataformas ) Los servicios se definen de acuerdo a la estructura y situacin de la organizacin de acuerdo a la clasificacin indicada en la fase I. Las limitaciones de este modelo es que si la organizacin es demasiado grande, con diferentes sucursales, manejo de diversas plataformas, puede existir dificultades para el manejo de los incidentes.
4.5.
CSIRT INTERNO COMBINADO (CENTRALIZADO Y DISTRIBUIDO)
Este modelo corresponde a la unin de los equipos centralizado (proporciona alto nivel de anlisis y estrategias de mitigacin, brinda apoyo a los miembros del equipo en la respuesta a incidentes, vulnerabilidades y artifact) y distribuido (proporciona conocimientos tcnicos a cada una de las reas de las que el grupo es responsable). Este modelo funciona para las grandes organizaciones distribuidas fsicamente, el implementarlo en una organizacin pequea no es necesario, en este caso se recomienda implementar un modelo centralizado. Este modelo maximiza la utilizacin del personal existente en lugares estratgicos de la organizacin, junto a un centro de coordinacin el equipo se dedica a brindar respuestas a informes de todas las actividades anormales, participan en la respuesta de incidentes, vulnerabilidades y artifacts, realizan evaluaciones de seguridad y difunden informacin acerca de las mejores prcticas de seguridad que se deben seguir en la organizacin, apoya a la organizacin en la gestin y asignacin de recursos en etapas de crisis. El modelo ofrece un servicio centralizado que puede recopilar informacin de varias organizaciones diferentes y la difunde a travs de la empresa. En lo referente a la estructura organizacional existen muchas alternativas que se pueden tomar en cuenta: Poseer un equipo centralizado que se encargue de las funciones de triage y del anlisis, y trabajar en equipo para aplicar las medidas de respuesta o procedimientos en sus reas especficas.
74
CREACION DEL CSIRT - UTPL El equipo centralizado solamente recibe informes de incidentes y
posteriormente asigna el anlisis y la respuesta a los miembros del equipo distribuido basados en la ubicacin geogrfica. Para la comunicacin entre grupos se deben establecer mecanismos de comunicacin segura, como correo electrnico, intranet segura, etc. En el modelo Centralizado Distribuido el triage se realiza a travs de dos estructuras diferentes: 1. Todos los informes y solicitudes que ingresan a la oficina del CSIRT central, se clasifican, ordenan y se establece una prioridad en la oficina central. 2. Los informes que se reciben en los equipos distribuidos, se realiza el triage en cada oficina y los reportes o solicitudes que no pueden ser manipulados se envan a la oficina central. En ambos casos el equipo centralizado realiza un seguimiento de todos los informes, tanto de las reas distribuidas y centralizadas. El personal que conforma este tipo de equipos es el siguiente: Equipo Centralizado Un administrador Personal de apoyo administrativo y tcnico Personal de HelpDesk que se puede encargar tambin de actividades de triage. Equipo Distribuido Personal distribuido en las reas de la empresa Redactores Tcnicos Instructores Expertos Tcnicos El nmero de personal se determina de acuerdo al tamao de la organizacin. El modelo Centralizado - Distribuido proporciona a la organizacin un mecanismo claro para la gestin proactiva, proporciona una visin ms amplia de las diferentes amenazas de seguridad que pueden ocurrir.
75
CREACION DEL CSIRT - UTPL Las principales dificultades de este modelo es la implementacin del equipo a travs de un rea geogrfica separada, que el personal trabaje de manera eficaz, la aplicacin de un mecanismo de retroalimentacin, como se trabaja en reas dispersas pueden existir dificultades en cuanto a las polticas, leyes y zonas horarias.
4.6.
CSIRT DE COORDINACIN
El modelo CSIRT de Coordinacin se encarga de coordinar y facilitar el manejo de incidentes en organizaciones tanto a nivel interno y externo, las diferentes actividades tambin incluyen otros equipos CSIRT. El objetivo principal de este tipo de CSIRT es la coordinacin de las actividades relacionadas con el manejo de incidentes y vulnerabilidades de diferentes comunidades (Contituency), este tipo de equipos facilitan el intercambio de informacin, tcnica, herramientas y todo lo que proporcione ayuda estratgica para una oportuna y adecuada respuesta a incidentes. Un equipo de coordinacin tiene alcances muy amplios, presta un conjunto muy variado de servicios que ayudan a organizaciones que se dedican al manejo de incidentes, por lo general este modelo no tiene autoridad sobre los miembros de la comunidad a la que prestan servicios. Un ejemplo de CSIRT de coordinacin son: CERT/CC que es un equipo que dan soporte a toda la comunidad de internet, no ejercen ninguna autoridad pero brindan reportes y diversa informacin acerca de la atencin a incidentes, otro grupo similar en el JPCERT/CC que da soporte en la atencin y respuesta a incidentes a todo un Pas, esto incluye todos los CSIRTs de ese pas. La estructura organizacional de este modelo se resume en un Lder y una ubicacin central, comprende personal de experiencia en diferentes plataformas, personal para triage y personal administrativo. Las funciones principales de un CSIRT de coordinacin es actuar de manera eficiente y suministrar alertas, capacitacin, polticas y procedimientos documentados para una adecuada comunidad. Las principales limitaciones de este tipo de equipos son trabajar en una zona geogrfica con mltiples zonas horarias, a veces puede incluir diferencias en el idioma, cultura, leyes, etc., esto puede dificultar la prestacin adecuada de servicios. 76 respuesta de incidentes a todas las organizaciones que componen la
CREACION DEL CSIRT - UTPL Otro tipo de dificultad es que a veces las recomendaciones que brinda el CERT/CC a determinada comunidad pueden no ser aplicadas en su totalidad porque el CERT/CC no tiene autoridad sobre dicha comunidad. Es importante cuidar mucho la trayectoria de servicios del CSIRT, deben ser un equipo muy confiable. Las fortalezas y debilidades de cada modelo organizacional presentado, se indican a continuacin:
77
FORTALEZAS Y DEBILIDADES DE LOS MODELOS ORGANIZACIONALES DE UN CSIRT Modelo organizacional Fortalezas

Funciona en organizaciones en las que lo Equipo de Seguridad ms importante es proteger las redes y sistemas de la organizacin. No se
Debilidades
llevan registros de las
vulnerabilidades encontradas ni de las soluciones que se han dado para las mismas. Al momento de dar solucin a alguna amenaza en los sistemas solamente se da solucin al equipo que fallo y no se toma en cuenta que existen otros equipos o reas que pueden estar expuestos al mismo error. No hay procesos formales para el manejo de incidentes, no se toman medidas preventivas.
Existe una oficina central en la que se Equipo Distribuido Interno lleva a cabo los servicios del CSIRT. Existe personal capacitado que se
El personal que conforma el equipo puede no ser parte del equipo a tiempo completo. Mantener comunicaciones oportunas a travs de grandes zonas geogrficas 78
encarga de coordinar la notificacin de incidentes a la organizacin.
CREACION DEL CSIRT - UTPL Se mantiene repositorios de los datos de incidentes. Con una buena organizacin del equipo se pueden desarrollar polticas, prcticas y procedimientos para el manejo de incidentes. Este Equipo Centralizado Interno modelo permite mantener una Si este modelo es implementado en zonas pueden separadas existir geogrficamente, para la puede resultar difcil.
infraestructura que se dedica al manejo de incidentes. Proporciona personal capacitado para la respuesta a incidentes. Mantiene un repositorio de
dificultades
coordinacin de actividades. Un equipo CSIRT se encarga de la seguridad de la organizacin, pero
vulnerabilidades e incidentes atendidos.
existirn algunas unidades operativas que presumirn que el CSIRT se encargar de todos los eventos de seguridad, y ellos no se preocuparn de estos temas. Dificultades para obtener financiamiento. El equipo podr no contar con el personal necesario para las diferentes actividades.
Proporciona un CSIRT compuesto de Equipo Combinado (Centralizado - Distribuido) profesionales y una red de unidades operativas.
Dificultar
para
coordinar
todas
las
divisiones geogrficas de la empresa. Equipo centralizado puede parecer 79
CREACION DEL CSIRT - UTPL Los miembros del equipo distribuido proporcionan apoyo al equipo aislado de la organizacin. Dificultad para obtener presupuesto para implementar cada rea de la empresa que forma parte del CSIRT. conforma el rea Puede existir retraso en el envo de informacin y de respuestas puesto que existen reas que son geogrficamente distantes.
centralizado en lo relacionado con los sistemas locales. El equipo que
centralizada sintetiza la informacin para poder realizar un anlisis y brindar respuestas a la organizacin. Se mantienen repositorios de incidentes, vulnerabilidades y artifacts. Proporciona un equipo de profesionales Centro de Coordinacin que se encargan de la coordinacin y de proporcionar estabilidad y experiencia en el manejo de incidentes. Proporciona un punto estable para la coordinacin de tareas. Existe un punto central para el anlisis de informacin y determinar pautas para toda la comunidad.
Es difcil coordinar actividades con todas las comunidades que se encuentran dispersas. Es difcil asegurar que todas las
entidades dentro de la organizacin a la que se presta servicios respondan a informes de incidentes y
recomendaciones. No se puede asegurar que las alertas de seguridad y anuncios se distribuyan a las organizaciones.
80
Discusin
El esquema organizacional es un punto importante que debe tomarse en cuenta durante la fase de creacin de un Equipo de Respuesta a Incidentes, todos los modelos excepto el modelo de Equipo de Seguridad, son alternativas para ser tomadas en cuenta en el proceso de creacin de un CSIRT, cada modelo presenta alternativas para la eleccin de servicios y personal que se deben tomar en cuenta. EL modelo de Seguridad es el modelo que actualmente se encuentra implementado en la UTPL, a travs del Grupo de Seguridad (www.utpl.edu.ec/seguridad), se maneja un portal web en el que constantemente se realiza la publicacin de varios boletines sobre notas de seguridad, e informacin de los diferentes proyectos que estn siendo realizados por docentes investigadores, tesistas y estudiantes de gestin productiva, parte de las tareas del grupo de Seguridad UTPL incluyen el analizar las diferentes iniciativas de seguridad, planificacin de eventos acadmicos, proyectos de investigacin, etc. A pesar de que se cuenta con un Equipo de Seguridad no se ha implementado actividades de atencin y respuesta a incidentes de manera formal, como se ha dicho anteriormente se realizan actividades de atencin de incidentes de manera reactiva. El modelo organizacional que se sugiere implementar en el Equipo CSIRT - UTPL, es el modelo Centralizado Interno, inicialmente los servicios que brinde estarn dirigidos principalmente a los funcionarios que laboran en el campus de la UTPL, posteriormente el modelo a implementar ser el Interno Distribuido por cuanto se incluir a los centros regionales a nivel de todo el pas incluyendo tambin los centros asociados.
81
82
5.
PASOS PARA LA CREACIN DE UN CSIRT
OBJETIVO
Estudiar los diferentes documentos publicados sobre la creacin de CSIRTs que nos permitir avanzar con la creacin del CSIRT-UTPL.
Antes de detallar los pasos que se han propuesto en algunos documentos para la creacin de CSIRT primero se definirn los elementos que se debe tomar en cuenta para implementar un CSIRT. Para implementar un CSIRT, se deben responder a algunas interrogantes como: Qu tipo de Estructura Organizativa se va a implementar para el CSIRT? Qu tipo de CSIRT se va a implementar y los servicios va a ofrecer? En qu lugar va a estar ubicado el CSIRT dentro de la organizacin? No existe una manera definida que indique cmo crear un CSIRT, pero de acuerdo a la experiencia de otros equipos la implementacin depende del tipo de organizacin, existen algunos documentos que presentan varias pautas que se deben tomar en cuenta para lograr implementar de manera exitosa un CSIRT. Algunos de los documentos publicados son: Creating a Computer Security Incident Response Team: A process for Getting Started [21] . - Documento publicado por el CERT/CC y el Instituto de Software de la Universidad de Carnegie Mellon, hace referencia a ocho pasos bsicos de alto nivel que se deben tomar en cuenta al momento de disear un CISRT. Los pasos que se citan en este documento tienen como objetivo obtener apoyo financiero de la organizacin, determinar el plan estratgico para definir cmo va a funcionar el CSIRT, obtener toda la informacin relevante de la organizacin y buscar la manera de hacer conocer la visin, servicios y objetivos del CSIRT a otros equipos. RFC 2350 Expectations for Computer Security Incident Response [22]. Documento que describe un conjunto de temas que se deben tomar en cuenta 83
CREACION DEL CSIRT - UTPL para formar un CSIRT. Este documento detalla algunos de los servicios que brinda un CSIRT uno relacionado con la respuesta y el soporte a incidentes, con toda la informacin que se obtiene de la organizacin se levanta un documento que proporciona toda la informacin del equipo como el nombre, comunidad a la que est dirigido, el tipo de servicios que brinda, como reportar incidentes al equipo, etc., este documento es enviado a los dems equipos para dar a conocer el CSIRT que se ha creado en la organizacin. Para la Creacin del Equipo CSIRT UTPL se estudiar el documento Creating a Computer Security Incident Response Team: A process for Getting Started, El RFC 2350 ser utilizado para realizar la publicacin del documento de presentacin del equipo CSIRT-UTPL.
5.1.
CREATING A COMPUTER SECURITY INCIDENT RESPONSE TEAM: A PROCESS FOR GETTING STARTED CERT/CC
Los pasos que este documento describe y propone son: Obtener el Apoyo de la Organizacin para la planificacin e implantacin del CSIRT. Determinar el plan estratgico del CSIRT. Obtener Informacin Relevante. Disear la Visin del CSIRT. Comunicar la Visin y el Plan Operativo del CSIRT. Comenzar la implementacin del CSIRT Anunciar que el CSIRT est en Funcionamiento. Evaluar la Efectividad del CSIRT. 5.1.1. Obtener Apoyo de la Organizacin para la planificacin e Implantacin del CSIRT. Es importante contar con el apoyo de la gerencia tanto para la planificacin y puesta en marcha del CSIRT, el mismo que viene dado en la previsin de recursos y soporte econmico,. 5.1.2. Determinar el Plan Estratgico del CSIRT
84
CREACION DEL CSIRT - UTPL Consiste en detallar todas las acciones que se llevaran a cabo para el cumplimiento de las actividades de implementacin del CSIRT, se toman en cuenta cuestiones administrativas y de gestin del proyecto. Algunas de las actividades que consideran son: Definir un plazo de tiempo para el funcionamiento del CSIRT. Que personas formarn parte del Equipo, (Administradores de sistemas, responsables de redes y sistemas, recursos humanos, representantes del departamento legal, etc.) Que hacer para que la organizacin y otros equipos tengan conocimiento del CSIRT, que servicios brinda, esto se puede a travs de comunicados, etc.
5.1.3. Obtener Informacin Relevante Consiste en identificar qu informacin se necesita para saber cmo implementar un CSIRT, realizar entrevistas y reunirse con los interesados para discutir sobre las expectativas sobre qu es y que hace un CSIRT. Las personas con las que se puede mantener entrevistas pueden ser los gerentes de la organizacin, los representantes del grupo de tecnologas de Informacin, departamento legal, y todas las personas involucradas en la implementacin del CSIRT. Algunos recursos para la recoleccin de informacin son. Organigramas y funciones especficas que se realizan en la organizacin. Planes existentes de recuperacin de desastres y continuidad del negocio. Instrucciones existentes para notificar a la organizacin sobre el
incumplimiento de alguna poltica para la seguridad fsica. Planes de respuesta a incidentes. Polticas internas en la organizacin, y procedimientos de seguridad existentes. Recabar toda esta informacin proporciona una visin general de las polticas
existentes a las cules se puede incrementar las polticas del CSIRT, conocer los aspectos crticos que se debe proteger, conocer tambin los problemas de seguridad existentes, adicionalmente se puede investigar sobre otros equipos CSIRT a nivel mundial. Si es posible se puede mantener contacto con ellos y conversar sobre cmo se form el equipo, es recomendable revisar los sitios web de otros equipos y as revisar su estructura, su misin, objetivos, etc. 85
CREACION DEL CSIRT - UTPL 5.1.4. Disear la visin del CSIRT Para disear la visin del CSIRT es importante que se haya revisado toda la informacin de la organizacin, mientras se estudia toda la informacin se puede ir estableciendo las metas, funciones y objetivos que se quiere alcanzar. En esta fase se pueden tambin presentar nuevos requerimientos de informacin adicional, etc. Para disear la visin del CSIRT se debe responder a algunas interrogantes como: Qu Hacer, Para Quin, En qu entorno y en cooperacin con Qu, todas estas interrogantes resumen lo que constituye el plantearse la visin del CSIRT, que est definida por los siguientes aspectos: Misin del Equipo Contituency21 Lugar en la organizacin Relacin con otros equipos 5.1.4.1. Misin del Equipo
En toda organizacin es importante definir una misin, sin esta sera imposible saber a dnde quiere llegar. La misin consiste en proponerse metas altas, objetivos bien definidos y conocer cules son los propsitos del equipo.
Figura 12: Estructura de la Misin de un CSIRT
21
Contituency: Comunidad a la que van dirigidos los servicios de un CSIRT
86
CREACION DEL CSIRT - UTPL Como se aprecia en la figura de la Misin de un Equipo se derivan tres aspectos esenciales: servicios, polticas y calidad, cada uno de estos puntos ayudan a cumplir el propsito de la misin. Servicios.- Son todos los mtodos que se utilizan para llevar a cabo la misin del equipo y de acuerdo a la clasificacin de los mismos (Reactivos, Proactivos y Servicios de Gestin de Calidad de la seguridad), son los que se brindan a la organizacin de acuerdo a su situacin actual. Polticas.- Son los principios que rigen el funcionamiento del equipo y que son aprobados por el equipo y por la organizacin. Las polticas deben ser aplicables, claramente establecidas y comprendidas por todos los miembros de la organizacin. Procedimientos.- Son el detalle de cmo un equipo difunde las actividades que realiza, los mismos que son basados en las polticas establecidas. Calidad.- La calidad est basada en estndares, estos deben ser aplicados en todas las actividades que realiza el CSIRT, comenzando por la misin, polticas, servicios y procedimientos. La misin del equipo no debe ser ambigua debe estar compuesta mxima de tres o cuatro frases, puede servir de ayuda el revisar la misin de otros equipos CSIRT, por ejemplo la misin del CLCERT (CERT de Chile) es: El CLCERT tiene como misin monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia stos. Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinacin entre instituciones y personas relacionadas del medio local. [24] 5.1.4.2. Contituency
La Contituency comprende la comunidad a la que el CSIRT va a brindar sus servicios, puede definirse de cualquier manera, puede orientarse solamente a los empleados de la empresa, a usuarios de un determinado sistema operativo, etc., adicionalmente a ms de establecer los servicios que se va brindar se debe establecer cmo el CSIRT se va a relacionar con la comunidad, esto se define de acuerdo a los siguientes aspectos 87
CREACION DEL CSIRT - UTPL Autoridad Completa.- Brinda servicios completos a la comunidad, si existe alguna emergencia el CSIRT tiene toda la autoridad de tomar decisiones y emprender las acciones que sean necesarias para resolverlo. Autoridad Compartida.- Asesora a la comunidad y participa en la toma de decisiones, ayuda a la coordinacin y respuesta de incidentes. No
necesariamente se hace todo lo que sugiere el CSIRT. Ninguna.- No tiene autoridad sobre la comunidad, slo actan como asesores. Luego de definir estos aspectos se procede a dar a conocer a la comunidad el CSIRT mediante comunicados, listas de correo, etc. 5.1.4.3. Lugar en la Organizacin
Luego de que se ha definido la misin del equipo y la comunidad a la que va a brindar servicios, se procede a definir la estructura y modelo organizacional del CSIRT, la estructura organizacional comprende el lugar que ocupar el CSIRT en el organigrama de la organizacin, el modelo organizacional comprende la seleccin del modelo que se adapta mejor a la organizacin, los mismos que se analizaron en el captulo anterior. 5.1.4.4. Relacin con otros Equipos.
Brindar cooperacin y establecer contactos con otros equipos, los CSIRT no pueden trabajar solos, es importante la comunicacin con otros equipos, independientemente de los servicios que brindan y la comunidad a la que van dirigidos es importante que se mantenga un contacto para compartir informacin, ya que el xito de un CSIRT est en hacerse conocer con otros equipos. 5.1.5. Comunicar la Visin y el Plan Operativo del CSIRT Consiste en comunicar a toda la organizacin y a personas externas la visin y los planes del CSIRT. Esto ayuda a que la informacin sea revisada, y en base a las sugerencias recibidas realizar cambios en la forma de implementacin, de recabar informacin que se pas por alto y as realizar ajustes en la estructura de un CSIRT. 5.1.6. Comenzar la Implementacin del CSIRT En esta etapa se debe comenzar con: 88
CREACION DEL CSIRT - UTPL Contratacin y capacitacin del Personal, en este apartado se debe tomar en cuenta si el personal que va a trabajar se ajusta a los servicios que brindar el CSIRT o los servicios del CSIRT deben adaptarse al personal. Comprar equipo y ver la infraestructura de red, es importante porque el equipo CSIRT debe tener acceso a equipo bsico de computo para desarrolla sus funciones, la infraestructura para el funcionamiento del CSIRT debe ser un lugar seguro fsicamente en donde se puedan realizar reuniones con el equipo, que posea un rea de oficina y sobre todo que sea un rea restringida por el tipo de informacin que se maneja, aparte de tomar en cuenta las normas de seguridad para el espacio fsico se debe tomar en cuenta tambin normas para el uso de los equipos, usar herramientas de seguridad como antivirus, firewalls, programas anti espas, etc. Establecer el tipo de servicios que va a brindar el CSIRT, que son servicios reactivos, proactivos, de valor aadido, siempre tomando en cuenta que un CSIRT brinda servicios relacionados con el manejo de incidentes. Desarrollar polticas y procedimientos iniciales del CSIRT para respaldar sus servicios. En la elaboracin de las polticas se debe explicar el tipo de incidentes, el soporte y el apoyo que se va a brindar a la comunidad, se debe incluir la forma en cmo se va a comunicar la informacin y la cooperacin que se va a tener con otros equipos, la interaccin que tiene un equipo con otros es importante, por ejemplo si en una universidad existe un CSIRT este puede relacionarse con el CISRT nacional de su pas para mantener comunicacin con respecto a incidentes y este a su vez con un CSIRT de otra organizacin, para compartir informes de incidentes a gran escala. Desarrollar formularios para la informacin de incidentes, estos incluyen informacin que describe el mecanismo de enviar los informes, este puede ser por telfono, correo electrnico, enviando un formulario web u otro mecanismos. El procedo para informar un incidente incluye una descripcin detallada de los mecanismos para presentar los informes, indicando adems la existencia de llaves PGP cuando se realiza el envo de informacin mediante correo electrnico. 5.1.7. Anunciar que el CSIRT est en funcionamiento.
89
CREACION DEL CSIRT - UTPL En los anuncios de informacin debe incluir informacin de contacto; horarios de funcionamiento del CSIRT, formularios para reportar incidentes, misin y objetivos del equipo. Para anunciar que el CSIRT est en funcionamiento se realizar la publicacin de toda la informacin referente al CSIRT basados en la norma RFC 2350, y que debe ser recibida por la comunidad a la que se va a brindar servicios. 5.1.8. Evaluar la Efectividad del CSIRT Es necesario evaluar si el equipo est cumpliendo con los objetivos por los cules fue creado, algunas maneras de realizar la evaluacin son: Puntos de referencia para comparacin con otros CSIRTs A travs de encuestas para los miembros de la organizacin, etc. Aprender de la experiencia de otros CSIRTs Antes de implementar el CSIRT es bueno tener documentacin sobre los incidentes que se reportan para luego con la implementacin del CSIRT realizar una comparacin y demostrar el buen funcionamiento del CSIRT a travs de la: Informacin de la cantidad de Incidentes Reportados El tiempo de respuesta o la vigencia de un incidente Nmero de incidentes resueltos exitosamente. Tcnicas de prevencin y prcticas de seguridad establecidas.
Aplicados todos estos pasos para la creacin de un CSIRT es necesario tomar en cuenta un punto importante que es el del financiamiento del equipo, el costo para implementar un CSIRT vara dependiendo de los recursos, servicios, el tipo de estructura del CSIRT, etc., inicialmente los CSIRTs cuentan con el apoyo de la gerencia de la organizacin en la que va a ser implementado, pero luego de acuerdo a como va pasando el tiempo es necesario ver otras formas de financiamiento, algunas estrategias que se pueden aplicar son: Ofrecer servicios con el pago de honorarios base. Buscar patrocinio gubernamental, acadmico o de investigacin. Brindar capacitaciones, cursos de entrenamiento en seguridad de informacin, etc. 90
5.2.
ESTRUCTURA DEL DOCUMENTO RFC 2350
En esta apartado vamos a hacer referencia al documento RFC 2350, de acuerdo a este documento se debe realizar la publicacin de toda la informacin referente al CSIRT y que debe ser recibida por la comunidad a la que se va a brindar servicios, el documento presenta la siguiente estructura: 1. Informacin del Documento 1.1 Fecha de la ltima actualizacin 1.2 Listas de Distribucin 1.3 Ubicacin del documento 2. Informacin de contacto 2.1 Nombre del Equipo 2.2 Direccin 2.3 Zona horaria 2.4 Nmero de telfono 2.5 Nmero de Fax 2.6 Otras Comunicaciones 2.7 Direccin de Correo Electrnico 2.8 Llaves pblicas y encriptacin de la informacin. 2.9 Miembros del Equipo 2.10 Horario Local 2.11 Puntos de Contacto para los clientes 3. Constitucin 3.1 misin 3.2 Comunidad a la que va dirigido 3.3 Patrocinio / Afiliacin 3.4 Autoridad 4. Polticas 4.1 Tipo de incidentes nivel de soporte 4.2 Cooperacin, interaccin y divulgacin de la Informacin. 4.3 Comunicacin y Autenticacin 5. Servicios 5.1 Respuesta a Incidentes 91
CREACION DEL CSIRT - UTPL 5.1.1. Funcin Triage 5.1.2. Coordinacin del incidente 5.1.3. Resolucin del Incidente 5.2 Actividades Proactivas 6. Formulario para reportar incidentes 7. Disclaimer22
De manera general la informacin que se publica consiste en lo siguiente. 1. Informacin del Documento Cuando se va a presentar el documento este debe incluir la fecha de las ltimas actualizaciones que se realizan al documento, incluye listas de notificacin de cualquier cambio que se realiza y de envo de informacin actualizada a todas las personas que se encuentran en una lista de correo especfica del CSIRT finalmente se indica la direccin electrnica en donde se puede encontrar el documento, para que este puede ser accesible en lnea. 2. Informacin de Contacto Hace referencia a los principales datos de la organizacin, tales como nombre del equipo, direccin, nmero de telfono, fax, direccin de correo electrnico, la lista de nombres de los miembros que conforman el equipo, horarios de atencin, puntos de contacto, zona horaria y llaves pblicas para encriptar la informacin.
3. Constitucin Informacin acerca de la misin, la comunidad a la que van dirigidos los servicios que presta, quien patrocina y auspicia al equipo y bajo que autoridad se encuentran.
4. Polticas
22
Disclaimer: descargo de responsabilidad; nota; aclaracin; advertencia; clusula de proteccin; clusula de renuncia.
92
CREACION DEL CSIRT - UTPL La definicin de polticas en un CSIRT es muy importante, de estas depende el buen funcionamiento del equipo, estas deben ser comunicadas a toda la comunidad a la que el CSIRT brinda servicios. Es importante tomar en cuenta en las polticas los mtodos de comunicacin segura que se implementar, debe incluir claves pblicas PGP u otros mecanismos existentes. 5. Servicios Los servicios que ofrece un CSIRT van de acuerdo a cmo se va a responder a incidentes y las actividades proactivas que se van a implementar. La respuesta a incidentes incluye algunas funciones como la evaluacin de los informes de incidentes y el seguimiento de los mismos, la coordinacin de incidentes y la notificacin de incidentes y polticas a otros involucrados, finalmente se considera la resolucin de incidentes que consiste en brindar asistencia total sobre cmo eliminar un incidente, la explotacin de estas vulnerabilidades y el estudio de los efectos que estas pueden causar, brinda ayuda en la recuperacin de los sistemas afectados. Las actividades proactivas estudiadas anteriormente incluyen herramientas de seguridad, la capacitacin en la resolucin de incidentes, etc.
6. Formulario para Reportar Incidentes Es importante mantener un formulario para el reporte de incidentes, este formulario contiene toda la informacin importante sobre los incidentes que se han encontrado para poder hacer frente a los mismos de manera oportuna, y prevenirlos en otros equipos. El CERT/CC en uno de sus artculos publica una gua para Reportar Incidentes [25], el objetivo de este documento es sugerir algunos pasos que se pueden seguir para reportar incidentes. Varios puntos que se deben tomar en cuenta son: El tipo de actividad que puede reportar: en el informe se debe incluir que tipo de incidentes los usuarios pueden reportar algunos incidentes pueden ser: Acceso no autorizado a los sistemas, el uso no autorizado de sistemas, cambios en el hardware o software, entre otros. La Prioridad que se da a los incidentes: Existen ocasiones en las que se incrementa el nmero de reportes de incidentes, para estos casos se 93
CREACION DEL CSIRT - UTPL debe dar prioridad a los ms urgentes, los reportes que pueden ser considerados emergencias pueden ser: Ataque a la red de internet entre estos Servidores de nombre de dominio, Puntos de acceso de red, ataques a sitios de internet, etc., todo esto de acuerdo a los servicios que brinda el equipo. Es importante realizar reportes de vulnerabilidades porque de esa manera se recibe ayudas tcnicas por parte de otros CSIRTs, a travs de esta informacin se puede establecer contacto con otros equipos, es importante tomar en cuenta que la relacin con otros CSIRTs puede ser de dos formas, ya sea trabajando de manera conjunta y as compartir informacin, o simplemente mantener un contacto para que brinden asesoramiento o informacin Si se enva la informacin por correo electrnico la informacin se enva utilizando mtodos para asegurar la seguridad de la informacin utilizando algoritmos de encriptacin, tales como: o Una llave pblica PGP (Pretty Good Privacy), es una llave que provee privacidad de la informacin que es enviada por la organizacin y verifica la autenticacin de los mensajes que son enviados por el CSIRT. o Otro mtodo que se utiliza es el DES (Data encryption Standard) permite establecer un canal de comunicacin segura para el intercambio de mensajes, esto se realiza mediante una llamada telefnica. 7. Disclaimer Es importante incluir clusulas de renuncia de responsabilidades, existen casos en los que realiza la traduccin de documentos de otro idioma, esta traduccin debe llevar una clusula de extensin de responsabilidad y un enlace a la versin original del documento.
94
Discusin
Existen varios documentos que describen los pasos sugeridos para la creacin de CSIRTs, el nmero de pasos en otros documentos en menor, pero el resultado es el mismo, con la ejecucin de estos pasos se logra definir la misin, servicios, estructura organizacional, comunidad a la que brinda servicios y el nivel de autoridad que va a ejercer, la ejecucin de cada uno de los pasos no cambia, lo que cambia es el tipo de organizacin en el que es aplicado y por ende la informacin que maneja cada una. En el transcurso del proceso de creacin del CSIRT puede darse el caso que sea necesario volver a revisar los pasos anteriores e incluir informacin que se pas por alto y que debe ser tomada en cuenta, una vez redactada la visin del equipo es recomendable que se la presente a los miembros de la organizacin para su revisin y aprobacin, inicialmente se redactar una misin limitada, pero de acuerdo al avance del equipo esta ir cambiando al igual que los servicios que brinde el Equipo. Para algunas organizaciones el concepto de los Equipos CSIRT es nuevo, en la mayora de sectores se posee grupos de seguridad que se encargan de brindar atencin a incidentes, y otras actividades relacionadas a la seguridad de los sistemas, pero como se haba indicado anteriormente en un CSIRT se realizan actividades ms formales de atencin a incidentes, es decir actividades proactivas y no solamente de respuesta, sino que se preparan y estn alertas para dar soluciones.
95
96
6.
CREACIN DEL CSIRT UTPL
Estudiada toda la informacin necesaria sobre los Equipos de Respuesta a Incidentes la fase de creacin del CSIRT-UTPL tomar como base los ocho pasos explicados anteriormente, el primer paso a realizar consiste en realizar la propuesta de creacin del Equipo CSRIT-UTPL, luego se seguir con los pasos que se indican a continuacin: Plan estratgico de actividades. Recoleccin de informacin Relevante de la UTPL. Diseo de la Visin del CSIRT UTPL Comunicar la Visin y el Plan Operativo del CSIRT Implementacin del CSIRT UTPL Anunciar y Comenzar la operacin del CSIRT - UTPL Evaluar la efectividad del CSIRT UTPL
6.1.
PROPUESTA DE CREACIN DEL CSIRT-UTPL
Propuesta presentada como proyecto de Tesis, el mismo que fue aprobado por el Ing. Nelson Piedra, Director de la Escuela de Ciencias de la Computacin de la UTPL. (Ver Anexo 2: Proyecto de Tesis)
6.2.
PLAN ESTRATEGICO
Se ha realizado el plan estratgico con la finalidad de establecer las actividades que se tomarn en cuenta para la creacin de equipo, con cada una de las actividades que se han planificado se pretende alcanzar varios objetivos, cada uno los cules ser un paso para alcanzar el objetivo final, definir los pasos de creacin del CSIRT UTPL. Las primeras actividades tomadas en cuenta son relacionadas con el estudio terico de los conceptos fundamentales de los Equipos de Respuesta a Incidentes, se toma en cuenta el anlisis de los diferentes equipos CSIRT a nivel mundial, una vez manejados los conceptos fundamentales se realizarn las siguientes actividades:
PLAN DE ACTIVIDADES
97
CREACION DEL CSIRT - UTPL Aplicar encuestas a los Administradores de Servidores para conocer la situacin actual de los sistemas de la universidad. Tarea que tiene como objetivo conocer el tipo de incidentes que se reportan con mayor frecuencia en la UTPL y saber a quin se reportan. La aplicacin de encuestas servir para poder definir los diferentes servicios que el CSIRT-UTPL brindar al personal de la Universidad. El formato de las encuestas aplicadas se encuentra en el Anexo 3: Formato de Encuestas. Redactar la visin del CSIRT El objetivo de esta fase es la de formular la visin del CSIRT en este documento se redactar la misin del equipo, la comunidad a la que va a brindar servicios, el modelo organizacional, el financiamiento y la forma de comunicar la existencia del equipo a otros grupos. Definir los Servicios del CSIRT El objetivo de esta actividad es establecer los servicios que se van a brindar en el Equipo CISRT UTPL. Personas que formarn parte del Equipo. Definir de acuerdo a las necesidades del CSIRT, el equipo de personas que formarn parte del equipo de trabajo, a ms de las caractersticas que se mencionan en la Fase I, los miembros del equipo deben formar parte de diferentes reas que sern definidas dentro del equipo. Definicin de Polticas. El objetivo de esta actividad ser la definicin de las polticas que se tomarn en cuenta para el adecuado funcionamiento del CSIRT-UTPL.
Implementacin Todas las actividades sealas anteriormente contribuirn a la implementacin del Equipo CSIRT-UTPL, para cumplirla se deber realizar una propuesta que ser entregada al Gerente de Proyectos de la UTPL para su revisin y posterior
aprobacin, en esta fase de debe elaborar un proyecto piloto para la implementacin del CSIRT-UTPL. 98
CRONOGRAMA DE ACTIVIDADES
Meses Actividades
Recopilacin de Informacin relativa a los CSIRTs Estudio de los diferentes Equipos CSIRTs a nivel mundial Feb. X Mar. X Abr. X X X May. Jul. Ago.
Realizar Encuestas a Administradores

