Incidentes de Seguridad Informática en las Empresas CSIRT: un modelo de respuesta Dr. Ing. Gustavo Betarte gbetarte@tilsor.com.uy CIGRAS 2012 CIGRAS 2012
Plan de la Presentación Motivación y Contexto Creación y operación de un equipo de respuesta a incidentes de SI CSIRT Tilsor Conclusiones CIGRAS 2012 CIGRAS 2012
Motivación Nuevas tecnologías han revolucionado la forma de proveer servicios y hacer negocios pero también han introducido nuevos riesgos Es necesario reconocer y asumir que la seguridad total no existe Incidentes de seguridad informática son un dato de la realidad y es necesario desarrollar mecanismos para gestionarlos La complejidad para realizar un ataque sofisticado ha disminuido significativamente y la motivación se ha diversificado e incrementado Velocidad con la que las empresas y organizaciones puedan reconocer, analizar y responder a un incidente limitará los daños y disminuirá los costos de recuperación CIGRAS 2012 CIGRAS 2012
Contexto CIGRAS 2012 CIGRAS 2012 4
Tendencias Convergencia Consecuencias Interconexión de sistemas internos Interdependencia con sistemas externos Consolidación hacia estándares abiertos (IP) Consecuencias Exposición de los sistemas (de infraestructuras críticas) a potenciales ataques de Internet Nuevos riesgos: conexiones wireless, mantenimiento remoto por terceros Ataques pueden tener consecuencias que superen el valor de la organización o compañía, con consecuencias significativas CIGRAS 2012 CIGRAS 2012
Desafíos de la Seguridad de la Información La Seguridad se ha convertido en un área crítica de los Sistemas de Información Cómo encarar este desafío? Gestión de la Seguridad de la Información Sensibilización y Capacitación Evaluación proactiva del nivel de aseguramiento de las plataformas informáticas y de comunicación Gestión de incidentes (qué nivel de criticidad?) CIGRAS 2012 CIGRAS 2012
Incidentes: Impacto Reporte Norton Cyber Crime 2011 Daños del orden de los 338.000 M USD LATAM: Brasil y México son los más afectados Reporte ARBOR Networks 2011 Infrastructure Security Uruguay: Top 2 en BPS y PPS promedio de Misuse DDoS attacks en LATAM El 70% de los encuestados nunca intentaron efectuar una respuesta a un ataque DDoS Ataques a gran empresa y gobiernos en aumento Denegación de servicios (DDoS) Botnets Phishing Defacement CIGRAS 2012 CIGRAS 2012
Incidentes: Soluciones Los expertos piden Centrarse en la detección y no únicamente en la protección Monitorear y gestionar incidentes Enfocar los esfuerzos de protección en los activos críticos y no sólo en el perímetro Apoyo en CERTs/CSIRTs 40% de encuestados tienen CERT o CSIRT 66% colaboran con un CERT nacional CIGRAS 2012 CIGRAS 2012 8
CERT/CC: Origen 1988, Internet Worm afecta a un alto porcentaje de sistemas, dejándolos fuera de servicio Se define estrategia para mejorar respuesta a incidentes de seguridad informática La agencia DARPA crea el CERT/CC en el SEI de la Carnegie Mellon University CIGRAS 2012 CIGRAS 2012
CERT/CC: Misión Responder a incidentes de seguridad en Internet Servir como modelo de operaciones para otros equipos de respuesta Facilitar la creación de otros grupos (CSIRTs) que sirvan a otras comunidades objetivo (constituencies) Facilitar la comunicación/divulgación de incidentes informáticos y coordinar acciones a nivel nacional o regional CIGRAS 2012 CIGRAS 2012
Un enfoque organizacional para la gestión de incidentes de seguridad CIGRAS 2012 CIGRAS 2012 11
CSIRT: Qué es? “A Computer Security Incident Response Team (CSIRT) is a service organization that is responsible for receiving, reviewing, and responding to computer security incident reports and activity. The services are usually performed for a defined constituency” (CERT/CC) CIGRAS 2012 CIGRAS 2012
