Professional Documents
Culture Documents
ArCERT
Ing. Lorena B. Ferreyro CISSP, CISM Junio 2009
Temario
Un poco de historia Algunas estadsticas Qu es un incidente de seguridad? Qu medidas tomar? Grupos de respuesta a incidentes Gestin de incidentes de seguridad Preparacin y prevencin Deteccin y notificacin Anlisis preliminar Contencin, erradicacin y recupero Investigacin Acciones posteriores Documentacin Caso de estudio
Un poco de historia
Origen de los incidentes Dcada del 80
DECADAS DEL 80 - 90 Surgimiento de diversas organizaciones: National Institute of Standards and Technology (NIST) Purdue Universitys Computer Incident Advisory Capability (CIAC) Carnegie Mellon Universitys Software Engineering Institutes Computer Emergency Response Team/Coordination Center (CERT/CC) Internet Engineering Task Force (IETF)
1990 Conformacin del FIRST - Forum of Incident Response and Security Teams
Algunas estadsticas
Ao 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 1Q-3Q 2008 TOTAL Vulnerabilidades catalogadas 171 245 311 262 417 1090 2437 4129 3784 3780 5990 8064 7236 6058 43974 Vulnerabilidades de reportes directos 153 343 191 170 213 345 357 310 2082
Fuente: http://www.cert.org/stats
Algunas estadsticas
2008 Global Security Survey
Deloitte
Incidente Ataques de mail (spam) Virus/gusanos Spyware Redes zombies DoS Defacement Acceso remoto Extorsin online Intrusin por WiFi Phishing/Pharming Una Ocurrencia 10% 11% 7% 4% 6% 5% 2% 2% 3% 7% Varias Ocurrencias 24% 15% 11% 3% 2% 1% 2% 1% 1% 22% Incidente Ingeniera Social Conducta inapropiada de empleados Robo de propiedad intelectual Fraude informtico Exposicin de informacin por web Amenazas fsicas Accidentes Otros No sabe
Fuente: http://www.deloitte.com/dtt/cda/doc/content/sk(en)_global_security_survey_130209.pdf
6% 4% 4% 7% 8% 4% 20%
1% 10% 2% 6% 5% 2% 7%
Qu es un incidente de seguridad?
Un evento es toda ocurrencia observable en un entorno informtico.
Un incidente de seguridad es: A) Un evento adverso en un entorno informtico, que puede comprometer o compromete la confidencialidad, integridad o disponibilidad de la informacin. B) Una violacin o inminente amenaza de violacin de una poltica de seguridad de la informacin, poltica aceptable de uso o mejores prcticas de seguridad.
Qu medidas tomar?
Medidas Preventivas
Contraseas Planes de continuidad Polticas Firewalls Procedimientos de backup Cifrado, etc.
Medidas de Deteccin
Registros de auditora Sensores de movimiento Revisiones de seguridad, etc.
Medidas Correctivas
Esquemas de tolerancia a fallos Procdimientos de restore DRPs (Disaster Recovery Plans), etc.
Gestin de incidentes
Gestin de Incidentes
Consiste en la asignacin oportuna de los recursos necesarios y su uso adecuado, con el objeto de prevenir, detectar y corregir incidentes que afectan la seguridad de la informacin.
Prevencin de incidentes Deteccin y el reporte del incidente Clasificacin del incidente Anlisis del incidente Respuesta al incidente Registro de incidentes Aprendizaje a partir de la experiencia Concientizacin y capacitacin
Algunos beneficios
Responder a los incidentes en forma sistemtica. Facilitar una recuperacin rpida y eficiente de incidentes de seguridad, minimizando la prdida de informacin e interrupcin de servicios. Prevenir la ocurrencia reiterada de incidentes mediante el aprendizaje. Mejorar continuamente el marco de seguridad y el proceso de tratamiento de incidentes. Manejar correctamente los aspectos legales que pudieran surgir en el tratamiento de incidentes.
