Mejores prácticas en la respuesta a incidentes de seguridad. Ing. Marcos Polanco

Transcripción

1 Mejores prácticas en la respuesta a incidentes de seguridad Ing. Marcos Polanco mpolanco@scitum.com.mx

2 Preguntas para la audiencia Quién es estudiante? Quién es directivo? Quién hace funciones de auditoría, vigilancia, control interno, etc.? Quién está en informática? Quién está en seguridad informática/ciberseguridad? Quiénes sí trabajan? A alguien lo han hackeado o robado su identidad?

3

4 Objetivos

5 Agenda Contexto actual de ataques Mejores prácticas en RI Conclusiones

6 Contexto actual de ataques

7 Preocupación global Global Risk World s 2014Biggest Data Breaches Valor estimado de la economía del cibercrimen a nivel mundial: $375 a $575 mil millones de USD

8 Qué ha cambiado?

9 Los Ciberataques hoy en día Ciclo de vida de un ataque Preparación del ataque Obtención de acceso Creación de persistencia Ejecución de acciones Eliminación de rastros Identificación y selección del objetivo Investigación y recolección de información Transmisión de ciberarmas Explotación de vulnerab. Activación de malware Fortalec. puntos de presencia y control Reconoc. interno y movimiento lateral Búsqueda y filtrado de información Selección y recolección Extracción de información Eliminación de rastros Creación/ adquisición de ciberarmas Pruebas de evasión a mecanismos de seguridad Creación punto de presencia y control Creación de backdoors Inicio de comunic. C&C Escalación de privilegios Evolución dinámica del malware Comunic. activa C&C

10 Video Dyre Wolf

11 Nuevos paradigmas requeridos Proteger Detectar Actuar Colaborar Adquirir más que tecnologías Preparar personal más especializado Involucrar a la alta dirección

12 Mejores prácticas en RI

13 Necesidad de un buen proceso de respuesta a incidentes Ataques Cantidad Diversidad Madurez requerida en el proceso de RI Impacto Operativos Estratégicos

14 Necesidad de un buen proceso de respuesta a incidentes

15 Cuál es el objetivo del proceso de respuesta a incidentes?

16 Objetivo Disminuir: La afectación a la continuidad del negocio Los impactos financieros y regulatorios La información perdida (exfiltrada) El tiempo para recuperarse

17 Objetivo Años Tiempo de detección Meses Semanas Días Horas Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1 Probabilidad de ocurrencia Minutos Horas Días Semanas Meses Tiempo de respuesta

18 Estrategia general Definir qué es un incidente en el contexto de la organización particular Qué se espera del equipo de respuesta a incidentes Política General Política para intercambio de información con terceras partes Definir servicios que el IRT dará a la organización Crear marco funcional/plan con métricas de desempeño para el equipo de respuesta a incidentes Crear procedimientos particulares Cómo se quiere organizar el equipo de respuesta a incidentes Equipo centralizado Equipo distribuido Hibrido Implementar el equipo de repuesta a incidentes Asignar al personal (tiempo completo o parcial) Establecer dependencias e interacciones con otras áreas de la organización Establecer un modelo de madurez para medir y evaluar los avances

19 Modelo de madurez Nivel 5 Nivel 1 Nivel 2 Emergente Nivel 3 Establecido Nivel 4 Optimizado Dinámico Inicial Qué nivel de madurez requiere mi organización? *Modelo de referencia del CREST

20 Preparación Contar con los recursos y herramientas básicos para ejecutarlo Tener claridad de los activos críticos (BIA) Lista de contactos Herramienta de documentación y seguimiento Software de cifrado War room Estaciones para realizar análisis forense Equipos de repuesto (spare) Diagramas de red y de arquitecturas aplicativas (actualizados!!!) Baselines (en caso de contar con ellos) Ejercicios de entrenamiento y simulación Reducir en la medida de lo posible el número de incidentes atendidos Asegurar que las áreas responsables implementan los mecanismos necesarios para proteger las redes, los sistemas y las aplicaciones Retroalimentar de acuerdo a los hallazgos de este proceso a las funciones de administración de riesgos, monitoreo, protección de infraestructura, etc.

