Unidad 5 Gestión y Respuesta a Incidentes Materia: Gestión de Seguridad de la Información Profesores: Ing. Andres Fantin / Ing. Diego Bolatti UTN – FRRe – Ingeniería en Sistemas de la Información
Gestión y Respuesta a Incidentes La gestión de incidentes se define como la capacidad para gestionar efectivamente eventos perjudiciales inesperados con el objeto de minimizar los impactos y mantener o restaurar las operaciones normales dentro de los límites de tiempo definidos. La respuesta a incidentes es la capacidad operacional de la gestión de incidentes que identifica, prepara y responde a los incidentes para controlar y limitar los daños; proporciona prácticas forenses y de investigación; y mantiene, recupera y restaura las operaciones normales tal como se definió en los Acuerdos de Nivel de Servicio (SLA).
Objetivos y Visión General El objetivo es garantizar que el gerente de seguridad de la información cuente con los conocimientos necesarios para identificar, analizar, gestionar y responder con eficacia a eventos inesperados que pudieran tener un efecto adverso en los activos de información de la organización y/o en la capacidad de ésta para operar. La gestión y respuesta a incidentes es la parte operativa de la gestión de riesgos. Se trata de las actividades que tienen lugar como resultado de ataques no anticipados, pérdidas, robo, accidentes o cualquier otro evento adverso inesperado que ocurra como resultado de controles fallidos o inexistentes.
El Plan de Respuesta a Incidentes Como parte del proceso de planificación, las partes interesadas deben tomar varias decisiones, las cuales deberán ser ratificadas por la alta dirección. Entre esas decisiones se encuentran las siguientes: Capacidades de detección de incidentes Criterios de gravedad claramente definidos Capacidades de evaluación y priorización de emergencias Criterios de declaración Alcance de la gestión de incidentes Capacidades de respuesta
Conceptos iniciales El tratamiento de incidentes es un servicio que involucra a todos los procesos o tareas relacionados con el tratamiento de eventos e incidentes. Una gestión eficaz de incidentes garantizará que los incidentes se detecten, registren y gestionen para limitar los impactos. La respuesta a incidentes es el último paso en el proceso de tratamiento de incidentes que abarca la planificación, coordinación y ejecución de cualesquiera estrategias y acciones apropiadas de mitigación y recuperación. Las tecnologías automatizan los procesos manuales de detección, lo que proporciona información filtrada que ayudan la gestión (Ej. NIDS – Network Incident Detection System; HIDS Host Intrusion Detection System)
Alcance y Estatutos de la Gestión de Incidentes Un estatuto para la gestión de incidentes es un documento que establece formalmente el equipo de gestión de incidentes (IMT), y documenta su responsabilidad para gestionar y responder a incidentes relacionados con la seguridad. Las secciones del documento de estatutos deben incluir: Misión (metas generales) Alcance (Total, Parcial, Distribuida) Estructura organizacional (Organización administrativa) Flujo de información (Circuitos administrativos de información sobre incidentes) Servicios proporcionados (Prestaciones del IMT)
Roles y Responsabilidades De Gestion Desarrollar planes de gestión y respuesta a incidentes Manejar y coordinar las actividades de respuesta a incidentes de manera eficaz y eficiente Validar, verificar y reportar las soluciones de protección o de contramedidas, tanto técnicas como administrativas Llevar a cabo la planificación, la elaboración de presupuesto y el desarrollo del programa para todos los aspectos relativos a la gestión y respuesta a incidentes De Respuesta Contener los efectos del incidente para que el daño y las pérdidas no alcancen proporciones incontrolables Notificar a la gente apropiada el propósito de la recuperación Recuperarse rápida y eficazmente de los incidentes Minimizar el impacto del incidente Responder de forma sistemática y reducir la probabilidad de reincidencia Equilibrar los procesos operativos y de seguridad Resolver problemas legales y relacionados con el cumplimiento de las leyes
Objetivos de la Gestión de Incidentes Los objetivos de la gestión de incidentes son los siguientes: Manejar incidentes cuando ocurren, de tal forma que sea posible mitigar o erradicar la exposición y permitir la recuperación dentro de una ventana de interrupción aceptable (AIW). Prevenir que vuelvan a ocurrir incidentes previos mediante la documentación y aprendizaje de incidentes pasados. Aplicar contramedidas proactivas para prevenir/minimizar la probabilidad de que los incidentes tengan lugar.
