Equipos de Respuesta a Incidentes CSIRT/CERTS

EQUIPOS DE RESPUESTA A INCIDENTES

(CSIRT/CERT)

César Augusto Zárate Camargo Analista Seguridad Informática

Investigador Informática Forense

SWAT Security IT CEO . Security Consultant

Nickname – C4m4l30n

http://swatsecurityit.com

[email protected]

@c4m4l30n_caz

César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com

QUÉ ES UN CSIRT?

Un Equipo de Respuesta ante

Emergencias Informáticas (CERT, del

inglés Computer Emergency Response

Team) es un centro de respuesta a

incidentes de seguridad en tecnologías

de la información. Se trata de un grupo

de expertos responsable del desarrollo

de medidas preventivas y reactivas

ante incidencias de seguridad en los

sistemas de información.


QUÉ ES UN CSIRT?

Un CERT estudia el estado de

seguridad global de redes y

computadores y proporciona

servicios de respuesta ante

incidentes a víctimas de

ataques en la red, publica

alertas relativas a amenazas

y vulnerabilidades y ofrece

información que ayude a

mejorar la seguridad de

estos sistemas.


Hablemos de su Historia Entre los 80-90: Hay Surgimiento de diversas

organizaciones:

En 1990: Conformación del FIRST - Forum of Incident

Response and Security Teams


CERT Statistics (Historical) Carnegie Mellon University's


Estadísticas de Incidentes Informáticos en Colombia 2013

KPMG presento la ultima encuesta de Fraude en Colombia, de estos datos

podemos observar…



Los tipos de fraude que sufren las empresas en Colombia



Documento CONPES 3701 Lineamientos para la Ciberseguridad y

la Ciberdefensa

¿Qué es un incidente de seguridad?

Un incidente de Seguridad Informática

está definido como un evento que atente

contra la Confidencialidad, Integridad y

Disponibilidad de la información


Las funciones de un CERT/CSIRT son:

Ayudar al público objetivo (constituency) a atenuar y

prevenir incidentes graves de seguridad.

Ayudar a proteger informaciones valiosas.

Coordinar de forma centralizada la seguridad de la

información.

Guardar evidencias, por si hubiera que recurrir a pleitos.

Apoyar y prestar asistencia a usuarios para recuperarse

de las consecuencias de los incidentes de seguridad.

Dirigir de forma centralizada la respuesta a los

incidentes de seguridad - Promover confianza, que alguien

controla la situación


Servicios de un CERT/CSIRT :


1. Desarrollar una política de respuesta a incidentes

2. Desarrollar procedimientos para el manejo de incidentes,

basados en la Política

3. Establecer relaciones entre el equipo de respuesta a

incidentes y otros grupos, tanto internos (ej.: RRHH,

Legales, etc.) como externos (ej.: CERTs,etc.)

4. Definir guías para la comunicación con terceros en caso

de incidentes

5. Organizar un equipo de respuesta a incidentes, definir y

asignar funciones

6. Determinar qué servicios proveerá el equipo de respuesta

a incidentes

7. Entrenar al equipo de respuesta a incidentes

Creando una capacidad de respuesta de

incidentes:


Gestión de incidentes de seguridad


Criterios de categorización de incidentes:

• POR TIPO DE INCIDENTE

• POR LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS

Preparación y Prevención


Criterios de clasificación de incidentes


Criterios de clasificación

de incidentes


Manejo de información

con terceras partes


Otras medidas de preparación

1.Definir políticas, normas y procedimientos para

la gestión de Incidentes:

2.Preparar el CSIRT o VCSIRT

3.Entrenar al personal

4.Documentar un mapa de la topología y

arquitectura de la red

5.Documentar la configuración del equipamiento

6.Crear patrones de redes y sistemas

7.Comprender el funcionamiento normal



con terceras partes

1. Activar los logs en las diferentes plataformas y

aplicaciones y en el equipamiento de comunicaciones

2. Utilizar logging centralizado y crear una política de

almacenamiento de logs

3. Mantener los relojes de todos los equipos sincronizados

4. Crear sumas de comprobación criptográficas

(cryptographic checksums)

5. Definir e implementar esquemas de resguardos de datos

6. Contactos


Preparación y Prevención



con terceras partes Considerar la necesidad de utilizar herramientas para:

1. Detección de incidentes

2. Monitoreo

3. Análisis de incidentes – análisis forense

4. Documentación de incidentes

1. 2. 3.

4.


Prevención de incidentes

Análisis periódicos de riesgos

Mejores prácticas de seguridad

Auditorías periódicas

Administración de actualizaciones

Fortalecimiento de la seguridad de los

equipos

Seguridad en la red

Prevención de código malicioso

Concientización y capacitación de

usuarios


Detección y Notificación


Detección de incidentes

IDS - Sistemas de detección de intrusiones de

red (NIDS) o de host (HIDS)

Software de antivirus

Software de control de integridad de archivos

Sistemas de monitoreo de red (NMS)

Análisis de registros de auditoría (logs)

Información pública

Usuarios del organismo

Personas externas al organismo


Detección de incidentes


Análisis Preliminar



Cómo determinar el alcance:


Métodos de recolección de información



Contención, Respuesta y

Recuperación



Recuperación Considerar los siguientes factores para la

selección de una estrategia:

Daño potencial de recursos a causa del incidente

Necesidad de preservación de evidencia

Tiempo y recursos necesarios para poner en práctica la

estrategia

Efectividad de la estrategia (ej.: total o parcialmente)

Duración de las medidas a tomar (ej.: período sin sistema)

Criticidad de los sistemas afectados

Características de los posibles atacantes

Si el incidente es de conocimiento público

Pérdida económica

Posibles implicancias legales

Relación costo-beneficio de la estrategia

Experiencias anteriores


Estrategias de contención de incidentes


Recuperación


Estrategias de erradicación de incidentes


Recuperación


Estrategias de recuperación de incidentes


Recuperación


Investigación


Recolección de evidencia

Investigación


Proceso de recolección de evidencia

Investigación

1. Registrar información que rodea a la evidencia

2. Tomar fotografías del entorno de la evidencia

3. Tomar la evidencia

4. Registrar la evidencia

5. Rotular todos los medios que serán tomados como

evidencia

6. Almacenar toda la evidencia en forma segura

7. Realizar las investigaciones en “duplicados de trabajo”

de la evidencia original

8. Generar copias de seguridad de la evidencia original

9. Realizar revisiones periódicas para garantizar que la

evidencia se encuentra correctamente conservada


Documento: Denuncia de un Incidente en el que se

encuentra involucrada Tecnología Informática.

Investigación

http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf

1)Dónde denunciar

2)Aspectos a tener en cuenta según el

denunciante

3)Quiénes deben estar involucrados

4)Recomendaciones generales

5) Recomendaciones relacionadas con la

obtención de evidencia digital César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com

Actividades Posteriores

1. Organizar reuniones

2. Mantener la documentación

3. Crear bases de conocimiento

4. Integrar la gestión de incidentes al

análisis de riesgos

5. Implementar controles preventivos

6. Elaborar Tableros de Control


Actividades Posteriores

Tablero de control de incidentes de seguridad


Equipos de Respuesta a Incidentes CSIRT/CERTS

Documents

Transcript of Equipos de Respuesta a Incidentes CSIRT/CERTS