de Servidores
Estructura de la Visin del CSIRT-UTPL Definicin de los Servicios y personal que formar parte del CSIRT-UTPL Definicin de Polticas CSIRT-UTPL
X X
6.3.
INFORMACION DE LA UTPL
La informacin que se presenta a continuacin acerca de la UTPL fue tomada de la revista Institucional [26] en la que se describe detalladamente la Historia, Estructura y los diferentes CITTES por los que est conformada la UTPL. La Universidad Tcnica Particular de Loja (UTPL) fue fundada el 3 de mayo de 1973, es administrada actualmente por la Comunidad de Misioneros y Misioneras Identes. Mediante decreto publicado en el Registro oficial se constituye como persona jurdica autnoma con finalidad social y pblica, pudiendo impartir enseanza, desarrollar investigaciones cientfico administrativas, participar en los planes de desarrollo del pas, otorgar, reconocer y validar grados acadmicos y ttulos profesionales y, en general realizar las actividades propias para la consecucin de sus fines. Desde el ao 2002 la UTPL se aprueba su nuevo estatuto que rige hasta la actualidad, este establece que la UTPL brinda educacin superior de pre y postgrado a travs de las modalidades de estudio Presencial, Abierta y a Distancia, con sus variantes: a distancia tradicional, Semipresencial y Virtual. Visin 99
CREACION DEL CSIRT - UTPL Se basa en el Humanismo Cristiano que propugna una universidad potenciadora, conforme a la dignidad que el ser humano tiene como Hijo de Dios, que hace que la universidad acoja, defienda y promueva en la sociedad, el producto y la reflexin de toda experiencia humana. Misin Buscar la verdad y formar al hombre, a travs de la ciencia para que sirva a la sociedad Valores institucionales de la UTPL: Asumir con fidelidad la misin y la visin Espritu de Equipo Actitud de Gestin y Liderazgo Flexibilidad Operativa Humildad Socrtica La UTPL ha puesto en marcha los Centros de Transferencia de Tecnologa, Extensin y Servicio CITTES, su funcin es el servicio a la sociedad y se encuentran agrupados de la siguiente manera:
Figura 13: Estructura de los CITTES-UTPL
6.4.
SITUACION ACTUAL - UTPL
Fsicamente la UTPL cuenta con un campus universitario, en el que se encuentran distribuidos todos los CITTES y dependencias de la universidad. 100
CREACION DEL CSIRT - UTPL El personal de la UTPL est clasificado de acuerdo a diferentes roles y funciones, en Autoridades, Administradores, Departamento Financiero, Secretarias, Directores, Docentes y Estudiantes. La diversidad de usuarios y servicios constituye un riesgo, por un lado estn los usuarios como clientes de los sistemas y por otro lado los estudiantes y docentes como investigadores o generadores de informacin, lo que limita las polticas y controles a implementar ocasionando que una gran parte de la informacin pueda estar en riesgo. De acuerdo a las encuestas realizadas a los administradores de servidores de: Sistema Financiero Redes Servidor Web Antivirus Base de Datos Sistema Acadmico NOC/SOC Se pudo conocer los siguientes aspectos que se han clasificado de la siguiente manera, a nivel general: La mayora de incidentes son de origen interno, en el caso de los administradores del Servidor WEB tambin son de origen externos mediante la ejecucin de cdigo malicioso. En lo relativo a: Anlisis de Seguridad En todos los servidores se realizan anlisis de seguridad de la siguiente manera: Verificacin de respaldos, procesamiento de transacciones del sistema acadmico y monitoreo de claves. En el NOC/SOC se realiza escaneo de vulnerabilidades cuando se detecta alguna anomala. Uso de las Herramientas OSIM y OSIRIS.
101
CREACION DEL CSIRT - UTPL Se realizan tareas de proteccin como actualizacin de IDS en equipos que soporten encriptacin y configuraciones como: cierre de puertos, permisos a diferentes redes, y uso de ACL. (administrador de Red). En los servidores de bases de datos se realizan anlisis a nivel de cuentas de base de datos y de sistema operativo. Reporte de Incidentes de Usuarios Los incidentes que se reportan a nivel de administradores de servidores en su mayora son relacionados a problemas red, modificacin de pginas web, denegacin de servicios, ataques de virus y errores en entrada de datos, de acuerdo al cuadro que se indica a continuacin:
Incidentes Reportados
32,26 35,48 26,88
1,075 Problemas de Red
4,3
Modificacin de Denegacin de Ataques de Virus Errores en pginas web Servicios entrada de datos o de programacin (base de datos)
Figura 14: Incidentes Reportados en la UTPL
Los incidentes que ocurren en el Sistema financiero son reportados al Administrador de BAAN y Proveedores del Software Novatech. Los incidentes que se dan en el servidor de base de datos se reportan a los encargados del sistema de gestin acadmica.
A nivel de usuario final la mayora de incidentes que se reportan especialmente a los grupos de Soporte Tcnico y Telecomunicaciones son: Ataques de Virus, problemas de red y correo electrnico. Incidentes de Seguridad
102
CREACION DEL CSIRT - UTPL En el ao 2007 el servidor WEB de la universidad fue hackeado cuatro veces, las causas fueron errores a nivel de programacin y fallas en la red en cuanto a permisos y algunos puertos habilitados. Uso de Polticas De acuerdo a las encuestas aplicadas a los administradores de servidores de la UTPL, se pudo conocer que se aplican polticas de contraseas, respaldos, planes de contingencia, entre otras, de acuerdo al cuadro que se indica a continuacin.
86%
43% 29% 14% 29% 29% 29%
Figura 15: Polticas aplicadas actualmente en la UTPL
De manera detallada en cada grupo se aplican las siguientes polticas: En el grupo de Telecomunicaciones se han definido polticas de uso de recursos y de seguridad para los usuarios, las mismas que estn en proceso de aprobacin, se han definido tambin polticas para los administradores pero estas carecen de mecanismos de control. En el grupo de Soporte Tcnico manejan polticas para: Manejo de contraseas tanto de red como del equipo. Polticas de respaldo de informacin. Polticas de antivirus. 103
CREACION DEL CSIRT - UTPL El servidor del Sistema Financiero (BAAN) no tiene en la actualidad problemas de virus por cuanto es un servidor con sistemas UNIX AIX. Existen polticas que han sido realizadas en base a la norma ISO 17799 para que sean aplicadas en toda la universidad pero actualmente se encuentran en proceso de aprobacin. La mayora de polticas que se manejan internamente en los grupos son conocidas pero lamentablemente no son aplicadas por falta de auspicio o por descuido de los usuarios. Herramientas para el reporte de incidentes El grupo de Soporte Tcnico maneja un HELPDESK para llevar el registro de incidencias diarias pero actualmente no est en funcionamiento. El grupo de Telecomunicaciones utiliza la herramienta OSSIM, la misma que est compuesta por un grupo de herramientas de trfico y monitoreo de seguridad. Administrador del Sistema Financiero, si los incidentes que ocurren son de la aplicacin se reportan al proveedor a travs del portal web de los mismos. Administrador de Base de Datos, mantienen una bitcora para obtener respaldos y si sucede algn incidente se registra en esta bitcora. A nivel de Administradores las herramientas que se utilizan son: o o o o Firewalls Sistema de deteccin de intrusiones Herramientas de Monitoreo Herramienta OSIRIS
Planes de Contingencia Administrador de Servidor de base de Datos: no mantienen un plan documentado pero se conoce las acciones que deben tomar en caso de suceder un incidente. Los administradores del Sistema financiero cuentan con un servidor para el respaldo de datos. Actualmente se estn implementado planes de contingencia y deteccin de vulnerabilidades (Adm. de Sistema BAAN). Estadsticas 104
CREACION DEL CSIRT - UTPL A nivel general no se llevan estadsticas de los incidentes que ocurren en la universidad en ningn nivel. No hay un departamento que se encargue de recolectar todas los incidentes de los dems grupos y de llevar un registro general de los sucesos de la universidad. Cabe indicar que al no tener registros tampoco se puede hacer un seguimiento total de lo que ocurre, adems no hay un rea formal para reportarlos. VISION DEL CSIRT UTPL
6.5.
Para definir la visin del CSIRT tomaremos en cuenta principalmente la situacin actual de la universidad, en este apartado definiremos: Misin, objetivos y metas del Equipo Comunidad a la que el CSIRT UTPL va a brindar servicios El lugar que va a ocupar el CSIRT UTPL en la organizacin La relacin del CSIRT UTPL con otros equipos. 6.5.1. Misin CSIRT UTPL Promover la investigacin en temas de seguridad, para de esta manera tomar medidas preventivas, establecer procesos de respuesta que sean eficientes para mitigar los posibles daos que cualquier incidente ocasione en los sistemas de informacin de la UTPL. Funciones Realizar actividades preventivas tales como: Capacitacin, difusin de alertas recibidas por informes de otros CSIRT, implementacin de polticas de seguridad de la informacin. Recibir reportes de los diferentes incidentes que ocurran en los departamentos de la universidad. Facilitar respuestas inmediatas para solucionar el problema. Llevar un grupo formal de investigacin que aporte al equipo en la identificacin y solucin de problemas. Atencin de incidentes.
105
CREACION DEL CSIRT - UTPL Objetivos Formar parte del Forum of Incident Response and Security Teams (FIRST) Incrementar los niveles de seguridad en la UTPL, mediante el uso de polticas que sean conocidas y aplicadas por todos los usuarios. Convertirnos en un punto de apoyo para la creacin de nuevos CSIRTs en nuestro pas. Conformar un grupo de investigacin en temas de seguridad de la informacin. 6.5.2. Comunidad a la que el CSIRT va a brindar Servicios Principalmente el CSIRT UTPL brindar servicios al personal docente y administrativo de la Universidad, posteriormente extender sus servicios a los alumnos y a las diferentes extensiones y centros asociados de nuestro pas. 6.5.3. Lugar que ocupar el CSIRT UTPL en la Estructura Organizacional Para definir la estructura organizacional definiremos tambin los siguientes aspectos: Modelo organizacional El modelo organizacional ser el Interno Centralizado, lo que significa que el equipo tendr plena responsabilidad del manejo de los incidentes y
vulnerabilidades que se presentan en la organizacin, tiene la responsabilidad de buscar soluciones y emitir informes de los incidentes y vulnerabilidades encontradas, realizando trabajos conjuntos con e equipo NOC/SOC. El personal del CSIRT se encarga de evaluar la seguridad de la organizacin, y de brindar asesora en temas de seguridad a todas las personas que son parte de la misma. Autoridad del CSIRT La autoridad ser compartida con la direccin de la UPSI, es decir la toma de decisiones se realizar mediante un trabajo conjunto entre el Equipo CSIRT y la Direccin. El CSIRT-UTPL coordinar las respuestas y brindar la asesora
adecuada para la toma de decisiones. Lugar que ocupar el CSIRT UTPL en la Estructura Organizacional 106
CREACION DEL CSIRT - UTPL De acuerdo al diagrama estructural el Equipo CSIRT-UTPL ser considerado
como un nuevo departamento que se ubicar muy cerca de la Direccin de la UPSI, el CSIRT-UTPL realizar trabajos conjuntos con el grupo NOC/SOC. Cada CITTE y los diferentes grupos por los que est conformado deben trabajar de acuerdo a los siguientes ejes: Gestin de IT: rea que cubre los diferentes servicios que brinda cada grupo. Oficina de Proyectos: rea que comprende los proyectos que se desarrollan en cada una de las unidades por las que est conformado cada CITTE. Investigacin: Conformada por todos los proyectos de tesis, doctorados, etc.
DIRECCIN UPSI EQUIPO CSIRT
ATENCION AL CLIENTE
SECRETARIA
GRUPO Telecomunic.
SIG
GESE
GDS
SOPORTE TECNICO
NOC/SOC
Figura 16: Diagrama Organizacional CSIRT-UTPL
De acuerdo a lo citado el esquema del Equipo CSIRT-UTPL est compuesto por dos grupos: Laboratorio.- Las actividades que se realizarn en el laboratorio CSIRT sern en temas de investigacin y proyectos. Equipo NOC/SOC.- Se encarga servicios reactivos, proactivos y del envo de informacin acerca de incidentes y vulnerabilidades al 107
CREACION DEL CSIRT - UTPL Laboratorio CSIRT-UTPL, de acuerdo a lo que se indica en la siguiente figura:
ESQUEMA DE FUNCIONAMIENTO CSIRT-UTPL
Figura 17: Esquema de Funcionamiento CSIRT-UTPL
6.5.4. Relacin del CSIRT UTPL con otros equipos A nivel de la mundial existen varios Equipos de Respuesta a Incidentes, la relacin con los equipos existentes es importante porque mediante la misma se puede solicitar que un equipo CSIRT ya establecido formalmente sea Sponsor para que el CSIRT de la Universidad pueda ingresar al FIRST, por el momento se ha establecido comunicaciones con CSIRT-ANTEL (Equipo de Respuesta a Incidentes - ANTEL) de Uruguay. Otra forma de mantener comunicaciones con el resto de equipos ser mediante la emisin de reportes de alertas e incidentes, as como tambin el envo de comunicados en el que se indique informacin sobre el CSIRT-UTPL, finalmente otra de las actividades ser la de mantener un portal Web en donde se publique toda la informacin relacionada con el manejo de incidentes, alertas, vulnerabilidades, etc. Dentro de la visin del equipo adicionalmente se han definido algunos aspectos que permitirn comprobar el avance del equipo: Alcance Del Proyecto o Difusin de Alertas
108
CREACION DEL CSIRT - UTPL o o o Anlisis y Manejo de Incidentes y vulnerabilidades haciendo uso de las diferentes herramientas diseadas para estos fines. Conformar un grupo de investigacin que aporte al equipo en la identificacin y solucin de problemas. Definir polticas y procedimientos para el funcionamiento interno del CSIRT-UTPL. Metas o o Formar parte del Forum of Incidente Response and Security Teams (FIRST) Conformar un grupo de Respuesta a Incidentes formal que se encargue de analizar, identificar y brindar soluciones a los incidentes que se presenten en la UTPL, haciendo uso de polticas y metodologas de resolucin de incidentes permitiendo as brindar de una mejor manera diferentes tipos de servicios a la UTPL. o o Convertirnos en un grupo proactivo, que siempre est preparado para dar soluciones en el momento oportuno y con las soluciones adecuada. Crear conciencia en los diferentes usuarios acerca de la importancia de implementar un CSIRT en la organizacin. Resultados o Equipo de personas capacitado para responder a incidentes, realizando trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologas para el manejo de incidentes y polticas internas para el grupo. o Mantener un portal WEB en el que conste un formulario para realizar un correcto reporte de incidentes y en el que se realice la publicacin de las mejores prcticas de seguridad. o Conseguir un sponsor que nos auspicie en ingreso al FIRST.
Una vez implementado el proyecto se obtendr algunos beneficios como:
Coordinacin de respuesta a incidentes de manera efectiva. Establecer canales de comunicacin entre el CSIRT y todas las dependencias de la universidad para un adecuado reporte y respuesta a incidentes.
109
CREACION DEL CSIRT - UTPL Compartir informacin entre diferentes equipos de Respuesta a incidentes a nivel mundial.
ndices de Medicin
Metas
Creacin formal Equipo CSIRT
Resultados
del Equipo de personas capacitado para responder a incidentes realizando trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologas para el manejo de incidentes y polticas internas para el grupo.
ndices de Medicin
Servicios brindados: Servicios Reactivos NOC/SOC: Servicios Proactivos Laboratorio CSIRT Servicios de Gestin de Calidad de la Seguridad. NOC/SOC: Laboratorio CSIRT Indicador: Servicios brindados en el transcurso de los primeros seis meses de implementacin, nmero de servicios proactivos frente a los servicios reactivos. Cantidad de reportes manejados en el grupo CSIRT. Indicador: Reportes coordinados de manera efectiva, porcentaje de servicios prestados frente a los reportes recibidos. Auditoras y visitas realizadas por otros equipos a nivel de Latinoamrica. Indicador: Al menos una auditora en el ao. Reportes del malware en el campus, clasificado por tipo, vulnerabilidad, mtodo de propagacin, etc., porcentaje de mitigacin de malware. Patrones de comportamiento de trfico UTPL y anomalas
Establecer comunicacin directa con todas las reas de la universidad para el reporte de incidentes.
Portal WEB en el que conste un formulario para realizar los reporte de incidentes.
Alianzas estratgicas con Encontrar un sponsor que otros CSIRTs. nos auspicie el ingreso al FIRST
Crear recursos de investigacin en temas de seguridad del a informacin
Contar con herramientas adecuadas de estudio de trfico, anlisis de vulnerabilidades y estudio de patrones
110
6.6.
COMUNICAR LA VISION Y PLAN OPERATIVO DEL CSIRT
Para comunicar los servicios y estructura del CSIRT-UTPL a la universidad y terceras personas se realizar la emisin de un documento informativo de acuerdo a los lineamientos que establece la norma RFC 2350. El documento que servir para comunicar los servicios del CSIRT-UTPL se encuentra en la seccin de Anexos (Ver Anexo 5: Descripcin de Servicios Equipo CSIRTUTPL). Adems de este documento en la pgina Web del Portal del CSIRT se va a disponer de una Seccin de Preguntas Frecuentes en la que se describa la Visin y los servicios del CSIRT-UTPL.
6.7.
IMPLEMENTACION DEL EQUIPO CSIRT-UTPL
Una vez que se ha completado los puntos anteriores para la organizacin del CSIRTUTPL definiremos los aspectos requeridos para proceder con la implementacin del Equipo, los aspectos que tomaremos en cuenta son: Personal que trabajar en el grupo CSIRT-UTPL El equipo e Infraestructura requerida Establecer el tipo de servicios que va a brindar el CSIRT. Desarrollo de polticas y procedimientos del CSIRT-UTPL. Formularios para el reporte de incidentes Presupuesto.
6.7.1. Personal requerido para el CSIRT-UTPL