Métricas e Indicadores Algunos indicadores comunes: Número total de incidentes reportados Número total de incidentes detectados Tiempo promedio para responder a un incidente en relación con la AIW Tiempo promedio para resolver un incidente Número total de incidentes resueltos satisfactoriamente Medidas proactivas y preventivas tomadas Número total de empleados que reciben cursos de concienciación sobre seguridad Daño total ocasionado por incidentes reportados y detectados en caso de que no se haya respondido a ellos Ahorros totales de los posibles daños que se hubieran generado por incidentes resueltos
Definición de Procedimientos Preparar/mejorar/sustentar (preparar)—Este proceso define todo el trabajo de preparación que se debe realizar antes de contar con alguna capacidad para responder a incidentes Proteger la infraestructura (proteger)—El proceso de protección tiene la intención de proteger y asegurar los datos críticos y la infraestructura informática, así como a su comunidad de usuarios cuando se responde a un incidente Detectar eventos (detectar)—El proceso de detección identifica cualquier actividad inusual/sospechosa que pudiera comprometer las funciones de negocio críticas o la infraestructura Eventos de priorización de emergencias (priorización de emergencias)—La priorización de emergencias es un proceso que consiste en clasificar, categorizar, correlacionar, priorizar y asignar reportes/eventos entrantes Responder—El proceso de respuesta incluye los pasos que se toman para tratar, resolver o mitigar un incidente.
Recursos disponibles Politicas y Estandares Tecnologias Personal Roles y Responsabilidades Habilidades Concientización y Formación Auditorías Análisis BIA Proveedores externos (Outsourcing)
Desarrollo de un Plan de Respuesta a Incidentes
Situación Actual Encuesta a la alta dirección, gerentes de negocio y representantes de TI—Una encuesta resulta de utilidad para determinar cómo se ha ejecutado la capacidad de gestión de incidentes en el pasado, o bien, la percepción que se tiene de dicha capacidad. Autoevaluación—El IMT lleva a cabo una autoevaluación comparada con el conjunto de criterios para desarrollar un entendimiento de las capacidades actuales. Evaluación o auditoría externa—La opción más detallada que combina entrevistas, encuestas, simulación y otras técnicas de evaluación en la evaluación.
Situación Actual – Otros recursos HISTORIAL DE INCIDENTES AMENAZAS (Ambientales, Técnicas, Ocasionadas por el Hombre) VULNERABILIDADES RIESGOS y TOLERANCIA AL RIESGO INTEGRACIÓN DE UN ANÁLISIS DE IMPACTO AL NEGOCIO EN LA RESPUESTA DE INCIDENTES INTEGRACIÓN DEL TIEMPO OBJETIVO DE RECUPERACIÓN EN LA RESPUESTA A INCIDENTES INTEGRACIÓN DEL PUNTO OBJETIVO DE RECUPERACIÓN EN LA RESPUESTA A INCIDENTES INTEGRACIÓN DE LOS OBJETIVOS DE LA PRESTACIÓN DE SERVICIOS A LA RESPUESTA A INCIDENTES INTEGRACIÓN DE LA INTERRUPCIÓN MÁXIMA TOLERABLE A LA RESPUESTA A INCIDENTES
Elementos de un Plan de Respuesta a Incidentes Preparación—Esta fase prepara a una organización para desarrollar un plan de respuesta a incidentes antes de que ocurra un incidente. Identificación—Esta fase tiene el propósito de verificar si ha ocurrido un incidente y determinar mayores detalles. Contención/Limitación del riesgo—Tiene el propósito de limitar la consecuencia del evento. Erradicación—Luego de aplicar las medidas de contención, se debe determinar la causa raíz del incidente y erradicarla. Lecciones aprendidas—Por último, se debe elaborar un reporte para compartir lo que sucedió, las medidas que se tomaron y los resultados obtenidos después de que se ejecutó el plan.