CSIRT: Aspectos fundamentales Visión/Misión Objetivos de alto nivel y sus prioridades Comunidad Objetivo (Constituency) Destinatarios a los que el CSIRT dará servicios Servicios Qué servicios le ofrece el CSIRT a su comunidad objetivo Forma de relacionamiento Forma de cooperación, coordinación (o cualquier interacción) con otros CSIRTs CIGRAS 2012 CIGRAS 2012
CSIRT: Comunidad Objetivo Entidad específica a la cual el CSIRT sirve Puede ser acotada o no Generalmente refleja la fuente de financiamiento Relacionamiento con la comunidad objetivo: Full: el CSIRT tiene autoridad total Shared: el CSIRT comparte las decisiones None: El CSIRT no tiene autoridad CIGRAS 2012 CIGRAS 2012
CSIRT: Tipos de Comunidad Objetivo Nacionales (CERTuy, ArCERT, CERT.br,…) Organizacionales: Banco, Telco (CSIRT ANTEL), Empresa TI (CSIRT Tilsor) Network Service Provider: ISP (CSIRT ANTEL) Técnicas: el uso de un determinado S.O. Contractual: quienes adquieren un servicio CIGRAS 2012 CIGRAS 2012
Ref: CSIRT Services, CERT/CC CSIRT: Servicios Ref: CSIRT Services, CERT/CC CIGRAS 2012 CIGRAS 2012
CSIRT Tilsor CIGRAS 2012 CIGRAS 2012 17
TILSOR Hoy +250 clientes entre Organismos Públicos y Empresas Privadas TILSOR +350 mil horas de consultoría en Tecnologías de la Información +40 mil horas de entrenamiento certificado El objetivo es situar las acciones de preventa dentro del contexto de la diversidad de actividades que realiza TILSOR. Dentro de ese esquema +13 mil casos de Soporte Técnico resueltos CIGRAS 2012 CIGRAS 2012 18
Estrategia de la empresa en Seguridad Informática: Por qué un CSIRT? Estrategia de la empresa en Seguridad Informática: Requerimiento interno Desarrollo de un área de servicios Desafíos Consolidar masa crítica experta Identificar necesidades del mercado Posicionarse como un referente CIGRAS 2012 CIGRAS 2012
Comunidad Objetivo Interna Externa SGSI de Tilsor Infraestructura Tecnológica y Sistemas de Información de Tilsor SA Servicios reactivos, proactivos y calidad de seguridad Externa Socios y clientes de Tilsor SA Servicios proactivos y calidad de seguridad CIGRAS 2012 CIGRAS 2012
Servicios Reactivos Proactivos Calidad de seguridad Gestión de incidentes Alarmas Gestión de vulnerabilidades y artefactos Proactivos Observatorio tecnológico Desarrollo de herramientas Calidad de seguridad Sensibilización y capacitación Evaluación de seguridad de infraestructuras y aplicaciones CIGRAS 2012 CIGRAS 2012
A nuestros clientes y socios Valor adicional A la comunidad interna Apoyo en el proceso de desarrollo de aplicaciones Mitigación de riesgos en los ambientes de producción y soporte A nuestros clientes y socios Referente a quien acudir Grupo profesional experto en seguridad Servicios de consultoría con valor agregado CIGRAS 2012 CIGRAS 2012
Algunos Ejemplos de Incidentes Resueltos Intento de enrolar servidores de Tilsor en un ataque DDoS a una empresa extranjera Estafa: intento de venta forzada de dominio Internet Problemas de envío de correos debido a inclusión del ISP de Tilsor en una lista negra Detección proactiva de vulnerabilidades en paquetes de software utilizados por Tilsor Análisis y procesamiento de alertas por infección con Malware reportadas por antivirus CIGRAS 2012 CIGRAS 2012
Colaboración y Coordinación A nivel nacional CERTuy (contacto) CSIRT ANTEL (contacto y colaboración) A nivel LATAM Proyecto AMPARO - LACNIC: Taller de Gestión de Incidentes itinerante Reunión CSIRTs LATAm – LACNIC Inicio de relaciones con TBSecurity CERT (España) CIGRAS 2012 CIGRAS 2012
Algunas conclusiones CIGRAS 2012 CIGRAS 2012
Una herramienta eficaz y útil Masa crítica adecuada: dificultad de montar un equipo de esta característica Canales de confianza: importancia de la coordinación y colaboración Con la comunidad objetivo Entre pares Interacción y relacionamiento con el medio académico CIGRAS 2012 CIGRAS 2012
Preguntas CIGRAS 2012 CIGRAS 2012 27
Muchas gracias Preguntas CIGRAS 2012 CIGRAS 2012