Sesión # 212. Armando un CSIRT Interno para Manejo de Incidentes de Seguridad. Julio César Ardita, CISM.

Transcripción

1 Sesión # 212 Armando un CSIRT Interno para Manejo de Incidentes de Seguridad Julio César Ardita, CISM 1

2 Agenda - Descripción de los distintos tipos de CSIRT - Proceso de manejo de incidentes dentro de la Organización - Mapa de interacción con áreas internas y con entidades públicas y privadas - Proceso de armado del CSIRT interno 2

3 Introducción En 1988, surge el primer CERT en la Universidad Carnegie Mellon, después de que la aparición del gusano de Morris bloqueara Internet. Este incidente puso en evidencia varios problemas: - Cómo notificar a los usuarios la existencia de problemas de seguridad? - Cómo ponerse en contacto con los responsables de un equipo?

4 Introducción Estadísticas CERT

5 Introducción Crecimiento de CSIRT s

6 Introducción La dimensión global de Internet hizo que en pocos años surgieran varios equipos para manejo de incidentes: - Con una ámbito de actuación más específico. Ej: ACERT, Equipos del sistema de Defensa Estadounidense. - De soporte de productos específicos: Cisco PSIRT, Soporte a productos de la empresa Cisco. - En distintas localizaciones geográficas: IRIS-CERT, Red Académica Española.

7 Introducción CERT/CC - Computer Emergency & Response Team (Coordination Center) CERT es una marca registrada por la Universidad No hace referencia expresa a aspectos de seguridad CSIRT - Computer Security Incident & Response Team Termino más ajustado a la situación actual Equipo dentro de una organización encargado de responder a los problemas de seguridad

8 Introducción Vulnerabilidad Exploit Amenaza Ataque/Intrusión Incidente

9 Qué es un CSIRT? Es una Organización o Equipo que provee servicios y soporte, en un entorno definido (constitución), para prevenir, manejar y responder a los incidentes de seguridad informática. Es una parte vital de la Organización y es responsable de coordinar e investigar incidentes de seguridad de forma metódica. En grandes organizaciones se debe establecer un equipo formal. En organizaciones pequeñas se puede establecer un equipo informal.

10 Acrónimos y nombres relacionados

11 Por qué ahora el CSIRT? La rapidez con que una organización puede reconocer, analizar y responder a un incidente va a limitar el potencial daño y minimizar los costos de recupero. Hasta la mejor infraestructura de seguridad de la información no puede garantizar que no sucederán incidentes. Cuando suceden, es vital para las organizaciones tener mecanismos de respuesta eficientes. Fuerte crecimiento de CSIRT s desde el año 2000.

12 Beneficios de un CSIRT - Esfuerzo de respuesta focalizado. - Una respuesta más rápida, coordinada y estandarizada. - Equipo estable con know-how sobre Manejo de Incidentes. - Colaboración con la comunidad de seguridad. - Punto centralizado de coordinación y diseminación de información.

13 Tipos de CSIRT s Internos - Educativos - Gubernamentales - Comerciales Centros de coordinación - Estado/Provincia -País - Región Todos los CSIRT s son diferentes.

14 Tipos de CSIRT s CSIRT Nacionales Algunos países han establecido CSIRT s nacionales y usualmente tienen responsabilidades de: - Coordinación de incidentes regionales. - Protección de infraestructuras críticas. - Fomento del desarrollo de CSIRT s en el país. - Comunicación interna con otros CSIRT s.

15 Tipos de CSIRT s CSIRT Educativos Las universidades por su naturaleza, nivel de apertura y posibilidad de contar con recursos humanos son un lugar ideal donde generar CSIRT s. Los objetivos principales son la protección del campus y manejo de incidentes internos, tareas de concientización y usualmente actividades de investigación.

16 Tipos de CSIRT s CSIRT Comerciales El servicio de CSIRT es brindado por empresas de seguridad como un servicio hacia las Organizaciones. El servicio puede abarcar: - Aviso y Alertas - Manejo de incidentes - Soporte en las investigaciones forenses -Etc.

17 Tipos de CSIRT s CSIRT Gubernamentales Aparecen a partir del año 2000 para dar soporte a los usuarios de un país: Ofrecen servicios de alerta y avisos personalizados en el idioma del país. Campañas de concientización sobre seguridad en Internet. Coordinación con empresas privadas, proveedores de Internet y otros CSIRT a un nivel nacional.