Ejemplo: Código malicioso Etapa 1 (Preparación): Crear políticas y procedimientos: las políticas deben requerir que las auditorías estén habilitadas en todos los sistemas críticos; adquirir e instalar software antimalware; adquirir herramientas de forensia. Etapa 2 (Identificación): Monitorear regularmente las alertas de los antivirus y otros productos antimalware y los logs de auditoria de sistemas (eventviewer, journals, etc.). Controlar existencia de herramientas no autorizadas en el sistema; Informes de usuarios alertando comportamientos anómalos del sistema; detección de procesos extraños; generación de tráficos anormal en la red; etc. Se puede utilizar una matriz de diagnostico. Etapa 3 (Contención): Determinar la inmediatez de la contención. Si es posible, desconectar de la red, haga una copia bit a bit con una herramienta de forensia;
Ejemplo: Código malicioso Etapa 4 (Erradicación): Realice análisis forense; use las herramientas de antimalware o procedimientos manuales (o ambos) para borrar todo el malware del sistema. Etapa 5 (Recuperación): Regrese los sistemas, aplicaciones y datos a su estado de operación habitual usando los procedimientos preestablecidos a tal fin; validar que el sistema esta libre de amenazas ; cambiar todas las passwords si el sistema fue vulnerado a un nivel de superusuario. Etapa 6 (Seguimiento): Recolectar toda la información sobre el incidente y escribir un reporte para la superioridad; analice y ponga en práctica las lecciones aprendidas para manejar este tipo de incidentes.
Desarrollo de Planes de Respuesta y Recuperación Organizar, capacitar y equipar al personal de respuesta a incidentes Planes de recuperación y procesos de recuperación de negocio Estrategias de recuperación Tratamiento de amenazas Sitios de recuperación y fundamentos para su selección Acuerdos recíprocos Implementación de estrategias Equipos de gestión y respuesta a incidentes (de emergencia, de evaluación de daños, etc.) Requerimientos de notificación (a quien y como notificar) Suministros (insumos necesarios a disposición ante evento)
Desarrollo de Planes de Respuesta y Recuperación Redes de comunicaciones y Métodos para proporcionar continuidad de los servicios de redes Consideraciones de alta disponibilidad (UPS, RAID, CLUSTERING, etc.) Seguros (a equipos o instalaciones de TI, software, interrupción del negocio, fidelidad, etc.) Actualización de los planes de recuperación Comprensión de las prácticas de respuesta y recuperación Seguridad de la información de los planes de recuperación
Prueba del plan El principal objetivo de las pruebas de los planes de recuperación es garantizar el éxito de los mismos en una situación real. Deben enfocarse en: Identificar diferencias Verificar presunciones Probar períodos de tiempo Efectividad de estrategias Rendimiento de personal Precisión y uso de información sobre el plan
Tipos de Prueba Verificación estructurada—Los miembros del equipo implementan físicamente los planes en el papel y revisan cada paso para evaluar su efectividad, identificar mejoras, limitaciones y deficiencias. Prueba de simulación—El equipo de recuperación representa una situación de desastre preparada sin activar el procesamiento en el sitio de recuperación. Prueba paralela—El sitio de recuperación se lleva a un estado de preparación operacional, pero las operaciones en el sitio primario continúan normalmente. Prueba de interrupción completa—Las operaciones se interrumpen en el sitio primario y se transfieren al sitio de recuperación de acuerdo con el plan de recuperación; la forma más rigurosa de prueba, pero costosa y potencialmente perjudicial.
