> Respuesta ante incidentes. > Antonio Sanz - ansanz@unizar.es > 25 / May / 11

Tamaño: px

Comenzar la demostración a partir de la página:

Download "> Respuesta ante incidentes. > Antonio Sanz - ansanz@unizar.es > 25 / May / 11 - @antoniosanzalc"

Vanesa Crespo Alarcón
hace 8 años
Vistas:

1 > Respuesta ante incidentes > Antonio Sanz - ansanz@unizar.es > 25 / May / 11

2 Indice 2 > Respuesta ante incidentes > Continuidad de negocio

3 Respuesta ante incidentes 3 > Ley de Murphy = Shit happens > El riesgo se minimiza, nunca se elimina > Incidencia / Contingencia Cualquier suceso o evento que altere el correcto funcionamiento de los activos de un sistema > Ej: Corte de red, fallo de disco, ataque zombi > Objetivo de la respuesta ante incidentes = Volver a la operación normal lo antes posible

funcionamiento de los activos de un sistema > Ej: Corte de red, fallo de disco, ataque

4 Fases del IR 4 > Detección > Evaluación del alcance > Control de daños > Recogida de evidencia > Recuperación del sistema > Análisis posterior

5 Detección 5 > Detección prontana > Monitores, IDS, Usuarios > Activación de la respuesta > Lista de contactos > Lista de procedimientos

6 Evaluación del alcance 6 >Gravedad de la incidencia >Activación de protocolos extra >Si es una intrusión, medir la profundidad del daño >!! Obtener información!! >Empezar a tomar notas

7 Contención de daños 7 >Evitar la propagación de la incidencia >Ej: Apagar servidores, cortar segmentos de red >Actuación rápida pero calculada

8 Recogida de evidencia 8 > Información de lo sucedido > Acciones legales / operativas > Tener procedimientos y herramientas > Operación rápida (sistema caído)

9 Recuperación del sistema 9 > Devolver el sistema a su correcto funcionamiento > Restaurar copias de seguridad / sistema > Reemplazar componentes > Pedir soporte avanzado > Buen contacto con proveedores

10 Análisis postmortem 10 >Analizar todo lo ocurrido >Detectar la causa de la incidencia >Corregir errores futuros >Analizar la respuesta >Mejorar el sistema!= Echar culpas

11 Exito de la respuesta ante incidentes 11 >Definición de procedimientos >Entrenamiento de personas >Inteligencia de datos >Respuesta rápida >Aprender de los errores

12 Ejemplo de IR Incendio en la empresa 12 >Activos: Servidores y datos >Detección: Detectores / personas >Evaluación: Ver zonas afectadas >Control de daños: Evacuación / antiincendios / bomberos >Recuperación: Backups / datacenter secundario

>Evaluación: Ver zonas afectadas >Control de daños:

13 Conclusiones 13 >Los accidentes ocurren >Hay que estar preparado >Los procedimientos son fundamentales >Calma y tranquilidad

14 > Continuidad de negocio > Antonio Sanz - ansanz@unizar.es > 25 / May / 11 14

15 Continuidad de negocio 15 >Riesgo controlado pero el desastre siempre es posible >Ej: 11S, Katrina, Tsunami Japón > Definición: Medidas que permiten a un negocio operando antes, DURANTE y después de un desastre

Tsunami Japón > Definición: Medidas que permiten a

16 Definiciones 16 Continuidad de Negocio >DRP (Disaster Recovery Plan) : Recuperar al SI de desastres >BRP (Business Recovery Plan):Recupera el negocio de desastres >BCP (Business Continuity Plan): Permite continuar el negocio en caso de desastre Lo que queremos >Normativas : BS / ISO 27031

negocio de desastres >BCP (Business Continuity Plan): Permite continuar

17 Fases de un plan de continuidad 17 Continuidad de Negocio > Definir entorno > Analizar los procesos/activos > Analizar los riesgos (BIA) > Implantar medidas de continuidad > Verificar su eficacia > Revisión periódica

18 Definir entorno 18 Continuidad de Negocio >!VIP! : Elegir el alcance lo que se protege >Definir tiempos de recuperación > No pensar solo en TIC!Negocio! > Apartado estratégico

19 Analizar activos y riesgos (BIA) 19 Continuidad de Negocio >Analizar procesos de negocio / activos >Analizar amenazas y riesgos (BIA Business Impact Analysis) >Desastres naturales/provocados, fallos de terceros, personal >RTO (Recovery Time Objective) Tiempo de recuperación

Business Impact Analysis) >Desastres naturales/provocados, fallos de

20 Implantar medidas de continuidad 20 Continuidad de Negocio >Definir medidas de continuidad >Cold/Warm/Hot/Mirror sites >Copias de seguridad!!vip!! >Estandarizar equipamiento >Establecer prioridades

21 Verificar la eficacia 21 Continuidad de Negocio >! Hay que verificar el plan! > Pruebas sobre papel > Pruebas en frío > Pruebas en caliente

22 Revisión periódica 22 Continuidad de Negocio > Revisión de activos/procesos > Revisión de amenazas > Revisión de procedimientos > Realimentación del plan > Metodología PDCA 100%

23 Ejemplo : CAI 23 Continuidad de Negocio > Centro principal en Zaragoza (oficinas CAI) > Mirror en Madrid a tiempo real > Almacén offsite de cintas en Logroño > Tiempo estimado de pérdida en fallo de primario: 1.2 seg > Tiempo estimado de recuperación en caso de fallo de primario y mirror : 24h

24 24 Continuidad de Negocio Ej: ATCA Centro principal en Zaragoza (oficinas CAI) Mirror en Madrid a tiempo real Almacén offsite de cintas en Logroño Tiempo estimado de pérdida en fallo de primario: 1.2 seg Tiempo estimado de recuperación en caso de fallo de primario y mirror 24h

25 Conclusiones 25 >El desastre es nuestra espada de Damocles particular >Vital la planificación previa >Hay que entrenar y depurar el plan > Show must go on

26 More info?. Press here! 26 > RSS Feeds (Forensic & Security) Mayo > Book1: Hacking Exposed Computer Forensics, 2ed : Computer Forensics Secrets & Solutions (2009) - Aaron Philip, David Cowen, McGraw Hill > Book2: Windows Forensic Analysis DVD Toolkit, Second Edition - Harlan A. Carvey (2009) - Syngress > Book3: File System Forensic Analysis - Brian Carrier (2005), Addison-Wesley > Book4: The Official CHFI Study Guide (2007) - Syngress + Amazon + Computer Forensics

27 > Tened cuidado ahí fuera Teniente Furillo - Canción triste de Hill Street Antonio Sanz / ansanz@unizar.es

Documentos relacionados

Technology and Security Risk Services Planes de Continuidad de Negocio

Technology and Security Risk Services Planes de Continuidad de Negocio AS TSRS Planes de Continuidad de Negocio Conjunto de tareas que permite a las organizaciones continuar su actividad en la situación