GESTIN Y TRATAMIENTO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN

ArCERT
Ing. Lorena B. Ferreyro CISSP, CISM Junio 2009

Temario
Un poco de historia Algunas estadsticas Qu es un incidente de seguridad? Qu medidas tomar? Grupos de respuesta a incidentes Gestin de incidentes de seguridad Preparacin y prevencin Deteccin y notificacin Anlisis preliminar Contencin, erradicacin y recupero Investigacin Acciones posteriores Documentacin Caso de estudio

Un poco de historia
Origen de los incidentes Dcada del 80

DECADAS DEL 80 - 90 Surgimiento de diversas organizaciones: National Institute of Standards and Technology (NIST) Purdue Universitys Computer Incident Advisory Capability (CIAC) Carnegie Mellon Universitys Software Engineering Institutes Computer Emergency Response Team/Coordination Center (CERT/CC) Internet Engineering Task Force (IETF)

1990 Conformacin del FIRST - Forum of Incident Response and Security Teams

Algunas estadsticas
Ao 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 1Q-3Q 2008 TOTAL Vulnerabilidades catalogadas 171 245 311 262 417 1090 2437 4129 3784 3780 5990 8064 7236 6058 43974 Vulnerabilidades de reportes directos 153 343 191 170 213 345 357 310 2082
Fuente: http://www.cert.org/stats

CERT Coordination Center

Carnegie Mellon University Software Engineering Institute

Algunas estadsticas
2008 Global Security Survey
Deloitte
Incidente Ataques de mail (spam) Virus/gusanos Spyware Redes zombies DoS Defacement Acceso remoto Extorsin online Intrusin por WiFi Phishing/Pharming Una Ocurrencia 10% 11% 7% 4% 6% 5% 2% 2% 3% 7% Varias Ocurrencias 24% 15% 11% 3% 2% 1% 2% 1% 1% 22% Incidente Ingeniera Social Conducta inapropiada de empleados Robo de propiedad intelectual Fraude informtico Exposicin de informacin por web Amenazas fsicas Accidentes Otros No sabe
Fuente: http://www.deloitte.com/dtt/cda/doc/content/sk(en)_global_security_survey_130209.pdf

Una ocurrencia 5% 11%

Varias ocurrencias 7% 11%

6% 4% 4% 7% 8% 4% 20%

1% 10% 2% 6% 5% 2% 7%

Qu es un incidente de seguridad?
Un evento es toda ocurrencia observable en un entorno informtico.

Un evento adverso es un evento con consecuencias negativas.

Un incidente de seguridad es: A) Un evento adverso en un entorno informtico, que puede comprometer o compromete la confidencialidad, integridad o disponibilidad de la informacin. B) Una violacin o inminente amenaza de violacin de una poltica de seguridad de la informacin, poltica aceptable de uso o mejores prcticas de seguridad.

Qu medidas tomar?

Medidas Preventivas
Contraseas Planes de continuidad Polticas Firewalls Procedimientos de backup Cifrado, etc.

Medidas de Deteccin
Registros de auditora Sensores de movimiento Revisiones de seguridad, etc.

Medidas Correctivas
Esquemas de tolerancia a fallos Procdimientos de restore DRPs (Disaster Recovery Plans), etc.

Gestin de incidentes

Gestin de Incidentes
Consiste en la asignacin oportuna de los recursos necesarios y su uso adecuado, con el objeto de prevenir, detectar y corregir incidentes que afectan la seguridad de la informacin.

Prevencin de incidentes Deteccin y el reporte del incidente Clasificacin del incidente Anlisis del incidente Respuesta al incidente Registro de incidentes Aprendizaje a partir de la experiencia Concientizacin y capacitacin

Algunos beneficios
Responder a los incidentes en forma sistemtica. Facilitar una recuperacin rpida y eficiente de incidentes de seguridad, minimizando la prdida de informacin e interrupcin de servicios. Prevenir la ocurrencia reiterada de incidentes mediante el aprendizaje. Mejorar continuamente el marco de seguridad y el proceso de tratamiento de incidentes. Manejar correctamente los aspectos legales que pudieran surgir en el tratamiento de incidentes.