18 Tipos de CSIRT s Iniciativas regionales Varias regiones han comenzado con la iniciativa de armar CSIRT s regionales incluyendo distintos países dentro de un rango geográfico. Government Forum of Incident Response and Security Teams (GFIRST)

19 FIRST Qué es el FIRST? Forum of Incident Response and Security Teams Concentra 209 equipos en 49 países

20 FIRST CSIRT s a nivel mundial

21 OEA Seguridad Cibernética

22 OEA Seguridad Cibernética Objetivo: Descripción: Ayudar en la creación de capacidades en los Estados Miembros para cumplir con eficacia con los requisitos de CSIRT en la Estrategia Comprensiva Interamericana de OEA para combatir amenazas a la Seguridad Cibernética, (AG/RES (XXXIV-O/04)). Esto incluye el soporte del establecimiento de CSIRTS nacionales y la creación de una Red Hemisférica. El programa consiste en ayudar a los Estados Miembros a implementar requisitos de ejecución de la estrategia de Seguridad Cibernética de la OEA. Las funciones específicas en el mandato del CICTE son establecer una red de CSIRTS en la región, de acuerdo con la Resolución 2004 (XXXXIV-O/04) de la Asamblea General y según lo decidido en la Quinta Sesión Regular del CICTE. El segundo aspecto del proyecto es entrenar al personal de dichas agrupaciones nacionales. Audiencia Funcionarios Nacionales CSIRT designados por los Gobiernos de los Estados Miembros. La Audiencia Secundaria incluye a representantes Ministeriales y del Sector Privado con responsabilidades en la dirección de áreas que afectan la Seguridad Cibernética y la protección crítica de la infraestructura.

23 OEA Seguridad Cibernética Tareas a realizar: - Establecer CSIRT en cada un de los Estados Miembros; - Fortalecer los CSIRT del hemisfério; - Ubicar puntos nacionales de contactos en cada uno de los Estados Miembros; - Ubicar servicios considerados más esenciales; - Detectar y diagnosticar problemas; - Establecer protocolos y procedimentos para el intercambio de información; - Diseminar rápidamente información sobre ataques en la región; - Proveer alertas regionales sobre vulnerabilidades en los sistemas; - Proveer alertas regionales sobre actividades sospechosas y desarollar cooperación necesaria para analizar y diagnosticar dichas actividades; - Proveer información sobre acciones para remediar o mitigar ataques o amenazas; - Reducir la duplicación en el análisis desarrollado por cada CSIRT; - Fortalecer la cooperación técnica y entrenamiento para establecer CSIRT; - Utilizar mecanismos subregionales existentes; - Incentivar la cooperación interregional.

24 Armado de un CSIRT interno La gran mayoría de las organizaciones no posee equipos de respuestacurrent ante incidentes Situation formalizados. A partir del año 2008 un creciente número de organizaciones ha comenzado a crear CSIRT s internos. Las principales razones: - Han tenido y tienen incidentes graves. - Hay regulación que obliga a tener un plan de respuesta. - Proactivamente el CSO muestra la necesidad.

25 Armado de un CSIRT interno Etapas en el desarrollo de un CSIRT Etapa 1: Educar a la organización Etapa 2: Planificar el esfuerzo Etapa 3: Implementación inicial Etapa 4: Fase de operación Etapa 5: Evaluación y mejora

26 Armado de un CSIRT interno Como cada organización es diferente a otras, no hay una única receta para armar un CSIRT. Cada CSIRT es único y depende de: - Grado de madurez de la organización. - Necesidades y requerimientos (que pueden variar). - Misión y objetivo. - Recursos. - Apoyo disponible.

27 Armado de un CSIRT interno Autoridad - Qué puede hacer el equipo y con qué derecho? - Quién respaldará al equipo cuando surjan problemas? Escalamiento - Ruta jerárquica acordada de antemano - Para llegar a los directivos, contactos de prensa, administración de riesgos Contactos externos (otros CSIRTs, policía, etc) 1. Usar el esfuerzo de forma efectiva y eficiente 2. Evitar mensajes/acciones contradictorias

28 Marco de Trabajo del CSIRT Es esencial (aquí está la clave del éxito) definir el servicio. Declaración de la Misión Enuncie las actividades que realizará el equipo Y que cosas no hará Sea realista (los mejores CSIRT s hacen pocas cosas, pero las hacen bien) Área de trabajo A quién le dará el servicio el equipo Relación con otros CSIRT s

29 Servicios que ofrece un CSIRT

30 Lugar del CSIRT dentro de la Organización Dónde se puede ubicar el CSIRT en la organización? A quién va a reportar? Usualmente se ubica dentro de la parte de la organización responsable de la seguridad. Puede depender del CSO o CRO. Mientras más arriba dependa, mejor.

31 Apoyo de la Organización Un CSIRT no es un proyecto que se puede desarrollar sin un apoyo directo de la organización a la que da soporte. Soporte económico, personal, material, formación etc. Responsabilidad y apoyo en las actuaciones del CSIRT. Ejemplo: Qué actuaciones se deben tomar ante una intrusión en un sistema? En caso de conflicto entre el CSIRT y otro departamento, cómo se resuelve?

