La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Medidas a tener en cuenta como elementos probatorios en caso de una intrusión. Un caso práctico Manuel H. Santander Peláez GIAC Certified Forensic Analyst.

Presentaciones similares


Presentación del tema: "Medidas a tener en cuenta como elementos probatorios en caso de una intrusión. Un caso práctico Manuel H. Santander Peláez GIAC Certified Forensic Analyst."— Transcripción de la presentación:

1 Medidas a tener en cuenta como elementos probatorios en caso de una intrusión. Un caso práctico Manuel H. Santander Peláez GIAC Certified Forensic Analyst

2 Objetivo Presentar a los asistentes del evento V Jornada Nacional de Seguridad Informática una base de controles adecuada para llevar el registro de las acciones realizadas por los usuarios, con el fin de servir como pruebas a la hora de argumentar un caso de computación forense. V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P.

3 Agenda Introducción Proceso de atención de incidentes de Seguridad Factores críticos de éxito Línea base de controles propuesta Conclusiones V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P.

4 Introducción Tomado de

5 Introducción V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Hijacking de Sesiones Falsificación de paquetes Password Guessing Autoreplicación de Código Cracking de Passwords Explotando Vulnerabilidades Conocidas Deshabilitando Auditoría Back Doors Sweepers Sniffers Diagnóstico no detectable Conocimiento Técnico Requerido Alto Bajo 2000

6 Introducción V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Tomado de

7 Introducción V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. ¿Qué se considera una amenaza? Es la posibilidad que un siniestro pueda ocurrir. ¿Qué se considera un riesgo? Es toda amenaza evaluada en cuanto su posibilidad de ocurrencia y al impacto esperado.

8 Introducción V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. ¿Qué se considera evidencia? Se constituye en aquella porción de información que permite afirmar o descartar la ocurrencia de un hecho en específico. Debe correlacionar todas las posibles variables para no ser circunstancial.

9 Proceso de Atención de Incidentes de Seguridad V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Objetivo: Determinar el origen y las causas de los incidentes de seguridad informática que se presentan, con el fin de prevenir, mitigar, corregir y controlar los riesgos en la infraestructura informática que soporta los procesos críticos del negocio

10 Proceso de Atención de Incidentes de Seguridad V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Metodología –Descripción del sistema –Verificación del incidente –Continuidad del servicio –Recolección de la evidencia –Creación y análisis de la línea de tiempo –Análisis específico de medios –Recuperación de datos –Realización de reportes –Implantación de recomendaciones

11 Factores Críticos de Éxito V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Pasos críticos: Verificación del incidente: –Línea base de Seguridad –Cuentas y privilegios Recolección de la evidencia –Zona horaria –Rootkits –Logs arquitectura de seguridad

12 Factores Críticos de Éxito V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Pasos críticos: Análisis específico de medios: –Recuperación de logs –Reconocimiento trojans –Correlación eventos Línea de Tiempo – Firewall – IDS – IPS –Información de inicio de sesión del modelo de autenticación

13 Factores Críticos de Éxito V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Qué controles deben tenerse para asegurar el éxito en la realización de los pasos críticos?DEMOSTRACIÓN

14 Línea base de controles propuesta V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Elementos: –Direcciones IP –Nombres de Usuario –Punto de Red –Roles Información del sistema de archivos: –Línea de tiempo

15 Línea base de controles propuesta V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Cómo correlacionar esta información para que tenga sentido? –Modelo integrado de autenticación –Registro correlacionado de asignación entre nombre de usuario, dirección IP y permisos –Registro de inicio de sesión para el uso de los recursos –Independencia de los ambientes –Identificación adecuada de los permisos asignados

16 Línea base de controles propuesta V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Nivel de aplicación: Metadirectorios, Sistemas de Prevención de Intrusos (IPS), Registro de accesos de las aplicaciones. Nivel de transporte y red: Firewalls, IDS, IPSEC, VPN, DHCP. Nivel de Enlace de Datos: 802.1X, VLAN Dinámicas, Aseguramiento de puertos.

17 Conclusiones V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. La metodología forense puede encontrar información de un hecho delictivo en el medio físico donde ocurrió, pero en forma aislada, lo cual no se constituye en prueba de fundamentación válida contra un sujeto en la corte.

18 Conclusiones V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Debe constituirse un modelo integrado que provea la información requerida para que la evidencia encontrada en cualquiera de los casos sea contundente. Este modelo debe estar acompañado de políticas y procedimientos que garanticen el mano de la información del mismo

19 V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. ¿ Preguntas? ¿ Comentarios?

20 V Jornada Nacional de Seguridad Informática – ACIS – Manuel Humberto Santander P. Por su Atención, ¡Muchas Gracias! Manuel H. Santander P.


Descargar ppt "Medidas a tener en cuenta como elementos probatorios en caso de una intrusión. Un caso práctico Manuel H. Santander Peláez GIAC Certified Forensic Analyst."

Presentaciones similares


Anuncios Google