Finalfinal

Ingeniera de Sistemas
PROPUESTA DE METODOLOGA PARA EL MANEJO DE INCIDENTES DE SEGURIDAD INFORMTICA

Walter Javier Mndez Hurtado
Agenda
Introduccin
Antecedentes Metodolgicos Marco Terico Programa de Seguridad
Equipo de manejo de incidentes de seguridad Informtica

Metodologa propuesta Casos prcticos Conclusiones y recomendaciones
Proyecto final de grado Walter Mndez
Pgina
Introduccin
- Nivel bsico de conocimientos de seguridad informtica - Capacidad de preservar la confidencialidad, disponibilidad e integridad de los sistemas en una organizacin, sus datos y la informacin digital.
Pgina
Agenda
Introduccin

Pgina
Antecedentes metodolgicos
CERT/CC
800.000 700.000 600.000
Incidentes
500.000 400.000 300.000 200.000 100.000 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 Ao
Pgina
Antecedentes metodolgicos > Objetivos
Objetivo Principal
Proponer una metodologa para el manejo de Incidentes de seguridad informtica

Introducir conceptos bsicos de la seguridad informtica Aplicar la taxonoma del incidente de seguridad de Howard en la metodologa propuesta Identificar los requerimientos para la formacin del equipo de manejo de incidentes de seguridad informtcia Crear una metodologa en cuantro etapas para el manejo de incidentes de seguridad informtica Construir formularios para facilitar y mejorar la aplicacin de la metodologa Demostrar la aplicabilidad en un caso prctico
Objetivos Especficos
Pgina
Agenda
Introduccin

Pgina
Marco terico
Recursos en la organizacin
Informaci n Tecnologa Personas
Pgina
Marco Terico > Principios bsicos
Confidencialida d
Integridad
Disponibilidad
Pgina
Marco Terico > Servicios bsicos
Autenticacin
Autorizacin
No repudio
Auditabilidad
Pgina 10
Agenda
Introduccin

Pgina 11
Programa de seguridad > ISO 27001:2005
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
Alcance Trminos y definiciones Estructura del Estndar Evaluacin y manejo de riesgos Polticas de seguridad Organizacin de la seguridad de la informacin Administracin de activos Seguridad de los recursos humanos Seguridad fsica y ambiental Administracin de las comunicaciones y operaciones Administracin de accesos Adquisicin, desarrollo y mantenimiento de sistemas de informacin Administracin de incidentes de seguridad de la informacin Administracin de la continuidad de negocio Cumplimiento
Pgina 12
Programa de seguridad > Ciclo de vida
AR
AN PL
EV AL U
R EA
EA R
R O AN G
IT O R
AR IZ
O N
PROGRAMA DE SEGURIDAD INFORMTICO

R PE O
IM
PL EM
EN AN N TE ER
TA R M
AR Y
Pgina 13
Programa de seguridad > Definicin de trminos
Incidente de Seguridad Informtica

MANDIA 01 VAN WYK 01 CHIRILLO 01 GRANCE 04 G45
Eventos que interrumpen operaciones de procedimientos normales y lo precipitan en algn nivel de crisis Situacin en la cual una informacin est en riesgo
Evento adverso en un sistema de computadoras o red
Eventos adversos que hacen perder la confidencialidad, integridad y disponibilidad de los sistemas Evento adverso en un sistema de informacin y/o red, amenaza la disponibilidad, integridad y confidencialidad
Pgina 14
Programa de seguridad > Definicin de trminos
Incidente de seguridad Informtica, es aquella accin no deseada en nuestros activos informticos (hardware o software) que pone en riesgo nuestra informacin y que pretende alterar alguno o todos los principios bsicos de la seguridad informtica, haciendo caso omiso de los servicios de la seguridad informtica
Proyecto final de grado Walter Mndez Pgina 15
Agenda
Introduccin

Pgina 16
Equipo de manejo de incidentes de seguridad informtica
CERT/CC
FIRST Constituency Tipos de equipo Caractersticas del equipo Organizacin
Pgina 17
Equipo de manejo de incidentes > CERT/CC
Computer Emergency Response Team / Coordination Center
- Naci en 1988 con el aparecimiento del gusano Morris

