Preparándonos para futuros ataques



Documentos relacionados
Anexo I. Politicas Generales de Seguridad del proyecto CAT

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Requisitos de control de proveedores externos

Proceso de administración y escalación de problemas Guía de referencia

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

1 El plan de contingencia. Seguimiento

SEGURIDAD DE LA INFORMACIÓN

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

DIA 21 Taller: Implantación ISO en el entorno empresarial PYME

Tres pasos para proteger sus sistemas virtuales

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

0. Introducción Antecedentes

Resumen del trabajo sobre DNSSEC

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Gestión del Servicio de Tecnología de la información

Acciones Correctivas y Preventivas. Universidad Autónoma del Estado de México

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Traslado de Data Center

ISO/IEC Sistema de Gestión de Seguridad de la Información

Security Health Check

Plan de Estudios. Diploma de Especialización en Seguridad Informática

CyberEdge Seguro de Protección de Datos

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Beneficios de los productos de Faronics

Master en Gestion de la Calidad

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Procedimiento General Auditorías Internas (PG 02)

8. Sistema de Gestión de la Salud y la Seguridad en el Trabajo OHSAS 18001:2007

Plan provincial de Producción más limpia de Salta

En el artículo del mes pasado,

Introducción. Definición de los presupuestos

Política de Gestión de Incidentes de Seguridad de la Información

Norma ISO 14001: 2004

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

ISO 18001:2007 SEGURIDAD Y SALUD EN EL TRABAJO 07/08/2008 1

Nota de Información al cliente ISO/IEC Proceso de auditoría

TALLER: ISO Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco

Estatuto de Auditoría Interna

Norma ISO 14001: 2015

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Basado en la ISO 27001:2013. Seguridad de la Información

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

Symantec Mobile Security

PROCEDIMIENTO DE AUDITORÍAS INTERNAS DEL SISTEMA DE GESTIÓN DE CALIDAD

PRIMAVERA RISK ANALYSIS

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

White Paper Gestión Dinámica de Riesgos

Recomendaciones relativas a la continuidad del negocio 1

Móvil Seguro. Guía de Usuario Terminales Android

Estándares de Seguridad

REPORTE DE CUMPLIMIENTO ISO 17799

Antecedentes Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld)

Tratamiento del Riesgo

Sistemas de Gestión de Calidad. Control documental

PARA MAC Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento

Symantec Backup Exec System Recovery 7.0 Server Edition. Recuperación de sistemas en cuestión de minutos, en lugar de en horas o días

Instituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Gestión de Oportunidades

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Soporte Técnico de Software HP

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

CUESTIONARIO DE AUTOEVALUACIÓN

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Sistemas de información de laboratorio

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

Test de intrusión (Penetration Test) Introducción

Prácticas ITIL para un mejor flujo de trabajo en el helpdesk

Manual Online Gestión de Incidentes y Antivirus

Plan de Estudios. Maestría en Seguridad Informática

PROGRAMA DE GESTIÓN DOCUMENTAL

ALERTA ANTIVIRUS: RECOMENDACIONES

Cisco ProtectLink Endpoint

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico.

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL

Transcripción:

Preparándonos para futuros ataques Resumen de la solución: Implementación de la estrategia de seguridad adecuada Mayor enfoque, menos riesgos.

Introducción Los últimos incidentes de programas maliciosos han demostrado el coste y el daño que pueden causar los ciber-ataques. Se cree que el gusano Stuxnet ha afectado sustancialmente al procesamiento nuclear iraní y se considera que es la primera arma operativa en el ciberespacio 1. Shamoon puso en peligro e incapacitó 30 000 estaciones de trabajo de una organización productora de petróleo 2. Otro ataque de un programa malicioso dirigido a una empresa pública provocó que la empresa declarara una pérdida de 66 000 000 $ a causa del ataque 3. Estos ataques no siempre obtienen buenos resultados, pero cuando los atacantes logran acceder a los sistemas de una organización, una respuesta rápida y bien preparada puede minimizar rápidamente los daños y restaurar los sistemas antes de que se produzcan daños significativos. Para preparar una respuesta, las organizaciones deben comprender el curso que pueden tomar los ataques, desarrollar una estrategia de contraataque, decidir quién llevará a cabo las acciones y, luego, poner en práctica y perfeccionar el plan.