Tomando en cuenta las caractersticas mencionadas anteriormente (habilidades tcnicas y personales), el personal requerido para el CSIRT-UTPL es el siguiente: Personal requerido para el CSIRT UTPL Personal de hotline, HelpDesk o clasificacin de incidentes: NOC/SOC y Soporte Tcnico Desarrollador WEB, encargado de administrar el portal del CSIRT y las estadsticas de los eventos generados. (Gestin Productiva) Equipo para el desarrollo de proyectos de investigacin 111
CREACION DEL CSIRT - UTPL Coordinador Proyecto IDS Proyecto Malware Gestin de Informacin de seguridad
Las actividades que se realicen en el equipo CSIRT-UTPL estarn coordinadas por el Lder de Equipo CSIRT. Adicionalmente se contar con la colaboracin de personal de otras reas como: Departamento Legal (Gestin Legal - UTPL) Relaciones Pblicas (Va Comunicaciones) Recursos Humanos.
Por lo tanto el Equipo CSIRT-UTPL trabajar de acuerdo al organigrama que se indica a continuacin: Estar conformado por: Lder de Grupo Equipo NOC/SOC y Soporte Tcnico (HelpDesk) Desarrollador Web Equipo de Investigacin.
CSIRT-UTPL
LIDER DE GRUPO
NOC/SOC HelpDesk
DESARROLLADOR WEB
INVESTIGACIN
Figura 18: Organigrama CSIRT-UTPL
6.7.2. Equipos e Infraestructura 112
CREACION DEL CSIRT - UTPL Para su funcionamiento el CSIRT requiere de un espacio fsico propio, adems del equipo de oficina, material de escritorio, telfonos, respectivamente. Para la infraestructura fsica se tomarn en cuenta normas referentes a seguridad fsica, planes de recuperacin ante desastres, de acuerdo con las normas establecidas en la UTPL.
En cuanto a infraestructura se requiere: Espacio fsico propio para el funcionamiento del CSIRT. Material de escritorio y oficina Repositorio23 para el manejo de la informacin relacionada con incidentes. Bibliografa
En cuanto a equipos se requiere: Equipo de Cmputo (4 computadores) Firewalls24 Proteccin contra ataques de virus.
6.7.3. Servicios a Brindar El grupo NOC/SOC se encargar de brindar servicios reactivos, es decir de brindar respuestas a los incidentes que se reporten, los servicios proactivos sern realizados por el rea de Laboratorio en la que se desarrollarn temas de investigacin. 6.7.3.1. Servicios Reactivos
Alertas y Advertencias que sern emitidas a partir de la informacin de los reportes recibidos, la informacin recibida ser enviada al rea de Laboratorio para su respectiva investigacin.
Manejo de Incidentes que incluye el anlisis (primer nivel), repuesta, soporte y la coordinacin de los incidentes a travs del uso de metodologas para tratar los mismos.
23
Repositorio: Depsito o Archivo en un sitio centralizado donde se almacena y mantiene informacin digital.[27]
24
Firewalls: Elemento de Hardware o Software utilizado en una red de computadores que sirve para controlar las comunicaciones permitindolas o denegndolas segn las polticas de red que se hayan definido en la organizacin [28].
113
CREACION DEL CSIRT - UTPL Manejo de Vulnerabilidades que incluye el anlisis, respuesta, soporte y coordinacin de vulnerabilidades, igualmente basados en los reportes que generan en el NOC/SOC. Manejo de artifacts: Es decir manejo de cdigo malicioso con el uso de herramientas como antivirus, firewall, escaneo de puertos, etc. Reportes estadsticos. Servicios Proactivos
6.7.3.2.
Servicios de Deteccin de intrusiones. Implementacin y Configuracin de las Herramientas, Aplicaciones, Infraestructuras y Servicios de Seguridad. Estudio de trfico malicioso Estudio de vulnerabilidades, patrones de ataque Investigacin sobre las nuevas formas de ataques, como prevenirlas y como evitarlas en un futuro. Definicin de nuevas polticas de seguridad. Observatorio de Tecnologa de la que se encargar el rea de investigacin, la misma que se encargar del desarrollo de proyectos que sern realizados por Tesistas y estudiantes de gestin productiva. Algunas alternativas de proyectos pueden incluir: 1. Sistemas de deteccin de intrusos: 2. 3. Honeypots y Honeynets.
Estudio de Malware Cdigo malicioso, virus, gusanos. Botnets25.
Seguridad de Protocolos Seguridad de protocolos existentes: vulnerabilidades y ataques Identificacin y autenticacin, Confidencialidad y Privacidad, e Integridad
4.
Seguridad en Sistemas Distribuidos Grids
25
Botnets: Coleccin de software robots, que se ejecutan de manera autnoma (ejemplo: Un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores).
114
CREACION DEL CSIRT - UTPL P2P PKI 5. Modelos de confianza 6. 7. Control de Acceso y autenticacin Administracin de identificad y autenticacin Web Semntica aplicada a seguridad PKI
Seguridad en computacin mvil Sistemas wireless
Anlisis forense Diagnstico de seguridad Tcnicas utilizadas para la investigacin forense
6.7.3.3.
Servicios de Gestin y Calidad de la Seguridad Concientizacin Educacin y Capacitacin
6.7.4. Polticas y Procedimientos Las polticas y procedimientos desarrollados para el Equipo de Respuesta a Incidentes de la Universidad (CSIRT-UTPL) fueron realizados de acuerdo a lo que propone el Dominio 9 de la Norma ISO 17799:2005 y se listan a continuacin: Polticas Clasificacin de la Informacin Diseminacin de la Informacin Poltica de Seguridad Manejo de Incidentes de Seguridad Local Para la definicin de las polticas del CSIRT-UTPL en lo concerniente a polticas de Seguridad Fsica, de Red, y de Manejo de Desastres y Continuidad del Negocio hemos tomado las polticas descritas en el Manual de Seguridad de la UTPL [29], hemos definido una nueva norma que es referente al Reporte, Clasificacin y respuesta de incidentes y Vulnerabilidades (Ver: Polticas para el CSIRT-UTPL). Los procedimientos que se han desarrollado son: 115
CREACION DEL CSIRT - UTPL Reporte de incidentes Reporte de Vulnerabilidades Clasificacin de la Informacin 6.7.5. Formularios Se trabajar con los siguientes formularios: Formulario de Reporte de Incidentes y Vulnerabilidades Para usuarios Finales y terceros, que se encuentran detallados en las polticas del CSIRTUTPL. Se utilizar formatos de reporte de incidentes y vulnerabilidades que sern utilizados por el personal del Equipo CSIRT-UTPL, los mismos se encuentran detallados en las polticas que implementar el CSIRT-UTPL. 6.7.6. Financiamiento y Presupuesto Durante la fase inicial se requiere el apoyo financiero total por parte de la Universidad hasta que el CSIRT-UTPL se implemente de manera completa. Una vez implementado el CSIRT realizar algunas actividades para su
autofinanciamiento. Las actividades propuestas son: Brindar servicios al pblico en general, mediante la contratacin de servicios. Capacitacin en temas de seguridad Organizacin de Eventos El presupuesto para la implementacin del CSIRT-UTPL se presenta a continuacin:
Costos Iniciales: ________$ 9760,00_______________________ Costos Incrementales: ____$8500,00_______________________
116
CREACION DEL CSIRT - UTPL PRESUPUESTO CSIRT UTPL

Costos Iniciales
Personal Interno Servicios Profesionales (personal externo) - asesorias Licenciamiento de Software Hardware & Equipamiento $ $ $ $ Total Costos Iniciales $ Costos de Capital (Activos Fijos) Hardware & Equipamiento Costos Incrementales Mantenimiento de Proveedores Licenciamiento de Software Costos de Infraestructura Tecnolgica Costos de Recursos Humanos Otros $ Total de Costos de Capital $ $ $ $ $ $ Total Costos Incrementales $
Proyecto
700 2.000 500 6.560 9.760 6.560 6.560 500 2.000 2.000 1.000 3.000 8.500
Los pasos indicados constituyen la creacin del Equipo de Respuesta a Incidentes para la Universidad Tcnica Particular de Loja, se ha realizado una propuesta (Ver Anexo 6: Propuesta para la Creacin del CSIRT-UTPL) que ser presentada al Lder de Proyectos de la UPSI (Ing. Daniel Plascencia) y al Director General de CITTES (Blgo. Juan Pablo Surez) para su revisin, aprobado el proyecto de creacin del CSIRT-UTPL se procede con la implementacin tomando en cuenta los pasos faltantes que se indican a continuacin: Anunciar y Comenzar la operacin del CSIRT-UTPL.- Fase que consiste en ejecutar cada uno de los pasos propuestos, comenzar a brindar los servicios definidos y difundir las actividades del CSIRT a equipos similares a travs de boletines, a travs del portal del Equipo, etc.
Evaluar la Efectividad del CSIRT-UTPL.- ltimo de los pasos a ejecutar, es el indicativo de que las funciones para las que el CSIRT fue creado se estn cumpliendo de manera exitosa, esta fase es un inicio importante para prepararse para el ingreso al FIRST, que de acuerdo a [29] incluye varios aspectos que el CSIRT-UTPL debe cumplir en cuanto a su organizacin, servicios que brinda y principalmente la visita que debe realizar el CSIRT sponsor con el objetivo de verificar que el equipo aspirante cumpla con los requisitos mnimos, pero sobre todo los mecanismos utilizados para la 117
CREACION DEL CSIRT - UTPL manipulacin y proteccin de la informacin generada y la que posteriormente ser enviada por el FIRST, de acuerdo a los ndices de medicin propuestos se realizar tambin la evaluacin del equipo de acuerdo a las metas propuestas.
VALIDACIN
Los pasos a revisar por el Equipo sponsor se detallan en la siguiente tabla. Aspectos a Considerar Definicin de Contituency Estructura de la Misin del Equipo Documento de Creacin Definicin y comunicacin de los servicios prestados por el CSIRT Financiamiento POLTICAS: Clasificacin de la Informacin Proteccin de la Informacin Destruccin de la Informacin Difusin de la Informacin Reporte y manipulacin de incidentes Cooperacin con otros equipos Uso apropiado de los Recursos del CSIRT Otras polticas Lugar de Trabajo Equipo (PC, telfonos) Uso de PGP Seguridad Fsica Rastreo de incidentes Manejo de Incidentes Difusin de la Informacin Desarrollo Profesional Conferencias X X X x X X X X X X X X X X X X X X X Definidos en UTPL X X X En Proceso
118
CREACION DEL CSIRT - UTPL El proceso de implementacin y el adecuado funcionamiento del CSIRT-UTPL requiere tiempo, de acuerdo a la tabla indicada algunos literales se encuentran definidos en el presente trabajo, los dems que se encuentran sealados en la columna En Proceso se irn implementando de acuerdo a las necesidades y crecimiento del grupo lo que en un futuro permitir que el CSIRT-UTPL se convierta en candidato a ser miembro del FIRST.
Para iniciar con la implementacin del equipo se ha diseado un proyecto piloto (Ver Anexo 7: Proyecto Piloto de Implementacin del Equipo CSIRT) de Implementacin del CSIRT-UTPL, el mismo que se implementar para una comunidad objetivo inicial durante un perodo de tiempo, el mismo que permitir comprobar la efectividad de implementar un CSIRT en la universidad.
DISCUSIN
De acuerdo a [31] el IrisCERT durante el ao 2007 atendi 2949 incidentes, un 66.32% ms que el ao 2006, lo propio ocurre en Amrica latina de acuerdo a [32] el CERT de Brasil (CERT.br) publica que hasta septiembre de 2008 se han reportado 108.293 incidentes, predominando en su mayora los worm (5284), ataques a servidores web (1024), escaneo de puertos (1140), fraudes (15561) entre otros, con estos resultados podemos darnos cuenta que un equipos de respuesta a incidentes es tomado como un nico punto de apoyo en el sector que sea implementado permitiendo de esta manera levantar estadsticas de los principales incidentes ocurridos, lo que conlleva al desarrollo de herramientas, y sobre todo la capacitacin y sensibilizacin a los funcionarios de la organizacin. A nivel general en nuestro pas y particularmente en la UTPL el concepto de los equipos CSIRT es bastante nuevo, y para la mayora de organizaciones que no han implementado este tipo de equipos el invertir en herramientas y alternativas de seguridad es considerado como un gasto innecesario, es decir algunas manejan el concepto de que si mi empresa no ha sufrido ningn ataque, no es necesario realizar gastos en temas de seguridad, pero se ha comprobado que la implementacin de equipos CSIRT en pases tanto de Amrica Latina y Europa ha servido para reducir en gran cantidad los ataques a sistemas crticos, ha elevado los niveles de investigacin al punto de que gran parte de equipos desarrollan sus propias herramientas para la
119
CREACION DEL CSIRT - UTPL deteccin de incidentes, un claro ejemplo es el CSIRT de Argentina26 que ha desarrollado herramientas para detectar vulnerabilidades en servidores, herramientas para el anlisis de servidores y dominios, etc.
En el caso de la UPTL no se realiza un trabajo investigativo real que signifique un aporte para el desarrollo a nivel de la regin, an no generamos soluciones, sino las adquirimos o adoptamos de terceros.
Tomando en cuenta todos los aspectos indicados se propone la implementacin del CSIRT-UTPL, lo que permitir convertirnos en el punto de partida para la creacin de iniciativas similares en nuestro pas, el tiempo que toma la implementacin de estos equipos es de seis meses a un ao, la mayora de equipos tiene problemas de financiamiento que son superados realizando actividades de capacitacin, etc.
26
ArCERT: http://www.arcert.gov.ar
120
121
Conclusiones
Los equipos CSIRT son considerados como la nueva estrategia de seguridad, y han sido implementados para incrementar los niveles de seguridad, tomar medidas proactivas, concientizar a los usuarios en tema de polticas de seguridad y sobre todo ser el nico punto de contacto para el reporte y atencin de incidentes en la organizacin en la que son implementados. El trabajo de un CSIRT es de gran importancia ya que brindan informacin de primera mano sobre los incidentes ocurridos y la solucin de los mismos, contribuyen a la difusin de mejores prcticas de seguridad, realizan el desarrollo de varias herramientas, etc., adems son de gran ayuda cuando determinados incidentes conllevan a repercusiones legales dentro de una organizacin en el sentido de contribuir con diferentes pruebas y evidencias del ataque realizado, los CSIRTs han permitido generar nuevas soluciones esto mediante el trabajo conjunto con otros equipos. Iniciativas a nivel de Ecuador y como parte de un proyecto de la Organizacin de estados Americanos (OEA) se est planteando la creacin de un CSIRT nacionales que velen por la seguridad de la informacin crtica de nuestro pas y de pases que pertenecen a este organismo, a nivel acadmico la propuesta de la UTPL puede decirse que es una de las primeras realizadas en este campo, y tomando como base que los CSIRTs europeos surgieron en base a equipos universitarios, puede decirse que la implementacin del CSIRT-UTPL servir como punto de referencia para la creacin de un CSIRT Nacional y tambin permitir colaborar con las diversas iniciativas encabezadas por el UNAM-CERT que en conjunto con RedClara impulsan la creacin de equipos CSIRT con el objetivo de crear conciencia sobre la importancia de la seguridad. La UTPL est en el camino de la implementacin de un CSIRT, como paso inicial se registra el trabajo realizado por el Equipo de Seguridad de la Universidad, como se indico antes se realizan varias actividades pero no de manera formal, el grupo de Seguridad es el inicio de lo que puede ser considerado en un futuro cercano el CSIRT-UTPL, el mismo que concentre en un solo departamento el recurso humano y tcnico que trabaje en la atencin de incidentes, investigacin y informacin. 122 temas concernientes a la seguridad de la
CREACION DEL CSIRT - UTPL Actualmente en la universidad no se realiza un trabajo formal de registro de incidentes lo que impide generar estadsticas de los sucesos que ocurren en los sistemas crticos de la universidad, no se han implementado an las polticas desarrolladas para la universidad y en general hasta el momento no se aplica ninguna metodologa para el manejo de los incidentes, tomando en cuenta estos y otros aspectos se ha visto la necesidad de proponer la creacin de un Equipo de Respuesta a Incidentes que se convierta en el punto de contacto para la atencin a incidentes, el mismo que trabaje en temas de investigacin y sensibilizacin a los usuarios en el que se implementen las polticas propuestas para el CSIRT-UTPL y del Manual de polticas para la UTPL, se utilice metodologas para el manejo de incidentes y vulnerabilidades, y se utilice los diferentes modelos de reporte de incidentes. Parte de los servicios definidos para el CSIRIT-UTPL est el de Investigacin (Observatorio de Tecnologa), eje importante dentro de la universidad, mediante este servicio se lograr la ejecucin y propuesta de varios proyectos investigativos que contribuirn al desarrollo de la universidad y sobre todo a ir afianzando los niveles de seguridad de los sistemas de informacin. Con el desarrollo del presente trabajo se estableci comunicacin con Equipos similares a nivel de Amrica latina especficamente con el CSIRT-ANTEL de Uruguay, el implementar el equipo CSIRT-UTPL nos permitir colaborar con los diferentes equipos a nivel de la regin en las diferentes iniciativas implementadas y sentar las bases para la implementacin de equipos similares en nuestro pas. Se ha realizado una propuesta para la implementacin de un proyecto piloto, el mismo que est orientado a un sector de la comunidad objetivo que es el de los administradores de servidores, el plan a implementar debe ser aplicado por un perodo de tiempo y luego ser evaluado en base a los parmetros sugeridos en el documento. La implementacin de un proyecto piloto es una medida favorable, por cuanto durante un lapso de tiempo determinado se aplican todos los aspectos definidos para la creacin del CSIRT-UTPL, lo que permite realizar una evaluacin al personal involucrado en cuanto a la forma de funcionamiento del equipo, esta retroalimentacin permite definir de manera ms precisa los 123
CREACION DEL CSIRT - UTPL servicios a prestar y de ser necesario realizar cambios a nivel de estructura organizacional del equipo.
124
RECOMENDACIONES
Implementar el plan piloto del CSIRT-UTPL, el mismo que permitir dar atencin a los principales incidentes que se reporten los sectores de la universidad, en el transcurso de la implementacin se recomienda revisar
constantemente el proceso de ejecucin de cada uno de los servicios propuestos y realizar los cambios que se requieran de acuerdo a la situacin actual de la universidad.
Realizar jornadas de capacitacin a los futuros integrantes del CSIRT-UTPL en cuanto a las diferentes herramientas y sistemas que se utilizan en la universidad y que sern utilizados en el equipo, el conocimiento y la
capacitacin acerca de las polticas y metodologas realizadas para el manejo de incidentes y vulnerabilidades tambin debe ser tomado en cuenta para el correcto funcionamiento del CSIRT-UTPL.
El personal que forma parte del CSIRT-UTPL debe tomar en cuenta las fechas dedicadas al da de la Seguridad, se recomienda realizar eventos que incentiven a los usuarios a hacer uso de polticas, mecanismos de seguridad, etc., que permitirn ir preparando el camino para incrementar la comunidad objetivo del CSIRT que abarca a toda la comunidad universitaria. Fortalecer la comunicacin con Equipos de Respuesta a Incidentes a nivel mundial, para contribuir con las diferentes propuestas realizadas por organizaciones como RedClara.
Difundir la iniciativa de creacin de
equipos CSIRT en universidades y
organismos pblicos tanto nivel local y nacional, algunas de las actividades que se pueden realizar para la difusin del equipo es la publicacin de los principales incidentes que se reportan en los equipos, vulnerabilidades encontradas y consejos de seguridad. Fortalecer la comunicacin con Equipos de Respuesta a Incidentes a nivel mundial, para contribuir con las diferentes propuestas realizadas por organizaciones como RedClara. 125
CREACION DEL CSIRT - UTPL Mantener la comunicacin establecida con el CSIRT-ANTEL lo que permitir conseguir un sponsor para el ingreso al FIRST, de esta manera se crearn vnculos de comunicacin con equipos similares a nivel mundial y la obtencin de informacin de primera mano en las nuevas tcnicas y herramientas para la respuesta a incidentes. Proponer el modelo de creacin de un CSIRT en un entorno universitario a las universidades del pas y as crear una estructura de CSIRTs acadmicos, lo que ser un paso para la creacin de un CSIRT Nacional, adems enviar el proyecto de creacin de CSIRTs acadmicos a CEDIA (Consorcio Ecuatoriano para el Desarrollo de Internet Avanzado).
Impulsar nuevos proyectos que contribuyan a mejorar los niveles de seguridad de la universidad y continuar con la implementacion de los proyectos en desarrollo como la Infraestructura de clave pblica PKI, Honeynet, etc., lo que permitir mejorar los servicios que brinde el CSIRT-UTPL. Implementar el equipo CSIRT para la UTPL extendiendo los servicios a todos las reas de la universidad, el trabajo constante permitir consolidad el CSIRTUTPL para cumplir con uno de los objetivos del CSIRT-UTPL que es el de ingresar al FIRST.
126
127
Anexo 1: EQUIPOS CSIRTs a Nivel Mundial

