Mejores prácticas en la respuesta a incidentes de...
34
Transcript of Mejores prácticas en la respuesta a incidentes de...
Preguntas para la audiencia
• ¿Quién es estudiante?• ¿Quién es directivo?• ¿Quién hace funciones de auditoría, vigilancia,
control interno, etc.?• ¿Quién está en informática?• ¿Quién está en seguridad
informática/ciberseguridad?• ¿Quiénes sí trabajan?• ¿A alguien lo han “hackeado” o robado su
identidad?
Objetivos
Agenda
Contexto actual de ataques
Mejores prácticas en RI
Conclusiones
Contexto actual de ataques
Preocupación globalGlobal Risk 2014World’s Biggest Data Breaches
Valor estimado de la economía del cibercrimen a nivel mundial:
$375 a $575 mil millones de USD
¿Qué ha cambiado?
Ciclo de vida de un ataque
Preparación del ataque
Obtención de acceso
Creación de persistencia
Ejecución de
acciones
Eliminación de rastros
Identificación y
selección del objetivo
Investigación y recolección
de información
Creación/ adquisición
de ciberarmas
Pruebas de “evasión” a mecanismos de seguridad
Transmisión de
ciberarmas
Explotación de vulnerab.
Activación de malware
Creación punto de presencia y control
Creación de backdoors
Inicio de comunic. C&C
Fortalec. puntos de presencia y control
Reconoc. interno y
movimiento lateral
Escalación de privilegios
Evolución dinámica del malware
Comunic. activa C&C
Búsqueda y filtrado de información
Selección y recolección
Extracción de información
Eliminación de rastros
Los Ciberataques hoy en día
Video Dyre Wolf
Nuevos paradigmas requeridosProteger‐Detectar‐Actuar
Colaborar
Adquirir más que tecnologías
Preparar personal más especializado
Involucrar a la alta dirección
Mejores prácticas en RI
Ataques
Impacto
Madurez requerida en el proceso
de RI
Cantidad Diversidad
Operativos Estratégicos
Necesidad de un buen proceso de respuesta a incidentes
Necesidad de un buen proceso de respuesta a incidentes
¿Cuál es el objetivo del proceso de
respuesta a incidentes?
Objetivo
La afectación a la continuidad del negocio
Los impactos financieros y regulatorios
La información perdida (exfiltrada)
El tiempo para recuperarse
Disminuir:
Objetivo
Tiempo de respuesta
Tiem
po de de
tección
Minutos Horas Días Semanas Meses
Horas
Días
Semanas
Meses
Años
Nivel 1
Nivel 2
Nivel 3Nivel 4
Nivel 5
Probabilidadde ocurrencia
Estrategia generalDefinir qué es un incidente en el contexto de la organización particular
•Política General•Política para intercambio de información con terceras partes•Definir servicios que el IRT dará a la organización•Crear marco funcional/plan con métricas de desempeño para el equipo de respuesta a incidentes
•Crear procedimientos particulares
Qué se espera del equipo de respuesta a incidentes
•Equipo centralizado•Equipo distribuido•Hibrido
Cómo se quiere organizar el equipo de respuesta a incidentes
•Asignar al personal (tiempo completo o parcial)•Establecer dependencias e interacciones con otras áreas de la organización•Establecer un modelo de madurez para medir y evaluar los avances
Implementar el equipo de repuesta a incidentes
Modelo de madurez
Nivel 1
Inicial
Nivel 2
Emergente
Nivel 3
Establecido
Nivel 4
Optimizado
Nivel 5
Dinámico
¿Qué nivel de madurez requiere mi organización?
*Modelo de referencia del CREST
Preparación
• Tener claridad de los activos críticos (BIA)• Lista de contactos• Herramienta de documentación y seguimiento• Software de cifrado• War room• Estaciones para realizar análisis forense• Equipos de repuesto (spare)• Diagramas de red y de arquitecturas aplicativas (actualizados!!!)• Baselines (en caso de contar con ellos)• Ejercicios de entrenamiento y simulación
Contar con los recursos y herramientas básicos para ejecutarlo
• Asegurar que las áreas responsables implementan los mecanismos necesarios para proteger las redes, los sistemas y las aplicaciones
• Retroalimentar de acuerdo a los hallazgos de este proceso a las funciones de administración de riesgos, monitoreo, protección de infraestructura, etc.