- Fundada por DARPA - Establecida por la Universidad de Carnegie Mellon - Actualmente coordina esfuerzos para la respuesta de incidentes en todo el mundo - CSIRT = Equipo de respuesta de incidentes de seguridad informtica
- www.cert.org
Pgina 18
CERT/CC
Pgina 19
Equipo de manejo de incidentes > FIRST
Forum of Incident Response and Security Teams
- Evento organizado por CERT/CC el ao 1989 - Objetivo: aprendizaje el ao anterior - Desarrollar nuevos pasoso para coordinar relaciones de confianza - Variedad de equipos de manejo de incidentes - www.first.org
Pgina 20
CERT/CC
Pgina 21
Equipo de manejo de incidentes > Constituency
El trmino Constituency es adoptado por CERT/CC para referirse al grupo atendido o al rea de cobertura, para referirse a la organizacin, personas, clientes o entidades que reciben los servicios de un equipo de manejo de incidentes
Pgina 22
CERT/CC
Pgina 23
Equipo de manejo de incidentes > Tipos de equipos
Acadmicos
Privados
Comerciales Pblicos Nacionales Soporte
Militares
Pgina 24
CERT/CC
Pgina 25
Equipo de manejo de incidentes > Caractersticas del equipo
Tamao Roles y responsabilidad es
Pgina 26
Equipo de manejo de incidentes > Caractersticas del equipo
Tamao Roles y responsabilidad es
Pgina 27
CERT/CC
Pgina 28
Equipo de manejo de incidentes > Organizacin
Definir constituency Canal de comunicaci n Servicios
Estructura organizativa Nivel de autoridad Equipamient oy capacitacin
Pgina 29
-Identificar el rea de cobertura con el que se va a trabajar -Analizar la forma cmo trabar con el rea de cobertura -Establecer una mision y visin para trabajo
Pgina 30
-Sitio web pblico -Formularios web para comunicar incidentes -Listas de correo -Correo electrnico personalizado -Telfono / Fax -SMS -Informes mensuales o anuales -Boletines informticos y en papel
Pgina 31
-Servicios reactivos Alertas y advertencias Manejo de incidentes, vulnerabilidades -Servicios proactivos Anuncios y comunicados Auditoras de seguridad Configuracin y mantenimiento de herramientas Detecciones -Calidad de seguridad Anlisis de riesgo BCP Consultoras de seguridad
Pgina 32
-Equipo de seguridad -Equipos distribuido interno -Equipo centralizado interno -Equipo de coordinacin
Pgina 33
-Autoridad completa -Autoridad compartida -Autoridad nula
Pgina 34
-Uso de espacio fsico de trabajo

-Uso del equipamiento y herramientas -Capacitacin de los integrantes del equipo -Comunicacin con otros equipos
Pgina 35
Agenda
Introduccin

Pgina 36
Metodologa propuesta
Etapa 1.- Actividades pre incidentes Etapa 2.- Deteccin y anlisis
Etapa 3.- Respuesta de incidentes

Etapa 4.- Actividades post incidentes
Pgina 37
Metodologa propuesta > Actividades pre - incidentes
Formacin del Equipo Anlisis de riesgo Preparacin del rea de cobertura Establecimiento y/o revisin de polticas Creacin de herramientas Control Etapa 1
Pgina 38
-Actividad proactiva por parte de la organizacin -Establecer los actores para el manejo de incidentes -Personal capacitado -Estar preparados antes de cualquier incidente -Base de datos de personal para el manejo de incidentes
Pgina 39
-Actividad inicial del proceso de manejo de incidentes

-Pantallazo de riesgos en la organizacin -ISO 27001: Dominio 4 -Todo activo tiene nivel de riesgo
Pgina 40
-Preparacin de hosts individuales
Pgina 41
Pgina 42
Pgina 43
Pgina 44
Pgina 45
Pgina 46
-Preparacin de la red
Pgina 47
-Quin y dnde?
-Que?
-Cundo? -Por qu? -Cmo?
Pgina 48
Pgina 49
Pgina 50
Pgina 51

