Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina
Introduccin
- Nivel bsico de conocimientos de seguridad informtica - Capacidad de preservar la confidencialidad, disponibilidad e integridad de los sistemas en una organizacin, sus datos y la informacin digital.
Pgina
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina
Antecedentes metodolgicos
CERT/CC
800.000 700.000 600.000
Incidentes
500.000 400.000 300.000 200.000 100.000 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 Ao
Pgina
Objetivo Principal
Objetivos Especficos
Pgina
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina
Marco terico
Recursos en la organizacin
Informaci n Tecnologa Personas
Pgina
Confidencialida d
Integridad
Disponibilidad
Pgina
Autenticacin
Autorizacin
No repudio
Auditabilidad
Pgina 10
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina 11
Alcance Trminos y definiciones Estructura del Estndar Evaluacin y manejo de riesgos Polticas de seguridad Organizacin de la seguridad de la informacin Administracin de activos Seguridad de los recursos humanos Seguridad fsica y ambiental Administracin de las comunicaciones y operaciones Administracin de accesos Adquisicin, desarrollo y mantenimiento de sistemas de informacin Administracin de incidentes de seguridad de la informacin Administracin de la continuidad de negocio Cumplimiento
Pgina 12
AR
AN PL
EV AL U
R EA
EA R
R O AN G
IT O R
AR IZ
O N
IM
PL EM
EN AN N TE ER
TA R M
AR Y
Pgina 13
Eventos adversos que hacen perder la confidencialidad, integridad y disponibilidad de los sistemas Evento adverso en un sistema de informacin y/o red, amenaza la disponibilidad, integridad y confidencialidad
Pgina 14
Incidente de seguridad Informtica, es aquella accin no deseada en nuestros activos informticos (hardware o software) que pone en riesgo nuestra informacin y que pretende alterar alguno o todos los principios bsicos de la seguridad informtica, haciendo caso omiso de los servicios de la seguridad informtica
Proyecto final de grado Walter Mndez Pgina 15
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina 16
CERT/CC
FIRST Constituency Tipos de equipo Caractersticas del equipo Organizacin
Pgina 17
- www.cert.org
Pgina 18
CERT/CC
FIRST Constituency Tipos de equipo Caractersticas del equipo Organizacin
Pgina 19
- Evento organizado por CERT/CC el ao 1989 - Objetivo: aprendizaje el ao anterior - Desarrollar nuevos pasoso para coordinar relaciones de confianza - Variedad de equipos de manejo de incidentes - www.first.org
Pgina 20
CERT/CC
FIRST Constituency Tipos de equipo Caractersticas del equipo Organizacin
Pgina 21
El trmino Constituency es adoptado por CERT/CC para referirse al grupo atendido o al rea de cobertura, para referirse a la organizacin, personas, clientes o entidades que reciben los servicios de un equipo de manejo de incidentes
Pgina 22
CERT/CC
FIRST Constituency Tipos de equipo Caractersticas del equipo Organizacin
Pgina 23
Acadmicos
Privados
Militares
Pgina 24
CERT/CC
FIRST Constituency Tipos de equipo Caractersticas del equipo Organizacin
Pgina 25
Pgina 26
Pgina 27
CERT/CC
FIRST Constituency Tipos de equipo Caractersticas del equipo Organizacin
Pgina 28
Pgina 29
-Identificar el rea de cobertura con el que se va a trabajar -Analizar la forma cmo trabar con el rea de cobertura -Establecer una mision y visin para trabajo
Pgina 30
-Sitio web pblico -Formularios web para comunicar incidentes -Listas de correo -Correo electrnico personalizado -Telfono / Fax -SMS -Informes mensuales o anuales -Boletines informticos y en papel
Pgina 31
-Servicios reactivos Alertas y advertencias Manejo de incidentes, vulnerabilidades -Servicios proactivos Anuncios y comunicados Auditoras de seguridad Configuracin y mantenimiento de herramientas Detecciones -Calidad de seguridad Anlisis de riesgo BCP Consultoras de seguridad
Pgina 32
-Equipo de seguridad -Equipos distribuido interno -Equipo centralizado interno -Equipo de coordinacin
Pgina 33
Pgina 34
Pgina 35
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina 36
Metodologa propuesta
Pgina 37
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 38
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
-Actividad proactiva por parte de la organizacin -Establecer los actores para el manejo de incidentes -Personal capacitado -Estar preparados antes de cualquier incidente -Base de datos de personal para el manejo de incidentes
Pgina 39
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 40
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 41
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 42
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 43
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 44
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 45
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 46
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
-Preparacin de la red
Pgina 47
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
-Quin y dnde?