CSIRT
Computer Security Incident Response Team FIRST - Forum of Incident Response and Security Teams
NIST - National Institute of Standards and Technology CIAC - Purdue Universitys Computer Incident Advisory Capability
CERT/CC - Carnegie Mellon Universitys Software Engineering Institutes Computer Emergency Response Team/Coordination Center IETF - Internet Engineering Task Force ArCERT - Coordinacin de Emergencias en Redes Teleinformticas
Alertas y avisos Manejo de incidentes - Anlisis de incidentes - Respuesta a incidentes en sitio - Soporte en la respuesta - Coordinacin en la respuesta Manejo de vulnerabilidades - Anlisis de vulnerabilidades - Respuesta a vulnerabilidades - Coordinacin de la respuesta Manejo de artefactos(*) - Anlisis de artefactos - Respuesta a artefactos - Coordinacin de la respuesta
Anuncios Monitoreo tecnolgico Auditoras o anlisis de seguridad Configuracin y mantenimiento de herramientas, aplicaciones e infraestructura de seguridad Desarrollo de herramientas de seguridad Deteccin de intrusiones Provisin de informacin relacionada con la seguridad
Anlisis de riesgos BCP / DRP Consultora en seguridad Concienciacin en seguridad Capacitacin y entrenamiento Evaluacin o certificacin de productos
(*) Artefacto: Cualquier archivo u objeto hallado en un sistema, el cual puede formar parte de actividades no autorizadas en un sistema (ej.: ataques, reconocimiento, etc.) Fuente: http://www.cert.org/csirts/services.html.
Funciones de ArCERT
Asistencia en el tratamiento de incidentes reportados Distribucin de informacin de alertas de seguridad y material de lectura Dictado de cursos de capacitacin en diversos temas relacionados con la
seguridad informtica
Creando una capacidad de respuesta de incidentes Desarrollar una poltica de respuesta a incidentes Desarrollar procedimientos para el manejo de incidentes, basados en la
poltica
grupos, tanto internos (ej.: RRHH, Legales, etc.) como externos (ej.: CERTs, etc.)
Definir guas para la comunicacin con terceros en caso de incidentes Organizar un equipo de respuesta a incidentes, definir y asignar funciones Determinar qu servicios proveer el equipo de respuesta a incidentes Entrenar al equipo de respuesta a incidentes
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Investigacin
Actividades posteriores
Preparacin
Deteccin y Notificacin
Anlisis Preliminar
Investigacin
Actividades posteriores
Preparacin y Prevencin
Preparacin y Prevencin
Preparacin y Prevencin
Denegacin de servicio Cdigo malicioso Acceso no autorizado Uso inapropiado Incidente mltiple
Preparacin y Prevencin
Preparacin y Prevencin
Preparacin y Prevencin
Ejemplo de clasificacin:
Preparacin y Prevencin
Preparacin y Prevencin
Preparacin y Prevencin
3. Definir el tiempo mximo que puede tardarse en comenzar a tratar cada incidente:
MUY GRAVE: GRAVE: MODERADO: LEVE: 10 minutos 30 minutos 2 horas 4 horas
Preparacin y Prevencin
Preparacin y Prevencin
CSIRTs
Preparacin y Prevencin
Otras medidas de preparacin
Preparacin y Prevencin
Preparar el CSIRT o VCSIRT Entrenar al personal Documentar un mapa de la topologa y arquitectura de la red Documentar la configuracin del equipamiento Crear patrones de redes y sistemas Comprender el funcionamiento normal
Preparacin y Prevencin
Otras medidas de preparacin
Preparacin y Prevencin
Utilizar logging centralizado y crear una poltica de almacenamiento de logs Mantener los relojes de todos los equipos sincronizados Crear sumas de comprobacin criptogrficas (cryptographic checksums) Definir e implementar esquemas de resguardos de datos Contactos
Preparacin y Prevencin
Preparacin y Prevencin
Po l
tic a
i en tos
No Es rma t n s y da r es
Pr
oc
ed im
Preparacin y Prevencin
Preparacin y Prevencin
Deteccin de incidentes Monitoreo Anlisis de incidentes anlisis forense Documentacin de incidentes Etc.