Grupos de respuesta a incidentes

CSIRT

Computer Security Incident Response Team FIRST - Forum of Incident Response and Security Teams
NIST - National Institute of Standards and Technology CIAC - Purdue Universitys Computer Incident Advisory Capability

CERT/CC - Carnegie Mellon Universitys Software Engineering Institutes Computer Emergency Response Team/Coordination Center IETF - Internet Engineering Task Force ArCERT - Coordinacin de Emergencias en Redes Teleinformticas

Grupos de respuesta a incidentes

Servicios reactivos Servicios proactivos Servicios de gestin de seguridad

Alertas y avisos Manejo de incidentes - Anlisis de incidentes - Respuesta a incidentes en sitio - Soporte en la respuesta - Coordinacin en la respuesta Manejo de vulnerabilidades - Anlisis de vulnerabilidades - Respuesta a vulnerabilidades - Coordinacin de la respuesta Manejo de artefactos(*) - Anlisis de artefactos - Respuesta a artefactos - Coordinacin de la respuesta

Anuncios Monitoreo tecnolgico Auditoras o anlisis de seguridad Configuracin y mantenimiento de herramientas, aplicaciones e infraestructura de seguridad Desarrollo de herramientas de seguridad Deteccin de intrusiones Provisin de informacin relacionada con la seguridad

Anlisis de riesgos BCP / DRP Consultora en seguridad Concienciacin en seguridad Capacitacin y entrenamiento Evaluacin o certificacin de productos

(*) Artefacto: Cualquier archivo u objeto hallado en un sistema, el cual puede formar parte de actividades no autorizadas en un sistema (ej.: ataques, reconocimiento, etc.) Fuente: http://www.cert.org/csirts/services.html.

Funciones de ArCERT
Asistencia en el tratamiento de incidentes reportados Distribucin de informacin de alertas de seguridad y material de lectura Dictado de cursos de capacitacin en diversos temas relacionados con la
seguridad informtica

Asistencia tcnica para el diagnstico del estado de un organismo en

materia de seguridad

Bsqueda de vulnerabilidades en servidores mediante herramientas como

SiMoS

Deteccin, seguimiento y anlisis de incidentes

Deben los organismos crear sus propios CSIRTs?

Creando una capacidad de respuesta de incidentes Desarrollar una poltica de respuesta a incidentes Desarrollar procedimientos para el manejo de incidentes, basados en la
poltica

Establecer relaciones entre el equipo de respuesta a incidentes y otros

grupos, tanto internos (ej.: RRHH, Legales, etc.) como externos (ej.: CERTs, etc.)

Definir guas para la comunicacin con terceros en caso de incidentes Organizar un equipo de respuesta a incidentes, definir y asignar funciones Determinar qu servicios proveer el equipo de respuesta a incidentes Entrenar al equipo de respuesta a incidentes

Gestin de incidentes de seguridad

Preparacin y Prevencin

Deteccin y Notificacin

Anlisis Preliminar

Contencin, erradicacin y recupero

Investigacin

Actividades posteriores

Gestin de incidentes de seguridad

Preparacin

Deteccin y Notificacin

Anlisis Preliminar

Contencin, erradicacin recupero

Investigacin

Actividades posteriores

Preparacin y Prevencin

Gestin de incidentes de seguridad

Preparacin y Prevencin

Preparacin y Prevencin

Criterios de categorizacin de incidentes

POR TIPO DE INCIDENTE POR LA ENVERGADURA DE LOS DAOS PRODUCIDOS ETC.
Ejemplo de clasificacin por TIPO DE INCIDENTE:

Denegacin de servicio Cdigo malicioso Acceso no autorizado Uso inapropiado Incidente mltiple

Gestin de incidentes de seguridad

Preparacin y Prevencin

Preparacin y Prevencin

Criterios de clasificacin de incidentes

Efectos negativos producidos por el incidente o potenciales

Criticidad de los recursos afectados

CRITICIDAD DEL INCIDENTE

Gestin de incidentes de seguridad

Preparacin y Prevencin
Ejemplo de clasificacin:

Preparacin y Prevencin

1. Analizar los efectos del incidente y los recursos afectados:

Incidente Efectos negativos producidos Grave DoS Cdigo malicioso Acceso no autorizado Uso inapropiado Incidente mltiple Scanning de puertos Etc. X X X X X X Moderado Leve Servidor Web Servidor de archivos Servidor de aplicacin Estaciones de trabajo Router Firewall Sistema de Gestin Aplicativos X X X X X X Recursos Criticidad de los recursos afectados Alta Media X X Baja

Gestin de incidentes de seguridad

Preparacin y Prevencin

Preparacin y Prevencin

Ejemplo de clasificacin y priorizacin:

2. Determinar la clasificacin del incidente:
Criticidad de los recursos afectados Alta Grave Moderado Leve MUY GRAVE GRAVE MODERADO Media GRAVE MODERADO LEVE Baja MODERADO LEVE LEVE

Efectos negativos producidos por el incidente o potenciales

3. Definir el tiempo mximo que puede tardarse en comenzar a tratar cada incidente:
MUY GRAVE: GRAVE: MODERADO: LEVE: 10 minutos 30 minutos 2 horas 4 horas

Gestin de incidentes de seguridad

Preparacin y Prevencin

Preparacin y Prevencin

Manejo de informacin con terceras partes

DENTRO DEL ORGANISMO
MEDIOS AUTORIDADES PROVEEDORES ISPs CSIRT TERCEROS AFECTADOS PRENSA RRHH BCP SEGURIDAD FSICA

FUERA DEL ORGANISMO

CSIRTs

DIRECCIN SEGURIDAD DE LA INFO. TECNOLOGA LEGALES

Gestin de incidentes de seguridad

Preparacin y Prevencin
Otras medidas de preparacin

Preparacin y Prevencin

Definir polticas, normas y procedimientos para la gestin de

incidentes

Preparar el CSIRT o VCSIRT Entrenar al personal Documentar un mapa de la topologa y arquitectura de la red Documentar la configuracin del equipamiento Crear patrones de redes y sistemas Comprender el funcionamiento normal

Gestin de incidentes de seguridad

Preparacin y Prevencin
Otras medidas de preparacin

Preparacin y Prevencin

Activar los logs en las diferentes plataformas y aplicaciones y en el

equipamiento de comunicaciones

Utilizar logging centralizado y crear una poltica de almacenamiento de logs Mantener los relojes de todos los equipos sincronizados Crear sumas de comprobacin criptogrficas (cryptographic checksums) Definir e implementar esquemas de resguardos de datos Contactos

Gestin de incidentes de seguridad

Preparacin y Prevencin

Preparacin y Prevencin

Po l

tic a

Poltica de Seguridad de la Informacin Gestin de Incidentes

i en tos

No Es rma t n s y da r es

Pr

oc

Procedimientos de Gestin de Incidentes

ed im

Gestin de incidentes de seguridad

Preparacin y Prevencin

Preparacin y Prevencin

Considerar la necesidad de utilizar herramientas para:

Deteccin de incidentes Monitoreo Anlisis de incidentes anlisis forense Documentacin de incidentes Etc.

Gestin de incidentes de seguridad

Preparacin y Prevencin
Prevencin de incidentes

Preparacin y Prevencin

Anlisis peridicos de riesgos Mejores prcticas de seguridad Auditoras peridicas Administracin de actualizaciones Fortalecimiento de la seguridad de los equipos Seguridad en la red Prevencin de cdigo malicioso Concientizacin y capacitacin de usuarios

Gestin de incidentes de seguridad

Deteccin y Notificacin

Preparacin y Prevencin

Anlisis Preliminar

Contencin, erradicacin Y recupero

Investigacin

Actividades posteriores

Deteccin y Notificacin

Gestin de incidentes de seguridad

Deteccin y Notificacin

Deteccin y Notificacin

DETECCIN DE UN INCIDENTE

Advertencia
Seal que indica la posible ocurrencia de un incidente

Indicador
Seal de que un incidente ocurri o est ocurriendo en este momento

Deteccin manual o automtica

Gestin de incidentes de seguridad

Deteccin y Notificacin
ADVERTENCIAS

Deteccin y Notificacin

INDICADORES

Anuncio de exploit Amenaza de ataque web Alerta de IDS sobre escaneo de

red

Aviso de IDS sobre buffer overflow Antivirus detecta troyano en una

PC

Acceso lento a Internet Cambio de configuracin de

seguridad en el log de un servidor Bloqueo de cuenta por intentos fallidos de login Aviso de un usuario de robo de datos