Conocer los ataques Un ataque comienza con un punto de acceso a la organización. Puede tratarse de un sistema no seguro al cual los piratas informáticos pueden acceder, un equipo vulnerable en el cual se ejecutan programas maliciosos o un usuario que fue engañado para instalar el programa malicioso. El punto de entrada, luego, se puede utilizar para propagar los ataques en la red, ya sea mediante la utilización de piratería informática en otros sistemas o de un programa malicioso que aproveche las vulnerabilidades del sistema sin parches y se instale en otros sistemas. Una vez que un sistema está afectado, los atacantes pueden instalar otros programas maliciosos o controlar el sistema y enviar comandos para ejecutar. Los atacantes pueden filtrar información, como archivos confidenciales o nombres de usuarios y contraseñas almacenados en el sistema. Emisión de comandos Atacante Usuario Atacante Entrada Expansión de ataque Filtración de ataque Protección contra ataques La mayoría de los ataques se pueden combatir con la implementación de prácticas básicas de seguridad de la información. El Departamento de Defensa de Australia descubrió que la implementación de cuatro estrategias de mitigación era suficiente para prevenir el 85% de los ataques dirigidos 4. El gobierno británico advirtió que la concentración en diez áreas principales es suficiente para contrarrestar la mayoría de las amenazas en el ciberespacio 5. Como mínimo, una organización debe garantizar que el tráfico de red y los sistemas se analicen en busca de programas maliciosos y que se conserven registros de las actividades del sistema y la red para realizar análisis forenses, si es necesario. Además, es vital hacer copias de seguridad regulares para garantizar la restauración de los sistemas dañados a su estado normal de funcionamiento.

Las defensas adecuadas de seguridad de la información reducen las probabilidades de que se produzcan ataques. Sin embargo, detrás de cada ciber-ataque, hay una organización que creía que su defensa era suficiente. Se producen incidentes graves que se deben planificar con el fin de reducir la interrupción de las actividades empresariales, minimizar los daños y disminuir el tiempo de recuperación necesario. Preparación para los incidentes Las organizaciones deben esperar que se produzcan ataques sofisticados contra sus sistemas y, por lo tanto, deben preparase para esta eventualidad. En realidad, estos ataques son poco frecuentes. Sin embargo, al mantenerse actualizadas respecto a los ataques y las técnicas de ataque más recientes, las organizaciones pueden verificar si sus sistemas son capaces de detectar y repeler estas amenazas. La atención en el proceso de preparación garantiza la posibilidad de detectar los ataques rápidamente tan pronto como presentan. Muchos incidentes identificados, al analizarlos con más detalle, pueden resultar falsos positivos. Otros pueden ser más leves y no requerir una mayor respuesta. No obstante, las organizaciones deben asegurarse de capturar y registrar todos los incidentes a fin de identificar y escalar los ataques que realmente necesitan atención. Para hacerlo, es importante determinar el criterio para escalarlos y el mecanismo mediante el cual los incidentes detectados activarán un plan de incidentes. El primer paso del plan de incidentes debe ser una evaluación de la situación. A continuación, se deben realizar las acciones necesarias para impedir que el ataque se propague, afecte a más sistemas y produzca más daños. Para contener el ataque, será necesario mantener aislados a los sistemas infectados. Para evitar que el ataque se propague internamente, es probable que sea necesario deshabilitar de forma provisional los sistemas que aún no han sido infectados y reducir el acceso a la red. Figura 2: Fases de respuesta ante incidentes Preparación Detección Respuesta Recuperación Revisión Preparación para los ataques Entrada de atacante Atacante detectado Implementación del plan de respuesta Sistemas protegidos Recuperación de funcionamiento normal Perfeccionamiento del plan de respuesta Tiempo

