P. 1
Plan de Respuestas a Incidentes

Plan de Respuestas a Incidentes

|Views: 1.275|Likes:
Publicado porcristian

More info:

Published by: cristian on Oct 07, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

04/15/2013

pdf

text

original

Plan de respuestas a incidentes

Vanessa Gómez Deossa Juan Camilo Muñoz Juan Camilo Restrepo Cristian Camilo Sepúlveda Alexander Javier Henao Marvin Santiago Álvarez

Administración de Redes de Computadores Modulo de Seguridad

Fernando Quintero

Sena – Antioquia 2010

1

Índice Introducción Objetivos Plan de respuestas a incidentes 1.0 Descripción General 2.0 Propósito 3.0 Objetivos de la respuesta a incidentes 4.0 Definición de incidente 5.0 Planificación de incidentes 6.0 Ciclo de vida a la respuesta a incidentes 1. Preparación para incidentes 2. Descubrimiento 3. Notificación 4. Análisis y evaluación 5. Intrusión 5.1 Estrategia de respuestas 5.2 contención 5.3 prevención de la re-infeccion 5.4Restaurar los sistemas afectados 5.5Documentación 5.6Preservación de pruebas 5.7 Evaluar los daños y el costos 5.8 Revisión y actualización de políticas de respuestas 6. Daño de Activos (Físico) 7. Cambios no autorizados a la organización de hardware, software o la configuración Conclusiones 3 4 5 5 5 5 5 6 6 6 6 7 7 7 7 7 7 8 8 8 8 8 9 9 10

2

Introducción Este trabajo obedece a una investigación llevada a cabo en internet y practicas en la institución, fue realizado como parte de nuestro proceso de formación se presenta como una evidencia de conocimientos adquiridos en el área de seguridad de la red. Este Plan incluye una fuente de información completa y accesible, a fin de brindar a la entidad una capacidad de respuesta eficiente y oportuna, que garantice la protección de la información de la entidad.

3

Objetivos Obtener los conocimientos respectivos para la correcta elaboración e implementación de un plan de respuestas incidentes de la entidad. Comprender y analizar una entidad para saber que medidas se deben implementar en caso de que se nos presente un incidente y como responder a ello inmediatamente para evitar daños críticos

4

Plan de Respuesta a Incidentes 1.0 Descripción General Este plan de respuesta a incidentes define las pautas de lo que se debe de realizar en caso de incidente de seguridad en el área de la informática y obtiene las fases de respuesta a incidentes en un momento dado. Este documento muestra como minimizar los daños, evaluar el incidente, que hacer cuando se nos presente un incidente y como responder a ello. 2.0 Propósito Este documento se implemento con el objetivo de que hacer al momento de presentarse en la entidad un incidente de alto riesgo. 3.0 Objetivos de la Respuesta a Incidentes 1. Asegurarse de que el incidente si se ha producido en la entidad 2. Mitigar el impacto del incidente. 3. Encontrar la forma como el atacante se ha convertido en el incidente de la entidad. 4. Prevenir futuros ataques o incidentes. 5. Mejorar la seguridad y respuesta a incidentes. 6. Mantenerse informado de la gestión de la situación y la respuesta a la entidad. 4.0 Definición de Incidente Un problema en la entidad puede causar ciertos tipos de incidentes tales como: 1. Pérdida de información confidencial de nuestra entidad Uniaries afectando la confidencialidad, integridad y disponibilidad de la misma. 2. Si nuestra entidad no cuenta con aplicaciones, software o servicios de seguridad nuestra información podría ser modificada por alguien no autorizado de la entidad. 3. Robo de activos físicos informáticos tales como computadoras, dispositivos de almacenamiento, impresoras, etc. 4. Daños a los activos físicos informáticos incluyendo computadoras, dispositivos de almacenamiento, impresoras, etc 5. Denegación de servicio. 6. Uso indebido de los servicios, información o activos de la entidad. 7. Infección de los sistemas por software no autorizado. 8. Intento de acceso no autorizado. 9. Cambios no autorizados a la organización de hardware, software, o la configuración. 10. Respuesta a las alarmas de detección de intrusos.

