Manejo y Análisis de Incidentes de Seguridad Informática

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Manejo y Análisis de Incidentes de Seguridad Informática"

Natividad Cabrera Martínez
hace 8 años
Vistas:

1 Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita jardita@cybsec.com CYBSEC

2 Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación - Análisis Forense Informático - Buenas Prácticas

3 Incidentes en Argentina Cual es el origen mas común de los incidentes de seguridad en su empresa? 70% 60% 50% 40% 30% 20% 10% 0% 63% 58% 52% 32% 30% 23% 10% 3% 3% 5% 4% 4% 4% 6% 2% Año 2002 Año 2003 Año 2004 Sistemas interno s Internet Accesos remotos vía modem Vínculo s Externo s (pro veedo res y clientes) Otros

4 Incidentes en Argentina Qué tipos de ataques fueron? 40% 35% 30% 25% 20% 15% 10% 5% 0% 6% 22% 1% 2% 7% 29% 2% 12% 2% 1% 4% 7% 2% 3% Año 2002 Año 2003 Año 2004 Fraude financiero Virus Acceso no autorizado por personal i... Captura de información Fraude telefónico Spamming de correo electrónico Denegación de servicio Otros Modificación de pagina web Robo de notebook Robo de información confidencial Sabotaje Penetración de sistemas Abuso del acceso a internet

financiero Virus Acceso no autorizado por personal i.

5 Incidentes en Argentina - El 74% de las grandes empresas tienen un Responsable de Seguridad contra el 17% del año El 60% de los encuestados reconoció que el conocimiento del personal para responder ataques informáticos es insuficiente. - El 82% de las Empresas que sufrieron incidentes de seguridad no realizaron análisis forense ni valoración de los mismos. - Durante enero y febrero de 2008 hubo más de 250 ataques exitosos a páginas Web en Argentina. Fuente: Prince & Cooke y Zone-h.

- El 82% de las Empresas que sufrieron incidentes de seguridad no realizaron análisis forense ni valoración de los mismos.

6 Incidentes en Argentina Cantidad de incidentes graves manejados por CYBSEC: Cantidad Año

7 - Robo de información sensible Incidentes de seguridad reales - Robo y pérdida de notebooks con información sensible - Denegación de servicio sobre equipos de networking, afectando la operación diaria de la Compañía - Denegación de servicio por el ingreso y propagación de virus y worms que explotan vulnerabilidades - Sabotaje Corporativo a través de modificaciones de programas por parte del personal interno que generó problemas de disponibilidad en servicios críticos (programa troyano)

por el ingreso y propagación de virus y worms que explotan vulnerabilidades - Sabotaje Corporativo a través de

8 Incidentes de seguridad reales - Amenazas y denuncias falsas a través de mensajes de correo electrónico anónimos - Ataques locales de phishing a Bancos y Empresas - Fraude financiero

9 Por qué se generan más m s incidentes que antes? - Crecimiento de la dependencia tecnológica - No hay una conciencia sobre la privacidad - Amplia disponibilidad de herramientas - No hay leyes globales (ni locales) - Falsa sensación de que todo se puede hacer en Internet - Gran aumento de vulnerabilidades de seguridad (sólo en el 2007 se reportaron según CERT) - Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.) - Oferta y demanda de información confidencial más abierta

hay leyes globales (ni locales) - Falsa sensación de que todo se puede hacer en Internet - Gran aumento de vulnerabilidades de

10 Tendencias en incidentes - Los intrusos saben más técnicas para evitar que los rastreen - Nuevo origen de incidentes: redes wireless abiertas - Casos de publicación de venta en Internet de información sensible de empresas argentinas - Casos individuales de robo de identidad basados en información disponible en Internet

publicación de venta en Internet de información sensible de empresas argentinas

11 Manejo de incidentes de seguridad Hacemos todo lo posible para tener un elevado nivel de seguridad en la Compañía, pero surge un incidente de seguridad grave. Tips: - No ocultarlo. Las malas noticias hay que darlas rápido (Silvio Szostak) - Mantener la calma por la situación personal del CSO - No comenzar buscando culpables - Obtener información de primera mano y verificarla - Establecer un Plan de Acción y coordinarlo

Las malas noticias hay que darlas rápido (Silvio Szostak) - Mantener la calma por la situación personal

12 Manejo de incidentes de seguridad Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar este momento. Nivel de Atención de la Gerencia durante un Incidente 120 % Nivel de Atención hs 12 hs 24 hs 48 hs 72 hs 96 hs Tiempo Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.

