Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ETB
Temario
Que es ciberseguridad
ISO 27035
NIST CiberSecurity Framewrok
CERT
Metodologias
ISO 27035
ISO 27035
Metodologias
ISO 27035
NIST CiberSecurity Framewrok
CERT
Metodologias
Identificar
Proteger
Detectar
Responder
Recuperar
ISO 27035
NIST CiberSecurity Framewrok
CERT
Metodologias
CERT
• Manejo de incidentes
• Gestión de incidentes
Metodologias
• Manejo de incidentes
• Detectar
• Triage, Analisis
• Respuesta
Metodologias
• Gestión de incidentes
• Además del manejo de incidentes, Expande el
concepto a servicio y procesos que haría un CSIRT,
gestión de vulnerabilidades, Concienciación, pruebas
de seguridad, administración, etc.
Metodologias
CERT
Metodologias
CERT
Metodologias
CERT
Metodologias
CERT
Preparar
• Se requiere personal y qué capacitación necesitarán para realizar adecuadamente su trabajo.
• Se requerirán herramientas, equipos e infraestructura de apoyo, como mecanismos de
comunicación y conexiones de red seguras, bases de datos de seguimiento de incidentes,
formularios de notificación de incidentes en línea o herramientas de análisis.
• Las políticas y procedimientos regirán el funcionamiento de la capacidad de gestión de
incidentes y sus interacciones con cualquier otra parte de la empresa o grupo. Esto puede incluir
políticas de divulgación de información, procedimientos operativos estándar o cualquier acuerdo
de nivel de servicio vigente.
Metodologias
CERT
Preparar
Metodologias
CERT
Proteger
CERT
Proteger
CERT
Proteger
CERT
Proteger
CERT
Proteger
CERT
Proteger
CERT
Proteger
Metodologias
CERT
Detectar
CERT
Detectar
Metodologias
CERT
Triage
CERT
Triage
Metodologias
CERT
Respuesta
CERT
Respuesta
Estos tres tipos de actividades pueden ocurrir simultáneamente, pero para obtener la
respuesta más efectiva, deben ocurrir en una función coordinada con miembros de
todas las áreas de respuesta coordinando la planificación y ejecución de las
actividades de respuesta.
Cuando sea posible y apropiado, la información debe compartirse entre estos
subprocesos
Metodologias
CERT
Respuesta
Mas metodologias
Metodologias
Modelo de madurez
Nivel Madurez
0 1 2 3 4 5
1. Objetivos de la gestión de incidentes
2. Requerimientos de las Partes Interesadas
3. Plan de Gestion de incidentes
4. Ambiente organizacional
5. Personas
6. Roles y Responsabilidades
7. Gestión de la información
8. Herramientas y Tecnologías
9. Instalaciones
10. Recoleccion de Informacion
11. Detección
12. Análisis
12. Respuesta
14. Diseminacion de informacion
15. Coordinación
16. Resiliencia
Metodologias
Excelentes metodologías
….
El problema es ….
Metodologias
Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua
Legal
Metodologias
Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Validación de Mejora
Activos Cursos de Acción
contexto Administrativa continua
Legal
Metodologias
Preparar – Personas
Preparar – Procesos
Preparar – Tecnologia
Preparar – Concienciación
Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua
Legal
Metodologias
Detectar – Proactiva
Plataforma
?
Activo que
de
Genera
Detección
Logs
Proactiva
Log
LOG
Atómicos
Calculados
INDICADORES DE COMPROMISO
ALERTA Comportamiento
Metodologias
Detectar – Reactiva
Como es eso?
Metodologias
Como se puede apreciar un riesgo se compone de diferentes elementos, pero para nuestro interés,
es la AMENAZA la que indica si un reporte es del contexto de ciberseguridad.
Metodologias
Posibles valores
Propiedad Valor
Activo Tecnológico, No tecnológico
Acceso Red, Físico
Fuente de amenaza Humanos, Problemas de Sistemas, Otros problemas
Actor Insider, OutSider, Código Malicioso, Problemas de Performance, Problemas de
hardware, Problemas de software, Desastres naturales, Proveedores, Problemas
de comunicaciones
Motivación Intencional, Accidental
Impacto Robo de información, divulgación de información, Secuestro de información,
Modificación de información, Eliminación de información, Interrupción de
servicio, degradación de servicio, denegación de servicio
Metodologias
Propiedad Valor
Activo Tecnológico (hardware y software)
Acceso Red, o Mediante Activo Tecnológico
Fuente de amenaza Personas con intenciones maliciosas (Atacante)
Actor Insider, OutSider, Código Malicioso
Motivación Intencional, Accidental (Malas prácticas)
Impacto Secuestro de capacidad de cómputo, Interrupción, degradación o denegación
de servicios y/o componentes tecnológicos, explotación de vulnerabilidades
tecnológicas, Accesos y/o acciones no autorizados a activos tecnológicos,
Abuso de sistemas y activos tecnológicos.
Secuestro de información, robo de información; acceso, creación,
modificación o eliminación de información no autorizada
Metodologias
Detectar
Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua
Legal
Metodologias
Triage
Clasificar
Categorizar
Valorar
Investigar
Definir cursos de accion
Metodologias
Triage
Táctico
Estratégico
Metodologias
Triage – Clasificar
Alerta
Reporte
Evento
Incidente
Falso Positivo
Incidente Operativo
Metodologias
Triage – Clasificar
Alerta
Triage – Clasificar
Reporte
Triage – Clasificar
Evento
Triage – Clasificar
Evento
Triage – Clasificar
Incidente
Triage – Clasificar
Falso Positivo
Triage – Clasificar
Incidente Operativo
Triage – Clasificar
Triage – Categorizar
Triage – Categorizar
Triage – Categorizar
DDoS (Ataque de denegación de servicio)
Suplantación
Man in The Middle
Ataque informático Spam
Escaneo
Snifing
Criptomineria
Abuso Abuso de privilegios
Abuso de Capacidades tecnológicas
Metodologias
Triage – Valorar
Triage – Valorar
IMPACTO DE AFECTACION
Cantidad de Activos, Servicios, Usuarios afectados
CRITICO, >=70% MEDIO, >10% BAJO, <=10% =
ALTO, >40% y 70%< = 2
=1 y 40%< = 3 4
Triage – Investigar
Triage – Investigar
Contener
Erradicar
Recuperar
Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua
Legal
Metodologias
Respuesta
Revisar el triage
Principalmente la investigación y los cursos de acción
Si no son suficientes se debe profundizar y complementar
Metodologias
Respuesta – Técnica
Respuesta – Técnica
Según categorización
Seguir los playbooks o las guías de respuesta
Es un documento que indica las actividades que se
deberían seguir en cada fase del incidente
Metodologias
Respuesta – Técnica
Metodologias
Respuesta – Técnica
Metodologias
Respuesta – Técnica
Contener
Respuesta – Técnica
Erradicar
Respuesta – Técnica
Restaurar
Respuesta – Administrativa
Amonestaciones
Anotaciones en hoja de vida
Sanciones
Suspensiones
Despidos
Metodologias
Respuesta – Legal
Demandas
Litigios
Multas
Metodologias
Respuesta – Comunicaciones
Elaborar comunicados
Relacionamiento con la prensa
Metodologias
Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua
Legal
Metodologias
Pos
Pos – IoCs
Pos – Controles
Pos – Indicadores
Y el forense?
Metodologias
Ejercicio
A gestionar incidentes
Manos a la Obra