0 calificaciones0% encontró este documento útil (0 votos)
149 vistas2 páginas
Este documento proporciona instrucciones sobre cómo gestionar incidentes de seguridad que involucren pérdida de datos. Describe cinco pasos clave: 1) preparación, 2) identificación del incidente, 3) confirmación, 4) contención, y 5) recuperación. El objetivo general es mitigar los efectos del incidente, restaurar las operaciones normales y evitar futuros incidentes.
Descripción original:
cyber seguridad
Título original
9Metodología de Respuesta a Incidentes (IRMs) IRM11-FugaDeInformacion-OEA
Este documento proporciona instrucciones sobre cómo gestionar incidentes de seguridad que involucren pérdida de datos. Describe cinco pasos clave: 1) preparación, 2) identificación del incidente, 3) confirmación, 4) contención, y 5) recuperación. El objetivo general es mitigar los efectos del incidente, restaurar las operaciones normales y evitar futuros incidentes.
Este documento proporciona instrucciones sobre cómo gestionar incidentes de seguridad que involucren pérdida de datos. Describe cinco pasos clave: 1) preparación, 2) identificación del incidente, 3) confirmación, 4) contención, y 5) recuperación. El objetivo general es mitigar los efectos del incidente, restaurar las operaciones normales y evitar futuros incidentes.
Preparación 1 La información interna puede ser una buena fuente de
detección: confianza en empleados, el equipo de
■ Dispositivos de almacenamiento externos: Se pueden utilizar diversos dispositivos para almacenar seguridad identificando un problema, etc datos: memorias USB, CD-ROM, DVD, discos duros Objetivo: Establecer contactos, definir ■ Herramienta pública de monitoreo: externos, teléfonos inteligentes, tarjetas de memoria, etc. procedimientos y recopilar información para Hay poca información disponible con relación a la Una revisión en los motores de búsqueda de Internet y transferencia de datos usando estos dispositivos. Se puede ahorrar tiempo en la gestión de incidentes. bases de datos públicos puede ser muy útil para referenciar por el sistema operativo la serie del dispositivo detectar la fuga de información. USB utilizado para transferir datos. Un análisis forense puede Contactos ■ Herramienta DLP (“Data Loss Prevention”, confirmar el uso de hardware, pero no los datos transferidos. “Prevención de Pérdida de Datos”): ■ Los archivos locales: ■ Identifique los contactos técnicos internos (equipo de Una herramienta DLP en la empresa, puede Si no ha encontrado nada todavía, aún hay posibilidades de seguridad, equipo de respuesta a incidentes, etc.) proporcionar información valiosa para los encontrar pistas en el sistema de archivos local del ■ Asegúrese de tener puntos de contacto en los administradores de incidentes de trabajo sobre la fuga sospechoso. Al igual que para la exploración de correo equipos de relaciones públicas, en el de recursos de información. electrónico, utilice una herramienta de análisis que prohíba el humanos y el departamento legal. acceso a la zona privada del usuario. Si realmente necesita acceder, actúe de acuerdo a la legislación laboral local. ■ Identifique los contactos externos que pudieran ser Paso 2: CONFIRMAR EL INCIDENTE ■ Transferencia de la red: necesarios, sobre todo para fines de investigación Pueden utilizarse múltiples maneras para transferir datos de (como agentes del orden, por ejemplo). No haga nada sin antes tener una solicitud escrita del CISO / la institución: FTP, mensajería instantánea, etc Trate de persona a cargo interesado(a) . Basándose en consejo de su indagar en los archivos de log que muestran dicha actividad. La política de seguridad equipo legal, también podría ser útil una autorización escrita Los datos también podrían haber sido enviados mediante un por parte del usuario en cuestión. túnel VPN o en un servidor SSH. En este caso, se puede ■ E-Mail: probar la conexión por observación de los archivos de log, ■ Asegúrese de que se explique el valor de la La fuente de la divulgación podría haber enviado datos información corporativa en las reglas del pero no se podrá ver el contenido de la transmisión. utilizando su dirección de correo electrónico corporativo. ■ Impresora: procedimiento, los diagramas de TI, y en las sesiones Busque los correos electrónicos enviados o recibidos desde Los datos pueden ser enviados a impresoras conectadas a la de sensibilización y capacitación. una cuenta sospechosa o con un objeto especial. red. En este caso, compruebe si hay huellas en la cola de ■ Asegúrese de que todos los activos valiosos son En el cliente de correo electrónico en el escritorio del impresión o directamente en la impresora, ya que algunos identificados adecuadamente sospechoso (si está disponible), utilice una herramienta que fabricantes almacenan los documentos impresos en un disco ■ Asegúrese de que el proceso de escalamiento de permita realizar búsquedas mediante el filtrado de los emails duro local. incidentes de seguridad está definido y los actores marcados como "PRIVADO". Si usted realmente lo necesita, ■ Malware: están claramente definidos e identificados. pida al usuario un consentimiento escrito o pídale que esté Si no ha encontrado nada, piense en un posible malware y presente. actúe según el IRM "Detección de Malware". Dado el caso, busque entre los archivos de log relacionados. Nota: Incluso cuando se haya encontrado suficiente Utilice herramientas