-Que?
-Cundo? -Por qu? -Cmo?
Pgina 48
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 49
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 50
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 51
Metodologa propuesta
Pgina 52
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 53
Deteccin e identificacin
Registros de IDS
Usuarios
DETECCIN
Formulario de Deteccin
Administradores
Equipo de Manejo de Incidentes INDICADORES - Actividad en puertos no conocidos - Actividad sospechosa en puertos conocidos - Comportamiento irregular de los sistemas - Autenticacin a cuentas por defecto - Habilitacin de cuentas sospechosas - Actividad sospechosa fuera de horario - Archivos y programas ejecutables no conocidas - Alteracin de pginas web - Bajo rendimiento de los recursos de la red - Configuraciones no realizadas por el administrador - Colapso del sistema - Bajo rendimiento del sistema operativo - Uso indebido del mail corporativo - Pornografa infantil - Falsos positivos - Otros
Pgina 54
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 55
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 56
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 57
Pgina 58
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 59
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Capacidad del Equipo de Manejo de Incidentes Verificacin del Formulario de Deteccin de Incidentes Formular Estrategias de Respuesta
Aprobacin de la Gerencia
Pgina 60
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 61
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 62
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
-El anlisis forense es un examen de toda la informacin disponible y de las pruebas o instancias relacionadas con un incidente o evento. La finalidad del anlisis es averiguar el alcance del incidente y de los daos que ha causado
Pgina 63
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
-Recoleccin de datos
-Investigacin forense
Pgina 64
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
RECOLECCIN DE DATOS
Evidencias de Host -Fecha y hora del sistema -Las aplicaciones que corren en el sistema actualmente -Las conexiones de red establecidas -Puertos abiertos -Puertos en estado de Listening -El estado de las interfaces de red Evidencias de Red -Registros de IDS -Logs de monitoreo -Pen-register /trap and traces -Logs de Routers -Logs de Firewalls -Logs de autenticacin Otras evidencias -Entrevistas con el personal -Recoleccin de datos fsicos INVESTIGACIN FORENSE Reporte de Anlisis Forense
Pgina 65
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 66
Metodologa propuesta
Pgina 67
Pgina 68
Pgina 69
Pgina 70
Pgina 71
-Restaurar el sistema
Contencin Eliminacin Recuperacin Control Etapa 3
-Reportar
Pgina 72
Pgina 73
Pgina 74
Metodologa propuesta
Pgina 75
Pgina 76
Pgina 77
Pgina 78
Pgina 79
Pgina 80
Pgina 81
1.- Formacin del equipo de manejo de incidentes 2.- Anlisis de riesgos 3.- Preparacin en el rea de cobertura (constituency) 4.- Establecimiento y/o revisin de polticas de seguridad 5.- Creacin de herramientas 6.- Control Etapa 1
Pgina 82
Pgina 83
3.- Recuperacin
4.- Control Etapa 3
Pgina 84
Pgina 85
Pgina 86
Etapa 1
Etapa 4
Etapa 2
Etapa 3
Pgina 87
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina 88
Casos prcticos
El siguiente caso prctico fue realizado con la informacin que brinda el captulo 1 del libro de Chris Prosise y Kevin Mandia Incidet Response: Investigating computer crime [MANDIA 01]. El siguiente detalla un caso real que demuestra cmo un equipo de manejo de incidentes y el FBI trabajan juntos para resolver un caso de anlisis forense. Se han cambiado las identidades de la vctima, el atacante, los agentes y las direcciones IP para proteger a aquellos involucrados en el caso [MANDIA 01].
Pgina 89
FORMULARIO DE DETECCIN
Pgina 90
CONTROL ETAPA 2
Pgina 91
Pgina 92
FORMULARIO DE CONTENCIN
Pgina 93
FORMULARIO DE RECUPERACIN
Pgina 94
CONTROL ETAPA 3
Pgina 95
Pgina 96
Pgina 97
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Pgina 98
Conclusiones
- La metodologa de 4 etapas es una mejora de otras metodologas a la cual se le aplic el mtodo PDCA.
- Metodologa proactiva
- Metodologa auditable
Pgina 99
Recomendaciones
Pgina100
Pgina101