5

5.0 Planificación de Incidentes En caso de tener uno o varios incidentes en la entidad haremos lo siguiente: 1. Defino y aclaro las listas de respuestas a incidentes y sus responsabilidades. 2. Establezco los procedimientos detallados de las medidas a tomar durante el incidente. 1. Detallo las acciones basadas en el tipo de incidente tales como virus, intrusiones de hackers, robo de datos, sistema de destrucción. 2. Evaluaremos los procedimientos adecuados para identificar los aspectos críticos que han ocurrido en la entidad. 3. Examinaremos si el incidente está en curso o realizado. 4. Si es posible recuperar información importante de la entidad que halla sido perjudicada por cualquier tipo de incidente 6.0 Ciclo de Vida a la Respuesta a Incidentes 1. Preparación para incidentes 1. Políticas y Procedimientos 1. establecer las políticas de Seguridad. 2. Seguir los procedimientos de Respuesta a Incidentes. 3. Seguir los procedimientos de Recuperación y Backup. 2. Implementar políticas con herramientas de seguridad que incluyen firewalls, sistemas de detección de intrusos, y otros elementos necesarios. 3. Colocar avisos de advertencia contra el uso no autorizado en los puntos de acceso del sistema. 4. Establecer directrices de respuesta considerando y discutiendo posibles escenarios. 5. Capacitación de los usuarios sobre la seguridad y entrenar a personal de TI en el manejo de situaciones de seguridad y el reconocimiento de intrusiones. 6. Debe haber una lista de contactos con los nombres figurando la prioridad de los contactos. Persona de emergencia 7. Prueba del proceso. 2. Descubrimiento Alguien de nuestra entidad descubre que algo no anda bien o es sospechoso de un posible incidente. Esto quizás puede provenir de cualquiera de las siguientes fuentes: 1. Sistema de detección de intrusos (IDS) 2. Un administrador de red de la entidad 3. Un administrador del firewall 4. Un equipo de monitoreo contratado por la entidad. 5. Personal administrativo de la entidad 6. El departamento de seguridad o una persona de seguridad. 6

7.

Una fuente externa a la entidad.

3. Notificación En caso de que ocurra algún incidente se deberá informar a un superior o persona encargada en el área.

4. Análisis y Evaluación - Son muchos los factores que determinarán la respuesta adecuada, lo cual incluye: 1. Real: Seguir los procedimientos respectivos para para eliminar el incidente. Percibido: verificar y analizar si es real para tomar medidas contra el. 2. Buscar medidas mientras se encuentra la solución para detener la intrusión. 3. En el área de informática se verán afectados equipos de cómputo en los datos como la base de datos ya que se puede afectar la información de la entidad y seria critico para ella. 4. Aunque la entidad cuenta con información importante, el impacto del incidente sera depende como lo ataquen como lo puede ser grave para la entidad también puede no ser tan critico. 5. los atacantes se enfocaran en atacar la parte de la entidad donde mayor información importante hay, así afectando a la entidad en el área de informática. 5. Intrusión 5.1 Estrategia de respuesta 1. La respuesta a un caso de intrusión debe ser rápida o por lo menos ver la forma de que nos de tiempo para mitigar el incidente. 2. Si el incidente lo detecta r nuestro sistema IDS se generara un alerta de seguridad que nos avisara. 3. Sise genera alguna alerta se debe considerar analizar si es una atacante o no y se merece una prevención. 5.2 Contención - Adoptar medidas para prevenir nueva intrusión o daño y eliminar la causa del problema. Puede necesitar: 1. Desconectar el sistema que tubo intrusión. 2. Cambiar las contraseñas o generar políticas para que la contraseña sea de carácter fuerte. 3. Bloquear algunos puertos o cambiarlos y bloquear algunas conexiones 5.3 Prevención de la re-infección • Determinar la forma en que ocurrió la intrusión. Determinar la fuente de la intrusión si vía email, ataque a través de un puerto, un