32 Personal para el equipo de CSIRT Qué habilidades serán necesarias? Generales: sentido común, comunicación, diplomacia, aprendizaje, trabajo bajo presión, jugador en equipo, integridad, aceptación de errores, solución de problemas, manejo del tiempo Técnicas: que correspondan a las actividades que el CSIRT ofrecerá. Qué validaciones/certificaciones necesita? El personal del CSIRT debe ser confiable Construir la confianza es un proceso largo Requerimientos de confidencialidad

33 Personal para el equipo de CSIRT Una vez que se ha definido el servicio, se puede estimar: Personal requerido Experiencia/Habilidad necesaria para proveerlo Qué otros recursos se pueden utilizar? Especialistas, mesa de ayuda, legal, prensa etc. Acuerdos de trabajo antes de las emergencias Qué personal será necesitado para 24x7? Retención de Personal Ofrecer recompensas apropiadas Rotación de puestos Mantenga el trabajo variado e interesante

34 Personal para el equipo de CSIRT Apoyo de primer, segundo y tercer nivel Puede no ser personal de tiempo completo para el CERT Puede usar parte del personal existente Debe acordar sus deberes y tiempos con los gerentes y el personal Las emergencias están por arriba de cualquier otra cosa Equipos virtuales Llame a otros expertos dentro de la organización De redes, grupos de sistemas o personal del departamento de IT Personal de Legales y RH puede ser esencial

35 Horario de operación Cuándo se proveerá el servicio? Horas de Oficina solamente Horas Extra (para emergencias) 24horas/365días? Cómo se puede contactar al servicio? Teléfono: directo o via conmutador Qué es lo que la organización realmente necesita?

36 Lugar Físico El personal del CSIRT manejará material sensible Necesita un espacio separado que sea físicamente seguro Cuartos, escritorios, lockers con cerraduras Computadoras aseguradas, redes y backups Construya un lugar seguro con política de seguridad propia Si se trabaja fuera de hora Asegure que el acceso sea posible Y que las oficinas sean habitables (agua, calor, etc).

37 Financiamiento del CSIRT Recursos económicos: - Creación del CSIRT (Documentación, Web Site, etc). - Compra de equipamiento (hardware y software). - Contratación del equipo humano. - Training y capacitación. - Lugar físico para la operación. Si el equipo funciona bien y se da soporte ante un incidente solucionándolo rápidamente, probablemente no llegue a generarse un grave problema. ES CLAVE QUE SE MUESTREN LOS RESULTADOS!!!

38 Publicidad del Equipo Hágase conocido (fuera y dentro) Web Site Intranet Utilice conferencias, charlas, talleres, noticias, etc. Únase a otros grupos confiables (para que otros puedan contactarlo) Proceso de Acreditación confiable Proceso de membresía de FIRST Intercambio de información Establezca relaciones de trabajo Por ejemplo con organizaciones de alertas de vulnerabilidades y con el CSIRT de su país.

39 Ciclo de vida del Manejo de Incidentes Other IDS Triage Information Request Hotline/ Phone Vulnerability Report Coordinate Information and Response Incident Report Analyze Obtain Contact Information Provide Technical Assistance

40 Recomendaciones generales para un CSIRT 1. Identificar a los sponsors y participantes del proyecto. 2. Obtener apoyo y aceptación de la alta gerencia. 3. Definir liderazgo para implementar el CSIRT. 4. Armar un proyecto para el CSIRT, asignar roles y responsabilidades. 5. Obtener información para las siguientes fases.

41 Recomendaciones generales para un CSIRT 5. Obtener información para las siguientes fases.

42 Recomendaciones generales para un CSIRT 6. Identificar y definir el alcance del CSIRT. 7. Definir la misión del CSIRT. 8. Determinar el rango y nivel de servicio a ofrecer. 9. Armar el presupuesto y conseguir la aprobación. 10. Definir CSIRT (modelo de reporte, ubicación, regulaciones, armar organigrama, etc). 11. Identificar recursos requeridos (personal, equipamiento, infraestructura, training, etc).

43 Recomendaciones generales para un CSIRT 12. Definir las interacciones del CSIRT con el resto de la organización y el exterior. 13. Definir roles y responsabilidades en forma clara. 14. Establecer workflows y documentación (políticas, procedimientos, guías, estándares, checklists, etc). 15. Crear un plan de implementación y hacerle seguimiento. 16. Una vez que el CSIRT se encuentre en operación, anunciarlo!!!.

44 Recomendaciones generales para un CSIRT 17. Definir métodos y métricas para evaluar la performance del CSIRT. 18. Tener un backup plan para todos los componentes del CSIRT. 19. Ser flexible y adaptable!!!

45 Elementos de un CSIRT exitoso Framework operacional - Misión clara. - Alcance definido y acotado. - Ubicación y lugar en la organización. - Relaciones formales con el resto de la organización. Framework de servicios - Servicios claramente definidos. - Flujos de información definidos - Procesos definidos para recolección, registro, seguimiento y almacenado de información. - Políticas de funcionamiento claras.

46 Elementos de un CSIRT exitoso II Prácticas de Quality Assurance - Integración con sistema de calidad -Métricas. - Procedimientos y prácticas de reporting y auditoria. - Feedback y retroalimentación de lecciones aprendidas. Adaptabilidad y flexibilidad - Habilidad para adaptarse a amenazas en tiempo real. - Flexibilidad para adaptarse a nuevas amenazas. - Soporte legal.

47 GRACIAS! Julio César Ardita 47

48 International Conference EN LUGAR DEL LATIN CACS 2010 Te Esperamos! 6 al 9 de Junio de 2010 Cancún, México 48