Pgina 52
Metodologa propuesta > Deteccin y anlisis
Deteccin e identificacin Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Pgina 53
Registros del Firewall
Deteccin e identificacin
Registros de IDS
Clasificacin (Triage) Estrategia de respuesta Anlisis forense Control etapa 2
Usuarios
DETECCIN
Formulario de Deteccin
Administradores
Equipo de Manejo de Incidentes INDICADORES - Actividad en puertos no conocidos - Actividad sospechosa en puertos conocidos - Comportamiento irregular de los sistemas - Autenticacin a cuentas por defecto - Habilitacin de cuentas sospechosas - Actividad sospechosa fuera de horario - Archivos y programas ejecutables no conocidas - Alteracin de pginas web - Bajo rendimiento de los recursos de la red - Configuraciones no realizadas por el administrador - Colapso del sistema - Bajo rendimiento del sistema operativo - Uso indebido del mail corporativo - Pornografa infantil - Falsos positivos - Otros
Pgina 54
Pgina 55
Pgina 56
Pgina 57
Pgina 58
Pgina 59
Capacidad del Equipo de Manejo de Incidentes Verificacin del Formulario de Deteccin de Incidentes Formular Estrategias de Respuesta
Aprobacin de la Gerencia
Pgina 60
Pgina 61
Pgina 62
-El anlisis forense es un examen de toda la informacin disponible y de las pruebas o instancias relacionadas con un incidente o evento. La finalidad del anlisis es averiguar el alcance del incidente y de los daos que ha causado
Pgina 63
-Recoleccin de datos
-Investigacin forense
Pgina 64
RECOLECCIN DE DATOS
Evidencias de Host -Fecha y hora del sistema -Las aplicaciones que corren en el sistema actualmente -Las conexiones de red establecidas -Puertos abiertos -Puertos en estado de Listening -El estado de las interfaces de red Evidencias de Red -Registros de IDS -Logs de monitoreo -Pen-register /trap and traces -Logs de Routers -Logs de Firewalls -Logs de autenticacin Otras evidencias -Entrevistas con el personal -Recoleccin de datos fsicos INVESTIGACIN FORENSE Reporte de Anlisis Forense
Pgina 65
Pgina 66

Pgina 67
Metodologa propuesta > Respuesta de incidentes
Contencin Eliminacin Recuperacin Control Etapa 3
Pgina 68
Pgina 69
Pgina 70
Pgina 71
-Restaurar el sistema
-Validar el sistema -Decidir cuando restaurar el sistema
-Reportar
Pgina 72
Pgina 73
Pgina 74

Pgina 75
Metodologa propuesta > Actividades post incidente
Anlisis post mortem Lecciones aprendidas Seguimiento y monitoreo
Pgina 76
-Elemento ms importante de la Etapa 4

-Realizado por el lder del equipo -Aprendizaje por parte de la organizacin y el equipo -Feedback de los formularios anteriores -Conclusin de gerencia
Pgina 77
Pgina 78
-Hacer conocer a todo el equipo sobre la gestin de incidente

-Realizado por el lder del equipo -Oportunidad de aprender sobre el problema -Indicador de debilidades potenciales en la organizacin -Servicio de calidad
Pgina 79
Pgina 80
Pgina 81
1.- Formacin del equipo de manejo de incidentes 2.- Anlisis de riesgos 3.- Preparacin en el rea de cobertura (constituency) 4.- Establecimiento y/o revisin de polticas de seguridad 5.- Creacin de herramientas 6.- Control Etapa 1
Pgina 82
1.- Deteccin e identificacin