No todo incidente presenta una advertencia Es posible que no se detecten las advertencias

Gestin de incidentes de seguridad

Deteccin y Notificacin
Deteccin de incidentes

Deteccin y Notificacin

IDS - Sistemas de deteccin de intrusiones de red (NIDS) o de host (HIDS) Software de antivirus Software de control de integridad de archivos Sistemas de monitoreo de red (NMS) Anlisis de registros de auditora (logs) Informacin pblica Usuarios del organismo Personas externas al organismo

Gestin de incidentes de seguridad

Deteccin y Notificacin
Notificacin de incidentes

Deteccin y Notificacin

NOTI FICA CIN INICI AL Usuario comn

Categorizacin y clasificacin
NO TIF FO ICA RM CI AL N

A ARM AL
HERRAMIENTA

Receptor primario segn normas

Ej.: Equipo de gestin de incidentes

Personal de Informtica

Personas afectadas Dueos de la Informacin afectada Legales, Prensa, etc.

Pautas de notificacin Formularios de notificacin Mtodos de notificacin

Gestin de incidentes de seguridad

Deteccin y Notificacin
Notificacin de incidentes
Qu datos incluir en el formulario?
Datos del reporte ID Fecha y hora Datos del incidente Clasificacin Breve descripcin Efectos producidos Descripcin detallada Responsable de atencin Datos del reportante Nombre Cargo Area Tel / Interno Mail

Deteccin y Notificacin

Gestin de incidentes de seguridad

Deteccin y Notificacin
Notificacin de incidentes
Qu datos incluir en el formulario?
Datos sobre la solucin Estado Fecha de cierre Detalle: tareas, tiempos, responsables TABLA DE ESTADOS
Pendiente Informado En curso Resuelto Demorado

Deteccin y Notificacin

Si bien el incidente ha sido reportado, an no se lo ha comunicado al Responsable de Seguridad Informtica. El incidente ha sido reportado al Responsable de Seguridad Informtica pero an no se lo ha tratado. El incidente ha sido reportado al Responsable de Seguridad Informtica y se encuentra en tratamiento. El incidente ha sido resuelto. El tratamiento ha sido interrumpido por motivos a detallar.

Gestin de incidentes de seguridad

Deteccin y Notificacin

Deteccin y Notificacin

Reporte del incidente: Desbordamiento de buffer en un servidor

DATOS DEL REPORTE ID: 0001 DATOS DEL INCIDENTE Categora: Acceso no autorizado a root Descripcin breve: El IDS ha detectado la ejecucin del comando id en un servidor Web, desde Internet. Descripcin detallada: DATOS DEL REPORTANTE Nombre: Raul Fernandez Cargo: Administrador de red Area: Tecnologa Tel / Interno: DATOS SOBRE LA SOLUCION Estado: En curso Detalle de tareas realizadas: Fecha de cierre: Email: Clasificacin: MUY GRAVE Efectos producidos: No detectados an. Responsible de atencin: Juan Perez Fecha/Hora: 04-06-2007 / 16:20

Gestin de incidentes de seguridad Anlisis Preliminar

Preparacin y Prevencin

Deteccin y Notificacin

Contencin, erradicacin y recupero

Investigacin

Actividades posteriores

Anlisis Preliminar

Gestin de incidentes de seguridad

Anlisis Preliminar
INDICADORES

Anlisis Preliminar

ADVERTENCIAS

Realmente se trata de un incidente de seguridad?

RECOLECCIN DE INFORMACIN

Gestin de incidentes de seguridad

Anlisis Preliminar

Anlisis Preliminar

Recoleccin de informacin para analizar

Alcance del incidente, es decir, qu redes, sistemas y aplicaciones

afecta

Qu origin el incidente Cmo ocurri (o est ocurriendo) el incidente mtodos,

herramientas utilizadas, vulnerabilidades explotadas, etc..