Preparacin y Prevencin
Prevencin de incidentes
Preparacin y Prevencin
Anlisis peridicos de riesgos Mejores prcticas de seguridad Auditoras peridicas Administracin de actualizaciones Fortalecimiento de la seguridad de los equipos Seguridad en la red Prevencin de cdigo malicioso Concientizacin y capacitacin de usuarios
Deteccin y Notificacin
Preparacin y Prevencin
Anlisis Preliminar
Investigacin
Actividades posteriores
Deteccin y Notificacin
Deteccin y Notificacin
Deteccin y Notificacin
DETECCIN DE UN INCIDENTE
Advertencia
Seal que indica la posible ocurrencia de un incidente
Indicador
Seal de que un incidente ocurri o est ocurriendo en este momento
Deteccin y Notificacin
ADVERTENCIAS
Deteccin y Notificacin
INDICADORES
No todo incidente presenta una advertencia Es posible que no se detecten las advertencias
Deteccin y Notificacin
Deteccin de incidentes
Deteccin y Notificacin
IDS - Sistemas de deteccin de intrusiones de red (NIDS) o de host (HIDS) Software de antivirus Software de control de integridad de archivos Sistemas de monitoreo de red (NMS) Anlisis de registros de auditora (logs) Informacin pblica Usuarios del organismo Personas externas al organismo
Deteccin y Notificacin
Notificacin de incidentes
Deteccin y Notificacin
Categorizacin y clasificacin
NO TIF FO ICA RM CI AL N
A ARM AL
HERRAMIENTA
Personal de Informtica
Deteccin y Notificacin
Notificacin de incidentes
Qu datos incluir en el formulario?
Datos del reporte ID Fecha y hora Datos del incidente Clasificacin Breve descripcin Efectos producidos Descripcin detallada Responsable de atencin Datos del reportante Nombre Cargo Area Tel / Interno Mail
Deteccin y Notificacin
Deteccin y Notificacin
Notificacin de incidentes
Qu datos incluir en el formulario?
Datos sobre la solucin Estado Fecha de cierre Detalle: tareas, tiempos, responsables TABLA DE ESTADOS
Pendiente Informado En curso Resuelto Demorado
Deteccin y Notificacin
Si bien el incidente ha sido reportado, an no se lo ha comunicado al Responsable de Seguridad Informtica. El incidente ha sido reportado al Responsable de Seguridad Informtica pero an no se lo ha tratado. El incidente ha sido reportado al Responsable de Seguridad Informtica y se encuentra en tratamiento. El incidente ha sido resuelto. El tratamiento ha sido interrumpido por motivos a detallar.
Deteccin y Notificacin
Deteccin y Notificacin
Preparacin y Prevencin
Deteccin y Notificacin
Investigacin
Actividades posteriores
Anlisis Preliminar
Anlisis Preliminar
INDICADORES
Anlisis Preliminar
ADVERTENCIAS
RECOLECCIN DE INFORMACIN
Anlisis Preliminar
Anlisis Preliminar
Anlisis Preliminar
Cmo determinar el alcance
Anlisis Preliminar
Cuntos equipos fueron comprometidos? Cuntas redes se vieron envueltas? Cun dentro de la red logr penetrar el atacante? Qu nivel de privilegio logr el atacante? Qu es lo que est en riesgo? Cmo impacta en las actividades del organismo el compromiso de los equipos? Se encuentran en riesgo aplicaciones crticas? Quin sabe acerca del incidente y cmo puede afectar esto el impacto del mismo? Cun conocida es la vulnerabilidad explotada por el atacante? Hay otros equipos con la misma vulnerabilidad?
Anlisis Preliminar
Mtodos de recoleccin de informacin
A C C I O N E S R E S
Anlisis Preliminar
Indagacin a los administradores de sistemas Personal del organismo Revisin de reportes de herramientas de deteccin de intrusiones Revisin de logs de comunicaciones, plataformas y sistemas Revisin de la topologa de red y listas de acceso
Obtener datos sobre sucesos anormales en las actividades cotidiana Conocer detalles del incidente Detectar actividades anormales Detectar posibles cambios no autorizados
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Investigacin
Actividades posteriores
CONTENCIN
ERRADICACIN
RECUPERO
Dao potencial de recursos a causa del incidente Necesidad de preservacin de evidencia Tiempo y recursos necesarios para poner en prctica la estrategia Efectividad de la estrategia (ej.: total o parcialmente) Duracin de las medidas a tomar (ej.: perodo sin sistema) Criticidad de los sistemas afectados Caractersticas de los posibles atacantes Si el incidente es de conocimiento pblico Prdida econmica Posibles implicancias legales Relacin costo-beneficio de la estrategia Experiencias anteriores
Estrategia de contencin Bloqueo de cuenta Desconexin del equipo afectado de la red Apagado del sistema Incorporacin de reglas de filtrado en el firewall
Cdigo malicioso Infeccin con virus Acceso no autorizado Reconocimiento Compromiso del root Scanning de puertos
Estrategia de erradicacin Reconfigurar el router para minimizar el efecto de flooding Comunicar al personal las polticas de uso de recursos. Implementar monitoreo del uso de las PCs. Impartir sanciones por mal uso. Aplicar los parches de seguridad faltantes en plataformas y aplicaciones web. Reconfigurar de la seguridad de la base de datos.
Defacement a un sitio web Robo de datos sensibles de clientes de la base de datos Infeccin de un servidor con virus
Cdigo malicioso
Estrategia de recupero Restitucin del servicio cado. Correccin de efectos producidos. Restauracin de backups. Reparar el sitio web. Reinstalacin del equipo y recuperacin de datos.
Vandalismo Intrusin
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Actividades posteriores
Investigacin
Investigacin
Recoleccin de datos
INFORMACIN BASADA EN HOST
Investigacin
Ej.: Fecha y hora del sistema, aplicaciones corriendo en el sistema, conexiones de red establecidas, puertos abiertos, aplicaciones escuchando en dichos puertos, estado de la placa de red Ej.: Backups, archivos copiados recientemente, etc.
informacin recolectada mediante sniffers, logs de routers, logs de firewalls, informacin de servidores de autenticacin
OTRA INFORMACIN
Investigacin
Recoleccin de evidencia
AUTENTICIDAD
Investigacin
VALIDACION
Investigacin
Proceso de recoleccin de evidencia
1. 2. 3. 4. 5. 6. 7. 8. 9.
Registrar informacin que rodea a la evidencia Tomar fotografas del entorno de la evidencia Tomar la evidencia Registrar la evidencia Rotular todos los medios que sern tomados como evidencia Almacenar toda la evidencia en forma segura
Investigacin
Realizar las investigaciones en duplicados de trabajo de la evidencia original Generar copias de seguridad de la evidencia original Realizar revisiones peridicas para garantizar que la evidencia se encuentra correctamente conservada
Investigacin
Documento:
Denuncia de un Incidente en el que se encuentra involucrada Tecnologa Informtica.
Investigacin
http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf
Dnde denunciar Aspectos a tener en cuenta segn el denunciante Quines deben estar involucrados Recomendaciones generales Recomendaciones relacionadas con la obtencin de evidencia digital
Actividades posteriores
Preparacin y Prevencin
Deteccin y Notificacin
Anlisis Preliminar
Investigacin
Actividades posteriores
Actividades posteriores
Actividades posteriores
Organizar reuniones Mantener la documentacin Crear bases de conocimiento Integrar la gestin de incidentes al anlisis de riesgos Implementar controles preventivos Elaborar Tableros de Control
Actividades posteriores
Tablero de control de incidentes de seguridad Qu registrar? Qu medir? Cantidad de incidentes tratados Tiempo asignado a los incidentes Daos ocasionados Cantidad de personas avocadas
Actividades posteriores
Documentacin
La documentacin de un incidente debe comenzar inmediatamente luego de detectado el mismo, y debe continuarse a medida que avanza su anlisis. Qu documentar?
Reporte del incidente Estado actual Conclusiones del anlisis Acciones tomadas Evidencias obtenidas Contactos involucrados Prximas acciones
Preguntas?