Experiencias en el manejo de Incidentes de Seguridad

Transcripción

1 Experiencias en el manejo de Incidentes de Seguridad Hernán n Costante <hcostante@cybsec.com> 21 de Noviembre de 2008 Asunción - PARAGUAY

2 Qué es un incidente de Seguridad de la Información? n? Cualquier evento adverso real o sospechado en relación a la seguridad de los sistemas o redes informáticas La violación de una política de seguridad implícita o explícita (Fuente: Los incidentes de seguridad de la información pueden ser: Intencionales (Ej: Sabotaje corporativo) Fortuitos (Ej: Borrado de datos por error) Específicamente dirigidos a la organización No dirigidos a la organización (Ej: Infección masiva de virus)

3 Qué es un CSIRT? Computer Security Incident Response Team Es un equipo de personas responsable de recibir, revisar y responder a informes y actividad sobre incidentes de seguridad. Un CSIRT ayuda a las organizaciones a contener y recuperarse de violaciones y amenazas en la seguridad informática. Se encarga del Manejo de Incidentes de Seguridad de la Información

4 Tipos de CSIRT Existen diferentes tipos de CSIRT: CSIRTS internos: Grupo de personas pertenecientes a la organización Equipo formalizado / Equipo Ad-Hoc CSIRTS públicos: Organizaciones gubernamentales (ej: ARCERT, US-CERT, etc.) CSIRTS privados: Empresas que brindan el servicio de CSIRT a clientes CSIRT de CYBSEC: Fast Team 365 Paraguay no posee CSIRTS públicos p o privados!

5 Casos reales de incidentes de seguridad en los que intervino FT 365 Infección n masiva de virus (empresa de retail internacional) Un virus enviado en un anexo de infectó la PC de un usuario. En pocas horas, la infección se propagó a diferentes redes en distintos países, provocando la saturación de diversos enlaces y la no disponibilidad de diversos servicios de la empresa. Se diseñó un plan de aislamiento y remediación, para evitar en primer instancia que la infección se siga propagando, y avanzar luego en la eliminación de la infección y reparación de los equipos. En 24 horas se recuperó la mayor parte de la operatoria normal, y se comenzó a trabajar en un plan de prevención para evitar nuevas ocurrencias.

6 Casos reales de incidentes de seguridad en los que intervino FT 365 Fuga de información (empresa alimenticia internacional) Un mail interno enviado entre directivos, en el que se mencionaba la estrategia de negociación de la compañía frente a sindicatos, llegó a manos de los sindicalistas involucrados. Se efectuaron revisiones sobre diversos equipos, archivos de auditoría, bases de datos y BackUps del servicio de , no encontrándose evidencia de robo de información. Se analizó el documento impreso y se determinó que el mismo había sido enviado por fax.

7 Casos reales de incidentes de seguridad en los que intervino FT 365 Sabotaje corporativo (empresa de retail internacional) Un empleado desleal colocó una bomba lógica en el servidor que controla la línea de cajas de una de las sucursales, provocando la salida de producción de las mismas un sábado a la mañana. Una vez reportado el incidente, se comenzó por identificar la naturaleza y las causas del mismo. Dado que era urgente volver a la operatoria normal, se realizaron imágenes forenses de diferentes equipos y servidores, así como de archivos de log para su análisis posterior. El análisis forense y la correlación de eventos permitieron identificar el equipo desde donde se realizó el ataque, y mas tarde al responsable del mismo.

8 Casos reales de incidentes de seguridad en los que intervino FT 365 Phishing (empresa de retail nacional) Un grupo de atacantes montó un sitio Web copiando el diseño y logos de la empresa original. En el mismo ofrecían ofertas tentadoras para compras por Internet (con tarjeta de crédito). Además, enviaron mails masivos simulando ser la empresa, en los que incluían el link al sitio falso. Se identificó y analizó el sitio falso. Se informó al proveedor de hosting y se obtuvieron los logs de acceso a la creación de la página y a las compras en la misma. En pocas horas, se logró dar de baja el sitio de phishing. Se entregó a las empresas de tarjetas de crédito, la lista de IP s que accedieron así como el resto de la información de auditoría.

9 Casos reales de incidentes de seguridad en los que intervino FT 365 Borrado de equipos (Entidad financiera nacional) Se detectaron algunos equipos Unix con la mayor parte de sus archivos eliminados. En su apuro por volver a producción, la empresa los reinstaló, pero volvieron a borrarse. Se analizaron en detalle los servidores involucrados, y se determinó que el borrado lo producía un script automático de mantenimiento Pero como? Si el script funcionó sin problemas durante años y no había sido modificado Finalmente se determinó que el script tenía un error, pero era tolerado por las versiones anteriores del intérprete. En los servidores involucrados, se había actualizado el intérprete.

10 Incidentes de seguridad de la información Cantidad de incidentes graves manejados por CYBSEC

11 Por qué suceden los Incidentes de Seguridad? Falta de conciencia sobre seguridad de la información. Falta de controles adecuados. Exceso de confianza. Amplia disponibilidad de herramientas. Sensación de anonimato en las redes. Crecimiento de la dependencia tecnológica de la información. Disponibilidad de datos sensibles. Oferta y demanda de información confidencial más abierta.

12 Cómo detectar un incidente? Hay varias vías por las que una organización detecta un incidente: Mediante revisiones operativas Revisión y correlación de eventos Revisión de alarmas Por reporte de un usuario A mesa de ayuda o a Seguridad de la Información Reporte del usuario a su superior Mediante terceras partes Extorsión, amenaza Acción de público conocimiento Siempre es preferible detectar el incidente internamente, y lo más m s prontamente posible, para minimizar sus efectos

13 Se detectó un incidente, y y ahora qué hacemos? Antes que nada, es imprescindible determinar si REALMENTE se trata de un incidente: Confirmar la naturaleza del evento reportado Descartar errores, malos entendidos o falsas alarmas Una vez confirmado el incidente, se debe seguir la política de la empresa, la cual debería contemplar los siguientes pasos: Recepción y Análisis del Incidente Neutralización del ataque Búsqueda de información y rastreo del intruso Secuestro y preservación de evidencia Recuperación de datos o sistemas afectados Cierre y documentación del proceso de manejo de incidentes

14 Tendencia actual en el manejo de incidentes La tendencia actual de las organizaciones respecto al manejo de incidentes, tiene 2 aspectos: Adecuación de políticas y procedimientos de respuesta a incidentes Manual de Control Interno Banco Central del Paraguay Cumplimiento con PCI Basilea II Otros requerimientos de Normas Internacionales Tercerización del servicio de CSIRT Mejor know-how técnico Mayor experiencia y preparación Experiencias en incidentes de otras compañías Menores costos.

15 Consultas?