Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Modulo 2 1 PDF
Modulo 2 1 PDF
La gestión de riesgos nos puede ayudar a prevenir incidentes, pero siempre existirá
la posibilidad de que estos se podrán materializar, y en caso de que se materialicen
tendremos que tratarlos para evitar daños a la organización.
Durante este módulo veremos cuales son los aspectos claves de la gestión de
incidentes, identificando sus etapas clave.
También veremos que el análisis forense es una de las herramientas que podemos
utilizar para determinar qué ha ocurrido tras la materialización de un incidente.
INTRODUCCIÓN .................................................................................................... 1
COMPETENCIAS DEL MÓDULO ........................................................................... 1
ESTRUCTURA TEMÁTICA ..................................................................................... 2
IDEOGRAMA .......................................................................................................... 2
CONTENIDO ........................................................................................................... 3
GESTIÓN DE INCIDENTES ...................................................................................17
GLOSARIO.............................................................................................................34
REFERENCIAS BIBLIOGRÁFICAS .......................................................................36
ACTIVIDADES PROPUESTAS / METODOLOGÍA DEL MÓDULO ¡Error! Marcador
no definido.
MATERIAL DE APOYO Y COMPLEMENTARIO....................................................36
IDEOGRAMA
1. Gestión de incidentes
1.1. Introducción a la respuesta de incidentes
En el mundo actual en el que nos encontramos, dada la dependencia que existe con
las tecnologías de la información, parece inevitable que tarde o temprano se tengan
que producir incidentes.
Por otra parte, la idea de la gestión de incidentes es poder tener un método para
tratarlos en caso de que se produzcan, y obviamente cuantos menos incidentes se
produzcan será mejor para el negocio, y en este sentido un aspecto clave es poder
prevenirlos a través de la gestión de riesgos.
Los incidentes también pueden desembocar en problemas más graves, como por
ejemplo una crisis, que es sinónimo de problemas de mayor magnitud, como por
ejemplo desastres naturales tales como terremotos, inundaciones, etc.
Por otra parte, podemos encontrarnos con estándares internacionales como la ISO
27001 (Anexo A.16 Gestión de Incidentes de seguridad de la información), la ISO
20000 (Sistema de Gestión de Servicios TI) o la ISO 22301 (Sistema de Gestión de
Continuidad de Negocio), que hacen referencia explícita a la gestión de incidentes,
aunque en el caso de la ISO 27001 se hace referencia a incidentes de seguridad de
la información, es decir, incidentes relacionados únicamente con la seguridad de la
información. No obstante, recordad que en este caso el Anexo A.16 de la ISO 27001
es una breve descripción del control, los detalles de su implementación se pueden
encontrar en la ISO 27002.
ISO
ISO 27001
20000
ISO
22301
Gestión de Incidentes
Figura 2 – La gestión de incidentes en estándares ISO
Gestión de Gestión de
Gestión de
seguridad de Continuidad
Servicios TIC
la información de Negocio
También es importante conocer que existen multitud de herramientas que nos van
a ayudar a gestionar incidentes, dado que su gestión se puede automatizar en su
mayor parte.
- OTRS
- Mantis
- Bugzilla
- SIEBEL
- ITOP
- osTicket
- REDMINE
Como ya sabéis, necesitamos una sistemática para poder dar respuesta a los
incidentes, es decir, necesitamos un procedimiento para la gestión de incidentes.
Habitualmente, cualquier procedimiento de gestión de incidentes se compone de las
siguientes etapas:
DETECCIÓN Y NOTIFICACIÓN
Detectado el
incidente Se notifica
EVALUACIÓN Y DECISIÓN
Como ya sabéis, en la etapa de Evaluación y Decisión es necesario establecer unos
criterios, es decir, ¿En qué nos basamos para valorar los incidentes? Básicamente
nos podemos basar en 2 parámetros:
Impacto
Urgencia Bajo Medio Alto
Bajo 5 4 3
Medio 4 3 2
Alto 3 2 1
Por tanto, si por ejemplo tenemos un incidente cuyo impacto y urgencia es Alto, en
base a lo definido en la tabla, se tendrá que dar respuesta al mismo en un plazo
máximo de 1 hora.