2.- Clasificacin (Triage) 3.- Estrategia de respuesta 4.- Anlisis forense
5.- Control Etapa 2
Pgina 83
1.- Contencin 2.- Eliminacin
3.- Recuperacin
4.- Control Etapa 3
Pgina 84
Metodologa propuesta > Actividades post - incidente
1.- Anlisis post mortem 2.- Lecciones aprendidas
3.- Seguimiento y monitoreo
Pgina 85
Metodologa propuesta > Diagrama de flujo
Pgina 86
Metodologa propuesta > Diagrama de flujo
Etapa 1
Etapa 4
Etapa 2
Etapa 3
Pgina 87
Agenda
Introduccin

Pgina 88
Casos prcticos
El siguiente caso prctico fue realizado con la informacin que brinda el captulo 1 del libro de Chris Prosise y Kevin Mandia Incidet Response: Investigating computer crime [MANDIA 01]. El siguiente detalla un caso real que demuestra cmo un equipo de manejo de incidentes y el FBI trabajan juntos para resolver un caso de anlisis forense. Se han cambiado las identidades de la vctima, el atacante, los agentes y las direcciones IP para proteger a aquellos involucrados en el caso [MANDIA 01].
Pgina 89
FORMULARIO DE DETECCIN
Pgina 90
CONTROL ETAPA 2
Pgina 91
CONTROL ETAPA 2 (cont.)
Pgina 92
FORMULARIO DE CONTENCIN
Pgina 93
FORMULARIO DE RECUPERACIN
Pgina 94
CONTROL ETAPA 3
Pgina 95
ANLIS POST MORTEM
Pgina 96
ANLIS POST MORTEM (cont.)
Pgina 97
Agenda
Introduccin

Pgina 98
Conclusiones
- La metodologa de 4 etapas es una mejora de otras metodologas a la cual se le aplic el mtodo PDCA.
- Metodologa proactiva
- Fcil de entender y manejar con formularios

- Metodologa abierta a la necesidad de cualquier organizacin - til para la formacin del equipo de manejo de incidentes
- Metodologa auditable
Pgina 99
Recomendaciones
- Consultar otros libros de seguridad

- Utilizar o crear propios formularios segn conveniencia - No es metodologa rgida
Pgina100
GRACIAS POR SU ATENCION
Pgina101

Finalfinal

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Finalfinal

Cargado por

Copyright:

Formatos disponibles

Ingeniera de Sistemas

PROPUESTA DE METODOLOGA PARA EL MANEJO DE INCIDENTES DE SEGURIDAD INFORMTICA

Equipo de manejo de incidentes de seguridad Informtica

Proyecto final de grado Walter Mndez

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad Informtica

Proyecto final de grado Walter Mndez

Proyecto final de grado Walter Mndez

Antecedentes metodolgicos > Objetivos

Proponer una metodologa para el manejo de Incidentes de seguridad informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad Informtica

Proyecto final de grado Walter Mndez

Proyecto final de grado Walter Mndez

Marco Terico > Principios bsicos

Proyecto final de grado Walter Mndez

Marco Terico > Servicios bsicos

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad Informtica

Proyecto final de grado Walter Mndez

Programa de seguridad > ISO 27001:2005

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

Proyecto final de grado Walter Mndez

Programa de seguridad > Ciclo de vida

PROGRAMA DE SEGURIDAD INFORMTICO

Proyecto final de grado Walter Mndez

Programa de seguridad > Definicin de trminos

Incidente de Seguridad Informtica

Evento adverso en un sistema de computadoras o red

Proyecto final de grado Walter Mndez

Programa de seguridad > Definicin de trminos

Equipo de manejo de incidentes de seguridad Informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes > CERT/CC

Computer Emergency Response Team / Coordination Center

- Naci en 1988 con el aparecimiento del gusano Morris

Equipo de manejo de incidentes de seguridad informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes > FIRST

Forum of Incident Response and Security Teams

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes > Constituency

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes > Tipos de equipos

Comerciales Pblicos Nacionales Soporte

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes > Caractersticas del equipo

Tamao Roles y responsabilidad es

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes > Caractersticas del equipo

Tamao Roles y responsabilidad es

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes de seguridad informtica

Proyecto final de grado Walter Mndez

Equipo de manejo de incidentes > Organizacin