Equipos de Respuesta a incidentes informticos en Amrica
NORTE AMRICA CERT-CC Fundado en 1988 a raz del incidente del gusano Morris, por el instituto de ingeniera de Software, fue conformado por un grupo de expertos en seguridad que se encargaran de coordinar las actividades que permitan brindar respuestas, realizar acciones durante situaciones de emergencia y ayudar a prevenir futuros incidentes, este centro fue nombrado Centro de Coordinacin CERT (CERT/CC). Junto al rpido crecimiento de internet se han incrementado tambin las formas de intrusin, se ha dificultado la forma de detectar ataques y sobre todo lo captura de estos atacantes, para mejorar y hacer frente a estos nuevos cambios el CERT/CC forma parte del programa ms grande del CERT, que desarrolla y promueve el uso de tecnologas apropiadas y de mejores prcticas para resistir los ataques a los sistemas, para limitar los daos y garantizar la continuidad de los servicios. CERT/CC es miembro de las siguientes organizaciones: FIRST, miembro fundador. Internet Engineering Task Force (IETF) - La IETF es una organizacin internacional que trabaja en el desarrollo de estndares de Internet. Comit Consultivo de seguridad de Telecomunicaciones intercambio de Informacin de Seguridad de Red (NSTAC NSIE) que trabaja para reducir Las vulnerabilidades en las infraestructuras crticas. En el portal web del CC/CERT (http://www.cert.org/ ) puede encontrar todo tipo de informacin como estadsticas, manuales, reporte de incidentes, etc. US-CERT US-CERT - United States Computer Emergency Readiness Team, es un grupo que surgi gracias a la colaboracin del Departamento de Seguridad y de los sectores pblicos y privados, fue establecido en el ao 2003 para proteger la infraestructura de 128
CREACION DEL CSIRT - UTPL internet de la nacin, realiza la coordinacin de respuestas ante cualquier ataque a travs de la red, se encuentra ubicado en el rea metropolitana de Washington D.C. y actualmente pertenece al FIRST. Este equipo es responsable de: Realizar anlisis y reduccin de amenazas y vulnerabilidades. Difundir la informacin de amenazas y alertas. Coordinar actividades para dar respuestas a incidentes.
US-CERT realiza un trabajo conjunto con agencias federales, comunidades cientficas, gobiernos locales, y otros para poder realizar la difusin de la informacin sobre amenazas e incidentes al pblico en general. Para realizar el reporte de incidentes se debe llenar un formulario que se encuentra en el portal web de US-CERT. Pare reportar algn incidente el usuario debe llenar un formulario en el que se incluye toda la informacin sobre la empresa y los incidentes o vulnerabilidades que se descubrieron. La informacin que se enva en este formulario es confidencial y es publicada slo con la autorizacin de las organizaciones que envan la informacin. El portal web de US-CERT ( http://www.us-cert.gov/ ) a ms de brindar el servicio de reporte de incidentes proporciona tambin informacin sobre alertas de nuevas amenazas, reportes de vulnerabilidades, capacitaciones a travs de cursos, conferencias, etc. CanCERT El CanCERT ( http://www.ewa-canada.com/cancert/index.php ) es un equipo de
respuesta a incidentes nacional, operado por EWA-Canad desde 1998 Ltd. Es un centro dedicado a la recopilacin, anlisis y difusin de informacin, reporte de amenazas, vulnerabilidades y brindar respuesta a incidentes al gobierno de Canad, empresas y organizaciones acadmicas. Los objetivos de este equipo son: Proporcionar informacin oportuna, confiable sobre la seguridad para CanCERT. 129
CREACION DEL CSIRT - UTPL Proporcionar estadsticas sobre los ataques ocurridos en Canad. Brindar ayuda para la respuesta a incidentes. Aplicar mejores prcticas en materia de seguridad de la informacin. MEXICO En el ao 2001 se cre el primer Equipo de Respuesta a incidentes de Seguridad en Cmputo en Amrica Latina para el sector acadmico27, est localizado en el Departamento de Seguridad en Cmputo de la UNAM, el UNAM-CERT. UNAM-CERT es el equipo encargado de analizar los problemas de mayor impacto en los sistemas de cmputo, emitir boletines reportando vulnerabilidades, brindando capacitacin en seguridad informtica, auditora, anlisis forense, etc. En UNAM-CERT colabora con algunas organizaciones mexicanas, entre ellas el Gobierno, sectores pblicos, privados, financieros y sectores educativos. Otro de los servicios que brinda a travs del Departamento de Seguridad en Computo y la UNAM-CERT es el portal del usuario casero que est dirigido a todo tipo de usuarios y tiene como finalidad proporcionar de manera dinmica las herramientas bsicas para proteger sus sistemas de informacin, brindar una enseanza sobre los trminos y conceptos complejos para los especialistas en seguridad informtica, a travs de este servicio todas las personas conocern los principales riesgos y amenazas que existen en la red y sobre todo la forma de protegerse. Se encarga tambin de proveer el servicio de respuesta a incidentes de seguridad en cmputo a sitios que han sido vctimas de algn ataque, realizar investigaciones y ayudar a mejorar la seguridad de los sitios. El equipo de la UNAM-CERT a travs de su director es el coordinador del GT Seguridad o GT-CSIRT de la Red CLARA (Cooperacin Latinoamericana de Redes Avanzadas), la labor que realiza la Red CLARA es la de interconectar a las
comunidades acadmicas y de investigacin de los pases de Amrica Latina. Su misin es la de Promover la cultura de la seguridad informtica en la regin de Amrica Latina y el Caribe. El GT Seguridad tiene como objetivos:
27
Fuente de Referencia: http://www.bsecure.com.mx / Febrero de 2008
130
CREACION DEL CSIRT - UTPL Formar un marco de seguridad para los pases Asociados Promover la creacin de nuevos CSIRTS en la regin. A travs de foros promover el intercambio de experiencias, conocimientos e informacin sobre cmo hacer frente a nuevos incidentes. Promover el intercambio de informacin sobre el manejo de incidentes. Promover la pronta y coordinada respuesta a los incidentes de seguridad que ocurran en cualquier infraestructura de los pases asociados. Realizar guas de mejores prcticas para le seguridad de la informacin. Colaborar con organizaciones de CSIRTs en otros pases como el TF-CSIRT en Europa y el AP-CERT en Asia.
PERU En Per existen dos Equipos de respuesta a incidentes, ambos equipos son miembros del FIRST, estos son: TERIS TESIRT TERIS (Telefnica Equipo de Respuesta a Incidentes de Seguridad) El TERIS ( http://tonapa.cgrc.telefonica.com.pe/blog) es un equipo de profesionales que se encarga de la deteccin y prevencin de incidentes que generen un riesgo para las redes y plataformas de Telefnica, as mismo debe brindar soluciones a los incidentes que se presenten y de elaborar, promover y difundir prcticas de seguridad en redes. Telefnica permanentemente aumenta el nmero de soluciones de seguridad, tiene desarrollados servicios de Seguridad Gestionada que es un servicio de seguridad perimetral, incluye la gestin y monitoreo centralizado y remoto desde el Security Operation Center de Telefnica, el hardware y software necesario para el control de acceso a la red interna de los clientes, otro de los servicios que brinda es el Antiphishing que es una solucin que Telefnica pone a disposicin de sus clientes, para afrontar los problemas de fraudes electrnicos. TESIRT (TELMEX Equipo de Respuesta a Incidentes de Seguridad)
131
CREACION DEL CSIRT - UTPL Pertenece a la empresa Telmex (www.telmex.com/pe/home_peru.html ), los objetivos principales son los de proteger la privacidad y seguridad, los sistemas de redes de sus clientes as como fomentar el uso responsable de los recursos de Telmex y proveedores de servicios de internet. TELMEX maneja polticas que los clientes de servicios IP y usuarios de la red IP de TELMEX deben seguir, estas polticas contemplan aspectos en cuanto a actividades ilegales, violaciones de seguridad, amenazas, material ofensivo, spam, acceso indirecto, en caso de que se realice un procedimiento que vaya en contra de estas polticas TELMEX de acuerdo a procedimientos tomar decisiones. Para realizar el reporte de algn incidente se divide en dos categoras la primera es de uso exclusivo para clientes de acceso dedicado a internet, para reportar incidentes se debe incluir evidencia que ayude a investigar y resolver el incidente, esta evidencia puede ser registros de sistemas, etc. La segunda categora es para las personas que no son clientes deben reportar el abuso enviando un correo electrnico a abuse@telmex.com.pe. CLCERT - CHILE CLCERT (http://www.clcert.cl/ ), su nombre es la unin de dos siglas CL en referencia a Chile y CERT en referencia al Grupo de respuesta a incidentes de seguridad computacional. El CLCERT surge ante la iniciativa de la Universidad de Chile en octubre de ao 2001, la misin de este equipo es monitorear y analizar los problemas de seguridad de los sistemas informticos chilenos, y reducir la cantidad de incidentes de seguridad que pueden suceder a estos sistemas. Se encuentra en funcionamiento desde el ao 2001. Los principales objetivos del CLCERT son: Entregar de forma oportuna informacin sobre vulnerabilidades de seguridad y amenazas. Poner a disposicin de la comunidad informacin que permita prevenir y dar solucin a los incidentes de seguridad. Educar a la comunidad sobre temas de seguridad promoviendo el uso de polticas que permitan su implementacin. 132
CREACION DEL CSIRT - UTPL Los servicios que brinda el CLCERT son: Difusin de alertas, estudios, incidentes y editoriales. Capacitacin Anlisis de mercado, focalizado en la generacin de ndices y monitoreo de aspectos de seguridad pertinentes a las TIC. Asesora y apoyo a instituciones pblicas en la toma de decisiones, formulacin de polticas. El CLCERT se maneja con polticas para el adecuado uso de la informacin, est poltica consiste en mantener la confidencialidad de la informacin recibida, a menos que se tenga el permiso de parte de la persona o empresa para dar a conocer la informacin que se ha recibido. Para el reporte de los incidentes se manejan con el uso de formularios en los que se incluyen los datos principales de la organizacin y las caractersticas de los equipos afectados y una breve descripcin del incidente, incluyendo herramientas utilizadas, detalles de las vulnerabilidades y cualquier informacin relevante. Entre los principales logros del CLCERT est: Brindar capacitacin a nivel acadmico Realizar asesoras sobre la elaboracin de polticas de seguridad Son miembros del FIRST desde Abril del 2003.
Durante sus inicios el CLCERT fue financiado por el Departamento de Ciencias de Computacin y el Centro de Modelamiento Matemtico de la universidad de Chile, actualmente se autofinancia con actividades de capacitacin, asesoras al sector pblico y empresas privadas. ArCERT - ARGENTINA El ArCERT (Coordinacin de Emergencias en Redes Teleinformticas de la Administracin Pblica Argentina - http://www.arcert.gov.ar ) fue creado en Julio de 1999 mediante disposicin de la Subsecretaria de la Gestin Pblica de la Jefatura de Gabinete de Ministros, ArCERT es una unidad de respuesta a incidentes de seguridad que afecten los recursos informticos de la Administracin Pblica Nacional. Los principales objetivos que tiene el ArCERT son:
Actividades Preventivas que incluyen: 133
CREACION DEL CSIRT - UTPL Capacitacin Difusin de Alertas de informacin con la finalidad de neutralizar incidentes Promover la coordinacin entre organismos para prevenir, detectar y manejar incidentes de seguridad. Polticas de Seguridad: Estas polticas son planteadas con el objetivo de proteger la informacin que est en poder del Estado, de establecer un marco normativo para gestionar la seguridad de la informacin. Productos y Servicios: Entre estos se encuentran algunas herramientas como: Firewall: que son basados es software de libre distribucin SiMos: Sistema de monitoreo Remoto de Seguridad, que es usado para detectar vulnerabilidades en servidores que brindan servicios en internet. DNSar: Sistema de Anlisis de Servidores y Dominios DNS, es usado para detectar y alertar sobre las falencias en los servidores DNS. En la actualidad se encuentran en desarrollo dos herramientas mas que son el CAL que es un sistema de Sensores y el RAM que sevir para la recoleccin y Anlisis de Malware.
ArCERT est conformado por un grupo de especialistas con conocimientos slidos y gran experiencia en tecnologas informticas, seguridad de internet, deteccin de intrusos, elaboracin de polticas y procedimientos de seguridad, este grupo est dedicado a la investigacin de incidentes, herramientas de proteccin, deteccin, etc. Una de las caractersticas principales del ArCERT es la de mantener la confidencialidad de la informacin sobre los organismos implicados en los incidentes de seguridad. Algunas casos que ha tratado ArCERT son la sustitucin de pginas web, phishing, cdigo malicioso, ataques de DDOS, los resultados que ha alcanzado son ms de 870 incidentes de seguridad atendidos, se han brindado cursos de capacitacin y existen ms de 1800 suscriptores a las listas de seguridad. El ArCERT es miembro del FIRST desde abril de 2004. URUGUAY CSIRT ANTEL
134
CREACION DEL CSIRT - UTPL La comunidad objetivo definida es: ANTEL (corporacin, subsidiarias y unidades de negocio) y los clientes ms importantes de ANTEL, ANTELDATA y ANCEL (http://www.csirt-antel.com.uy/main/what-csirt-does.php ). Los servicios que brinda son: Alertas y manejo de incidentes. Anuncios, deteccin de incidentes, desarrollo de tcnicas y herramientas, elaboracin de polticas y buenas prcticas. Capacitacin y entrenamiento, anlisis de riesgo, consultora, concientizacin de la comunidad en seguridad informtica y telecomunicaciones.
Para el reporte de incidentes se los debe hacer mediante el envo de un correo electrnico utilizando texto plano, la informacin debe estar cifrada, oportunamente el CSIRT de ANTEL pondr a su disposicin un servidor FTP annimo, este servidor se utilizar en coordinacin con el tcnico asignado respetando todas las normas establecidas, los archivos deben ser enviados utilizando el siguiente formato: incidente-XX.ext.[gpg], en donde XX corresponde la nmero del incidente, ext corresponde a la extensin del programa de compresin utilizado y gpg sufijo opcional utilizado en el caso de que el archivo sea cifrado. Toda la informacin que es recibida es confidencial. El CSIRT de ANTEL es miembro del FIRST desde Abril de 2007. BRASIL El primer CERT que existi en Brasil fue creado en Junio de 1997 para ofrecer servicios de coordinacin de respuesta a incidentes para los usuarios de internet de Brasil en sus inicios se llam NBSO/Brazilian CERT, luego pas a llamarse CERT.br (http://www.cert.br/index-en.html ),este equipo es una organizacin de servicios que se encarga de recibir, revisar y dar respuesta a informes de incidentes de seguridad y de actividades relacionadas con las redes conectadas a la Internet de Brasil. CERT.br trabaja en la concientizacin de la importancia de la seguridad de la informacin en la comunidad, y brinda ayuda en la formacin de nuevos CSIRTs, algunos de los servicios que presta son: Proporcionar un punto focal para informar sobre incidentes relacionados con la red Brasilea. Proporcionar apoyo en el campo de la respuesta a incidentes. 135
CREACION DEL CSIRT - UTPL Establecer relaciones de colaboracin con otras entidades, como proveedores de servicios y compaas telefnicas. Apoyo a la localizacin de actividades de intrusos.
Para realizar el reporte de incidentes se enva la informacin por correo electrnico, para enviar la informacin de manera segura se enva la informacin cifrada utilizando una clave que se encuentra disponible en el portal del CERT.br, la informacin que se enva al igual que los otros CSIRTs incluye los datos principales de la empresa, la descripcin de los equipos afectados y una descripcin detallada de los incidentes reportados. Desde el ao 1997 existen dos equipos ms el CAIS/RPN que pertenece a la red de investigacin de Brasil y el CERT-RS creado para las redes acadmicas del estado de Ro Grande do Sul. En el ao 2004 se crea el CTIR-GOV que trabaja con las redes del Gobierno Federal de Brasil. Actualmente existen alrededor de 20 equipos CSIRT en Brasil, pero son muy pocos los equipos que pertenecen al FIRST, solamente pertenecen a este organismo el CERT.br y el CAIS-RPN CAIS/RPN El CAIS - Centro de Atencin a Incidentes de Seguridad (http://www.rnp.br/cais/), acta en la deteccin, resolucin y prevencin de incidentes de seguridad en la red acadmica brasilea, as como de desarrollar, promover y difundir prcticas de seguridad en redes. La comunidad a la que van dirigidos sus servicios es principalmente la acadmica y de investigacin, son cerca de 300 instituciones entre universidades, laboratorios, museos, etc. Los servicios que brida el CASI /RPN son: Tratamiento de incidentes Divulgacin de Informacin Monitoreo y Deteccin de intrusos Auditora de sistemas Educacin y entrenamiento. El CAIS es miembro del FIRST desde septiembre del 2001, ha sido patrocinador del ArCERT y del CLCERT para que ingresen al FIRST. 136
CREACION DEL CSIRT - UTPL Para realizar el envo de informacin debe utilizarse la clave pblica PGP del CAIS.
Equipos de Respuesta a incidentes informticos en Europa