Cuando se ofrece un servicio de gestión de incidentes a un cliente externo, los
tiempos de respuesta y resolución de incidentes suelen estar acordados
contractualmente, lo cual implica que si no se cumplen se pueden producir
penalizaciones económicas.
Por otra parte, el perfil que generalmente se encarga de tomar las decisiones que
sean necesarias llevar a cabo para el tratamiento del incidente, es un técnico de
segundo nivel (o nivel 2). Este perfil, si tiene que tener un perfil técnico, dado que
en el caso de que el incidente esté relacionado con las tecnologías de la
información, deberá de determinar cual es la solución. Si por ejemplo el incidente
es un problema de red, tendrá que realizar pruebas técnicas para determinar el
origen del error y solucionarlo (básicamente tendrá que determinar si es un
problema hardware, por ejemplo de la tarjeta de red o el cable, o software, por
ejemplo el programa que está utilizando que se ha desconfigurado).
Evaluado el Se decide su
incidente tratamiento
RESPUESTA
En esta etapa ya se conoce el incidente, así como su prioridad y tratamiento. Por
tanto el siguiente paso es poner en marcha la solución al problema, en los tiempos
que se acuerden según su prioridad.
- Petición de cambio (o RfC por sus iniciales en inglés: Request for Change):
Se solicita el cambio, es decir, a través de un formato previamente
establecido se genera una solicitud en la que se indica el cambio que se
quiere hacer.
- Proceso de aprobación: Un responsable revisa la solicitud, y en caso de
poder hacer el cambio lo aprueba. En este caso, la aprobación puede implicar
tener que realizar alguna compra externa (por ejemplo para comprar una
tarjeta de red), por lo que la aprobación en este caso tendrá que contar con
una persona en la empresa que pueda tomar este tipo de decisiones.
- Comunicación: Una vez que se aprueba el cambio, se comunica a todas las
partes implicadas. En el caso de la tarjeta de red, se comunicará a la persona
que solicitó el cambio, que este ha sido aprobado.
- Fall-back: Durante la realización del cambio, si falla algo, es necesario
establecer un mecanismo para volver a la situación original antes del cambio.
Imaginad que en el ejemplo de la tarjeta de red, mientras se hace el cambio
de tarjeta el sistema operativo falla por un error de compatibilidad hardware
y no permite volver arrancarlo. Si tenemos una copia de seguridad del
sistema operativo este problema se resuelve fácilmente.
Petición de Proceso de
Comunicación Fall-Back
cambio Aprobación
En este caso, las herramientas software que vimos en el anterior apartado, suelen
tener potentes buscadores que nos permiten realizar búsquedas en base a
diferentes criterios, lo cual nos ayudará mucho a encontrar la información que
necesitamos.
Es por ello, que para casos en los que se maneje gran cantidad de información,
suele ser más recomendable el uso de herramientas software, y ya conocéis las
más habituales que existen en el mercado.
Tratamiento
conocido
Base de datos de
conocimiento
1.3. CSIRT
Hasta ahora habéis visto qué puede ser un incidente, y cómo se pueden gestionar,
pero ahora también veremos que existen entidades en todo el mundo que se
encargan de gestionar incidentes, aunque en este caso nos vamos a centrar en los
incidentes de seguridad.
Habitualmente cada país tiene varios CSIRT nacionales, los cuales están
coordinados y sincronizados a través de alguna entidad.
Para el ámbito internacional, también existe una entidad global que se encarga de
coordinar a los diferentes CSIRT, el cual es el FIRST (“Forum of Incident
Response and Security Teams”).
Es decir, los diferentes CSIRT que existen en cada país comparten información
entre sí, pero al mismo tiempo también la comparten con otros CSIRT del mundo.
