Manejo y Análisis de Incidentes de Seguridad Informática

Manejo y Análisis de Incidentes de
Seguridad Informática
Julio Ardita
jardita@cybsec.com
CYBSEC
Manejo y Análisis de Incidentes de Seguridad Informática
Agenda
- Incidentes de seguridad en la Argentina

- Manejo de incidentes de seguridad
- Metodologías de investigación
- Análisis Forense Informático
- Buenas Prácticas
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Incidentes en Argentina
¿Cual es el origen mas común de los incidentes de

seguridad en su empresa?
70% 63%
58%
60% 52%
50% Sistemas interno s
40% 32% 30%

Internet
30% 23% A cceso s remo to s vía

mo dem
20% Vínculo s Externo s
10% (pro veedo res y clientes)
10% 3% 3% 5% 4% 4% 4% 2% 6% Otro s
0%
Año 2002 Año 2003 Año 2004

¿Qué tipos de ataques fueron?
40%
35%
29% Año 2002
30%
25% 22% Año 2003
20% Año 2004
15% 12%
10% 6% 7% 7%
4% 3%
5% 1% 2% 2% 2% 1% 2%
0%
De S F C Ac V Fr A Pe Sa R Ro M O
ne pa m ra u ap
t
ce i ru
s
a u bu
s n e b o
ob
o bo od tro
ga m d u s o d o t t de i fica s
ci ó in e te ra d no
e
f in
de ra c aje
ió
de
no c ió
n g le e au an la in
d n f
de e fó n in fo t ci e c ce d orm teb n de
s e c or ic o rm oriz ro so e s ac oo
pa
rv re ac a a is ión k
ic i o do i te gin
o el ió p nt m c a
ec n or ern as o nf we
tró pe et id b
ni rs enc
co on ia
al l
i ..
.

- El 74% de las grandes empresas tienen un Responsable de

Seguridad contra el 17% del año 2001.
- El 60% de los encuestados reconoció que el conocimiento del

personal para responder ataques informáticos es insuficiente.
- El 82% de las Empresas que sufrieron incidentes de seguridad

no realizaron análisis forense ni valoración de los mismos.
- Durante enero y febrero de 2008 hubo más de 250 ataques

exitosos a páginas Web en Argentina.
Fuente: Prince & Cooke y Zone-

Zone-h.

Cantidad de incidentes graves manejados por CYBSEC:
16
14
12
Cantidad
10
8
6
4
2
0
2001 2002 200 3 200 4 200 5 200 6 200 7
Año

Incidentes de seguridad reales
- Robo de información sensible

- Robo y pérdida de notebooks con información sensible
- Denegación de servicio sobre equipos de networking, afectando
la operación diaria de la Compañía
- Denegación de servicio por el ingreso y propagación de virus y
worms que explotan vulnerabilidades
- Sabotaje Corporativo a través de modificaciones de programas
por parte del personal interno que generó problemas de
disponibilidad en servicios críticos (programa troyano)

Incidentes de seguridad reales
- Amenazas y denuncias falsas a través de mensajes de correo

electrónico anónimos
- Ataques locales de phishing a Bancos y Empresas
- Fraude financiero

¿Por qué se generan más incidentes que antes?
- Crecimiento de la dependencia tecnológica

- No hay una conciencia sobre la privacidad
- Amplia disponibilidad de herramientas
- No hay leyes globales (ni locales)
- Falsa sensación de que todo se puede hacer en Internet
- Gran aumento de vulnerabilidades de seguridad (sólo en el
2007 se reportaron 7.236 según CERT)
- Traslado de negocios con dinero real a Internet (servicios
financieros, juegos de azar, sitios de subastas, etc.)
- Oferta y demanda de información confidencial más abierta

Tendencias en incidentes
- Los intrusos “saben” más técnicas para evitar que los rastreen
- Nuevo origen de incidentes: redes wireless abiertas
- Casos de publicación de venta en Internet de

información sensible de empresas argentinas
- Casos individuales de robo de identidad basados en

información disponible en Internet

Manejo de incidentes de seguridad
Hacemos todo lo posible para tener un elevado nivel de

seguridad en la Compañía, pero surge un incidente de seguridad
grave.
Tips:
- No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak)
- Mantener la calma por la situación personal del CSO
- No comenzar buscando culpables
- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo

Manejo de incidentes de seguridad
Durante las primeras horas tendremos la atención de la

Compañía puesta en nosotros. Es clave aprovechar este
momento.
Nivel de Atención de la Gerencia durante un Incidente
120
100 0 hs
% Nivel de Atención
80 12 hs
60
24 hs
40
20 48 hs
72 hs
0 96 hs
Tiempo
Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.

Necesidades para el manejo de incidentes de seguridad
- Políticas y Procedimientos previamente definidos y acordados
- Capacitación del personal involucrado (seguridad informática,

administradores, help-desk, auditoría, seguridad ambiental y
legales)
- Mantenimiento activo (capacitación periódica, simulaciones y

adecuación de las Políticas y Procedimientos)
- Soporte altamente especializado

Política de Manejo de Incidentes de Seguridad Informática
Procedimientos necesarios:
- Detección y Denuncia de Incidentes
- Recepción y Análisis de Incidentes
- Neutralización del ataque
- Búsqueda de información y rastreo del intruso
- Secuestro y preservación de evidencia
- Recuperación de datos o sistemas afectados
- Restauración de la información
- Cierre y documentación del proceso de manejo de incidentes

Pasos a seguir cuando sucede un incidente
1. Reunión de relevamiento on-site con todos los referentes e

involucrados.
2. Verificar la información.
3. Consolidar y revisar toda la información relevada.
4. Análisis preliminar de impacto del incidente.
5. Elaborar el diagnóstico detallado de la situación.