esCERT El esCERT-UPC (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas - http://escert.upc.edu/) fue creado a finales de 1994, como un centro dedicado a asesorar en temas de seguridad informtica y la gestin de incidentes en redes telemticas28. esCERT tiene como objetivos el de informar sobre vulnerabilidades y amenazas de seguridad, as como tambin la de brindar informacin a la comunidad que permita prevenir y resolver incidentes de seguridad. El esCERT funciona en la Universidad Politcnica de Catalunya en Espaa. Entre las organizaciones a las que pertenece el esCERT estn el TF-CSIRT y FIRST. Los servicios que brinda esCERT a Universidad Politcnica de Catalunya (UPC) son: Soporte Preventivo: Tiene como objetivo ayudar a los administradores de la UPC a mejorar la seguridad de sus sistemas, las medidas preventivas tienen como objetivo informar de las vulnerabilidades potenciales o reales a sus sistemas y las soluciones para su prevencin. Algunas de las actividades preventivas son: o o Avisos de vulnerabilidades por e-mail, que consiste en la monitorizacin, filtrado, organizacin y traduccin de informacin de avisos de seguridad. Consultas de Vulnerabilidades va Web: Los administradores tienen a su disposicin una interfaz web para consultar los diferentes avisos de seguridad emitidos hasta la fecha, obteniendo as informes actualizados. o o Soporte telefnico y por correo electrnico Auditoras Web: Los webmasters pueden solicitar la realizacin de auditoras de sus pginas web.
28
Red Telemtica: es un conjunto de ordenadores conectados entre s, estableciendo un instrumento integrado de medios y de aspectos lgicos soportados en los nuevos canales con los cuales podemos establecer una comunicacin bidireccional entre cada uno de los elementos integrados. Los sistemas que forman parte de una red telemtica son nodos de red, sistemas operativos, software bsico, metodologas y lenguajes para el desarrollo de software.
137
CREACION DEL CSIRT - UTPL Los servicios reactivos que prestan son: Soporte Reactivo: Consiste en la gestin de incidencias los servicios son: o Comunicacin y Gestin de incidencias: esCERT recoge todos los avisos de actividades sospechosas, comunica las incidencias a los administradores de los sistemas afectados. o Deteccin y comunicacin de incidencias a organizaciones externas: Si los incidentes provienen del exterior de UPC, el esCERT se encarga de comunicar el incidente a los organismos adecuados. o o o Informes y estadsticas Soporte Telefnico Coordinacin de Emergencias: En las incidencias graves, esCERT acta como Centro de Coordinacin de Emergencias, dando un tratamiento global al problema. o Anlisis Forense de sistemas Comprometidos: El esCERT realizar anlisis forense al encontrarse sistemas comprometidos, a fin de conocer la va de entrada del intruso, su procedencia y las acciones llevadas a cabo.
esCERT ofrece a la comunidad servicios de respuesta a incidentes, definicin de polticas de seguridad y formacin, ms detalladamente estos servicios son los siguientes: Respuesta a incidentes: Para dar soluciones a incidentes debe enviar un formulario detallando toda la informacin relevante del incidente al correo del esCERT, el formulario contiene informacin de contacto de la organizacin que enva la informacin, la informacin que se recibe es confidencial. Servicio de Avisos de Vulnerabilidades (Altair): El objetivo es mantener informados a los administradores de sistemas sobre nuevas vulnerabilidades con la finalidad de ayudar a prevenir las intrusiones en sus sistemas informticos. Formacin: Incluye cursos de capacitacin relacionados con la seguridad de la informacin. El mbito de actuacin es todo el territorio del Estado Espaol. El esCERT-UPC basa su actuacin en el anlisis, recomendacin, formacin y asistencia a emergencias. Estos servicios estn personalizados y sujetos al secreto profesional. 138
CREACION DEL CSIRT - UTPL IRIS-CERT Organizacin creada en el ao de 1994, est orientado a la comunidad cientfica y depende del Ministerio de Ciencia y tecnologa. (http://www.rediris.es/cert ) Brinda servicios a la comunidad de la red Iris y tambin brinda servicios limitados a todos los que conformen el dominio *.es. Tiene como finalidad la deteccin de problemas que afecten a la seguridad de las redes de centros de RedIris, as como la actuacin coordinada con dichos centros para dar solucin a estos problemas. De acuerdo al RFC 2350, los servicios que brinda el IRIS-CERT son: Respuesta a Incidentes: que consiste en brindar asistencia en la investigacin del cmo ocurrieron los incidentes y determinar los daos que este puede causar, incluye tambin la coordinacin de los incidentes para hacer reportes para otros CSIRTs, mantener un contacto con la comunidad afectada y de ser necesario elaborar polticas. Servicios Proactivos: tales como Servicios de informacin que consiste en el enviar informacin disponible mediante listas de correo, el servicio de entrenamiento que consiste en la capacitacin que brindan los miembros del equipo al pblico sobre temas de seguridad de la informacin, los servicios de auditora que son solamente para las instituciones afiliadas, y finalmente reportes estadsticos. IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997, y participa activamente en el Task Force auspiciado por Terena, TF-CSIRT , con el objetivo de promover la colaboracin entre los CSIRTs de Europa. CCN-CERT Equipo de Respuesta a incidentes de seguridad del Centro Criptolgico Nacional (www.ccn-cert.cni.es), depende del Centro Nacional de inteligencia, este equipo vela por la seguridad de la Administracin Pblica, es un grupo que comenz a trabajar desde el ao 2004 formado por profesionales en el campo de la seguridad informtica, entre los servicios que realiza est el de brindar capacitaciones, realizar inspecciones de seguridad, crear herramientas para auditoras y guas de seguridad de equipos. 139
CREACION DEL CSIRT - UTPL Su misin es Ser el Centro de Alerta y Respuesta de incidentes de Seguridad, ayudando a las Administraciones pblicas, ayudando a responder de formas ms rpida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de informacin. Las funciones que cumple CCN-CERT son: Ser el centro de alerta y respuesta de incidentes de seguridad, ofreciendo informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas. Ayudar a responder de forma ms rpida y eficiente ante las amenazas de seguridad que afecta a los sistemas de informacin, a travs del soporte ante incidentes mediante servicios de apoyo tcnico. Labores de investigacin, formacin y divulgacin de seguridad de la informacin a travs de cursos de capacitacin, desarrollo de normas tcnicas, guas y recomendaciones de configuracin segura para diferentes tecnologas, desarrollo de herramientas de seguridad, deteccin de instrucciones, etc. Entre los logros alcanzados por el CCN-CERT de acuerdo a sus lneas de trabajo se encuentran: Diseo de plataformas de servicios en internet. Mantenimiento del portal web en el que se ofrece informacin actualizada sobre todas las vulnerabilidades, herramientas de seguridad, cursos de formacin, mejores prcticas de seguridad o formularios de comunicacin de incidentes. Puesta en marcha del laboratorio de investigacin y respuesta a incidentes. Integracin en organismos internaciones, tanto a nivel europeo como internacional Publicacin y envo de estadsticas, noticias, boletines de vulnerabilidades. Desarrollo de polticas y procedimientos operativos Auditora y revisin peridica de las polticas y procedimientos. Desarrollo del Plan de Respuesta a incidentes CNN-CERT es miembro del FIRST, esto le permite mantener un contacto directo con otros equipos para compartir informacin fiable en caso de ataques, este grupo mantiene un portal web que le permite ofrecer informacin actualizada sobre amenazas, vulnerabilidades, cursos de formacin, formularios para reportar incidentes 140
CREACION DEL CSIRT - UTPL de seguridad y estadsticas actualizadas sobre las vulnerabilidades semanales, mensuales y anuales que han sido reportadas. INTECO CERT Centro de Respuesta a incidentes para PYMES y ciudadanos
(http://www.inteco.es/Seguridad/INTECOCERT/Acerca_de/Servicios_1), creado en el ao 2006 fue promovido por el Ministerio de Industria, Turismo y Comercio. Es un equipo que sirve de apoyo para el desarrollo industrial de Espaa, brinda soluciones reactivas a incidentes informticos, servicios de prevencin frente a amenazas realizando catlogos gratuitos y actualizaciones de software y servicios de informacin tales como boletines, alertas, avisos de seguridad, noticias y eventos de relevancia, formacin y concientizacin en materia de seguridad para pequeas empresas y todos los ciudadanos espaoles. De acuerdo a estadsticas 94% de las empresas espaolas pertenecen al sector de las pequeas y medianas empresas, en trminos econmicos los gastos que ocasiona el combatir ataques informticos en las PYMES cada ao es de 22000 millones de euros. Entre los objetivos de este grupo estn: Proporcionar informacin referente a temas tecnolgicos Concienciar a las PYMES y ciudadanos sobre la importancia de la seguridad informtica. Proporcionar guas de buenas prcticas para mejorar la seguridad. El CERT de INTECO presta servicios sin fines de lucro a todas la comunidad que forma parte de las pequeas y medianas empresas. INTECO realiza algunas recomendaciones a la comunidad a la que brinda servicios, algunas son: Instalar Software legal y de fuentes fiables. Mantener actualizado el Software del equipo con los parches de seguridad. Desconfiar de correos sospechosos. Hacer auditoras peridicas del equipo: puertos, registro, actividad del sistema, etc. 141
CREACION DEL CSIRT - UTPL Utilizar herramientas de seguridad como: antivirus, cortafuegos, escaneadores de puertos y test de velocidad.
Equipos de Respuesta a incidentes informticos en Oceana y el Lejano oriente

MYCERT MALASIA MyCERT( Malaysian Computer Emergency Response Team -
http://www.mycert.org.my ), comenz a funcionar en marzo de 1997, en el parque tecnolgico de Malasia, este equipo proporciona un punto de referencia para la comunidad de internet de Malasia, las funciones principales de MyCERT son: Centralizar la presentacin de informes de incidentes de seguridad y facilitar la comunicacin para la resolucin de los mismos. Difundir toda la informacin referente a todas las vulnerabilidades, estrategias y mecanismos de defensa. Proporcionar reportadas. Desempea un papel educativo con respecto a la seguridad informtica de Malasia. MyCERT brinda dos servicios principales: El entrenamiento de seguridad en donde los oficiales de seguridad y administradores de sistemas, aprenden los pasos bsicos a tener en cuenta en la seguridad de los sistemas. MyCERT's Free Security Scannings, es otro de los servicios brindados que tiene como objetivo asistir a organizaciones y brindar ayuda despus de que hayan sido vctimas de algn ataque a sus sistemas de seguridad. Para realizar el reporte de incidentes MYCERT se lo puede hacer mediante fax, correo electrnico, informes en lnea, sms y por telfono, para informar sobre algn incidente debe proporcionarse toda la informacin referente al incidente, y la informacin principal de la organizacin. AusCERT - AUSTRALIA 142 estadsticas sobre todos los abusos y vulnerabilidades
CREACION DEL CSIRT - UTPL AusCERT (Australian Computer Emergency Response Team -
http://www.auscert.org.au/index.html ), es un equipo que brinda todo tipo de informacin en cuanto a la seguridad de la informacin, al pblico australiano incluyendo tambin al sector educativo, este equipo es un punto de contacto para todos los incidentes que involucran a las redes australianas. AusCERT realiza la emisin de boletines que contienen informacin acerca de cmo mitigar las vulnerabilidades y estrategias de prevencin. AusCERT provee un mecanismo para reportar incidentes que afecte a las redes australianas, los datos obtenidos son analizados y en algunos casos con el consentimiento de las organizaciones que los reportan estos incidentes son publicados con la finalidad de informar al pblico acerca de los nuevos ataques a la red computacional. Las organizaciones que forman parte de AusCERT pueden accedes a los siguientes servicios, si se reciben reportes de personas u organizaciones que no pertenecen al AusCERT tambin les proporcionan ayuda organizaciones del AusCERT. Acceso al contenido de su portal web Envi de boletines electrnicos de seguridad. Acceso al foro del AusCERT Servicio de gestin de incidentes que incluye el Manejo y la coordinacin de los mismos. Evaluacin y asesoramiento ante amenazas de seguridad. La gestin de incidentes consiste en: Brindar asistencia y conocimientos para ayudar a detectar, interpretar y responder a ataques en sitios en todo el mundo. Se reciben reportes de otras organizaciones, esta informacin es manejada con absoluta confidencialidad. Coordinacin de incidentes: El objetivo principal es compartir informacin pertinente acerca de un incidente a las partes afectadas con la finalidad de que ellos mismos puedan resolver o manejar el incidente, para recibir este servicio 143 pero siempre la prioridad la tiene las
CREACION DEL CSIRT - UTPL se debe llenar un formulario con la informacin de los incidentes encontrados y ser enviado al AusCERT de acuerdo a los reglas que maneja este equipo. Manejo de incidentes: AusCERT proporciona el este servicio las 24 horas al da los 7 das a la semana, este servicio consiste en brindar ayuda con los reportes recibidos, identificar la naturaleza del incidente, mitigar los daos que este puede causar. AusCERT asiste a los sitios involucrados realizando anlisis de cdigo malicioso, ataques de virus, etc., para determinar las causas y desarrollar estrategias para solucionarlo. Para reportar incidentes se debe llenar un formulario que se encuentra en el portal de AusCERT (https://www.auscert.org.au ) en el que enva informacin referente a la empresa y al incidente, antes se debe escoger una opcin en la que se indica si se desea publicar la informacin o no. AusCERT es miembro del FIRST y forma parte activa del APCERT, mantiene tambin una red de contacto con equipos de Amrica del norte, reino unido, europa y asia.
JPCERT / CC - JAPON Japan Computer Emergency Response Team / Coordination Center (http://www.jpcert.or.jp/english/about ) Es el primer CSIRT establecido en Japn, esta organizacin coordina con proveedores de servicios de internet, agencias del gobierno e industrias. JPCERT/CC es miembro del APCERT y del FIRST. Los objetivos de JPCERT/CC son : Proveer respuestas ante los incidentes de seguridad Coordinar actividades con CSIRTs de otras organizaciones Proveer informacin tcnica de cmo actuar ante incidentes, las nuevas vulnerabilidades encontrados. Investigar sobre nuevas herramientas y tecnologas Las actividades que realiza este equipo son: encontradas, realizar reportes sobre alertas y peligros
144
CREACION DEL CSIRT - UTPL Anlisis y Respuesta a incidentes: JPCERT/CC provee soporte tcnico para responder a los problemas de seguridad basados en la informacin que es facilitada por los sitos afectados, JPCERT/CC en base a esta informacin evala el dao, identifica las vulnerabilidades y provee informacin tcnica relevante, la informacin relevante es enviada por correo electrnico y diferentes informes de vulnerabilidades son publicadas en su portal de internet. Alertas de Seguridad: JPCERT/CC recoge toda la informacin referente a la seguridad informtica, provee alertas de seguridad, publica reportes semanales que contienes todas las amenazas potenciales, mensajes de alertas y la forma de cmo minimizar los daos causados por incidentes y vulnerabilidades. Coordinacin con otros CSIRTs: Establecer relaciones no solamente con los CSIRTs que son miembros del APCERT sino tambin con equipos alrededor del mundo. Educacin: JPCERT/CC brinda entrenamiento y educacin en el campo de la seguridad de las redes, vulnerabilidades y en cuanto a temas sobre como incrementar los servicios de seguridad, todo esto a travs de seminarios, workshops, etc. Investigacin y Anlisis: Cada vez es ms difcil identificar incidentes, JPCERT/CC se ocupa de la investigacin y el anlisis en la prevencin de ataques y en la manera de evitar daos que ese ataque pueda causar. SINGAPUR SingCERT - Singapore Computer Emergency Response Team Creado en 1997 como programa del IDA (Infocomm Development Authority of Singapore), en colaboracin con la Universidad Nacional de Singapur, para facilitar la deteccin, resolucin y prevencin de incidentes de seguridad relacionados con internet de Singapur SingCERT proporciona asistencia tcnica y coordina las respuestas de seguridad, identifica las tendencias de actividades de hacking, trabaja con organismos de seguridad para resolver los incidentes de seguridad informtica, difunde informacin oportuna al pblico en general sobre alertar y los ltimos ataques a los sistemas de seguridad. 145
CREACION DEL CSIRT - UTPL La misin del SingCERT es muy clara y se basa en puntos principales como: Convertirse en un punto de contacto que ayude a la prevencin, deteccin y resolucin de incidentes de seguridad en sectores pblicos, privados, y redes de internet como Singapur ONE. Proporcionar valor agregado a los servicios de seguridad a travs de programas de consultora. Los servicios que brinda SingCERT son: Servicios de Seguridad Resolucin de incidentes, consultas sobre seguridad ya sea mediante va telefnica, correo electrnico, fax, mediante su pgina web puede estar informado sobre nuevas alertas y acceder a archivos anteriores de las alertas que se han encontrado. Reporte de incidentes Para reportar incidentes debe llenar un formulario que incluya informacin acerca de la organizacin o usuario que enva el reporte, enviar informes del Sistema, Red y el administrador de seguridad, informacin sobre la plataforma en la que trabaja y como descubri la intrusin, incluir adems los logs del sistema. Respuesta a Incidentes La respuesta ante algn incidente puede ser inmediata si se trata de incidentes ya conocidos, si las alertas o incidentes son nuevas se da soluciones provisionales. Toda la informacin que se ha reportado es manejada con absoluta confidencialidad. SingCERT es miembro del FIRST desde 1998, es miembro del APCERT y mantiene contactos con los CSIRTs a nivel del mundo. En el portal web del SingCERT ( http://www.singcert.org.sg) se pueden encontrar reportes de nuevas alertas, informacin de contactos y capacitaciones.
Lista de Equipos CSIRTs a nivel Mundial, de acuerdo al registro del FIRST.

146

Team ARCcert ASEC AT&T AboveSecCERT Apple ArCERT Official Team name The American Red Cross Computer Emergency Response Team AhnLab Security E-response Center AT&T Above Security Computer Emergency Response Team Apple Computer Computer Emergency Response Team of the Argentine Public Administration AusCERT Avaya-GCERT BCERT BELNET CERT BMO ISIRT BP DSAC BTCERTCC BadgIRT Bell IPCR Bunker CAIS/RNP CARNet CERT CC-SEC CCIRC CCN-CERT Australian Computer Emergency Response Team Avaya Global Computer Emergency Response Team Boeing CERT BELNET CERT BMO InfoSec Incident Response Team BP Digital Security Alert Centre British Telecommunications CERT Co-ordination Centre University of Wisconsin-Madison Bell Canada Information Protection Centre (IPC) Response The Bunker Security Team Brazilian Academic and Research Network CSIRT CARNet CERT Cablecom Security Team Canadian Cyber Incident Response Centre CCN-CERT (Spanish Governmental National Cryptology Center Computer Security Incident Response Team) CERT POLSKA CERT-Bund CERT-FI CERT-Hungary CERT-IT CERT-In CERT-Renater CERT-TCC Computer Emergency Response Team Polska CERT-Bund CERT-FI Hungarian governmental Computer Emergency Response Team CERT Italiano Indian Computer Emergency Response Team CERT-Renater Computer Emergency Response Team Tunisian Coordination Center CERT-VW CERT.br CERT/CC CERTA CERTBw CERT-VW Computer Emergency Response Team Brazil CERT Coordination Center CERT-Administration Computer Emergency Response Team Bundeswehr
147

CFC CGI CIRT CIAC CLCERT CMCERT/CC Cyber Force Center CGI Computer Incident Response Team US Department of Energy's Computer Incident Advisory Capability Chilean Computer Emergency Response Team China Mobile Computer Network Emergency Response Technical Team /Coordination Center CNCERT/CC National Computer Network Emergency Response Technical Team / Coordination Center of China CSIRT ANTEL ANTEL's Computer and Telecommunications Security Incident Response Centre CSIRT.DK CSIRTUK Cert-IST Cisco PSIRT Cisco Systems Citi CIRT ComCERT CyberCIRT DANTE DCSIRT DFN-CERT DIRT DK-CERT E-CERT EDS ESACERT ETISALAT-CERT EWACanada/CanCERT EYCIRT EnCIRT Ericsson PSIRT FSC-CERT FSLabs Funet CERT GD-AIS GIST GNS-Cert Ernst & Young Computer Incident Response Team EnCase Computer Incident Response Team Ericsson Product Security Incident Response Team CERT of Fujitsu-Siemens Computers F-Secure Security Labs Funet CERT General Dynamics - AIS Google Information Security Team GNS-Cert Danish Computer Security Incident Repsonse Team CSIRTUK CERT France Industries, Services & Tertiaire Cisco Systems Product Security Incident Response Team Cisco Systems CSIRT Citigroup CIRT Commerzbank CERT Cyberklix Computer Incident Response Team Delivery of Advanced Network Technology to Europe Limited Diageo CSIRT DFN-CERT DePaul Incident Response Team Danish Computer Emergency Repsonse Team Energis Computer Emergency Response Team EDS ESA Computer and Communications Emergency Response Team ETISALAT Computer Emergency Response EWA-Canada / Canadian Computer Emergency Response Team
148

GOVCERT.NL GTCERT Goldman Sachs GovCertUK HIRT HKCERT GOVCERT.NL Georgia Institute of Technology CERT Goldman, Sachs and Company CESGs Government Computer Emergency Response Team Hitachi Incident Response Team Hong Kong Computer Emergency Response Team Coordination Centre HP SSRT IIJ-SECT ILAN-CERT ILGOV-CERT ING Global CIRT IP+ CERT IRIS-CERT IRS CSIRC HP Software Security Response Team IIJ Group Security Coordination Team Israeli Academic CERT Israel governmental computer emergency response team ING Global CIRT IP-Plus CERT IRIS-CERT IRS (Internal Revenue Service) Computer Security Incident Response Team ISS IU-CERT Infosec-CERT Intel FIRST Team JANET CSIRT JPCERT/CC JPMC CIRT JSOC Juniper SIRT KMD IAC KN-CERT KPN-CERT KrCERT/CC LITNET CERT MCERT MCI MCIRT MFCIRT MIT Security MLCIRT MODCERT Merrill Lynch Computer Security Incident Response Team MOD Computer Emergency Response Team Network IBM ISS Indiana University CERT Infosec Computer Emergency Response Team Intel FIRST Team JANET CSIRT JPCERT Coordination Center JPMorgan Chase Computer Incident Response Team Japan Security Operation Center Juniper Networks Security Incident Response team KMD Internet Alarm Center Korea National Computer Emergency Response Team Computer Emergency Response Team of KPN KrCERT/CC LITNET CERT Motorola Cyber Emergency Response Team MCI, Inc. Metavante Computer Incident Response Team McAfee Computer Incident Response Team Massachusetts Institute of Technology Network Security Team
149

MSCERT Micro-BIT MyCERT NAB ITSAR NASIRC NCIRC CC Microsoft Product Support Services Security Team Micro-BIT Virus Center Malaysian Computer Emergency Response Team National Australia Bank - IT Security Assessments and Response NASA Incident Response Center NATO Computer Incident Response Capability - Coordination Center NCSA-IRST NCSIRT National Center for Supercomputing Applications IRST NRI SecureTechnologies Computer Security Incident Response Team NGFIRST NIHIRT NISC NIST NN FIRST Team NORDUnet NTT-CERT Northrop Grumman Corporation FIRST NIH Incident Response Team National Information Security Center NIST IT Security Nortel FIRST Team NORDUnet NTT Computer Security Incident Response and Readiness Coordination Team NU-CERT NUSCERT Nokia-NIRT NorCERT ORACERT OS-CIRT OSU-IRT OxCERT PRE-CERT PSU Pentest Q-CERT Q-CIRT RBC FG CSIRT RBSG RM CSIRT RU-CERT RUS-CERT Ricoh PSIRT S-CERT Northwestern University NUS Computer Emergency Response Team Nokia Incident Response Team Norwegian Computer Emergency Response Team Oracle Global Security Team Open Systems AG Computer Incident Response Team The Ohio State University Incident Response Team Oxford University IT Security Team PRE-CERT Pennsylvania State University Pentest Security Team Qatar CERT QinetiQ Computer Incident Response Team RBC Financial Group CSIRT Royal Bank of Scotland, Investigation and Threat Management ROYAL MAIL CSIRT CC Computer Security Incident Response Team RU-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart Ricoh Product Security Incident Response Team CERT of the German Savings Banks Organization
150

SAFCERT SAIC-IRT Singapore Armed Forces Computer Emergency Response Team Science Applications International Corporation - Incident Response Team SAP CERT SBB-SIRT SBS SGI SI-CERT SIRCC SITIC SKY-CERT SUNet-CERT SURFcert SWAT SWITCH-CERT SWRX CERT Secunia Research Siemens-CERT SingCERT Sprint Stanford Sun SymCERT TDBFG CSIRT TERIS TESIRT TS-CERT TS/ICSA FIRST TWCERT/CC SAP AG CERT Softbank BB Security Incident Response Team BT Global Services Silicon Graphics, Inc. Slovenian CERT Security Incident Response Control Center Swedish IT Incident Centre Skype Computer Emergency Response Team SUNet-CERT SURFcert A.P.Moller-Maersk Group IT-Security SWAT Swiss Education and Research Network CERT SecureWorks Computer Emergency Response Team Secunia Research Siemens-CERT Singapore CERT Sprint Stanford University Information Security Services Sun Microsystems, Inc. Symantec Computer Emergency Response Team TDBFG Computer Security Incident Response Team Telefonica del Peru Computer Security Incidents Response Team TELMEX Security Incident Response Team TeliaSoneraCERT CC TruSecure Corporation Taiwan Center TWNCERT Team Cymru Telekom-CERT ThaiCERT UB-First UCERT UGaCIRT UM-CERT Taiwan National Computer Emergency Response Team Team Cymru Telekom-CERT Thai Computer Emergency Response Team UB-First Unisys CERT The University of Georgia Computer Incident Response Team University of Michigan CERT Computer Emergency Response Team/Coordination
151

UNAM-CERT UNINETT CERT US-CERT Uchicago Security VISA-CIRT VeriSign YIRD dCERT dbCERT e-Cop e-LC CSIRT esCERT-UPC secu-CERT VISA-CIRT VeriSign Yahoo Incident Response Division debis Computer Emergency Response Team Deutsche Bank Computer Emergency Response Team e-Cop Pte Ltd e-LaCaixa CSIRT CERT for the Technical University of Catalunya SECUNET CERT Network UNAM-CERT UNINETT CERT United States Computer Emergency Readiness Center The University of Chicago Network Security Center
152
Anexo 2: Proyecto de Tesis

Universidad Tcnica Particular de Loja ESCUELA DE CIENCIAS DE LA COMPUTACIN
Informacin General del Proyecto
Ttulo del Proyecto Duracin Propuesto por : : : Creacin del CERT UTPL 6 meses Grupo de Telecomunicaciones
Docente Investigador:
Ing. Mara Paula Espinosa Ing. Carlos Crdova
Lnea de Investigacin: Seguridad de la Informacin
Perfil de Tesista
: Conocimientos Bsicos de Seguridad de la Informacin. Capacidad de Gestin
Propsito / Descripcin
El proyecto busca definir el esquema y funcionamiento de un CERT, que permita operar un Equipo de Respuesta de Incidentes Formal en la UTPL
Componentes:
- Estudiar cmo est constituido un CERT, los tipos y funciones. - Estudiar los CERT a nivel del mundo. - Definir los requerimientos de la UTPL -Disear el CERT para la UTPL. - Elaborar las polticas, procesos y funciones del CERT UTPL. - Implementar el Equipo de Respuesta de Incidentes de la UTPL.
Estrategia o Metodologa de desarrollo (Opcional) Resultados esperados

- CERT UTPL con polticas, procesos y funciones definidas reconocidas a nivel mundial
Cronograma 153
Componente -Estudiar cmo est constituido un CERT, los tipos y funciones
Tiempo 3 semanas
-Estudiar los CERT a nivel del mundo -Definir los requerimientos de la UTPL -Disear el CERT para la UTPL -Elaborar la polticas, procesos y funciones del CERT UTPL -Implementar el Equipo de Respuesta de Incidentes de la UTPL
2 semanas 3 semanas 8 semanas 4 semanas 4 semanas
Presupuesto (Opcional) Bibliografa / Recursos

www.cert.org www. seguridad.unam.mx
154
Anexo 3: DOMINIO 9: GESTIN DE INCIDENTES EN LA

SEGURIDAD DE LA INFORMACIN
Este dominio est conformado de la siguiente manera:
Dominio 13: Gestin de incidentes en la Seguridad de la Informacin 13.1. Notificacin de Eventos y Puntos Dbiles de la seguridad de la Informacin 13.1.1. Notificacin de los Eventos de la Seguridad de la Informacin 13.1.2. Notificacin de Puntos Dbiles de la Seguridad 13.2. Gestin de Incidentes de la Seguridad de la Informacin y Mejoras 13.2.1. Responsabilidades y Procedimientos 13.2.2. Aprendizaje de los incidentes de Seguridad de la Informacin 13.2.3. Recopilacin de Evidencias 13.1. Notificacin de Eventos y Puntos Dbiles de la Seguridad de la Informacin Objetivo: Asegurar que los eventos y debilidades de la seguridad de la informacin asociados con los sistemas de informacin sean comunicados de una manera que permita que se realice una accin correctiva oportuna. Se debieran establecer procedimientos formales de reporte y de la intensificacin de un evento. Todos los usuarios empleados contratistas y terceros debieran estar al tanto de los procedimientos para el reporte de los diferentes tipos de eventos y debilidades que podran tener un impacto en la seguridad de los activos organizacionales. Se les debiera requerir que reporten cualquier evento y debilidad de la seguridad de la informacin lo ms rpidamente posible en el punto de contacto designado.
13.1.1. Notificacin de los Eventos de Seguridad de la Informacin Control
155
CREACION DEL CSIRT - UTPL Los eventos de seguridad de la informacin debieran ser reportados a travs de los canales gerenciales apropiados lo ms rpidamente posible. Lineamiento de implementacin Se debiera establecer un procedimiento formal para el reporte de eventos en la seguridad de la informacin, junto con un procedimiento de respuesta y de intensificacin de incidentes, estableciendo la accin a tomarse al recibir un reporte de un evento en la seguridad de la informacin. Se debiera establecer un punto de contacto para el reporte de eventos en la seguridad de la informacin. Se debiera asegurar que este punto de contacto sea conocido a travs de toda la organizacin, que siempre est disponible y sea capaz de proporcionar una respuesta adecuada y oportuna. Todos los usuarios empleados, contratistas y terceros debieran estar al tanto de la responsabilidad de reportar cualquier evento en la seguridad de la informacin lo ms rpidamente posible. Tambin debieran estar al tanto del procedimiento para reportar eventos en la seguridad de la informacin y el punto de contacto. Los procedimientos de reporte deben incluir: a) Procesos de retroalimentacin adecuados para asegurar que aquellos que reportan eventos en la seguridad de la informacin sean notificados de los resultados despus de haber tratado y terminado con el problema; b) Formatos de reporte los eventos en la seguridad de la informacin para respaldar la accin de reporte, y ayudar a la persona que reporta a recordar todas las acciones necesarias en caso de un evento en la seguridad de la informacin; c) Se debe tomar la conducta correcta en el caso de un evento en la seguridad de la informacin; es decir 1) anotar todos los detalles importantes inmediatamente (por ejemplo, el tipo de no-cumplimiento o violacin, mal funcionamiento actual, mensajes en la pantalla, conducta extraa); 2) no llevar a cabo ninguna accin por cuenta propia, sino reportar inmediatamente al punto de contacto; d) Referencia a un proceso disciplinario formal establecido para tratar con los usuarios empleados, contratistas o terceros que cometen violaciones de seguridad. 156
CREACION DEL CSIRT - UTPL En los ambientes de alto riesgo, se puede proporcionar una alarma de coaccin29 mediante la cual una persona que acta bajo coaccin puede indicar dichos problemas. Los procedimientos para responder ante las alarmas de coaccin debieran reflejar la situacin de alto riesgo que estas alarmas indican. Otra informacin Los ejemplos de eventos e incidentes de seguridad de la informacin incluyen: prdida del servicio, equipo o medios; mal funcionamiento o sobre-carga del sistema; errores humanos; incumplimientos de las polticas o lineamientos; violaciones de los acuerdos de seguridad fsica; cambios del sistema no controlados; mal funcionamiento del software o hardware; violaciones de acceso.
Con el debido cuidado a los aspectos de confidencialidad, los incidentes en la seguridad de la informacin pueden ser utilizados en la capacitacin de los usuarios como ejemplos de lo que podra suceder, cmo responder ante tales incidentes y cmo evitarlos en el futuro. Para poder tratar apropiadamente los eventos e incidentes en la seguridad de la informacin podra ser necesario recolectar evidencia lo ms pronto posible despus de la ocurrencia (ver seccin 13.2.3). El mal funcionamiento o cualquier otra conducta anmala del sistema pueden ser un indicador de un ataque a la seguridad o una verdadera violacin de la seguridad y, por lo tanto, siempre debiera reportarse como un evento en la seguridad de la informacin. 13.1.2. Notificacin de Puntos Dbiles de la Seguridad Control Se debiera requerir que todos los usuarios empleados, contratistas y terceros de los sistemas y servicios de informacin tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios. Lineamiento de implementacin
29
Una alarma de coaccin es un mtodo para indicar secretamente que una accin se est realizando bajo coaccin.
157
CREACION DEL CSIRT - UTPL Todos los usuarios empleados, contratistas y terceros debieran reportar estos temas ya sea a su gerencia o directamente al proveedor de su servicio lo ms rpidamente posible para evitar incidentes en la seguridad de la informacin. El mecanismo de reporte debiera ser fcil, accesible y estar disponible lo ms posible. Ellos debieran ser informados que no debieran, en ninguna circunstancia, tratar de probar una debilidad sospechada. Otra informacin Los usuarios empleados, contratistas y terceros debieran ser advertidos de no tratar de probar las debilidades de seguridad sospechadas. La prueba de las debilidades podra ser interpretada como un mal uso potencial del sistema y tambin podra causar daos al sistema o servicio de informacin y resultar en la responsabilidad legal para la persona que realiza la prueba. 13.2. Gestin de incidentes de la Seguridad de la informacin y Mejoras Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los incidentes en la seguridad de la informacin. Se debieran establecer las responsabilidades y procedimientos para manejar de manera efectivo los eventos y debilidades en la seguridad de la informacin una vez que han sido reportados. Se debiera aplicar un proceso de mejoramiento continuo para la respuesta a, monitoreo, evaluacin y la gestin general de los incidentes en la seguridad de la informacin. Cuando se requiera evidencia, esta se debiera recolectar cumpliendo con los requerimientos legales 13.2.1. Responsabilidades y Procedimientos Control Se debieran establecer las responsabilidades y los procedimientos de la gerencia para asegurar una respuesta rpida, efectiva y metdica ante los incidentes de la seguridad de la informacin. Lineamiento de la implementacin Adems de reportar los eventos y debilidades en la seguridad de la informacin (ver tambin 13.1), se debiera utilizar el monitoreo del sistema, alertas y vulnerabilidades para detectar los incidentes en la seguridad de la informacin. Se debieran considerar
158
CREACION DEL CSIRT - UTPL los siguientes lineamientos para los procedimientos de gestin de incidentes en la seguridad de la informacin: a) se debieran establecer procedimientos para manejar los diferentes tipos de incidentes en la seguridad de la informacin, incluyendo: fallas del sistema de informacin y prdida del servicio cdigo malicioso negacin del servicio errores resultantes de data comercial incompleta o inexacta violaciones de la confidencialidad e integridad mal uso de los sistemas de informacin b) adems de los planes de contingencia normales, los procedimientos tambin debieran cubrir: anlisis e identificacin de la causa del incidente; contencin; planeacin e implementacin de la accin correctiva para evitar la recurrencia, si fuese necesario; comunicaciones con aquellos afectados por o involucrados con la recuperacin de un incidente; reportar la accin a la autoridad apropiada; c) se debiera recolectar y asegurar rastros de auditora y evidencia similar, conforme sea apropiado para:
anlisis interno del problema; uso como evidencia forense en relacin a una violacin potencial del contrato o el requerimiento regulador o en el caso de una accin legal civil o criminal; por ejemplo, bajo la legislacin sobre el mal uso de computadoras o proteccin de data; negociacin para la compensacin de los proveedores del software y servicio;
d) se debieran controlar formal y cuidadosamente las acciones para la recuperacin de las violaciones de la seguridad y para corregir las fallas en el sistema; los procedimientos debieran asegurar que: 159
CREACION DEL CSIRT - UTPL slo el personal claramente identificado y autorizado tengan acceso a los sistemas vivos y la data para el acceso externo se documenten en detalle todas las acciones de emergencia realizadas; la accin de emergencia sea reportada a la gerencia y revisada de una manera adecuada; la integridad de los sistemas y controles comerciales sea confirmada con una demora mnima. Se debieran acordar con la gerencia los objetivos para la gestin de incidentes en la seguridad de la informacin, y se debieran asegurar que aquellos responsables de la gestin de incidentes en la seguridad de la informacin entiendan las prioridades de la organizacin para el manejo de los incidentes en la seguridad de la informacin. Otra informacin Los incidentes en la seguridad de la informacin podran trascender fuera de las fronteras organizacionales y nacionales. Para responder a estos incidentes se necesita cada vez ms coordinar la respuesta y compartir informacin sobre estos incidentes con organizaciones externas, conforme sea apropiado. 13.2.2. Aprendizaje de los incidentes de Seguridad de la Informacin
Control Se debieran establecer mecanismos para permitir cuantificar y monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin. Lineamiento de implementacin Se debiera utilizar la informacin obtenida de la evaluacin de los incidentes en la seguridad de la informacin para identificar los incidentes recurrentes o de alto impacto. Otra informacin La evaluacin de los incidentes en la seguridad de la informacin pueden indicar la necesidad de incrementar o establecer controles adicionales para limitar la frecuencia, dao y costo de ocurrencias futuras, o tomarlos en cuenta en el proceso de revisin de la poltica de seguridad . 13.2.3. Recopilacin de Evidencias
Control 160
CREACION DEL CSIRT - UTPL Cuando una accin de seguimiento contra una persona u organizacin despus de un incidente en la seguridad de la informacin involucra una accin legal (ya sea civil o criminal); se debiera recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdiccin(es) relevante(s). Lineamiento de implementacin Se debieran desarrollar y seguir los procedimientos internos cuando se recolecta y presenta evidencia para propsitos de una accin disciplinaria manejada dentro de una organizacin. En general, las reglas de evidencia debieran abarcar: a) admisibilidad de la evidencia: si la evidencia se puede o no se puede utilizar en la corte; b) peso de la evidencia: la calidad e integridad de la evidencia.
Para lograr la admisibilidad de la evidencia, la organizacin debiera asegurar que sus sistemas de informacin cumplan con todos los estndares o cdigos de prctica publicados para la produccin de evidencia admisible. El peso de la evidencia provisto debiera cumplir con cualquier requerimiento aplicable. Para lograr el peso de la evidencia, se debiera demostrar mediante un rastro de auditora slido la calidad y la integridad de los controles utilizados para proteger correcta y consistentemente la evidencia (es decir, evidencia del control del proceso) durante todo el perodo en que la evidencia a ser recuperada fue almacenada y procesada. Este rastro de auditora slido se puede establecer bajo las siguientes condiciones:
a) para los documentos en papel: el original se debiera mantener de manera

segura con un registro de la persona quien encontr el documento, el lugar donde se encontr el documento, cundo se encontr el documento y quin presenci el descubrimiento; cualquier investigacin debiera asegurar que no se alteren o manipulen los originales;
b) para la informacin en medios de cmputo: se debieran realizar imgenes

dobles o copias (dependiendo de los requerimientos aplicables) de cualquier medio e informacin en discos duros o en memoria para asegurar su disponibilidad; se debiera mantener un registro de todas las acciones realizadas durante el proceso de copiado y el proceso debiera ser atestiguado; el medio original y el registro (si esto no es posible, por lo menos una imagen doble o una copia) se debieran mantener de manera segura y sin ser tocados. Cualquier trabajo forense slo se debiera realizar en las copias del material de evidencia. Se debiera proteger la integridad de todo el material de evidencia. El 161
CREACION DEL CSIRT - UTPL copiado del material de evidencia debiera ser supervisado por personal confiable y se debiera registrar la informacin sobre cundo y dnde se realiza el proceso de copiado, quin realiza las actividades de copiado y cules herramientas y programas se han utilizado. Otra informacin Cuando recin se detecta un evento en la seguridad de la informacin, puede no ser obvio si el evento resultar, o no, en una accin legal. Por lo tanto, existe el peligro que la evidencia necesaria sea destruida involuntaria o accidentalmente antes de percatarse de la seriedad del incidente. Es aconsejable involucrar a un abogado o la polica desde el inicio de una accin legal contemplada y tomar asesora sobre la evidencia requerida. La evidencia puede trascender las fronteras organizacionales y/o jurisdiccionales. En tales casos, se debiera asegurar que la organizacin tenga el derecho de recolectar la informacin requerida como evidencia. Se debieran considerar los requerimientos de las diferentes jurisdicciones para maximizar las posibilidades de admisin a travs de las jurisdicciones relevantes.
162
Anexo 4: FORMATO DE ENCUESTAS

ENCUESTA ADMINISTRADORES DE SERVIDORES Fecha:______________________________________________________________ Nombres: ___________________________________________________________ Area:_______________________________________________________________ Cargo:______________________________________________________________ e-mail:______________________________________________________________
Objetivo Obtener informacin acerca de los incidentes de seguridad que se han presentado en los diferentes sistemas o servicios de la Universidad, as como los mecanismos que utilizan los administradores para prevenirlos y minimizarlos.
1. El origen de los incidentes ha sido: Internos Externos
A quien los a reportado?
2. Realiza constantemente anlisis de Seguridad a los sistemas que usted administra?. Si la respuesta es si por favor indique el tipo de anlisis que realiza. .. .. .. Si la respuesta es No mencione las personas encargadas de realizar el anlisis. ..
163
3. De las siguientes tecnologas, cules utiliza actualmente? Control de Acceso (Password) Encriptacin de Archivos Software Antivirus Firewalls Sistemas de Deteccin de Intrusiones Certificados Digitales Redes Privadas Virtuales Test de Penetracin
Si hay alguno que no est en la lista por favor lstelos a continuacin: 4. Del anlisis realizado qu tipo de incidentes a encontrado? Problema Frecuencia de Ocurrencia (1-100 %) Gravedad de los daos Critico, No Crtico, Normal,
Problemas de Red Internet Correo electrnico Modificacin de pginas web Robo de informacin confidencial Denegacin de Servicios Spamming de correo electrnico Acceso no autorizado a los sistemas Ataques de Virus Prdida de Informacin Errores en entrada de datos o de programacin (base de datos) Fallos durante el Procesamiento de Transacciones (base de datos) Fallas a nivel de Software Fallas a nivel de Hardware Errores en la configuracin de equipos
Crtico: Representan situaciones de alto riesgo, afectan a los sistemas crticos, requieren de respuesta inmediata. No crtico: Fallas en sistemas utilizados por usuarios.
164

Normal: problemas que afecten a sistemas de menos importancia.
5. En cuanto a polticas de seguridad, de las siguientes cules tiene implementadas?
Polticas de seguridad Contraseas - De Equipo - De red Respaldos de Bases de Datos, Sistemas, informacin importante para la organizacin. Planes de Contingencia Deteccin de virus Deteccin de vulnerabilidades Proteccin Riesgo de cuentas de
Si
No No conoce
Seguridad Fsica
6. Guarda algn registro de la deteccin de virus, prdida de informacin, dao en los equipos de algn otro tipo de incidente en repositorios como: bitcoras, base de datos, estadsticas, etc.?
7. Maneja algn formato para el reporte de incidentes?
165
Anexo 5:
DESCRIPCIN DE SERVICIOS EQUIPO CSIRT - UTPL
(De acuerdo a la norma RFC 2350)
1. Informacin del Documento
1.1. Fecha de la ltima actualizacin: 10 de Agosto de 2008 1.2. Listas de Distribucin: Las notificaciones con las ltimas actualizaciones se enviarn a una lista de correo, en la que constarn los nombres de todos los contactos que mantiene el CSIRT-UTPL. Cualquier persona que requiera se le enven informacin del CSIRT-UTPL debe registrarse a la direccin asignada para el Equipo. 1.3. Ubicacin del Documento: La versin actual del documento se la puede descargar de la pgina web del CSIRT-UTPL.
2. Informacin de Contacto
2.1. Nombre del Equipo: CSIRT-UTPL: Equipo de Respuesta a Incidentes de Seguridad Informtica de la Universidad Tcnica Particular de Loja. 2.2. Direccin: CSIRT-UTPL Universidad Tcnica Particular de Loja San Cayetano Alto Loja-Ecuador 2.3. Zona Horaria: UTC-GMT -5 2.4. Nmero de Telfono: PBX: (593)(07)2 570275 2.5. Nmero de Fax: 166
CREACION DEL CSIRT - UTPL Fax: (593)(07)2 584893 2.6. Otras Comunicaciones: No disponible 2.7. Direccin de Correo Electrnico: equiposeg@utpl.edu.ec 2.8. Llaves Publicas y encriptacin de informacin: No disponible 2.9. Miembros del Equipo: Ing. Mara Paula Espinosa Equipo NOC/SOC Gestin Productiva Tesistas 2.10. Horario Local: Atencin en horas de oficina (08H00-13h00 / 15H00: 19H00). 2.11. Puntos de contacto para clientes: La comunicacin entre el Equipo CSIRT-UTPL y los miembros de la universidad puede ser a travs de los siguientes medios: Correo Electrnico, Telfono, Fax, para enviar informes utilice los formatos establecidos por el Equipo CSIRT-UTPL.
3. Constitucin
3.1. Misin: Promover la investigacin en temas de seguridad, para de esta manera tomar medidas preventivas, establecer procesos de respuesta que sean eficientes para mitigar los posibles daos que cualquier incidente ocasione en los sistemas de informacin de la UTPL. 3.2. Comunidad a la que brinda Servicios: El Equipo CSIRT-UTPL ofrece servicios de manejo y prevencin de Incidentes al Personal docente y administrativo de la Universidad Tcnica Particular de
Loja, el modelo implementado es el CSIRT Acadmico. 3.3. Patrocinio / Afiliacin: El Equipo CSIRT UTPL es patrocinado por la Universidad Tcnica Particular de Loja. 3.4. Autoridad:
167
CREACION DEL CSIRT - UTPL La autoridad del Equipo CSIRT-UTPL en lo referente al manejo y respuesta a incidentes ser compartida con el director de la UPSI y director de CITTE, es decir que el equipo brindar asesora en cuanto a las soluciones ms adecuadas que se debe aplicar.
4. Polticas 4.1. Tipo de Incidentes y nivel de Soporte: El Equipo CSIRT-UTPL se encarga de manejar y dar solucin a todos los incidentes que sucedan o no en los diferentes equipos de la UTPL. El tipo de respuesta que brinde el Equipo depender de la gravedad del incidente reportado, la gravedad de los mismos se determinar haciendo uso de metodologa para el manejo de incidentes existente en la universidad. 4.2. Cooperacin, Interaccin y divulgacin de la Informacin: La informacin ser manejada con absoluta confidencialidad de acuerdo a las polticas y procedimientos establecidos dentro de la UTPL, en el caso de que se proceda a publicar la informacin esta ser previa autorizacin de los dueos de la misma, en el caso que esto se incumpla el caso ser manejado de acuerdo a las polticas establecidas por la universidad para estos casos. 4.3. Comunicacin y Autenticacin: No disponible
5. Servicios
5.1. Respuesta a Incidentes El equipo CSIRT-UTPL ayudar en las tareas relacionadas con el manejo y repuesta a incidentes de acuerdo las metodologas realizadas para el manejo de los mismos, trabajar conjuntamente con el Equipo NOC/SOC en la generacin de alertas, reportes, estadsticas y capacitacin a usuarios. Algunas de las actividades a realizarse de acuerdo al manejo de incidentes son: 5.1.1. Funcin Triage: Realizar tareas de clasificacin de los reportes de incidentes recibidos, para determinar la gravedad y prioridad de los mismos. 5.1.2. Coordinacin del Incidente: Realizar tareas de coordinacin de respuesta a incidentes y 168
vulnerabilidades, para determinar el origen de los incidentes, redactar
CREACION DEL CSIRT - UTPL anuncios que informen de los incidentes atendidos y vulnerabilidades encontradas, levantar estadsticas 5.1.3. Resolucin del Incidente La respuesta que se brinde ser realizando anlisis a primer nivel, de acuerdo a la experiencia de los integrantes del equipo.
5.2. Actividades Proactivas Para los servicios proactivos se ha tomado en cuenta dos aspectos los servicios proactivos como tal, y un Laboratorio CSIRT que se encargar de realizar investigacin y formulacin de proyectos. Los servicios proactivos que se brindarn en el Equipo CSIRT-UTPL son: Servicios de Deteccin de Intrusiones Implementacin y configuracin de Herramientas, Aplicaciones, Infraestructuras y servicios de seguridad. Estudio de Trfico Malicioso Estudio de vulnerabilidades y patrones de ataque Investigacin sobre las nuevas formas de ataques, Definicin de polticas de seguridad. El rea de Laboratorio se encargar de Formular proyectos de investigacin.
6. Formularios para el reporte de Incidentes Para realizar el reporte de incidentes debe utilizar los formatos elaborados por el Equipo CSIRT-UTPL, los mismos que se pueden obtener en el Equipo CSIRTUTPL. 7. Disclaimer El Equipo CSIRT-UTPL no se responsabiliza por el mal uso que se d a la informacin aqu contenida.
169
Anexo 6: Propuesta para la

