La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

TechNet: Introducción a Microsoft Operations Manager 2005. Ana Alfaro García Coordinadora de Eventos TechNet.

Presentaciones similares


Presentación del tema: "TechNet: Introducción a Microsoft Operations Manager 2005. Ana Alfaro García Coordinadora de Eventos TechNet."— Transcripción de la presentación:

1 TechNet: Introducción a Microsoft Operations Manager Ana Alfaro García Coordinadora de Eventos TechNet

2 Análisis Forense Entornos Windows Juan Luis García Rambla MVP Windows Security

3 Agenda Introducción. Introducción. Sistemas de auditoría. Sistemas de auditoría. El análisis de los procesos. El análisis de los procesos. Gestión del sistema de ficheros. Acceso a recursos. Gestión del sistema de ficheros. Acceso a recursos. Software de análisis forense. Software de análisis forense.

4 Introducción

5 Introducción - Nos espían. - Nos acechan. - Nos atacan. - Nos acosan. - ¿ y que podemos hacer además de aplicar defensas? Elemental querido Watson….. ¡Analizar la circunstancia! Es decir como los de C.S.I.

6 El análisis forense Cuando algo ha pasado que nos queda: Cuando algo ha pasado que nos queda: Deducir que ha pasado. Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder. Qué podemos hacer para evitar que vuelva a suceder.

7 Análisis basados en modelos. La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: Echar las redes R.E.D.A.R - Vocablo que significa: Echar las redes RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.

8 Digital Forensics Research Workshops (DFRW) Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Identificación. Identificación. Preservación. Preservación. Recogida. Recogida. Examinación. Examinación. Análisis. Análisis.

9 Modelo abstracto Este modelo llamado Modelo Forense Digital Abstracto, evoluciona del anterior y se basa en los siguientes procedimientos: Este modelo llamado Modelo Forense Digital Abstracto, evoluciona del anterior y se basa en los siguientes procedimientos: Identificación. Identificación. Preparación. Preparación. Estrategia de aproximación. Estrategia de aproximación. Preservación. Preservación. Recolección de datos. Recolección de datos. Examen de datos. Examen de datos. Análisis. Análisis. Presentación. Presentación. Retorno de evidencias. Retorno de evidencias.

10 ¿Qué se necesita para hacer un análisis forense? Análisis de la intrusión. Análisis de la intrusión. Análisis de daños. Análisis de daños. Examinar eventos sospechosos. Examinar eventos sospechosos. Búsqueda de evidencias. Búsqueda de evidencias. Herramientas de análisis. Herramientas de análisis. Análisis de los ficheros de registro. Análisis de los ficheros de registro.

11 Sistemas de auditoría

12 La auditoria: la clave, a priori… Auditoría a priori… ¿Qué analizo? ¿Cómo lo hago? ¿Pero que es lo importante? ¿Cuándo lo hago? ¿Las estaciones de trabajo también? ¿A quien monitorizo? ¿Todos los servidores? ¿Con que herramientas lo hago? ¿Los ficheros? ¿Las impresoras? ¿La red? ¿Los dispositivos USB? ¿Las grabadoras? ¿El correo electrónico? ¿El acceso a la intranet? ¿El acceso a Inernet? ¿El acceso a la extranet? ¿Las bases de datos? Arggggggggggggggg!!!!!!!!!!!!

13 La auditoria: la clave, a posteriori… Auditoria a posteriori… Suele llegar tarde… Aunque si un ladrón comete un robo y le sale bien, lo volverá a intentar…

14 Auditar es importante La auditoría es necesaria para evaluar la información. La auditoría es necesaria para evaluar la información. A priori sin entrar en el modo paranoia. Hay que focalizar el registro de información de la base de negocio. A priori sin entrar en el modo paranoia. Hay que focalizar el registro de información de la base de negocio. A posteriori, siempre es mejor que nada.Si la jugada salió bien porque no intentarlo de nuevo. A posteriori, siempre es mejor que nada.Si la jugada salió bien porque no intentarlo de nuevo.

15 Auditoria de sistemas. Los registros de Windows. Los registros de Windows. Sistemas. Sistemas. Seguridad. Seguridad. Aplicaciones. Aplicaciones. El visor de sucesos. Ese gran desconocido. El visor de sucesos. Ese gran desconocido.

16 Auditoría de recursos Auditoría de accesos a objetos. Auditoría de accesos a objetos. Auditoría de carpetas. Auditoría de carpetas. Auditoría de ficheros. Auditoría de ficheros. Auditoría de impresoras. Auditoría de impresoras. Hay que focalizar la auditoría, en la información sensible. Hay que focalizar la auditoría, en la información sensible.

17 Auditoría de servicios Muchos de los servicios cuentan con sus propios logs. Muchos de los servicios cuentan con sus propios logs. Servidores Web. Servidores Web. Servidores de correo. Servidores de correo. Servidores de base de datos. Servidores de base de datos. Servidores de seguridad. Servidores de seguridad.