6. Definir los mensajes de comunicación a transmitir a través de

canales de comunicación externos e internos.
7. Elaborar un Plan de Acción detallado y consensuado con

todas las áreas participantes.
8. Organizar grupos de trabajo para llevar adelante las actividades

planificadas en el Plan de Acción coordinados por el CSO.
9. Implementar y gerenciar el Plan de Acción priorizando las

actividades más críticas con el objetivo de bajar lo mas rápido
posible el nivel de exposición al riesgo que afecta a la Compañía.
10. Documentar detalladamente TODO lo realizado.
11. Vuelta a la normalidad.
12. Luego del cierre del incidente:

- Aplicar “lecciones aprendidas”.
- En lo posible estimar las pérdidas económicas.
- Ajustar los procedimientos.
- Informe ejecutivo al Directorio y áreas de negocio.

Análisis Forense Informático
“Es la técnica de capturar, procesar e investigar información

procedente de sistemas informáticos utilizando una metodología
definida”.

Metodología de Análisis Forense Informático

El primer paso es identificar los equipos que pueden contener
evidencia, reconociendo la frágil naturaleza de los datos
digitales.
La segunda gran tarea es preservar la evidencia contra daños
accidentales o intencionales, usualmente esto se realiza
efectuando una copia o imagen espejada exacta del medio
analizado.
El tercer paso es analizar la imagen copia de la original,
buscando la evidencia o información necesaria.
Finalmente una vez terminada la investigación se debe realizar el
reporte de los hallazgos a la persona indicada para tomar las
decisiones, como puede ser un juez o un CEO.

Documentar la Escena
¿Secuestrar Si
Capturar volátiles
volátiles?
¿Es necesario Si Investigar on-site

Investigar on-site?
Hacer imágenes
Generar
Investigar en el Laboratorio
Conclusiones
Si ¿Volver a buscar más
información?

Buenas Prácticas frente a incidentes de seguridad
Hay que tener procedimientos claramente definidos y

comunicados.
Es muy importante que todo el personal esté entrenado

previamente y sepa qué tiene que hacer frente a un incidente.
Durante las primeras horas tendremos la atención de la

Compañía puesta en nosotros. Es clave aprovechar ese
momento.
El tiempo es un factor que nos puede llegar a jugar en contra.

Cuanto antes reaccionemos, mejor estaremos preparados para
manejar el incidente.

Contacto:
Julio Ardita
jardita@cybsec.com
CYBSEC

Manejo y Análisis de Incidentes de Seguridad Informática

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manejo y Análisis de Incidentes de Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

Manejo y Análisis de Incidentes de

- Incidentes de seguridad en la Argentina

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

¿Cual es el origen mas común de los incidentes de

40% 32% 30%

30% 23% A cceso s remo to s vía

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

¿Qué tipos de ataques fueron?

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

- El 74% de las grandes empresas tienen un Responsable de

- El 60% de los encuestados reconoció que el conocimiento del

- El 82% de las Empresas que sufrieron incidentes de seguridad

- Durante enero y febrero de 2008 hubo más de 250 ataques

Fuente: Prince & Cooke y Zone-

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Cantidad de incidentes graves manejados por CYBSEC:

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Incidentes de seguridad reales

- Robo de información sensible

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Incidentes de seguridad reales

- Amenazas y denuncias falsas a través de mensajes de correo

- Ataques locales de phishing a Bancos y Empresas

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

¿Por qué se generan más incidentes que antes?

- Crecimiento de la dependencia tecnológica

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

- Nuevo origen de incidentes: redes wireless abiertas

- Casos de publicación de venta en Internet de

- Casos individuales de robo de identidad basados en

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Manejo de incidentes de seguridad

Hacemos todo lo posible para tener un elevado nivel de

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Manejo de incidentes de seguridad

Durante las primeras horas tendremos la atención de la

Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Necesidades para el manejo de incidentes de seguridad

- Políticas y Procedimientos previamente definidos y acordados

- Capacitación del personal involucrado (seguridad informática,

- Mantenimiento activo (capacitación periódica, simulaciones y

- Soporte altamente especializado

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Política de Manejo de Incidentes de Seguridad Informática

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Pasos a seguir cuando sucede un incidente

1. Reunión de relevamiento on-site con todos los referentes e

3. Consolidar y revisar toda la información relevada.

4. Análisis preliminar de impacto del incidente.

5. Elaborar el diagnóstico detallado de la situación.

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

6. Definir los mensajes de comunicación a transmitir a través de

7. Elaborar un Plan de Acción detallado y consensuado con

8. Organizar grupos de trabajo para llevar adelante las actividades

9. Implementar y gerenciar el Plan de Acción priorizando las

Pasos a seguir cuando sucede un incidente

10. Documentar detalladamente TODO lo realizado.

11. Vuelta a la normalidad.

12. Luego del cierre del incidente:

Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

Análisis Forense Informático

“Es la técnica de capturar, procesar e investigar información