21 Detección y análisis Identificar principales vectores de ataque Identificar los vectores de ataque más probables y tener procedimientos específicos para su manejo Tener procedimientos generales para otros tipos de incidentes Determinar las principales señales de incidentes (precursores e indicadores) Determinar con la mayor precisión posible la existencia de un incidente Desarrollar la capacidad técnica y experiencia del personal para el correcto análisis Identificar los Precursores de compromiso (aquellas señales de que un incidente podría ocurrir) Identificar los indicadores de compromiso (aquellas señales de que un incidente puede estar pasando) Definir las fuentes de precursores e indicadores Pueden ser los diversos dispositivos de seguridad (IDS, AV, File integrity, etc.) SIEM SO, aplicaciones, dispositivos de red, flujos de red

22 Detección y análisis Análisis del incidente Dado la falta de certeza en los precursores e indicadores se requiere realizar una evaluación de cada indicador Ayudarse de contar con perfiles de la red y de los sistemas, retención de logs, correlación de logs, hacer hunting Documentación del incidente Priorización del incidente Analizar el impacto funcional del incidente Analizar el impacto a la CIA de la información Analizar la capacidad de recuperar de incidente de acuerdo a los activos afectados. Notificación del incidente

23 Ciberecosistema FIRST/CERTs Carriers Otros Centros de Ciber Seguridad Intercambio de inf. sobre amenazas avanzadas Universidades Equipode respuesta a Incidentes LEA (Law Enforcement Agencies) Intercambio de experiencias y conocimiento Apoyo en respuesta a incidentes Entidades del Gobierno Centros de Inteligencia de fabricantes especializados Apoyo para servicios avanzados

24 Investigación CIBERECOSISTEMA Sensores especializados Sensores especializados Sensores especializados Sensores especializados

25 Respuesta Establecer una estrategia de contención Basada en la toma de decisiones de cómo actuar en función del tipo de incidente considerando: Daño potencial Preservación de evidencia Disponibilidad de los servicios Obtención y manejo de evidencia No sólo recolectar evidencia para la resolución del incidente sino para los posibles aspectos legales que se deriven Mantener la cadena de custodia Identificar los equipos atacantes Validar la IP del host atacante Investigar en fuentes abiertas información sobre esta IP Buscar en la base de datos de incidentes Intercambio de información con ciberecosistema para saber más sobre esa IP Erradicación y recuperación Identificar todos los posibles activos afectados Eliminar la causa raíz del incidente Reestablecer la operación normal de los sistemas

26 Colaboración Ciberecosistema Nivel 3 Entidad 1 Nivel 1 Nivel 2

27 Colaboración: Cyber Threat Intelligence Proteger los activos críticos de la organización. Personal Seguridad Negocio Colectado Difundido Analizado Conocimiento acerca de los adversarios Motivaciones Intenciones Métodos

28 Colaboración: Cyber Threat Intelligence Cyber Threat Intelligence Contenido: Análisis de TTPs, monitoreo de grupos de hackers, sitios del mercado negro Usos: Analizar ataques, realizar hunting y remediación. Mejorar decisiones Threat Data feeds Contenido: Estadísticas, tendencias, análisis de malware Threat Indicators Contenido: Firmas de malware, file hashes, reputación de URLs Usos: Identificar patrones asociados con ataques Usos: Mejorar la efectividad de bloqueo

29 Actividades post incidente Lecciones aprendidas Analizar la información recolectada Retención de evidencia

30 Conclusiones

31 Conclusiones La respuesta a incidentes debe ser un proceso core para las organizaciones dada la naturaleza actual de las amenazas avanzadas Es indispensable contar con un proceso adecuado a las características particulares de cada organización Es un proceso complejo de implementar por lo que se debe abordar con un enfoque en niveles de madurez No solo enfocarnos en el proceso sino en crear la capacidad de responder a incidentes (esto es gente procesos tecnología) Buscar tener la mayor visibilidad posible Definir claramente qué es un incidente Desarrollar la capacidad de investigación (Hunting) Comunicar con cautela Colaborar Siempre aprender de lo realizado

32 Objetivos

33

34 Gracias Ing. Marcos Polanco Tel: ext 1811