El impacto potencial en las actividades del organismo

Gestin de incidentes de seguridad

Anlisis Preliminar
Cmo determinar el alcance

Anlisis Preliminar

Cuntos equipos fueron comprometidos? Cuntas redes se vieron envueltas? Cun dentro de la red logr penetrar el atacante? Qu nivel de privilegio logr el atacante? Qu es lo que est en riesgo? Cmo impacta en las actividades del organismo el compromiso de los equipos? Se encuentran en riesgo aplicaciones crticas? Quin sabe acerca del incidente y cmo puede afectar esto el impacto del mismo? Cun conocida es la vulnerabilidad explotada por el atacante? Hay otros equipos con la misma vulnerabilidad?

Gestin de incidentes de seguridad

Anlisis Preliminar
Mtodos de recoleccin de informacin
A C C I O N E S R E S

Anlisis Preliminar

Indagacin a los administradores de sistemas Personal del organismo Revisin de reportes de herramientas de deteccin de intrusiones Revisin de logs de comunicaciones, plataformas y sistemas Revisin de la topologa de red y listas de acceso

Obtener datos sobre sucesos anormales en los sistemas

Obtener datos sobre sucesos anormales en las actividades cotidiana Conocer detalles del incidente Detectar actividades anormales Detectar posibles cambios no autorizados

Gestin de incidentes de seguridad Contencin, respuesta y recupero

Preparacin y Prevencin

Deteccin y Notificacin

Anlisis Preliminar

Investigacin

Actividades posteriores

Contencin, erradicacin y recupero

Gestin de incidentes de seguridad

Contencin, erradicacin y recupero

Contencin, erradicacin y recupero

CONTENCIN

Evitar que el incidente siga produciendo daos.

ERRADICACIN

Eliminar la causa del incidente y todo rastro de los daos.

RECUPERO

Volver el entorno afectado a su estado original.

Gestin de incidentes de seguridad

Contencin, erradicacin y recupero

Contencin, erradicacin y recupero

Considerar los siguientes factores para la seleccin de una estrategia:

Dao potencial de recursos a causa del incidente Necesidad de preservacin de evidencia Tiempo y recursos necesarios para poner en prctica la estrategia Efectividad de la estrategia (ej.: total o parcialmente) Duracin de las medidas a tomar (ej.: perodo sin sistema) Criticidad de los sistemas afectados Caractersticas de los posibles atacantes Si el incidente es de conocimiento pblico Prdida econmica Posibles implicancias legales Relacin costo-beneficio de la estrategia Experiencias anteriores

Gestin de incidentes de seguridad

Contencin, erradicacin y recupero

Estrategias de contencin de incidentes
Incidente Acceso no autorizado Ejemplo Sucesivos intentos fallidos de login

Contencin, erradicacin y recupero

Estrategia de contencin Bloqueo de cuenta Desconexin del equipo afectado de la red Apagado del sistema Incorporacin de reglas de filtrado en el firewall

Cdigo malicioso Infeccin con virus Acceso no autorizado Reconocimiento Compromiso del root Scanning de puertos

Gestin de incidentes de seguridad

Contencin, erradicacin y recupero

Estrategia de erradicacin de un incidente
Ejemplos:
Incidente DoS Uso no autorizado Ejemplo SYN Flood Utilizar laborales personal las para PCs lucro

Contencin, erradicacin y recupero

Estrategia de erradicacin Reconfigurar el router para minimizar el efecto de flooding Comunicar al personal las polticas de uso de recursos. Implementar monitoreo del uso de las PCs. Impartir sanciones por mal uso. Aplicar los parches de seguridad faltantes en plataformas y aplicaciones web. Reconfigurar de la seguridad de la base de datos.

Vandalismo Robo de informacin

Defacement a un sitio web Robo de datos sensibles de clientes de la base de datos Infeccin de un servidor con virus

Cdigo malicioso

Detectar el cdigo malicioso y eliminarlo del equipo. Actualizar el software de antivirus.