Nivel de Atención de la Gerencia durante un Incidente 120 % Nivel de Atención 100 80 60 40 20

13 Necesidades para el manejo de incidentes de seguridad - Políticas y Procedimientos previamente definidos y acordados - Capacitación del personal involucrado (seguridad informática, administradores, help-desk, auditoría, seguridad ambiental y legales) - Mantenimiento activo (capacitación periódica, simulaciones y adecuación de las Políticas y Procedimientos) - Soporte altamente especializado

administradores, help-desk, auditoría, seguridad ambiental y legales) - Mantenimiento activo

14 Política de Manejo de Incidentes de Seguridad Informática Procedimientos necesarios: - Detección y Denuncia de Incidentes - Recepción y Análisis de Incidentes - Neutralización del ataque - Búsqueda de información y rastreo del intruso - Secuestro y preservación de evidencia - Recuperación de datos o sistemas afectados - Restauración de la información - Cierre y documentación del proceso de manejo de incidentes

información y rastreo del intruso - Secuestro y preservación de evidencia - Recuperación de datos o

15 Pasos a seguir cuando sucede un incidente 1. Reunión de relevamiento on-site con todos los referentes e involucrados. 2. Verificar la información. 3. Consolidar y revisar toda la información relevada. 4. Análisis preliminar de impacto del incidente. 5. Elaborar el diagnóstico detallado de la situación.

16 Pasos a seguir cuando sucede un incidente 6. Definir los mensajes de comunicación a transmitir a través de canales de comunicación externos e internos. 7. Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes. 8. Organizar grupos de trabajo para llevar adelante las actividades planificadas en el Plan de Acción coordinados por el CSO. 9. Implementar y gerenciar el Plan de Acción priorizando las actividades más críticas con el objetivo de bajar lo mas rápido posible el nivel de exposición al riesgo que afecta a la Compañía.

Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes. 8.

17 Pasos a seguir cuando sucede un incidente 10. Documentar detalladamente TODO lo realizado. 11. Vuelta a la normalidad. 12. Luego del cierre del incidente: - Aplicar lecciones aprendidas. - En lo posible estimar las pérdidas económicas. - Ajustar los procedimientos. - Informe ejecutivo al Directorio y áreas de negocio.

Luego del cierre del incidente: - Aplicar lecciones aprendidas.

18 Análisis Forense Informático Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología definida.

19 Metodología a de Análisis Forense Informático El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales. La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria. Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.

La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada

20 Documentar la Escena Secuestrar volátiles? Si Capturar volátiles Es necesario Investigar on-site? Si Investigar on-site Hacer imágenes Investigar en el Laboratorio Generar Conclusiones Si Volver a buscar más información?

Si Investigar on-site Hacer imágenes Investigar en el

21 Buenas Prácticas frente a incidentes de seguridad Hay que tener procedimientos claramente definidos y comunicados. Es muy importante que todo el personal esté entrenado previamente y sepa qué tiene que hacer frente a un incidente. Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar ese momento. El tiempo es un factor que nos puede llegar a jugar en contra. Cuanto antes reaccionemos, mejor estaremos preparados para manejar el incidente.

22 Contacto: Julio Ardita CYBSEC

Documentos relacionados

Cibercrimen: : Como llevar adelante una investigación n exitosa

Cibercrimen: : Como llevar adelante una investigación n exitosa Julio C. Ardita CTO CYBSEC Comisario Jaime Jara Retamal Policía a de Investigaciones de Chile Brigada Investigadora del Ciber Crimen Metropolitana