CSIRT
Colombia
FIRST
CSIRT CSIRT
Brasil USA
Por otra parte, el origen de los CSIRT se remonta a la década de los 80 del pasado
siglo, concretamente en el año 1988, que fue cuando se creó el primer CSIRT como
respuesta al incidente del software malicioso Morris.
Por último, los CSIRT también se les conoce con estos otros nombres:
También hemos visto que para ejercer un enfoque proactivo podemos utilizar la
gestión de riesgos, dado que esto nos va a permitir identificar y tratar riesgos para
evitar que se produzcan los incidentes.
Por otra parte, según vimos en el módulo 1, la gestión de riesgos en primer lugar
trata de identificar riesgos, y en segundo lugar trata de reducirlos con la
implementación de controles.
Por tanto, si nos enfocamos en incidentes relacionados con la seguridad en redes,
debemos de pensar en controles que nos permitan prevenir este tipo de incidentes.
• Identificación de
Análisis de vulnerabilidades
vulnerabilidades técnicas
• Explotación de
Pruebas de vulnerabilidades
intrusión técnicas
Este marco se basa en una puntuación de 0.0 a 10.0 para realizar las
categorizaciones, y para determinar el valor exacto utiliza 3 grupos de parámetros:
Por otra parte, dado que el valor numérico de la valoración final puede estar entre
0.0 y 10.0, se establecen los siguientes niveles:
Puntuación Gravedad
0.0 Nula
0.1 – 3.9 Baja
4.0 – 6.9 Media
7.0 – 8.9 Alta
9.0 – 10.0 Crítica
Por otro lado, en relación a las pruebas de intrusión, estas pruebas se pueden
realizar “a mano”, es decir, por ejemplo, si durante el análisis de vulnerabilidades se
ha detectado que un sistema es vulnerable por tener una contraseña débil (de 4
dígitos y típica “1234”), durante las pruebas de intrusión, se tratará de acceder al
sistema introduciendo la contraseña revelada, y una vez dentro del sistema se
comprobará a qué recursos se tiene acceso.
Por tanto, para poder realizar unas buenas pruebas de intrusión, previamente será
necesario haber realizado un análisis de vulnerabilidades, aunque realmente las
pruebas de intrusión se componen de las siguientes etapas:
Post-
Generación de Explotación de
explotación del
informes vulnerabilidades
sistema
Por último, también conviene que conozcáis los siguientes términos, dado que son
habituales a la hora de realizar análisis de vulnerabilidades y pruebas de intrusión:
Generalmente este tipo de software malicioso se puede prevenir a través del uso de
software antivirus (los más conocidos: Symantec, Kaspersky, Panda, etc.).
Software
malicioso
Gusanos Troyanos
No obstante, otro método más efectivo y preventivo en este caso también suele ser
la limitación de privilegios de los usuarios, es decir, que un usuario no pueda instalar
cualquier cosa en su computadora. Y si necesita instalar un software en su
computadora, tendrá que solicitarlo formalmente a través de un mecanismo de
solicitud.
Este repositorio también permitirá tener un control del software que existe en la
organización, lo cual también es importante gestionar para cumplir con la Ley de
Propiedad Intelectual (y de esta manera evitar el software ilegal)
En este sentido, la familia de estándares ISO 19770 nos puede ayudar a gestionar
activos de tipo software, y los activos de TI relacionados.
Es decir, básicamente con este estándar podremos tener un control de los activos
de tipo software (aplicaciones) que existen en la organización.
Para el estudio de estas situaciones, contamos con el análisis forense, el cual nos
permitirá determinar quien es el responsable del incidente, desde donde se llevó a
cabo el ataque, cómo se realizó, cuando se realizó y que acciones específicas se
llevaron a cabo.
Obviamente se pueden realizar más preguntas, pero de alguna manera estas suelen
ser habituales, y pueden resultar muy útiles para capturar información relevante
sobre el incidente.