18 ¿Qué debemos controlar? Accesos: identificar usuarios, puestos e IP. Accesos: identificar usuarios, puestos e IP. Qué información ha podido ser manipulada. Qué información ha podido ser manipulada. Cómo se ha podido realizar la intrusión. Cómo se ha podido realizar la intrusión. Cual era el objeto de la intrusión. Cual era el objeto de la intrusión. Podemos evitar nuevamente que se pueda producir la intrusión. Podemos evitar nuevamente que se pueda producir la intrusión.

19 Automatizar las auditorías Automatizar las auditorías es un procedimiento casi imposible, pero hay herramientas que facilitan esta tarea, recogiendo los datos y mostrando un pre-análisis de la información. Automatizar las auditorías es un procedimiento casi imposible, pero hay herramientas que facilitan esta tarea, recogiendo los datos y mostrando un pre-análisis de la información.

20 El análisis de los procesos

21 ¿Poqué analizar procesos? Muchos de los riesgos se producen estando los sistemas activos. Muchos de los riesgos se producen estando los sistemas activos. Debemos buscar evidencias que determinen algo que pueda estar pasando. Debemos buscar evidencias que determinen algo que pueda estar pasando. El malware es utilizado habitualmente como una forma para obtener la información. El malware es utilizado habitualmente como una forma para obtener la información.

22 Manipulación de procesos Muchos procesos pueden ser manipulados por los atacantes para esconder aplicaciones que capturen datos. Muchos procesos pueden ser manipulados por los atacantes para esconder aplicaciones que capturen datos. Otras veces nos harán pasar procesos maliciosos por procesos de sistema, mediante la ingeniería social. Otras veces nos harán pasar procesos maliciosos por procesos de sistema, mediante la ingeniería social. ¿Conocemos realmente cuales son los procesos necesarios y cuales no? ¿Conocemos realmente cuales son los procesos necesarios y cuales no?

23 Analisis de los procesos Hay que controlar determinados aspectos en los procesos: Hay que controlar determinados aspectos en los procesos: Qué escucha detrás de cada puerto. Qué escucha detrás de cada puerto. Qué dependencias existente entre los procesos. Qué dependencias existente entre los procesos. Qué subprocesos y hebrás están ejecutándose detrás de los procesos. Qué subprocesos y hebrás están ejecutándose detrás de los procesos. Malware colgado de procesos pueden ser detectados mediante el análisis. Malware colgado de procesos pueden ser detectados mediante el análisis. ¿Quien se está conectando a nuestros procesos? ¿Quien se está conectando a nuestros procesos?

24 El malware nos acecha Numerosas aplicaciones malware son capaces de robarnos o manipular la información. Numerosas aplicaciones malware son capaces de robarnos o manipular la información. Que nosotros o las aplicaciones de seguridad que tengamos instalados no las vean no implican que no existan. Que nosotros o las aplicaciones de seguridad que tengamos instalados no las vean no implican que no existan. Pueden ser más inteligentes que nosotros. Pueden ser más inteligentes que nosotros. Herramientas comerciales pueden pasar por malware y malware pasar por herramientas comerciales. Herramientas comerciales pueden pasar por malware y malware pasar por herramientas comerciales.

25 Análisis online u offline Aunque la mayor parte de la información se mantendrá cuando volvamos a reiniciar el sistema, determinado tipo de software pudiera ser volátil. Aunque la mayor parte de la información se mantendrá cuando volvamos a reiniciar el sistema, determinado tipo de software pudiera ser volátil. Los análisis online no deberían ser intrusivos, para evitar la enquistación o malversación de la información. Los análisis online no deberían ser intrusivos, para evitar la enquistación o malversación de la información.

26 IATHook Herramienta de análisis de procesos que buscan ganchos de aplicaciones malware. Herramienta de análisis de procesos que buscan ganchos de aplicaciones malware.

27 Gestión del sistema de ficheros

28 Analisis del sistema de ficheros Analizar un sistema de ficheros no implica que debemos modificar la información. Analizar un sistema de ficheros no implica que debemos modificar la información. Es necesario realizar una copia de los datos que salvaguarde la información original de manipulaciones malintencionadas. Es necesario realizar una copia de los datos que salvaguarde la información original de manipulaciones malintencionadas. El análisis debe evaluarse desde la información proporcionadas por las auditorias, así como la recuperación de datos eliminados o modificados. El análisis debe evaluarse desde la información proporcionadas por las auditorias, así como la recuperación de datos eliminados o modificados.

29 Apostar por NTFS Los sistemas NTFS permiten un control más exhaustiva de la información. Los sistemas NTFS permiten un control más exhaustiva de la información. La recuperación de los datos es más factible, aunque haya sido eliminado o la partición haya sido formateada. La recuperación de los datos es más factible, aunque haya sido eliminado o la partición haya sido formateada. Admite unos sistemas de seguridad mejorados. Admite unos sistemas de seguridad mejorados. Deben utilizarse también en las estaciones de trabajo. Deben utilizarse también en las estaciones de trabajo. Control de los atributos NTFS. Control de los atributos NTFS.

