Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Respuesta a incidentes Eduardo Ruiz Duarte beck@hack3rs.org
2
¿qué es un incidente? Antes ¿qué es un evento? Un evento es un cambio observable en el comportamiento normal de un sistema
3
¿qué es un incidente? Tipos de evento: Normal: No afecta componentes criticos Escalado: Afecta sistemas de produccion criticos o requiere la implementacion de una resolucion que debe seguir un proceso de control de cambios Emergente: Impacta la salud o seguridad del personal, llega a los controles primarios o sistemas críticos, materialmente afecta el rendimiento de componentes o los afecta de manera critica,
4
¿qué es un incidente? Según ITIL un incidente es: “Cualquier evento que no es parte de la operación estándar de un servicio y que causa o puede causar una interrupción o reducción en la calidad del servicio”
5
¿qué es un incidente? Según la agencia de seguridad nacional de Estados Unidos (NSA) es: “Cualquier evento o amenaza de un evento que afecte el funcionamiento normal de una entidad o recurso”
6
¿qué es un incidente? Con todo esto podemos deducir que: Todos los incidentes son eventos Y todos los incidentes tienen como raíz la acción del componente humano
7
¿qué es seguridad perimetral? La seguridad perimetral es un concepto emergente asume la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles
8
Manejo de incidentes El manejo de incidentes basicamente es el proceso de restaurar operaciones con el mínimo impacto en las operaciones de negocios
9
Componentes básicos de manejo de incidentes (ITIL) Detección y documentación de incidente Clasificación del incidente, impactos económicos y soporte inicial (primer nivel) Investigación y diagnóstico Resolución y recuperación (soporte segundo nivel) Cierre de incidente Monitoreo de comportamiento según la modificación a la seguridad perimetral
10
Veamos un ejemplo de un proceso de manejo de incidentes de una empresa real
12
Tipos de incidentes en IT Recursos de cómputo comprometidos Abuso en servicios de correo Infringir copyrights Abuso en recursos de red Abuso de mala configuración en recursos Recursos físicos comprometidos
13
Recursos de cómputo comprometidos Estos incluyen: Comprometer cuentas de usuario en sistemas operativos Comprometer cuentas de usuario en servicios
14
Recursos de cómputo comprometidos Ejemplos : Aplicaciones web con usuarios “default” o del tipo “test/test” Compartir passwords a gente no autorizada para accesar servicios
15
Recursos de cómputo comprometidos Manejo de incidente: Las herramientas y técnicas explicadas en la primera parte Herramientas de analísis forense como son Sleuthkit, autopsy, getdataback para recuperación de datos
16
Abuso en servicios de correo Esto incluye: SPAM interno hacia el mundo Uso de credenciales de la empresa para hacer phishing, el cual es un método para poder utilizar la reputación de algo o alguien para engañar a otra entidad con el propósito de obtener información o un recurso
17
Abuso en servicios de correo Ejemplos: Usar la velocidad y los servicios de Open Relay de una empresa para enviar correos masivos usando el dominio interno Utilizar un error de XSS (Cross Site Scripting) para poder suplantar un “iframe” hacia un enlace externo y mandarlo masivamente con el propósito de obtener información o acceso a un recurso
18
Abuso en servicios de correo Manejo de incidente: Detección de fuente de abuso a través del administrador de la red utilizando logs de ruteadores hacia puertos SMTP (25,587 TCP) Redefinir la seguridad perimetral basadas en el punto anterior con el firewall Implementar QoS (Quality of service) para limitar ancho de banda y hacer no eficiente para un SPAMMER la red Appliances Anti-spam en los servicios de correo
19
Infringir copyrights Esto incluye: Uso de información confidencial para propósitos ajenos a la empresa Comercializar los productos que están respaldados bajo el secreto industrial
20
Infringir copyrights Ejemplo: Rehacer el diseño de un software del cual internamente se tiene acceso al código para poder comercializarlo
21
Infringir copyrights Manejo de incidente Detección de infracción en copyright mediante Helpdesk o quejas de usuarios Utilizar firmas digitales en códigos y marcas de agua en software Cifrado de códigos y propiedad intelectual con infraestructura PKI
22
Abuso de recursos de red Esto incluye: Actividad de escaneo de red Ataques de denegación de servicio
23
Abuso de recursos de red Ejemplo: Saturación de recursos de red utilizando SYN FLOOD o ICMP FLOOD Descargas de pornografía u otras cosas ajenas a la ética o políticas de la empresa Virus haciendo peticiones a otras entidades para transmisión de información
24
Abuso de recursos de red Manejo de incidente: Detección de sistemas afectados por mal uso de red a través de monitores como NAGIOS o helpdesk Uso de otro antivirus alternativo para scannear la red QoS desde carrier hacia red corporativa para que el ISP reciba los ataques QoS interno para limitar ancho de banda a usuarios hacia ciertas redes Firewall que limite ciertas FLAGS de red en capa 3 (RST, etc..) En caso de no tener el punto inicial (NAGIOS) implementarlo o algo similar para poder monitorear los servicios periódicamente y notificar fallas en procesos a través de SMS o correo electrónico
25
Abuso de mala configuración de recursos Esto incluye: Servidores proxy abiertos para uso no autorizado Software vulnerable que puede resultar en incidentes futuros Otros comportamientos que pueden violar las politicas y etica de la empresa
26
Abuso de mala configuración de recursos Ejemplos: El proxy mal configurado puede permitir acceso no autorizado a servidores internos para efectuar tareas ajenas a la empresa o uso indebido de recursos Software vulnerable puede hacer que se escalen privilegios
27
Abuso de mala configuración de recursos Manejo de incidente Limitar acceso a proxies u otros sistemas inmediatamente Definir los alcances de la mala configuración para comenzar a auditar todos los posibles procesos alcanzables por no autorizados Proxies con ACLs y filtrado por MAC Guidelines para programación de software y auditoria de 3 niveles
28
Recursos físicos comprometidos Esto incluye: Acceso a los sites de cómputo compartiendo credenciales a no autorizados La mala administración de passwords dejándolos al alcance de todos Acceso no autorizado de sistemas que produzcan magnetismo en sites
29
Recursos físicos comprometidos Ejemplos: Dejar pegado el password en un sticker en el monitor No seguir protocolos de acceso y pedir a otra persona que haga una tarea en el site prestándole tu carnet de acceso
30
Recursos físicos comprometidos Manejo de incidente Eliminar el acceso al site temporalmente Revisión de protocolos de seguridad y cámaras Implantación de dispositivos biométricos de acceso y cámaras para seguridad perimetral estudiados y documentados Cambio de passwords periódico Scanneo inicial de personal
31
Práctica Dar 3 ejemplos explícitos de incidentes de seguridad en solaris 10 así como su respuesta
32
Contacto Eduardo Ruiz Duarte beck@hack3rs.org
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.