Gestin de incidentes de seguridad

Contencin, erradicacin y recupero

Estrategia de recupero de un incidente
Ejemplos:
Incidente DoS Virus Ejemplo SYN Flood Gusano en la red

Contencin, erradicacin y recupero

Estrategia de recupero Restitucin del servicio cado. Correccin de efectos producidos. Restauracin de backups. Reparar el sitio web. Reinstalacin del equipo y recuperacin de datos.

Vandalismo Intrusin

Defacement a un sitio web Instalacin de un rootkit

Gestin de incidentes de seguridad Investigacin

Preparacin y Prevencin

Deteccin y Notificacin

Anlisis Preliminar

Contencin, erradicacin y recupero

Actividades posteriores

Investigacin

Gestin de incidentes de seguridad

Investigacin
Recoleccin de datos
INFORMACIN BASADA EN HOST

Investigacin

Live Data Collection Forensic duplication

Ej.: Fecha y hora del sistema, aplicaciones corriendo en el sistema, conexiones de red establecidas, puertos abiertos, aplicaciones escuchando en dichos puertos, estado de la placa de red Ej.: Backups, archivos copiados recientemente, etc.

INFORMACIN BASADA EN LA RED Ej.: Logs de IDSs, logs de monitoreo,

informacin recolectada mediante sniffers, logs de routers, logs de firewalls, informacin de servidores de autenticacin

OTRA INFORMACIN

Ej.: Testimonio de personal

Gestin de incidentes de seguridad

Investigacin
Recoleccin de evidencia
AUTENTICIDAD

Investigacin

Quien haya recolectado la evidencia debe poder probar que es autntica

CADENA DE CUSTODIA Registro detallado del tratamiento de la evidencia,

incluyendo quienes, cmo y cuando la transportaron, almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma. Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.

VALIDACION

Gestin de incidentes de seguridad

Investigacin
Proceso de recoleccin de evidencia
1. 2. 3. 4. 5. 6. 7. 8. 9.
Registrar informacin que rodea a la evidencia Tomar fotografas del entorno de la evidencia Tomar la evidencia Registrar la evidencia Rotular todos los medios que sern tomados como evidencia Almacenar toda la evidencia en forma segura

Investigacin

Realizar las investigaciones en duplicados de trabajo de la evidencia original Generar copias de seguridad de la evidencia original Realizar revisiones peridicas para garantizar que la evidencia se encuentra correctamente conservada

Gestin de incidentes de seguridad

Investigacin
Documento:
Denuncia de un Incidente en el que se encuentra involucrada Tecnologa Informtica.

Investigacin

http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf

Dnde denunciar Aspectos a tener en cuenta segn el denunciante Quines deben estar involucrados Recomendaciones generales Recomendaciones relacionadas con la obtencin de evidencia digital

Gestin de incidentes de seguridad

Actividades posteriores

Preparacin y Prevencin

Deteccin y Notificacin

Anlisis Preliminar

Contencin, erradicacin y recupero

Investigacin

Actividades posteriores

Gestin de incidentes de seguridad

Actividades posteriores

Actividades posteriores

Organizar reuniones Mantener la documentacin Crear bases de conocimiento Integrar la gestin de incidentes al anlisis de riesgos Implementar controles preventivos Elaborar Tableros de Control

Gestin de incidentes de seguridad

Actividades posteriores
Tablero de control de incidentes de seguridad Qu registrar? Qu medir? Cantidad de incidentes tratados Tiempo asignado a los incidentes Daos ocasionados Cantidad de personas avocadas

Actividades posteriores

Vulnerabilidades explotadas Frecuencia de ataques Prdidas Demora en la resolucin

Documentacin
La documentacin de un incidente debe comenzar inmediatamente luego de detectado el mismo, y debe continuarse a medida que avanza su anlisis. Qu documentar?

Reporte del incidente Estado actual Conclusiones del anlisis Acciones tomadas Evidencias obtenidas Contactos involucrados Prximas acciones

Preguntas?

Gracias por su atencin

Consultas: info@arcert.gov.ar Reporte de Incidentes: mailinfo@arcert.gov.ar