forenses para comprobar el borrado del evidencia, siempre busque más. No porque haya demostrado Identificación 2 historial de navegación. También revise el contenido “offline” dejado luego de la navegación (caches). que los datos llegaron de manera fraudulenta de A a B con un método significa que no se envió a C con otro método. Objetivo: Detectar el incidente, determinar su Además, no olvide que otra persona podría haber accedido al alcance, e involucrar a las partes apropiadas. ■ Navegación: ordenador. ¿El empleado sospechoso estaba realmente Los datos pueden haber sido enviado por correo web / foros / frente a su computadora cuando se produjo la fuga? La pérdida de datos puede ocurrir en cualquier lugar. sitios web dedicados. En el servidor proxy, compruebe los logs relativos a Recuerde que la causa de la fuga puede ser un empleado individual que voluntaria o involuntariamente, conexiones de cuentas sospechosas hacia URL utilizado para divulgar los datos. Contención 3 obvie asuntos de seguridad, o comprometa una En el escritorio (si está disponible), revise el historial de los computadora. navegadores instalados. Recuerde que algunas personas Objetivo: Mitigar los efectos del ataque sobre el pueden tener diferentes navegadores en el mismo equipo de medio ambiente dirigida. Paso 1: DETECTAR EL INCIDENTE escritorio, asegúrese de revisar el historial de cada navegador. Algunos archivos de registro pueden proporcionar Notifique a la Alta Dirección, al equipo legal y al de ■ proceso de notificación del incidente: información útil pues el momento de la fuga de datos es una Relaciones Públicas para asegurarse de que están marca en el tiempo,. preparados para hacer frente a una divulgación masiva o selectiva. Recuperación 5 Dependiendo del vector de fuga, impida el acceso a la Objetivo: Restaurar el sistema a las operaciones URI de la divulgación, el servidor de la divulgación, la normales. fuente o los destinatarios de la divulgación. Esta acción deberá realizarse en todos los puntos de la Si un sistema ha sido comprometido, restaure por infraestructura. completo. IRM # 11 Si la fuga se ha confirmado, suspenda las credenciales Finalmente, advierta a sus empleados o algunos Fuga de Información lógicas y físicas de la información privilegiada. equipos locales sobre el tema para crear conciencia y Manejo de divulgación intencional de información Involucre a RRHH y al equipo legal antes de cualquier aumente las normas de seguridad. interna acción. Cuando la situación vuelva a la normalidad, considere Autor IRM: CERT-SG / Cédric Pernet, David Bizeul Aisle el sistema de computación (escritorio, impresora) eliminar la comunicación oficial. Versión IRM: 1.1 utilizado para revelar los datos con el fin de realizar un email: cert.sg@socgen.com análisis forense más tarde. Esta manipulación se debe hacer de la manera “dura”: quitando el cable de Repercusiones 6 web: http://cert.societegenerale.com Traducción: Francisco Neira alimentación eléctrica (y la batería en caso de una email: neira.francisco@gmail.com computadora portátil). Objetivo: Documento detalles del incidente, discutir las lecciones aprendidas, y ajustar los planes y las Twitter: @neirafrancisco defensas.
Remedio 4 Informar a la jerarquía, filiales y socios para compartir Extracto
las mejores prácticas aplicadas en este incidente para Objetivo: Adoptar medidas para eliminar la hacer cumplir normas similares en otros lugares. Esta “Metodología de Respuesta a Incidentes” (IRM, por sus siglas en inglés) es una hoja resumen dedicada a los manejadores de amenaza y evitar futuros incidentes. incidentes que investigan un asunto de seguridad específico. Quién Informe debe de usar estas hojas IRM? Si los datos han sido enviado a servidores públicos, Debe escribirse un informe de incidente que se pondrá • Administradores solicite al propietario (o webmaster) que elimine los a disposición de todos los actores del incidente. • Centro de Operaciones de Seguridad (SOC) datos divulgados. Asegúrese de preparar su petición • CISOs y sus delegados Los describirse los siguientes temas: • CSIRT (equipos de respuesta a incidentes informáticos) según el destinatario (un webmaster hacktivista no se Recuerde: Si usted afronta un incidente, siga el IRM, tome comportará como un webmaster de la Prensa) ■ Detección Inicial notas y no pierda el control. Contacte su CSIRT inmediamente Si no es posible eliminar los datos divulgados, ■ Las acciones y los plazos si es necesario. proporciónele un análisis completo del equipo de ■ ¿Qué salió bien relaciones públicas y a la Alta Dirección. Monitoree la ■ ¿Qué salió mal dispersión de los documentos filtrados en los diferentes ■ Impacto de Incidentes Pasos del manejo de incidentes sitios web y redes sociañes(FB, Twitter, etc) así como Se definen 6 pasos para manejar los incidentes de seguridad: los comentarios y reacciones de los usuarios de Capitalice • Preparación: Alistarse para manejar el incidente Internet. Deben definirse acciones para mejorar los procesos de • Identificación: Detectar el incidente manejo de las fugas de información y así sacar • Contención: Limitar el impacto del incidente provecho de esta experiencia. • Remedio: Remover la amenaza Proporcione los elementos necesarios al equipo de • Recuperación: Recobrar a una etapa normal RRHH para preparar una eventual demanda contra el • Repercusiones: Delinear y mejorar el proceso “insider”.