7

ataque a través de servicios, o si es debido al ataque sin parchar los sistemas o aplicaciones. • Tomar medidas inmediatas para evitar una nueva infección: 1. Cerrar los puertos de los servidores que no se este utilizando 2. Revisar el sistema que fue afectado para poder tomar medidas frente la intrusión. 3. Volver a instalar el sistema, utilizar las copias de respaldo y asegurarnos que las copias se hayan realizado antes de la intrusión. 4. Información a los empleados y usuarios de la entidad. 5. Desactivar los servicios sin utilizar en el sistema afectado. 5.4 Restaurar los sistemas afectados: Para restaurar los sistemas afectados hay que conservar las pruebas en contra de la intrusión, asegúranos de tener respaldos del sistema y que sean del sistema afectado. Puede incluir lo siguiente: • Vuelva a instalar el sistema afectado (s) a partir de cero y la restauración de datos de copias de seguridad si es necesario. Asegúrese de conservar las pruebas en contra de la intrusión de copias de seguridad de los registros o, posiblemente, todo el sistema. Los usuarios deben cambiar las contraseñas, si las contraseñas han sido interceptadas e informales que deben se fuertes y no divulgarlas. Asegúrese de que el sistema está completamente parchado. Asegúrese de que la protección antivirus en tiempo real y detección de intrusos se está ejecutando.

• • •

5.5 Documentación – Se debe elaborar un documento sobre lo que se descubrió del incidente incluyendo la forma en que se produjo la intrusión, cuando se produjo el ataque y si hay respuesta y si es efectiva. 5.6 Preservación de pruebas – Hacer copias de los registros de intrusión y mantener las listas de testigos. 5.7 Evaluar los daños y el costo estimación de costos. Evaluar si los daños a la entidad y

5.8 Revisión y actualización de políticas de respuesta • • • Considerar si implementar una política podría haber evitado la intrusión al sistema. Considerar si una política o procedimiento no se siguió, lo que permitió la intrusión y mejorarla. Estudiar si la respuesta al incidente fue la apropiada o no y ver como podemos mejorarla. 8

• • •

Informar a las partes interesadas. Revisar que todos sistemas estén parcheados, que se estén cumpliendo las política para el cambio de contraseñas y que los antivirus estén actualizados Se deberán crear políticas de seguridad cada vez que el administrador lo crea necesario para evitar una intrusión al sistema.

6. Daño de Activos (Físico) Se informara al departamento técnico para la revisión del activo para determinar la gravedad del daño. En caso que el daño sea grave se debe contactar a la persona encargada de manejar los proveedores para iniciar la reposición del activo. En caso que no sea grave se procederá a repararlo en el menor tiempo para restablecer el servicio. Finalmente la persona del departamento encargado del activo debe restablecer las configuraciones para que el activo quede en su funcionamiento normal.

7. Cambios no autorizados a la organización de hardware, software, o la configuración En caso de cambio del hardware se debe identificar por cual fue cambiado y los riesgo que puede generar dicho cambio, después de verificar esto se debe enviar un informe al área encargada con todas las especificaciones del hardware por el cual fue reemplazado y una restauración del mismo. En caso de cambio del software identificar software instalado y su propósito, realizar un informe con el tipo de software y su funcionamiento y enviarlo al departamento encargado de sistemas. De ser necesario se retirara el software instalado. En caso de que el software sea desinstalado se notificara al departamento y solicitar la reinstalación del software. En cuanto la configuración se debe identificar los cambios de configuración, verificar los efectos de esos cambios en el sistema; en el caso de encontrar anomalías en el sistema se enviara un informe al departamento encargado el cual asumirá la restauración de las configuraciones.

Nota: Se recomienda realizar bitácoras cada vez que se presente un incidente.

9

Conclusiones Con este trabajo obtuvimos conocimientos necesarios para la elaboración de un plan de respuestas incidentes de una entidad. Mostramos como podemos mitigar los daños, evaluar el incidente, que hacer cuando se nos presente un incidente y como responder a ello.

10

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->