Resultados esperados de las pruebas Verificar la integridad y la precisión del plan de respuesta y recuperación. Evaluar el desempeño del personal involucrado en el ejercicio. Evaluar el nivel demostrado de capacitación y concienciación de las personas que no forman parte del equipo de respuesta y recuperación. Evaluar la coordinación entre los miembros del equipo y los contratistas y proveedores externos. Medir la habilidad y la capacidad del sitio alterno para realizar procesamientos recomendados. Evaluar la capacidad de recuperación de registros vitales. Evaluar el estado y la cantidad de equipos e insumos que se han reubicado al sitio de recuperación. Medir el desempeño general de las actividades de procesamiento de sistemas de información y operativos
Ejecución de los Planes GARANTIZAR LA EJECUCIÓN DE LOS PLANES SEGÚN LO REQUERIDO: implica que una persona actúe como facilitador o director para coordinar las tareas que formen parte de los planes, supervisar su ejecución, coordinarse con la alta dirección y tomar decisiones según sea necesario PROCESO DE ESCALAMIENTO PARA UNA GESTION EFICAZ DE INCIDENTES POLÍTICAS Y PROCESOS PARA LA DETECCIÓN DE INTRUSOS PROCESOS DE CENTRO DE SOPORTE (HELP DESK) PARA IDENTIFICAR LOS INCIDENTES RELACIONADOS CON LA SEGURIDAD EL PROCESO DE NOTIFICACIÓN OPERACIONES DE RECUPERACIÓN
Documentación de Eventos Formularios de cadena de custodia que incluyen: el nombre y la información de contacto de los custodios cuándo, por qué y por quién fue adquirida o movida la evidencia la identificación detallada de la evidencia (números de serie, información sobre el modelo, etc.) dónde está guardada (física o lógicamente) cuándo/si fue devuelta Listas de verificación para contratar técnicos (que incluyen detalles de prácticas forenses legalmente aceptables) Formularios firmados de confidencialidad/no divulgación para todos los técnicos involucrados en la recuperación de evidencia
Documentación de Eventos Un registro (log) de casos actualizados que detalle: fechas en que se recibieron las solicitudes fechas en que se asignaron las investigaciones a los investigadores nombre e información de contacto de investigador y solicitante número de caso notas básicas sobre el caso y sus requerimientos y procedimientos fecha en que se completó Plantillas de informes de investigación que incluyan: nombre e información de contacto de investigadores fecha de la investigación y un número de caso detalles de entrevistas o comunicaciones con la gestión detalles de dispositivos o datos que se adquirieron detalles de herramientas de software o hardware utilizadas detalles de resultados y firmas finales del investigador a cargo
Documentación de Eventos Procedimientos para iniciar una investigación forense que sea acordada, documentada, seguida cuidadosamente y comprendida por todos en la empresa. El gerente de seguridad de la información debería trabajar con la gestión y recursos humanos (y otras partes interesadas) para establecer un proceso que asegure que todas las investigaciones sean justas, imparciales y bien documentadas
Revisiones posteriores al evento IDENTIFICACIÓN DE CAUSAS Y ACCIONES CORRECTIVAS ¿Quién está involucrado? ¿Qué sucedió? ¿De dónde se originó el ataque? ¿Cuándo (qué margen de tiempo)? ¿Porque sucedió? ¿Cómo se vulneró el sistema o cómo ocurrió el ataque? ¿Cuál fue la razón para perpetrar el ataque? Entender el propósito y la estructura de las revisiones posteriores al incidente y los procedimientos de seguimiento permite al gerente de seguridad de la información mejorar continuamente el programa de seguridad
Material de lectura adicional Alberts, Chris; Audrey Dorofee; Georgia Killcrece; Robin Ruefle; Mark Zajicek; Defining Incident Management Processes for CSIRTs: A Work in Progress, Software Engineering Institute, Carnegie Mellon University, USA, 2007, www.sei.cmu.edu/publications/documents/04.reports/04tr015.html Carnegie Mellon University, Software Engineering Institute, CERT® Coordination Center; Creating a Computer Security Incident Response Team: A Process for Getting Started, February 2006, www.cert.org/csirts/Creating-A-CSIRT.html Centro de Respuesta a Incidentes Argentino (www.arcert.gov.ar)