Reducir en la medida de lo posible el número de incidentes atendidos
Detección y análisis
• Identificar los vectores de ataque más probables y tener procedimientos específicos para su manejo• Tener procedimientos generales para otros tipos de incidentes
Identificar principales vectores de ataque
•Determinar con la mayor precisión posible la existencia de un incidente•Desarrollar la capacidad técnica y experiencia del personal para el correcto análisis• Identificar los Precursores de compromiso (aquellas señales de que un incidente podría ocurrir)• Identificar los indicadores de compromiso (aquellas señales de que un incidente puede estar pasando)
Determinar las principales señales de incidentes (precursores e indicadores)
• Pueden ser los diversos dispositivos de seguridad (IDS, AV, File integrity, etc.)• SIEM•SO, aplicaciones, dispositivos de red, flujos de red
Definir las fuentes de precursores e indicadores
Detección y análisis
•Dado la falta de certeza en los precursores e indicadores se requiere realizar una evaluación de cada indicador
•Ayudarse de contar con perfiles de la red y de los sistemas, retención de logs, correlación de logs, hacer hunting
Análisis del incidente
Documentación del incidente
•Analizar el impacto funcional del incidente•Analizar el impacto a la CIA de la información•Analizar la capacidad de recuperar de incidente de acuerdo a los activos afectados.
Priorización del incidente
Notificación del incidente
Equipoderespuesta
a Incidentes
FIRST/CERTs
Otros Centros de CiberSeguridad
LEA (LawEnforcementAgencies)
Centros de Inteligencia
de fabricantes especializados
Entidades del Gobierno
Universidades
Carriers
Ciberecosistema
Intercambio de inf. sobre amenazas
avanzadas
Intercambio de experiencias y conocimiento
Apoyo en respuesta a incidentes
Apoyo para servicios avanzados
Investigación
Sensoresespecializados
Sensoresespecializados
Sensoresespecializados
Sensoresespecializados
CIBERECOSISTEMA
Respuesta
•Basada en la toma de decisiones de cómo actuar en función del tipo de incidente considerando:• Daño potencial• Preservación de evidencia• Disponibilidad de los servicios
Establecer una estrategia de contención
• No sólo recolectar evidencia para la resolución del incidente sino para los posibles aspectos legales que se deriven
•Mantener la cadena de custodia
Obtención y manejo de evidencia
• Validar la IP del host atacante• Investigar en fuentes abiertas información sobre esta IP• Buscar en la base de datos de incidentes• Intercambio de información con ciberecosistema para saber más sobre esa IP
Identificar los equipos atacantes
• Identificar todos los posibles activos afectados• Eliminar la causa raíz del incidente• Reestablecer la operación normal de los sistemas
Erradicación y recuperación
Colaboración
Entidad 1
Ciberecosistema
Nivel 1 Nivel 2
Nivel 3
Colaboración: Cyber Threat Intelligence
Conocimiento acerca de los adversarios
Motivaciones Intenciones Métodos
Colectado
AnalizadoDifundido
Proteger los activos críticos de la organización.
Personal
Seguridad Negocio
Cyber Threat Intelligence
Threat Data feeds
Threat IndicatorsContenido:Firmas de malware, file hashes,
reputación de URLs
Usos:Mejorar la efectividad de bloqueo
Contenido:Estadísticas, tendencias, análisis
de malware
Usos:Identificar patrones asociados con
ataques
Contenido:Análisis de TTPs, monitoreo de grupos de hackers, sitios del
mercado negro
Usos:Analizar ataques, realizar
“hunting” y remediación. Mejorar decisiones
Colaboración: Cyber Threat Intelligence
Actividades post‐incidente
Lecciones aprendidas
Analizar la información recolectada
Retención de evidencia
Conclusiones
Conclusiones
Buscar tener la mayor visibilidad posible
Definir claramente qué es un incidente
Desarrollar la capacidad de investigación (Hunting)
Comunicar con cautela
Colaborar Siempre aprender de lo realizado
La respuesta a incidentes debe ser un proceso “core” para las organizaciones dada la naturaleza actual de las amenazas avanzadas
Es indispensable contar con un proceso adecuado a las características particulares de cada organización
Es un proceso complejo de implementar por lo que se debe abordar con un enfoque en niveles de madurez
No solo enfocarnos en el proceso sino en crear la capacidad de responder a incidentes (esto es gente – procesos – tecnología)
Objetivos