Nombre del Proyecto:
Creacin del CSIRT-UTPL
Definicin de Proyecto UTPL
Implementacin de un Equipo de Respuesta a Incidentes para la Universidad Tcnica Particular de Loja (CSIRT UTPL)
Preparado por: Rebeca Pilco Vivanco. (Estudiante Escuela Ciencias de la Computacin) Departamento / Escuela / CITTES / Empresa:
Grupo de Telecomunicaciones / Esc. de Ciencias de la Computacin / UPSI / UTPL

Fecha: 16 de Julio de 2008
Antecedentes y Objetivos Antecedentes

Los diferentes tipos de servicios y actividades que se realizan en cada uno de los CITTES de la Universidad hace que toda la informacin que manejan se convierta en un punto vulnerable por cuanto la mayor parte de las transacciones y actividades se realizan en su mayora sobre una plataforma de comunicaciones en la red interna e internet, por otro lado los sistemas se ven afectados por diferentes tipos de incidentes entre los que se registran problemas de red, denegacin de servicios y ataques de virus, por citar los ms importantes, no hay un departamento al que se pueda reportar algn incidente ni que se encargue de recolectar y llevar algn tipo de registro de los mismos. El presente proyecto propone la creacin de un Equipo de Respuesta a Incidentes para la Universidad Tcnica Particular de Loja (CSIRT-UTPL) que inicialmente ser implementado como un Laboratorio de Seguridad y conjuntamente con el NOC/SOC sern los encargados de brindar respuestas y soluciones a los incidentes y vulnerabilidades que se encuentren en los sistemas informticos de la Universidad, fortaleciendo de sta manera la lnea de investigacin de Seguridad de la Informacin, que hoy en da se considera como un componente transversal a todos los procesos de las organizaciones.
Objetivos
170
CREACION DEL CSIRT - UTPL Brindar respuestas giles y minimizar el dao que pueden causar los diferentes incidentes que se reportan en los sistemas de la UTPL. Incrementar los niveles de seguridad en la UTPL haciendo uso de metodologas y polticas para la respuesta a incidentes. Realizar constante capacitacin a los miembros del equipo CSIRT-UTPL . Convertirnos en un grupo de investigacin en temas de seguridad de la informacin. Establecer contactos con otros equipos CSIRT en la regin
Equipo Del Proyecto

Rol Nombre
Sponsor
Carlos Correa A. UPSI
Gerente de Proyecto
Ing. Mara Paula Espinosa
Gerente de Producto
Ing. Mara Paula Espinosa
Lnea de Investigacin / Proceso de Negocio
Equipo de Seguridad de la Informacin
Otros Stakeholders (ej. Clientes)
Equipo NOC/SOC
Alcance Del Proyecto

Dentro del Alcance del Proyecto
1.
Difusin de Alertas y Advertencias
171
2.
Anlisis y Manejo de Incidentes y Vulnerabilidades haciendo uso de las diferentes herramientas diseadas para estos fines.
3.
Llevar un grupo formal de investigacin que aporte al equipo en la identificacin y solucin de problemas, entre otros.
4.
Definir polticas y procedimientos para el funcionamiento interno del CSIRT-UTPL
Fuera del Alcance del Proyecto
1.
Configuracin y Mantenimiento de Herramientas, Infraestructura y servicios de seguridad.
2. 3.
Desarrollo de herramientas de Seguridad
Realizar Auditoras de Seguridad
Suposiciones
Suposiciones
1. 2. 3. 4.
NOC/SOC en capacidad de brindar servicios de nivel 1
Contratacin de personal para temas de investigacin Aprobacin de presupuesto
172
Metas
Formar parte del Forum of Incidente Response and Security Teams (FIRST) Conformar un grupo de Respuesta a Incidentes Formal que se encargue de analizar, identificar y brindar soluciones a los incidentes que se presenten en la UTPL, haciendo uso de polticas y metodologas de resolucin de incidentes permitiendo as brindar de una mejor manera diferentes tipos de servicios a la UTPL. Convertirnos en un grupo proactivo, que siempre est preparado para dar soluciones en el momento oportuno y con las soluciones adecuada. Crear conciencia en los diferentes usuarios acerca de la importancia de implementar un CSIRT en la organizacin. Una vez implementado el proyecto se obtendr algunos beneficios como: o o Coordinacin de respuesta a incidentes de manera efectiva Establecer canales de comunicacin entre el CSIRT y todas las dependencias de la universidad para un adecuado reporte y respuesta a incidentes. Compartir informacin entre diferentes equipos de Respuesta a incidentes a nivel mundial. Realizar un constante monitoreo a los sistemas crticos de la universidad, para de esta manera estar prevenidos ante cualquier incidencia y saber que hacer el momento que ocurra.
Resultados
Equipo de personas capacitado para responder a incidentes realizando trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologas para el manejo de incidentes y polticas internas para el grupo. Mantener un portal WEB en el que conste un formulario para realizar un correcto reporte de incidentes y en que se realce la publicacin de las mejores prcticas de seguridad. Conseguir un sponsor que nos auspicie en ingreso al FIRST.
173
CREACION DEL CSIRT - UTPL Reducir el nmero de posibles ataques y tomar medidas para disminuir el nmero de vulnerabilidades encontradas.
ndices de Medicin
Metas
Resultados
Indices de Medicin
Creacin formal del Equipo de personas Servicios brindados: Equipo CSIRT capacitado para responder (Laboratorio y NOC/SOC) Laboratorio CSIRT: a incidentes realizando Servicios Reactivos. trabajos conjuntos con el NOC/SOC: grupo NOC/SOC, haciendo Proactivos uso de metodologas para el manejo de incidentes y polticas internas para el grupo. Servicios
Establecer comunicacin directa con todas las reas de la universidad para el reporte de incidentes.
Portal WEB en el que Cantidad de reportes conste un formulario para manejados en el grupo realizar los reporte de CSIRT. incidentes.
Alianzas estratgicas con Encontrar un sponsor que Auditoras y visitas otros CSIRTs. nos auspicie el ingreso al realizadas por otros FIRST equipos a nivel de Latinoamrica. Crear recursos de Contar con herramientas investigacin en temas de adecuadas de estudio de seguridad del a trfico, anlisis de informacin vulnerabilidades y estudio de patrones Reportes del malware en el campus, clasificado por tipo, vulnerabilidad, mtodo de propagacin ,etc Patrones de comportamiento de trfico UTPL y anomalas
Definicin de Tiempos
Fecha Inicial: _____14 de Julio de 2008_________ Fecha Final: _______________________________ 174
Fase de Proyecto
Tarea
Fecha Estimada de Termino / Estado Actual
Definicin
Aprobacin de Definicin Inicial
04/12/07 14/07/08 En proceso En proceso En proceso En proceso En proceso En proceso En proceso
Planificacin
Reunin Inicial
Aprobacin Inicial
Cronograma de Tareas
Plan de Comunicacin
Aceptacin Inicial
Revisin Adicional (si es requerida)
Ejecucin
Orden de Equipos / Materiales
Cierre
Reunin de Cierre de Proyecto
Issues, Riesgos y Factores Mitigantes del Proyecto

Issue/Riesgo Posible impacto (AMB) Mitigacin
1.
No aprobacin de proyecto
Replantearlo
2.
No contar con personal requerido
Trabajar siempre con estudiantes y personal de backup
175
3.
Aprobacin parcial del proyecto
Definir fases prioritarias
4.
NOC/SOC no pase adecuadamente a Gestin de Servicios
Crear un rea para el manejo de incidentes con personal nuevo.
Riesgos si no se realiza el Proyecto

Riesgo
1. 2. 3.
No avanzar los temas de investigacin en la lnea de seguridad
No hay conocimiento real del trfico de la red
Falta de definicin de riesgos
Personal Involucrado
Dependecia / Escuela # de personas % de tiempo Rol / Habilidades
Coordinador Ciencias de la Computacin 1 Completo Proyectos de Investigacin
Ciencias de la Computacin
Completo
NOC/SOC
Ciencias de la Computacin
Completo
Proyectos de Investigacin
176
Presupuesto Preliminar
Costos Iniciales: ________$ 9760,00_______________________ Costos Incrementales: ____$8500,00_______________________
Aceptacin:
SPONSOR: [Carlos Correa L.] Gerente de Proyecto: [Ing. Mara Paula Espinosa]
177
178
Bibliografa
Equipos de Respuesta a Incidentes Segu-info.com.ar Equipos de respuesta a incidentes http://www.segu-info.com.ar/politicas/incidentes.htm ArCERT CSIRT - Preguntas ms frecuentes http://www.arcert.gov.ar/webs/csirt_faq.html#7 COL-CSIRT Preguntas ms frecuentes http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=node/4#3 Martnez Carlos Marcelo, Ttulo: Experiencia de implantacin de un CSIRT en ANTEL-Uruguay http://www.asiap.org/interjiap/Conferencias/Conferencias%202007/ANTEL .ppt VELASQUEZ Solha Liliana: Ttulo CAIS/RPN El CSIRT de la Red
Acadmica Brasilea
http://www.arcert.gov.ar/tc/presentaciones/lunes/PanelI-CAIS.pdf Estructura, Visin y Modelo Organizacional de un CSIRT CERT/CC, Ttulo: Staffing tour Computer Security Incident Response Team What Basic Skills Are Needed?
http://www.cert.org/work/software_assurance.html
Killcrece Georgia, Kossakowski Klaus, Ruefle Robin, Zajicek Mark, Ttulo: State of the Practice of Computer Security Incident Response Teams (CSIRTs) www.cert.org/archive/pdf/03hb001.pdf Evitando errores en el manejo de Incidentes de Seguridad 179
CREACION DEL CSIRT - UTPL http://www.seguridad.unam.mx/descarga.dsc?arch=319 Morales Ricardo, Ttulo: Proceso de Concientizacin http://www.bsecure.com.mx/articulo-59-6626-381.html
Definicin y Manejo de Incidentes Respuesta a Incidentes de Seguridad de TI http://www.microsoft.com/spain/technet/security/guidance/disasterrecovery/resp onding_sec_incidents.mspx Grance Tim, Karen Ken, Brian Kin, Ttulo Computer Security incident Handling Guide, Recommendations of the national institute of Standards an Technology , January 2004. http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf
Polticas Diseo de Polticas de Seguridad http://www.cert.gov.ve/docs/DISENO_DE_POLITICA_DE_SEGURIDAD.pdf Polticas y Modelos de Seguridad http://www.sc.ehu.es/jiwibmaj/ApuntesCastellano/TEMA_12-politicas-.pdf
180
REFERENCIAS
[1] Zator Systems: Notas sobre Internet www.zator.com/Internet/A2_1a.htm Fecha de Consulta: Febrero de 2008 CERT, Darpa Establishes Computer Emergency Response www.cert.org/about/1988press-rel.html Fecha de Consulta: Febrero de 2008 [3] Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia Killcrece, Robin Ruefle, Mark Zajicek, Handbook for Computer Security
[2]
Incident Response Teams (CSIRTs), First release: December 1998, 2nd Edition: April 2003. http://www.cert.org/archive/pdf/csirt-handbook.pdf Fecha de Consulta: Febrero de 2008 [4] Killcrece Georgia, Ttulo: Steps for Creating National CSIRTs http://www.cert.org/archive/pdf/NationalCSIRTs.pdf Fecha de Consulta: Mayo de 2008 Enisa: Cmo Crear un CSRIT paso a paso http://enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_EN ISA-ES.pdf / Fecha de Consulta: marzo de 2008
[5]
[6]
CSI SURVEY 2007 The 12th Annual Computer Securiry Survey http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf Fecha de Consulta: Febrero de 2008
[7]
FIRST http://www.first.org/ Fecha de Consulta: Febrero de 2008
[8]
Comit Interamericano contra el Terrorismo (CICTE)
181
CREACION DEL CSIRT - UTPL Recomendaciones del Segundo Encuentro de Especialistas en Seguridad Ciberntica sobre la estrategia integral de seguridad ciberntica de la OEA: Fomento de la Red interamericana de Respuesta a incidentes de seguridad Ciberntica. http://www.oas.org/juridico/spanish/cybGE_IVcicte_sp.doc Fecha de Consulta: Marzo de 2008 [9] CICTE Informe 46 Actividades de contraterrorismo, La OEA avanza en el mbito de los equipos de respuesta a incidentes de seguridad ciberntica. http://www.cicte.oas.org/Rev/Es/About/Newsletters/Informe_46_spa.pdf Fecha de Consulta: Marzo de 2008
[10]
TERENA http://www.terena.org/activities/tf-csirt/ Fecha de Consulta: Febrero de 2008
[11]
APCERT http://www.apcert.org/index.html / Fecha de Consulta: Marzo del 2008
[12]
FIRST: teams around the world http://www.first.org/members/map/ Fecha de Consulta: Agosto de 2008
[13]
Poltica y Procedimiento para Manejar, Documentar y Resolver Incidentes Tcnicos http://www.uprb.edu/politicas/Politica-Procedimiento-ManejoIncidentes.pdf Fecha de Consulta: Junio de 2008
[14]
Priority Categories / RedIris http://www.rediris.es/cert/servicios/iris-cert/prio.es.html Fecha de Consulta: Junio/2008 Kumar Ajoy, ttulo: CIRT Framework and Models http://www.securitydocs.com/pdf/2964.PDF 182
[15]
CREACION DEL CSIRT - UTPL Fecha de Consulta: junio de 2008 Gmez Bermejo Alejandro, Ttulo: Ponencia: Gestin de incidentes de Seguridad y planes de continuidad de negocio. Metodologa y aspectos prcticos para implantacin http://www.1enise.inteco.es./ponencias/ENISET14_Alejandro_Gomez_Ber mejo.pdf Fecha de Consulta: Junio/2008 ArCERT: Gestin de Incidentes http://www.arcert.gov.ar/ncursos/material/Gestion_de_Incidentes_parte1_ vf.pdf Fecha de Consulta: Junio/2008
[16]
[17]
[18]
Pinzn Olmedo Freddy Bolvar, Ttulo: Desarrollo de una metodologa para la Identificacin de Vulnerabilidades, Anlisis Forense y Atencin a Incidentes de Seguridad en los Servidores de la UTPL. Loja, 2008, paginacin. Ingeniero en sistemas Informticos y Computacin,
[19]
Guel Lpez Juan Carlos, Ttulo: Creacin de Equipos de Respuesta a Incidentes de Seguridad en Cmputo http://lacnic.net/documentos/lacnicix/Creacion-CSIRT-LACNIC.pdf.private Fecha de Consulta: Junio de 2008
[20]
La ISO 17799:2005 ya es la ISO 27002:2005. http://sociedaddelainformacion.wordpress.com/xmlrpc.php Fecha de Consulta: Junio de 2008
[21]
Killcrece Georgia, Kossakowski Klaus-Peter, Ruefle Robin, Zajicek Mark, Ttulo: Organizational Models for Computer Security Incident Response Teams (CSIRTs), www.cert.org/archive/pdf/03hb001.pdf Fecha de Consulta: Junio de 2008
[22]
CERT 183
CREACION DEL CSIRT - UTPL Creating a Computer Security Incident Response Team: A Process for Getting Started http://www.cert.org/csirts/Creating-A-CSIRT.html Fecha de Consulta: Junio de 2008
[23]
N. Brownlee RFC 2350 http://rfc.net/rfc2350.html#s3.3.1 Fecha de Consulta: Junio de 2008
[24]
CLCERT: Mision http://www.clcert.cl/ Fecha de Consulta: Junio de 2008 CERT: Incident Reporting Guidelines http://www.cert.org/tech_tips/incident_reporting.html Fecha de Consulta: Junio de 2008
[25]
[26]
Revista Institucional de la UTPL http://www.utpl.edu.ec/images/stories/revista_institucional/revista_1.pdf Fecha de Consulta: Junio de 2008
[27]
wikipedia - Repositorio http://es.wikipedia.org/wiki/Repositorio Fecha de Consulta: Agosto de 2008 wikipedia Firewalls (Cortafuegos) http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29 Fecha de Consulta: Agosto de 2008
[28]
[29]
Cabrera Cabrera Andrea Soledad, Cueva Jaramillo Henri Apolo, Ttulo Estandarizacin, Publicacin y Mantenimiento de las Polticas de Seguridad de la Informacin para la Universidad Tcnica Particular de Loja. Loja, 2006, paginacin. Ingeniero en Sistemas informticos y Computacin. UTPL. Biblioteca de la UTPL. rea de Programacin de Computadores.
184
CREACION DEL CSIRT - UTPL [30] Ruefle Robin, Ttulo: FIRST Site Visit Requirements and Assessment http://first.org/membership/site-visit-V1.0.pdf Fecha de Consulta: agosto de 2008
[31]
Informes 2007 - IrisCERT http://www.rediris.es/cert/doc/informes/2007/node4.html Fecha de Consulta: agosto de 2008
[32]
Estadsticas Reportadas al CERT.br http://www.cert.br/stats/incidentes/#2008 Fecha de Consulta: agosto de 2008
185
PLAN PILOTO PARA LA IMPLEMENTACION DEL EQUIPO DE RESPUESTA A INCIDENTES DE LA UNIVERSIDAD TECNICA PARTICULAR DE LOJA CSIRT-UTPL
186
PLAN PILOTO PARA LA IMPLEMENTACION DEL EQUIPO DE RESPUESTA A INCIDENTES DE LA UNIVERSIDAD TECNICA PARTICULAR DE LOJA CSIRT-UTPL Propuesta El plan piloto est compuesto de tres fases, la primera fase corresponde a los aspectos generales que corresponden a la estructura organizativa del CSIRT-UTPL como tal, la segunda fase consiste en la Implementacin de la propuestas piloto del Equipo y finalmente la tercera fase consiste en la Evaluacin del Equipo. Fase I: Estructura Organizativa del CSIRT-UTPL La estructura organizativa del equipo est definida por los siguientes aspectos: Visin del CSIRT-UTPL
-
Misin
(Ver apartado 6.5.1.) Funciones o Realizar actividades preventivas tales como: capacitacin, difusin de alertas recibidas por informes de otros CSIRTs, implementacin de polticas de seguridad de la informacin. o o o o o Llevar un grupo formal de investigacin que aporte al equipo en la identificacin y solucin de problemas. Atencin de incidentes. (Ver: Polticas del CSIRT-UTPL) Objetivos Incrementar los niveles de seguridad en la UTPL, mediante el uso de polticas que sean conocidas y aplicadas por todos los usuarios. Convertirnos en un grupo de investigacin en temas de seguridad de la informacin. Conformar un grupo que sea el punto de contacto para el reporte de
incidentes y vulnerabilidades, que brinde servicios a la comunidad objetivo del CSIRT-UTPL. 187
Comunidad a la que el CSIRT va a brindar Servicios. (Ver apartado 6.5.2.)
Para la implementacin de la propuesta piloto se ha delimitado la comunidad objetivo solamente a los Administradores de Servidores y servidores de Mail, Web y Proxy de la UTPL. Lugar que ocupar el CSIRT UTPL en la estructura organizacional Ver apartado (6.5.3.)
Fase I I: Implementacin de la Propuesta Piloto

-
Personal a formar parte del CSIRT-UTPL o o o o Lder del equipo HelpDesk NOC/SOC Laboratorio de Seguridad
Estructura Organizativa del CSIRT
CSIRT-UTPL
LIDER DE GRUPO
NOC/SOC HelpDesk Figura 1: Organigrama inicial del CSIRT-UTPL
INVESTIGACIN
Actividades Iniciales:
188
CREACION DEL CSIRT - UTPL Una de las actividades iniciales es la capacitacin, en la UTPL se utiliza la herramienta OSIMM la misma que permite obtener reportes de las actividades que se realizan en cada equipo, los administradores de servidores deben tener conocimiento de esta herramienta, por lo tanto parte de las actividades iniciales ser la capacitacin a los administradores de
servidores en el uso de la herramienta antes mencionada y tambin del uso de la metodologa para el manejo de incidentes y de las polticas del CSIRTUTPL.
Los administradores de servidores son los encargados de realizar el monitoreo de los equipos de los que son responsables, los reportes de incidentes obtenidos deben ser enviados al equipo NOC/SOC que es el encargado de recibir toda la informacin relativa a incidentes y vulnerabilidades.
En el caso de encontrar algn tipo de vulnerabilidad debe enviar esta informacin al grupo NOC/SOC haciendo uso de los formatos de reporte establecidos en las polticas del CSIRT-UTPL. Todos los incidentes de seguridad que se detecten deben ser enviados al equipo NOC/SOC de acuerdo a los formatos que sern facilitados por el equipo NOC/SOC.
NOC/SOC El equipo NOC/SOC debe clasificar la informacin recibida de acuerdo a las polticas del CSIRT-UTPL (Ver Polticas para el CSIRT-UTPL) esto se realiza con el objetivo de levantar datos estadsticos de los eventos que ocurren en los equipo. HELPDESK El Equipo de Soporte Tcnico ser en encargado de emitir los reportes de HELPDESK, adems siendo un equipo que brinda varios servicios a la comunidad universitaria entre ellos la atencin a incidentes como ataques de virus, etc., debe realizar el registro de los virus atendidos (Ver: Reporte de Cdigo Malicioso) y enviarlos el grupo NOC/SOC para su difusin. 189
CREACION DEL CSIRT - UTPL INVESTIGACIN El rea de investigacin est conformada por el grupo de tesistas y gestin productiva encargados de diferentes proyectos.
Forma de Comunicacin entre el CSIRT y los administradores: o Formularios para reportar incidentes y vulnerabilidades encontradas.
Servicios a brindar:
o
Servicios Reactivos o o o
Alertas y Advertencias Manejo de Incidentes haciendo uso de la metodologa para incidentes y vulnerabilidades existente en la universidad. Reportes Estadsticos
Servicios Proactivos o Investigacin (Observatorio de Tecnologa)
Servicios de Gestin y Calidad de la Seguridad o Concientizacin
Polticas
Las polticas y procedimientos se encuentran detallados en el folleto de Polticas para el CSIRT-UTPL.
Dado que es un proyecto pilo de implementacin, la infraestructura fsica no ha sido tomada en cuenta, el CSIRT-UTPL funcionar inicialmente en el Grupo de Telecomunicaciones formando parte del grupo de Seguridad, y el equipo NOC/SOC forma parte del grupo de Soporte tcnico.
El proyecto piloto presentado tiene como finalidad ser puesto en marcha y de esa manera brindar servicios durante un plazo de tiempo y determinar la efectividad del
190
CREACION DEL CSIRT - UTPL equipo, as mismo realizar una evaluacin de la estructura y determinar si la misma requiere de cambios. Fase III: Evaluacin de la Propuesta Piloto Alcance de la Propuesta Difusin de Alertas. Conformar un grupo de investigacin que aporte al equipo en la identificacin y solucin de problemas. Metas Conformar un grupo de Respuesta a Incidentes Formal que se encargue de analizar, identificar y brindar soluciones proactivas a los incidentes que se
presenten en la UTPL, haciendo uso de polticas y metodologas de resolucin de incidentes. Crear conciencia en los diferentes usuarios acerca de la importancia de implementar un CSIRT en la organizacin. Resultados Equipo de personas capacitado para responder a incidentes, realizando trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologas para el manejo de incidentes y polticas internas para el grupo. Reducir el nmero de posibles ataques y tomar medidas para disminuir el nmero de vulnerabilidades encontradas. ndices de Medicin Porcentaje de servicios brindados a la comunidad objetivo en el primer semestre de implementacin. Estadsticas de los reportes recibidos y respuestas brindadas durante el primer semestre de implementacin. Porcentaje de reportes atendidos frente a los reportes recibidos.
191
REPORTE DE CDIGO MALICIOSO