Estas acciones pueden ejercer un impacto sobre los usuarios y los servicios de toda la organización. En especial, pueden afectar la manera en que los usuarios, e incluso el equipo de respuesta, generalmente se comunican. Por lo tanto, es necesario pensar de qué forma se mantendrá la comunicación y se informará a los usuarios y ejecutivos sobre el progreso de la resolución de incidentes. Los análisis forenses no solo deben usarse para corroborar si se han puesto en peligro datos, sino también para evaluar la forma en que los atacantes penetraron originalmente en los sistemas. Como prioridad, se debe abordar la vulnerabilidad que se utilizó para obtener acceso a fin de evitar que el ataque se vuelva a repetir tan pronto se resuelva. También puede ser útil recopilar y preservar la información obtenida en los análisis forenses para identificar a los responsables del ataque e iniciar acciones legales en su contra. La fase de recuperación implica la restauración de los sistemas al estado previo a la infección. El acceso a las copias de seguridad recientes de los sistemas afectados puede facilitar en gran medida el proceso, siempre que no contengan programas maliciosos. Se debe poner especial atención en garantizar que los sistemas se restauren a un estado libre de infección. Luego, es necesario revisar cada incidente para identificar qué procedimientos funcionaron de forma correcta y qué prácticas existentes faltaron. Se debe aprovechar la oportunidad para aprender del incidente y mejorar los procedimientos y el nivel de seguridad de la organización. Creación de un equipo de respuesta Todas las organizaciones necesitan contar con un plan de respuesta y, también, con un equipo que lo implemente. Por este motivo, la asistencia de los ejecutivos senior es un factor clave para lograr el éxito. De hecho, cuando un incidente evoluciona rápidamente, la participación de un ejecutivo senior con la autoridad para aprobar las medidas necesarias para contener y resolver el incidente puede ser crucial a la hora de obtener una ventaja en términos de velocidad sobre los atacantes. Las partes implicadas de los departamentos que puedan resultar afectadas por un incidente deberán formar parte del equipo de respuesta. Sin embargo, el mayor aporte al equipo lo realizará el personal técnico, quien implementará el plan y tendrá las habilidades necesarias para reparar los daños.

Las organizaciones no deben pensar que todas las posiciones dentro del equipo de respuesta deben ser ocupadas por personal interno. Los conocimientos externos se deben tener en cuenta para las habilidades especializadas y la experiencia en incidentes similares que se pueden incorporar al equipo. La composición del equipo también debe revisarse con frecuencia. Es posible que los miembros deban estar de turno durante períodos extensos y que disfruten del beneficio de salir del equipo de incidentes para descansar. Del mismo modo, algunos ejercicios y pruebas pueden identificar otras habilidades que se deban incorporar al equipo. Comprobación del plan Los ataques graves son eventos poco frecuentes. Lo ideal sería que el plan de incidentes y las habilidades del equipo de respuesta no deban ponerse en práctica nunca. Sin embargo, esto significa un riesgo de por sí. La comprobación regular del plan de incidentes permite revelar las áreas más débiles y evitar que se olviden ciertas habilidades por falta de uso. Los ejercicios de prueba pueden realizarse en papel, en cuyo caso la respuesta ante un ataque en evolución y la resolución del incidente se representan de forma teórica. O bien, se puede programar la prueba como un ejercicio en vivo en el cual un equipo de evaluadores de penetraciones simule la manera en que los atacantes pueden poner en peligro los sistemas. Los ejercicios regulares garantizan que los miembros del equipo se familiaricen con sus roles y responsabilidades. La prueba de diferentes situaciones de ataque garantiza que los procedimientos sean lo suficientemente completos y flexibles para responder ante futuros ataques. Los equipos deben adoptar el modelo de: planificar, hacer, comprobar y actuar. Planificar Hacer Actuar Comprobar

Planificar Hacer Comprobar Actuar Establecer objetivos, políticas y procedimientos para cumplir los requisitos de la empresa. Implementar estas políticas y estos procedimientos. Verificar si son efectivamente capaces de lograr los objetivos en la práctica. Tomar medidas para modificar los planes según la experiencia vivida para perfeccionarlos y mejorarlos. Mayor enfoque, menos riesgos.