30 Prever los cambios Una buena práctica es tener una copia de las firmas de los ficheros, en sistemas poco móviles. Una buena práctica es tener una copia de las firmas de los ficheros, en sistemas poco móviles. Comparar los ficheros de firmas con la situación actual. Comparar los ficheros de firmas con la situación actual. Comparar la información con posibles copias de seguridad y evaluar quien tiene acceso a las mismas: tanto físicamente como a través de la red. Comparar la información con posibles copias de seguridad y evaluar quien tiene acceso a las mismas: tanto físicamente como a través de la red.

31 Datos locales o remotos Hay que tener en cuenta ambas perspectivas. Hay que tener en cuenta ambas perspectivas. Si tenemos un sistema de almacenamiento remoto (NAS), debe contar con un sistema de auditoría. Si tenemos un sistema de almacenamiento remoto (NAS), debe contar con un sistema de auditoría. La información local suele estar más dispersa y es más difícil realizar el control. La información local suele estar más dispersa y es más difícil realizar el control. Hay que concienciar que los datos alojados en un servidor está más protegidos. Hay que concienciar que los datos alojados en un servidor está más protegidos.

32 Evaluación de datos Comparar los ficheros offline y online. Comparar los ficheros offline y online. Buscar posibles ficheros o carpetas ocultas. Buscar posibles ficheros o carpetas ocultas. Sospechar de acciones de Rootkit. Sospechar de acciones de Rootkit.

33 Cuidado con Internet ¿Sabemos donde estamos entrando? ¿Sabemos donde estamos entrando? ¿Controlamos la información que nos llega? ¿Controlamos la información que nos llega? El spyware: la amenaza en la sombra. El spyware: la amenaza en la sombra. Audita la información que nos llega a través de los Navegadores. Audita la información que nos llega a través de los Navegadores.

34 El registro La base de datos del sistema. La base de datos del sistema. ¿Qué nos oculta? ¿Qué nos oculta? ¿Es deducible la información? ¿Es deducible la información? Nos aporta muchas pistas que pueden indicar que se está ejecutando. Nos aporta muchas pistas que pueden indicar que se está ejecutando.

35 Filemon Control de acceso y atributos sobre ficheros: gestión de evidencias. Control de acceso y atributos sobre ficheros: gestión de evidencias.

36 Regmon Buscando información online en el registro. Buscando información online en el registro.

37 Software de análisis forense

38 Existe la posibilidad de utilizar herramientas para automatizar los procedimientos de análisis forense. Existe la posibilidad de utilizar herramientas para automatizar los procedimientos de análisis forense. En muchas circunstancias cuando no sabemos que hacer, ellas marcan las pautas y los métodos. En muchas circunstancias cuando no sabemos que hacer, ellas marcan las pautas y los métodos. Normalmente obtienen las información por nosotros, pero no nos la deducen. Eso es cosa nuestra. Normalmente obtienen las información por nosotros, pero no nos la deducen. Eso es cosa nuestra.

39 ¿Qué hacen? Hacen copia binarias de discos. Hacen copia binarias de discos. Recopilan la información de los logs. Recopilan la información de los logs. Monitorizan los sistemas de ficheros. Monitorizan los sistemas de ficheros. Evalúan procesos. Evalúan procesos. Buscan elementos de malware. Buscan elementos de malware.

40 Encase Es una de las herramientas más afamadas y utilizadas. Es una de las herramientas más afamadas y utilizadas. Copia de datos. Realiza estudios de sistemas. Control de todo el sistema de ficheros. Control de ficheros. Control de procesos. Control de servicios web. Auditoría de información.

41 Encase

42 Helix Live-cd con herramientas para análisis forense. Live-cd con herramientas para análisis forense. Permite el análisis on-line y off-line. Permite el análisis on-line y off-line. Crea copia de discos y ficheros. Crea copia de discos y ficheros.

43 Boletín quincenal TechNews

44 Web MVPs

45 Próximas Acciones Listado de seminarios técnicos: Listado de seminarios técnicos: WebCast, Jornadas, Eventos y Seminarios: WebCast, Jornadas, Eventos y Seminarios: /default.mspx /default.mspx /default.mspx /default.mspx

46 Windows Server TechDay – Ampliando las fronteras tecnológicas de Windows Server. 13 de Marzo en Barcelona: 13 de Marzo en Barcelona: 15 de Marzo en Madrid: 15 de Marzo en Madrid:

47 Contactos Juan Luis García Rambla Juan Luis García Rambla


Descargar ppt "TechNet: Introducción a Microsoft Operations Manager 2005. Ana Alfaro García Coordinadora de Eventos TechNet."

Presentaciones similares


Anuncios Google