Nombre del Virus: _____________________________________________________________________________ _____ Categora (Virus, Spyware, etc.) _____________________________________________________________________________ __ _____________________________________________________________________________ _ Tipo (Troyano, etc.) _____________________________________________________________________________ _ Peligrosidad (Alta, Media, Baja) _____________________________________________________________________________ Sistemas Operativos a los que afecta: 192
CREACION DEL CSIRT - UTPL ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ Mtodo de Infeccin _____________________________________________________________________________ ____________________________________________________________________________ _____________________________________________________________________________ ____ Mtodo de Propagacin _____________________________________________________________________________ ____________________________________________________________________________ _____________________________________________________________________________ ____
Solucin _____________________________________________________________________________ ____________________________________________________________________________ _____________________________________________________________________________ ____
Si existe otra informacin no descrita en este formulario por favor detalle a continuacin: _____________________________________________________________________________ ____________________________________________________________________________
193
CREACION DEL CSIRT - UTPL _____________________________________________________________________________ ____ _____________________________________________________________________________ ____________________________________________________________________________ _____________________________________________________________________________ ____
ET1N01
FORMATO PARA EL REPORTE DE INCIDENTES
CSIRT-UTPL Equipo de Respuesta a Incidentes de Seguridad - UTPL
El formulario que se indica a continuacin ha sido elaborado por el CISRT-UTPL para ser utilizado en el reporte de informacin de cualquier incidente.
194
CREACION DEL CSIRT - UTPL Toda la informacin que usted reporte ser manejada de manera confidencial, la informacin recibida solamente ser publicada bajo su consentimiento. El formulario debe ser enviado al Equipo CSIRT-UTPL por e-mail
(csirtutpl@utpl.edu.ec) .
Formulario de Notificacin de Incidentes

Informacin de Contacto Nombre:___________________________________________________________ Dependencia: _____________________________________________________ Correo Electrnico:_________________________________________________ Extensin: __________________________Fecha:________________________
Equipos Afectados
Nombre o Direccin IP de la Mquina:_________________________________ Explique brevemente el Trabajo que desarrolla en el Equipo que usted maneja, (indique : Sistema Operativo, Programas Instalados, etc.): _________________________________________________________________________ ____________________________________________________________
Origen del Ataque
Realice una breve descripcin de la forma en la que descubri el incidente: (cmo lo descubri, si utiliz alguna herramienta, si conoce las fuentes del ataque o cualquier informacin pertinente). 195
__________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________
Firma Responsable
NOTA: Recibido el informe en el Equipo CSIRT-UTPL se enviar un mensaje a su direccin de correo electrnico, indicando que su reporte ha sido recibido y que pronto ser atendido. Informacin de Contacto CSIRT-UTPL Email: csirtutpl@utpl.edu.ec Telfono: 2570275 ext_____
ET2N01
FORMATO PARA EL REPORTE DE VULNERABILIDADES
CSIRT-UTPL Equipo de Respuesta a Incidentes de Seguridad - UTPL
196
CREACION DEL CSIRT - UTPL El formulario que se indica a continuacin ha sido elaborado por el CISRT-UTPL. Si usted ha descubierto alguna vulnerabilidad en cualquier producto de software por favor llene el formulario indicado a continuacin y envelo al CSIRT-UTPL (csirtutpl@utpl.edu.ec).
Formulario de Reporte de Vulnerabilidades
Informacin de Contacto Nombre: ____________________________________________________________ Dependencia: _______________________________________________________ Correo Electrnico:___________________________________________________ Extensin:_____________________________Fecha:________________ La vulnerabilidad que usted ha descubierto ha sido reportada a los proveedores de software de su organizacin: Si ______
No ______ Si la respuesta es S, por favor indquenos la siguiente informacin: Fecha de su informe: _____________________________ Nombre de contacto del proveedor del software: _______________________ ___________________________________________________________________ Telfono del Proveedor: ______________________ ext:_______________ Direccin de e-mail del proveedor: __________________________________
INFORMACIN TCNICA
Describa la Vulnerabilidad encontrada: 197
CREACION DEL CSIRT - UTPL ___________________________________________________________________ ___________________________________________________________________
Indique si conoce el impacto de la vulnerabilidad Encontrada: (Por Ejemplo: Ataques de Denegacin de Servicios, Intrusos pueden accedes a servicios privilegiados, etc.) ___________________________________________________________________ ___________________________________________________________________ Conoce acerca de parches o soluciones para esta vulnerabilidad Si ____ No____
Si la respuesta es afirmativa indique toda la informacin que conozca. ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________
Informacin de Contacto CSIRT-UTPL Email: csirtutpl@utpl.edu.ec Telfono: 2570275 ext_____
ET2N01
FORMATO PARA EL REPORTE DE VULNERABILIDADES
CSIRT-UTPL
198
Equipo de Respuesta a Incidentes de Seguridad - UTPL
El formulario que se indica a continuacin ha sido elaborado por el CISRT-UTPL. Si usted ha descubierto alguna vulnerabilidad en cualquier producto de software por favor llene el formulario indicado a continuacin y envelo al CSIRT-UTPL (csirtutpl@utpl.edu.ec).
Formulario de Reporte de Vulnerabilidades
Informacin de Contacto Nombre: ____________________________________________________________ Dependencia: _______________________________________________________ Correo Electrnico:___________________________________________________ Extensin:_____________________________Fecha:________________ La vulnerabilidad que usted ha descubierto ha sido reportada a los proveedores de software de su organizacin: Si ______
No ______ Si la respuesta es S, por favor indquenos la siguiente informacin: Fecha de su informe: _____________________________ Nombre de contacto del proveedor del software: _______________________ ___________________________________________________________________ Telfono del Proveedor: ______________________ ext:_______________ Direccin de e-mail del proveedor: __________________________________
199
CREACION DEL CSIRT - UTPL INFORMACIN TCNICA
Describa la Vulnerabilidad encontrada: ___________________________________________________________________ ___________________________________________________________________
Indique si conoce el impacto de la vulnerabilidad Encontrada: (Por Ejemplo: Ataques de Denegacin de Servicios, Intrusos pueden accedes a servicios privilegiados, etc.) ___________________________________________________________________ ___________________________________________________________________ Conoce acerca de parches o soluciones para esta vulnerabilidad Si ____ No____
Si la respuesta es afirmativa indique toda la informacin que conozca. ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________
Informacin de Contacto CSIRT-UTPL Email: csirtutpl@utpl.edu.ec Telfono: 2570275 ext_____
ET4N01
FORMATO PARA EL REGISTRO DE VULNERABILIDADES DE 200
CREACION DEL CSIRT - UTPL LOS SERVIDORES
PLANTILLA DE REGISTRO DE VULNERABILIDADES
Nmero Vulnerabilidad : VU #______ Tabla de registro de Vulnerabilidades

Servidor Direccin IP Sistema O. Nombre de dominio Fecha
Puerto
Protocolo
Servicio
Detalles del servicio
Id
Vulnerabilidad
Correctivo
Estado
201
202
NO10: Reporte, Clasificacin y Respuesta de Incidentes y Vulnerabilidades en la Seguridad
203
Informacin del Documento

TTULO: VERSIN: AUTOR: ESTADO: Reporte, clasificacin y Respuesta de Incidentes y Vulnerabilidades en la Seguridad 1.0 Rebeca Pilco Vivanco Propuesto
Lista de Cambios
VERSIN 1.0 FECHA 26-07-2008 AUTOR DESCRIPCIN Emisin Inicial
204
Contenido
205
CREACION DEL CSIRT - UTPL 1. 2. 3. Objetivo........................................................................................................... 207 Responsables del cumplimiento ..................................................................... 207 Definiciones ..................................................................................................... 207 Consideraciones especiales ............................................................................. 207 PARA USUARIOS FINALES: ............................................................................. 208 Reporte de Incidentes de Seguridad ................................................................ 208 PARA ADMINISTRADORES DE SERVIDORES: ............................................... 209 Reporte de Vulnerabilidades ............................................................................. 209 Reporte y Respuesta a Incidentes y Vulnerabilidades .................................... 209 4. Sanciones por incumplimiento ....................................................................... 210
206
1. Objetivo
Definir los lineamientos bsicos para el reporte, clasificacin y respuesta de incidentes y vulnerabilidades que se identifiquen en los sistemas de la universidad.
2. Responsables del cumplimiento
Todo el personal de la universidad.
3. Definiciones
Es norma de la Universidad:
Consideraciones especiales
Se considera como un Incidente a cualquier evento que comprometa la seguridad de la informacin de los sistemas de la universidad, los eventos que pueden ocurrir son: o o o o o Accesos no autorizados a los sistemas Modificacin de Pginas Web Problemas en la Red y correo electrnico Ataques de Virus Mal uso de Recursos Informticos 207
CREACION DEL CSIRT - UTPL o o Mal funcionamiento de Hardware y Software No cumplimiento de polticas de Seguridad
Todo el personal que labora en la universidad debe conocer los procedimientos establecidos para el reporte de incidentes que ocurran en los sistemas de la universidad. El personal encargado de Administrar cada uno de los servidores de la Universidad es responsable del reporte de vulnerabilidades encontradas en los sistemas y equipos que administran. Los reportes de Incidentes y Vulnerabilidades deben ser enviados al Equipo CSIRT-UTPL que es el Equipo encargado del anlisis, clasificacin y respuesta inmediata de los mismos. El Equipo CSIRT-UTPL es el responsable de coordinar actividades de
capacitacin a los usuarios de la universidad acerca de la forma de realizar el reporte de incidentes y vulnerabilidades (Ver Norma: N04: Concientizacin y Capacitacin a los Usuarios)
PARA USUARIOS FINALES:
Reporte de Incidentes de Seguridad
Cualquier incidente que sea detectado en los sistemas de la Universidad debe ser reportado inmediatamente al Equipo de Respuesta a Incidentes de Seguridad Informtica de la Universidad (CSIRT-UTPL) a travs de un reporte de incidentes (ver Estndar Tcnico: Formato para el Reporte de Incidentes). Puede contactarse con el personal del Equipo CSIRT-UTPL mediante correo electrnico, telfono o por visitando el portal del CSIRT-UTPL.
208
CREACION DEL CSIRT - UTPL Ante cualquier incidente NO debe realizar acciones por s mismo, sino reportarlos al Equipo CSIRT-UTPL.
PARA ADMINISTRADORES DE SERVIDORES:
Reporte de Vulnerabilidades
Todos los usuarios de la Universidad deben reportar cualquier tipo de vulnerabilidad observada en de los sistemas que manejan con el objetivo de prevenir los incidentes en los sistemas de informacin. Por ninguna circunstancia deben proceder a realizar pruebas con las posibles vulnerabilidades encontradas, estas deben ser reportadas al Equipo CSIRTUTPL. El mecanismo para reportar vulnerabilidades consiste en el envo de un formulario en el que se registrar la informacin requerida. (ver estndar tcnico: Formato para el Reporte de Vulnerabilidades)
PARA EQUIPO CSIRT-UTPL
Reporte y Respuesta a Incidentes y Vulnerabilidades
Toda la informacin recibida debe ser manejada de acuerdo a las normas establecidas en el Manual de Gestin de Seguridad de la Informacin (Ver Norma: N02: Tratamiento de la Informacin). Toda la informacin recibida en el Equipo CSIRT-UTPL, debe ser clasificada (Ver Procedimiento: Clasificacin de la Informacin) Una vez clasificada la informacin se procede a brindar respuestas. (Ver Procedimiento: Respuesta a Incidentes y Vulnerabilidades). 209
CREACION DEL CSIRT - UTPL Constantemente se debe realizar el monitoreo constante de alertas y vulnerabilidades (ver Norma: N013: Monitoreo) de todos los servidores y sistemas crticos de la universidad, esta informacin debe ser enviada a los encargados del Laboratorio de investigacin CSIRT-UTPL para que sean estudiados, estos deben ser enviados haciendo uso de los reportes establecidos. (Ver Estndar Tcnico: Reporte de Vulnerabilidades). Si algn incidente es ocasionado de manera intencional se deben aplicar las medidas establecidas en la universidad para las sanciones a los responsables. Con la informacin recibida de incidentes y vulnerabilidades encontrados, se deben levantar estadsticas, en las que se indica el tipo de dao causado y el nmero de incidencias del incidente o vulnerabilidad en los sistemas de la universidad.
4. Sanciones por incumplimiento

En proceso de definicin
210
NO10: Reporte, Clasificacin y Respuesta de Incidentes y Vulnerabilidades en la Seguridad
211
Informacin del Documento

TTULO: VERSIN: AUTOR: ESTADO: Reporte, clasificacin y Respuesta de Incidentes y Vulnerabilidades en la Seguridad 1.0 Rebeca Pilco Vivanco Propuesto
Lista de Cambios
VERSIN 1.0 FECHA 26-07-2008 AUTOR DESCRIPCIN Emisin Inicial
212
213
Contenido
1. 2. 3. Objetivo ................................................................................. 215 Responsables del cumplimiento .................................................... 215 Definiciones ............................................................................. 215 Consideraciones especiales ................................................................. 215 Reporte de Incidentes de Seguridad ...................................................... 216 Reporte de Vulnerabilidades ............................................................... 217 Equipo CSIRT-UTPL ........................................... Error! Marcador no definido. 4. Sanciones por incumplimiento ...................................................... 218
214
5. Objetivo
Definir los lineamientos bsicos para el reporte, clasificacin y respuesta de incidentes y vulnerabilidades que se identifiquen en los sistemas de la universidad.
6. Responsables del cumplimiento
Todo el personal de la universidad.
7. Definiciones
Es norma de la Universidad:
Consideraciones especiales
Se considera como un Incidente a cualquier evento que comprometa la seguridad de la informacin de los sistemas de la universidad, los eventos que pueden ocurrir son: o o o Accesos no autorizados a los sistemas Modificacin de Pginas Web Problemas en la Red y correo electrnico 215
CREACION DEL CSIRT - UTPL o o o o Ataques de Virus Mal uso de Recursos Informticos Mal funcionamiento de Hardware y Software No cumplimiento de polticas de Seguridad
Todo el personal que labora en la universidad debe conocer los procedimientos establecidos para el reporte de incidentes que ocurran en los sistemas de la universidad. El personal encargado de Administrar cada uno de los servidores de la Universidad es responsable del reporte de vulnerabilidades encontradas en los sistemas y equipos que administran. Los reportes de Incidentes y Vulnerabilidades deben ser enviados al Equipo CSIRT-UTPL que es el Equipo encargado del anlisis, clasificacin y respuesta inmediata de los mismos. El Equipo CSIRT-UTPL es el responsable de coordinar actividades de
capacitacin a los usuarios de la universidad acerca de la forma de realizar el reporte de incidentes y vulnerabilidades (Ver Norma: N04: Concientizacin y Capacitacin a los Usuarios)
PARA USUARIOS FINALES:
Reporte de Incidentes de Seguridad
Cualquier incidente que sea detectado en los sistemas de la Universidad debe ser reportado inmediatamente al Equipo de Respuesta a Incidentes de Seguridad Informtica de la Universidad (CSIRT-UTPL) a travs de un reporte de incidentes (ver Estndar Tcnico: Formato para el Reporte de Incidentes). Puede contactarse con el personal del Equipo CSIRT-UTPL mediante correo electrnico, telfono o por visitando el portal del CSIRT-UTPL. 216
CREACION DEL CSIRT - UTPL Ante cualquier incidente NO debe realizar acciones por s mismo, sino reportarlos al Equipo CSIRT-UTPL.
PARA ADMINISTRADORES DE SERVIDORES:
Reporte de Vulnerabilidades
Todos los usuarios de la Universidad deben reportar cualquier tipo de vulnerabilidad observada en de los sistemas que manejan con el objetivo de prevenir los incidentes en los sistemas de informacin. Por ninguna circunstancia deben proceder a realizar pruebas con las posibles vulnerabilidades encontradas, estas deben ser reportadas al Equipo CSIRTUTPL. El mecanismo para reportar vulnerabilidades consiste en el envo de un formulario en el que se registrar la informacin requerida. (ver estndar tcnico: Formato para el Reporte de Vulnerabilidades)
PARA EQUIPO CSIRT-UTPL
Reporte y Respuesta a Incidentes y Vulnerabilidades
Toda la informacin recibida debe ser manejada de acuerdo a las normas establecidas en el Manual de Gestin de Seguridad de la Informacin (Ver Norma: N02: Tratamiento de la Informacin). Toda la informacin recibida en el Equipo CSIRT-UTPL, debe ser clasificada (Ver Procedimiento: Clasificacin de la Informacin) Una vez clasificada la informacin se procede a brindar respuestas. (Ver Procedimiento: Respuesta a Incidentes y Vulnerabilidades). 217
CREACION DEL CSIRT - UTPL Constantemente se debe realizar el monitoreo constante de alertas y vulnerabilidades (ver Norma: N013: Monitoreo) de todos los servidores y sistemas crticos de la universidad, esta informacin debe ser enviada a los encargados del Laboratorio de investigacin CSIRT-UTPL para que sean estudiados, estos deben ser enviados haciendo uso de los reportes establecidos. (Ver Estndar Tcnico: Reporte de Vulnerabilidades). Si algn incidente es ocasionado de manera intencional se deben aplicar las medidas establecidas en la universidad para las sanciones a los responsables. Con la informacin recibida de incidentes y vulnerabilidades encontrados, se deben levantar estadsticas, en las que se indica el tipo de dao causado y el nmero de incidencias del incidente o vulnerabilidad en los sistemas de la universidad.
8. Sanciones por incumplimiento

En proceso de definicin
218
PR1N01
CLASIFICACIN DE LA INFORMACIN
Objetivo
Establecer pasos bsicos para la clasificacin de toda la informacin recibida al CSIRT-UTPL, la misma que incluye los reportes de Incidentes y Vulnerabilidades.
Procedimiento
1. Enviar un acuse de recibo de que el reporte fue recibido y que brindar una respuesta lo antes posible. 2. Realizar un proceso de Triage (clasificacin) de todos los reportes recibidos que consiste en: a. Ordenar la informacin para determinar si los incidentes reportados ya han sido atendidos anteriormente. b. Asignar una prioridad a los incidentes reportados en base a la Metodologa para el manejo de incidentes y vulnerabilidades de la Universidad. c. Almacenar la informacin de acuerdo a la siguiente clasificacin: CSIRT #: para identificar a los incidentes. VULN #: Para identificar a las vulnerabilidades. INFO #: Para clasificar informacin de menor prioridad.
219
PR2N01
RESPUESTA A IINCIDENTES Y VULNERABILIDADES
Objetivo
Definir los pasos que se deben seguir para la respuesta a incidentes y vulnerabilidades.
Procedimiento
1. Realizar una Evaluacin Inicial del incidente. 2. Utilizar la Metodologa para la Identificacin de Vulnerabilidades, anlisis Forense y Atencin a Incidentes de Seguridad en los Servidores de la UTPL, esta debe ser aplicada segn el caso que amerite, debe realizarse el registro de vulnerabilidades encontradas en los servidores de la Universidad, haciendo uso de los formatos sealados. (Ver Estndar Tcnico : Formato para el Registro de vulnerabilidades de los Servidores) 1. Determinar las causas, responsables y el tipo del incidente que se ha reportado, y enviar un informe a la persona que report el incidente (Ver Estndar Tcnico: Respuesta a Incidentes) indicando la respuesta para el mismo.
220

Universidad Tecnica de Loja

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Universidad Tecnica de Loja

Cargado por

Copyright:

Formatos disponibles

CREACION DEL CSIRT - UTPL

UNIVERSIDAD TCNICA PARTICULAR DE LOJA

Msc. Mara Paula Espinoza v.

Loja - Ecuador 2008

CREACION DEL CSIRT - UTPL

Loja, Agosto de 2008

Msc. Mara Paula. Espinoza V. DIRECTORA DE TESIS

_________________________ Msc. Mara P. Espinoza V. DIRECTORA DE TESIS

CREACION DEL CSIRT - UTPL

_________________________ Rebeca Elizabeth Pilco Vivanco TESISTA

CREACION DEL CSIRT - UTPL

_________________________ Rebeca Elizabeth Pilco Vivanco TESISTA

CREACION DEL CSIRT - UTPL

CREACION DEL CSIRT - UTPL

CREACION DEL CSIRT - UTPL

INTRODUCCION ....1 OBJETIVOS .....2 DESCRIPCION DELPROBLEMA..3

6. CREACION DEL CSIRT -UTPL .....85 10

CONCLUSIONES.110 RECOMENDACIONEs113 ANEXOs........115 BIBLIOGRAFA...................167 REFERENCIAS......169

Plan Piloto para la Implementacin del CSIRT-UTPL 11

CREACION DEL CSIRT - UTPL Polticas del CSIRT-UTPL

CREACION DEL CSIRT - UTPL

CREACION DEL CSIRT - UTPL

DESCRIPCIN DEL PROBLEMA

CREACION DEL CSIRT - UTPL

CREACION DEL CSIRT - UTPL

1. EQUIPO DE RESPUESTA A EMERGENCIAS INFORMTICAS CERT

CREACION DEL CSIRT - UTPL

Incidentes: Eventos que atentan contra la confidencialidad, disponibilidad y la integridad de la informacin.

Servicios de Gestin de Calidad de la Seguridad

workaround: solucin temporal a un problema en un sistema.

encontradas mediante avisos o alertas. 1.3.1.3.3. Coordinacin de Respuesta a Vulnerabilidades.

externas como otros CSIRTs o expertos en seguridad.

1.3.3. SERVICIOS DE ADMINISTRACION DE CALIDAD DE LA SEGURIDAD

TIPOS DE EQUIPOS DE RESPUESTA A INCIDENTES (CSIRTs)

PERSONAL QUE CONFORMA UN CSIRT

Figura.1: Modelo de Empresa Independiente

Agencia Europea de Seguridad de las Redes y de la Informacin

CREACION DEL CSIRT - UTPL Modelo Incrustado

Figura 2: Modelo Organizativo Incrustado

CREACION DEL CSIRT - UTPL

Figura 3: Modelo Universitario

CSI/FBI: Computer Crime and Security Survey / http://www.gocsi.com

CREACION DEL CSIRT - UTPL

2. EQUIPOS CSIRT A NIVEL MUNDIAL

CREACION DEL CSIRT - UTPL

Figura 4: CERTs afiliados al FIRST

EQUIPOS DE RESPUESTA A INCIDENTES EN AMRICA

Figura 5: Pases que perteneces a la OEA que poseen CSIRTs

CREACION DEL CSIRT - UTPL

EQUIPOS DE RESPUESTA A INCIDENTES EN EUROPA

Figura 6: Equipos de Respuesta a incidentes en Europa

CREACION DEL CSIRT - UTPL Respuesta a incidentes que ocurran en la comunidad.

EQUIPOS DE RESPUESTA A INCIDENTES EN ASIA Y PACFICO

Figura 7: Equipos que pertenecen al APCERT

CREACION DEL CSIRT - UTPL

CREACION DEL CSIRT - UTPL

Contencin, Resolucin Recuperacin

Acciones Posteriores al cierre

Figura 8: Fases del Manejo de Incidentes

Contempla las siguientes actividades:

CREACION DEL CSIRT - UTPL

Contencin, Resolucin y Recuperacin

CREACION DEL CSIRT - UTPL

Figura 10: Funciones del Manejo de Incidentes

Costos Iniciales: $ 9760,00_ Costos Incrementales: $8500,00_________