Conclusión Al comprender cómo se producen los ataques, implementar los procedimientos correctos y desarrollar una estrategia de respuesta clara, las organizaciones podrán contrarrestar futuros ataques y recuperarse de los incidentes con mayor rapidez. Referencias 1 N. Falliere, L. O. Murchu, E. Chien, W32. Stuxnet Dossier (Expediente de W32. Stuxnet), libro blanco de Symantec Security Response, febrero de 2007 S. Davies, Out of Control (Fuera de control), Engineering & Technology v.6 (6), p. 60-62, julio de 2011 2 D. Walker, Saudi Oil Company Back Online After Cyber Sabotage Attempt (Empresa petrolera nuevamente online después de un intento de sabotaje en el ciberespacio), SC Magazine, 27 de agosto de 2012 3 H. Tsukayama, Cyber Attack on RSA Cost EMC $66 Million (Ciber-ataque en RSA le cuesta a EMC 66 millones de dólares), The Washington Post, 26 de julio de 2011 4 Top Four Mitigation Strategies to Protect Your ICT System (Cuatro estrategias principales de mitigación para proteger el sistema de ICT), Departamento de Defensa, Inteligencia y Seguridad del Gobierno de Australia, p. 1, septiembre de 2011 5 Executive Companion: 10 Steps to Cyber Security (Complemento ejecutivo: 10 pasos para la seguridad en el ciberespacio), Departamento de Negocios, Innovación y Habilidades, Centro para la Protección de la Infraestructura Nacional, Oficina de Seguridad en el Ciberespacio y Seguridad de la Información, p. 1, septiembre de 2012

Mayor enfoque, menos riesgos. Material de lectura adicional Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology (Directrices para la gestión de incidentes relacionados con la seguridad informática. Recomendaciones del Instituto Nacional de Estándares y Tecnología), NIST SP 800-61, rev. 2. Guide to Malware Incident Prevention and Handling. Recommendations of the National Institute of Standards and Technology (Guía sobre prevención y gestión de incidentes de programas maliciosos. Recomendaciones del Instituto Nacional de Estándares y Tecnología), NIST SP 800-83. BS ISO/IEC 27002:2005, Tecnología de la Información, Técnicas de seguridad, Código de práctica para la gestión de la seguridad de la información. BS ISO/IEC 27035:2011, Tecnología de la Información, Técnicas de seguridad, Gestión de incidentes para la seguridad de la información. PD ISO/IEC TR 18044:2004, Tecnología de la Información, Técnicas de seguridad, Gestión de incidentes para la seguridad de la información. BS ISO/IEC 27031:2011, Tecnología de la Información, Técnicas de seguridad, Directrices para determinar la idoneidad de la Tecnología de la Información y la comunicación para lograr la continuidad de la actividad empresarial. Mejores prácticas para la eliminación de virus en una red, Base de conocimientos de Symantec B. Nahorney & E. Maengkom, Containing an Outbreak. How to clean your network after an incident (Contiene un ataque. Cómo limpiar la red después de un incidente), libro blanco de Symantec Security Response. Symantec EMEA Sede central 350 Brook Drive Green Park Reading RG2 6UH Teléfono: +44 (0)870 243 1080 Fax: +44 (0)870 243 1081 Symantec es un líder mundial en soluciones de seguridad, almacenamiento y gestión de sistemas, que ayudan a los clientes a proteger y gestionar su información e identidades. Copyright 2013 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el logotipo de la marca de comprobación son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. 12/12 Symantec Security Response, Security Best Practices (Las mejores prácticas de seguridad), Capacitaciones de Symantec, Security Awareness Program (Programa de concienciación sobre seguridad) Resumen de la solución: Symantec Managed Security Services, Symantec Security Monitoring Services: Security log management, monitoring, and analysis by certified experts (Servicios de supervisión de seguridad de Symantec: gestión, supervisión y análisis de registros de seguridad por parte de expertos certificados) Resumen de la solución: Symantec Managed Security Services, Symantec Managed Protection Services: Optimize enterprise security protection while maintaining control (Servicios administrados de protección de Symantec: cómo optimizar la protección de la seguridad de la empresa y, a la vez, mantener el control) Para obtener estos y otros recursos, visite: www.symantec.com/es/es/security_response

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback