La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Respuesta a incidentes Eduardo Ruiz Duarte

Publicada porLeocadio Lovato Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Respuesta a incidentes Eduardo Ruiz Duarte"— Transcripción de la presentación:

1 Respuesta a incidentes Eduardo Ruiz Duarte beck@hack3rs.org

2 ¿qué es un incidente? Antes ¿qué es un evento? Un evento es un cambio observable en el comportamiento normal de un sistema

3 ¿qué es un incidente? Tipos de evento: Normal: No afecta componentes criticos Escalado: Afecta sistemas de produccion criticos o requiere la implementacion de una resolucion que debe seguir un proceso de control de cambios Emergente: Impacta la salud o seguridad del personal, llega a los controles primarios o sistemas críticos, materialmente afecta el rendimiento de componentes o los afecta de manera critica,

4 ¿qué es un incidente? Según ITIL un incidente es: “Cualquier evento que no es parte de la operación estándar de un servicio y que causa o puede causar una interrupción o reducción en la calidad del servicio”

5 ¿qué es un incidente? Según la agencia de seguridad nacional de Estados Unidos (NSA) es: “Cualquier evento o amenaza de un evento que afecte el funcionamiento normal de una entidad o recurso”

6 ¿qué es un incidente? Con todo esto podemos deducir que: Todos los incidentes son eventos Y todos los incidentes tienen como raíz la acción del componente humano

7 ¿qué es seguridad perimetral? La seguridad perimetral es un concepto emergente asume la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles

8 Manejo de incidentes El manejo de incidentes basicamente es el proceso de restaurar operaciones con el mínimo impacto en las operaciones de negocios

9 Componentes básicos de manejo de incidentes (ITIL) Detección y documentación de incidente Clasificación del incidente, impactos económicos y soporte inicial (primer nivel) Investigación y diagnóstico Resolución y recuperación (soporte segundo nivel) Cierre de incidente Monitoreo de comportamiento según la modificación a la seguridad perimetral

10 Veamos un ejemplo de un proceso de manejo de incidentes de una empresa real

11

12 Tipos de incidentes en IT Recursos de cómputo comprometidos Abuso en servicios de correo Infringir copyrights Abuso en recursos de red Abuso de mala configuración en recursos Recursos físicos comprometidos

13 Recursos de cómputo comprometidos Estos incluyen: Comprometer cuentas de usuario en sistemas operativos Comprometer cuentas de usuario en servicios

14 Recursos de cómputo comprometidos Ejemplos : Aplicaciones web con usuarios “default” o del tipo “test/test” Compartir passwords a gente no autorizada para accesar servicios

15 Recursos de cómputo comprometidos Manejo de incidente: Las herramientas y técnicas explicadas en la primera parte Herramientas de analísis forense como son Sleuthkit, autopsy, getdataback para recuperación de datos

16 Abuso en servicios de correo Esto incluye: SPAM interno hacia el mundo Uso de credenciales de la empresa para hacer phishing, el cual es un método para poder utilizar la reputación de algo o alguien para engañar a otra entidad con el propósito de obtener información o un recurso

17 Abuso en servicios de correo Ejemplos: Usar la velocidad y los servicios de Open Relay de una empresa para enviar correos masivos usando el dominio interno Utilizar un error de XSS (Cross Site Scripting) para poder suplantar un “iframe” hacia un enlace externo y mandarlo masivamente con el propósito de obtener información o acceso a un recurso

18 Abuso en servicios de correo Manejo de incidente: Detección de fuente de abuso a través del administrador de la red utilizando logs de ruteadores hacia puertos SMTP (25,587 TCP) Redefinir la seguridad perimetral basadas en el punto anterior con el firewall Implementar QoS (Quality of service) para limitar ancho de banda y hacer no eficiente para un SPAMMER la red Appliances Anti-spam en los servicios de correo

19 Infringir copyrights Esto incluye: Uso de información confidencial para propósitos ajenos a la empresa Comercializar los productos que están respaldados bajo el secreto industrial

20 Infringir copyrights Ejemplo: Rehacer el diseño de un software del cual internamente se tiene acceso al código para poder comercializarlo

21 Infringir copyrights Manejo de incidente Detección de infracción en copyright mediante Helpdesk o quejas de usuarios Utilizar firmas digitales en códigos y marcas de agua en software Cifrado de códigos y propiedad intelectual con infraestructura PKI

22 Abuso de recursos de red Esto incluye: Actividad de escaneo de red Ataques de denegación de servicio

23 Abuso de recursos de red Ejemplo: Saturación de recursos de red utilizando SYN FLOOD o ICMP FLOOD Descargas de pornografía u otras cosas ajenas a la ética o políticas de la empresa Virus haciendo peticiones a otras entidades para transmisión de información

24 Abuso de recursos de red Manejo de incidente: Detección de sistemas afectados por mal uso de red a través de monitores como NAGIOS o helpdesk Uso de otro antivirus alternativo para scannear la red QoS desde carrier hacia red corporativa para que el ISP reciba los ataques QoS interno para limitar ancho de banda a usuarios hacia ciertas redes Firewall que limite ciertas FLAGS de red en capa 3 (RST, etc..) En caso de no tener el punto inicial (NAGIOS) implementarlo o algo similar para poder monitorear los servicios periódicamente y notificar fallas en procesos a través de SMS o correo electrónico

25 Abuso de mala configuración de recursos Esto incluye: Servidores proxy abiertos para uso no autorizado Software vulnerable que puede resultar en incidentes futuros Otros comportamientos que pueden violar las politicas y etica de la empresa

26 Abuso de mala configuración de recursos Ejemplos: El proxy mal configurado puede permitir acceso no autorizado a servidores internos para efectuar tareas ajenas a la empresa o uso indebido de recursos Software vulnerable puede hacer que se escalen privilegios

27 Abuso de mala configuración de recursos Manejo de incidente Limitar acceso a proxies u otros sistemas inmediatamente Definir los alcances de la mala configuración para comenzar a auditar todos los posibles procesos alcanzables por no autorizados Proxies con ACLs y filtrado por MAC Guidelines para programación de software y auditoria de 3 niveles

28 Recursos físicos comprometidos Esto incluye: Acceso a los sites de cómputo compartiendo credenciales a no autorizados La mala administración de passwords dejándolos al alcance de todos Acceso no autorizado de sistemas que produzcan magnetismo en sites

29 Recursos físicos comprometidos Ejemplos: Dejar pegado el password en un sticker en el monitor No seguir protocolos de acceso y pedir a otra persona que haga una tarea en el site prestándole tu carnet de acceso

30 Recursos físicos comprometidos Manejo de incidente Eliminar el acceso al site temporalmente Revisión de protocolos de seguridad y cámaras Implantación de dispositivos biométricos de acceso y cámaras para seguridad perimetral estudiados y documentados Cambio de passwords periódico Scanneo inicial de personal

31 Práctica Dar 3 ejemplos explícitos de incidentes de seguridad en solaris 10 así como su respuesta

32 Contacto Eduardo Ruiz Duarte beck@hack3rs.org

Descargar ppt "Respuesta a incidentes Eduardo Ruiz Duarte"

Presentaciones similares

Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
Que es ITIL? ITIL® (IT Infrastructure Library) es el marco de procesos de Gestión de Servicios de TI más aceptado. ITIL® proporciona un conjunto de mejores.

Que es ITIL? ITIL® (IT Infrastructure Library) es el marco de procesos de Gestión de Servicios de TI más aceptado. ITIL® proporciona un conjunto de mejores.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
TECNICO EN INFORMATICA PERSONAL Y PROFESIONAL.

TECNICO EN INFORMATICA PERSONAL Y PROFESIONAL.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Firewalls COMP 417.

Firewalls COMP 417.
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Introducción a servidores

Introducción a servidores
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento

Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles

PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Software(s) para analizar trafico de red y ancho de banda

Software(s) para analizar trafico de red y ancho de banda
Administración de redes

Administración de redes
Auditoria Informática Unidad II

Auditoria Informática Unidad II

Presentaciones similares

Anuncios Google