Análisis
Quien Dónde Cómo Cuando Qué
forense
Estas preguntas tendrán lugar durante el transcurso del análisis forense, el cual se
compondrá de las siguientes etapas:
a) Recopilación de información
b) Análisis de la información
c) Elaboración y presentación de informe
Recopilación Elaboración y
Análisis de la
de presentación
información
información de informe
Ante esta situación, lo principal es dejar el servidor web donde se encuentra alojada
la página hackeada tal cual, y hacer una copia del disco duro del servidor.
En este caso, es recomendable realizar una copia en “caliente”, es decir, sin apagar
el servidor, de forma que no perdamos ningún dato de la memoria, posibles
conexiones, etc.
Para realizar la copia del contenido del disco duro del servidor, existen unos
dispositivos denominados “clonadoras” con los que podemos realizar una copia bit
a bit, es decir, una copia exacta de un disco duro a otro.
También suele ser recomendable realizar varias copias, dado que en algunos casos,
sobre todo ante procesos judiciales, otras partes del proceso también pueden
requerir custodiar la información objeto del análisis.
Por otra parte, también es fundamental que los discos que se utilicen para copiar la
información sean nuevos, es decir, no contengan ningún otro dato previo (no es
recomendable utilizar un disco duro que haya contenido otro tipo de información y
formatearlo, dado que en este caso pueden quedar residuos de otra información
que haya contenido el disco duro, lo cual puede dificultar el análisis forense), y
también es fundamental determinar bien la capacidad necesaria del disco duro, que
habitualmente –para evitar problemas- se recomienda que la capacidad sea muy
superior a la capacidad del disco original.
Computadoras Tabletas
Información
ANÁLISIS DE LA INFORMACIÓN
Por tanto, cualquier actividad que se haya realizado en el dispositivo deberá ser
objeto de análisis.
Durante el análisis de los registros, es muy importante determinar el momento
exacto en el que se hayan registrado (fecha y hora), lo cual nos permitirá trazar
sobre una línea de tiempo las acciones que se han ido produciendo sobre el sistema
analizado.
10:00am
10:01am
Acceso al sistema
10:03am
Conexión con
servidor remoto Cierre conexión
servidor remoto
Informe
ejecutivo
Presentación
informe final
Informe
técnico
- Índice
- Objeto
- Alcance
- Antecedentes
- Consideraciones
- Descripción actuaciones
- Recomendaciones
- Conclusiones
Descripción
Índice Alcance Antecedentes Consideraciones Recomendaciones Conclusiones
actuaciones
- Índice
- Objeto
- Alcance
- Entorno y recogida de datos
- Estudio forense
- Conclusiones
Descripción
Índice Alcance Antecedentes Consideraciones actuaciones Recomendaciones Conclusiones
Por último, en este apartado veremos otro aspecto fundamental a la hora de manejar
incidentes, que es el formato que podemos utilizar para reportarlos.
Este formato de los reportes obviamente es para aquellos casos en los que no
utilicemos una herramienta software que nos permita automatizar el proceso de
gestión de incidentes, ya que la herramienta posee todos los campos necesarios
por defecto para registrar toda la información necesaria.
Reporte
incidente
- RAM: Memoria volátil que poseen todas las computadoras, donde se guarda
información que necesita el sistema para funcionar, y que al apagar la
computadora se pierde.
Recurso Ejemplo
Libro Gómez Fernández, L. (2015). Cómo Implantar un SGSI según UNE-ISO/IEC
27001:2014 y su aplicación en el Esquema Nacional de Seguridad. Madrid,
España: Ediciones AENOR.
Páginas web ISO.org, (2013). ISO 27002:2013. Europa.
http://www.iso.org/iso/catalogue_detail?csnumber=54533 .
Páginas web ISO.org, (2012), ISO 22301:2012.
http://www.iso.org/iso/catalogue_detail?csnumber=50038
Páginas web ISO.org, (2011), ISO/IEC 20000-1:2011.
http://www.iso.org/iso/catalogue_detail?csnumber=51986
Páginas web CSIRT-CCIT, (2016), Centro de Coordinación Seguridad informática Colómbia.
http://www.csirt-ccit.org.co/
Páginas web FIRST, (2016), Forum for Incident Response and Security Teams.
https://www.first.org/