manejo y análisis de incidentes de seguridad informática · segurinfo 2008 – cuarto congreso...
TRANSCRIPT
Manejo y AnManejo y Anáálisis de Incidentes de lisis de Incidentes de Seguridad InformSeguridad Informááticatica
Julio ArditaJulio [email protected]@cybsec.com
CYBSECCYBSEC
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Agenda
- Incidentes de seguridad en la Argentina
- Manejo de incidentes de seguridad
- Metodologías de investigación
- Análisis Forense Informático
- Buenas Prácticas
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
¿Cual es el origen mas común de los incidentes de seguridad en su empresa?
32%
23%30%
52%
63%58%
3% 5% 4%10%
4% 2%3% 4% 6%
0%10%20%30%40%50%60%70%
Año 2002 Año 2003 Año 2004
Sistemas internos
Internet
Accesos remotos víamodemVínculos Externos(proveedores y clientes)Otros
IncidentesIncidentes en Argentinaen Argentina
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
IncidentesIncidentes en Argentinaen Argentina
¿Qué tipos de ataques fueron?
6%
22%
1% 2%
7%
29%
2%
12%
2% 1%4%
7%
2% 3%
0%5%
10%15%20%25%30%35%40%
Denegación de servicio
Spamming de correo electrónico
Fraude telefónico
Captura de información
Acceso no autorizado por personal i...
VirusFraude financiero
Abuso del acceso a internet
Penetración de sistemas
Sabotaje
Robo de información confidencial
Robo de notebook
Modificación de pagina web
Otros
Año 2002Año 2003Año 2004
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
- El 74% de las grandes empresas tienen un Responsable de Seguridad contra el 17% del año 2001.
- El 60% de los encuestados reconoció que el conocimiento del personal para responder ataques informáticos es insuficiente.
- El 82% de las Empresas que sufrieron incidentes de seguridad no realizaron análisis forense ni valoración de los mismos.
- Durante enero y febrero de 2008 hubo más de 250 ataques exitosos a páginas Web en Argentina.
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en ArgentinaIncidentes en Argentina
Fuente: Prince & Cooke y ZoneFuente: Prince & Cooke y Zone--h.h.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Cantidad de incidentes graves manejados por CYBSEC:
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en ArgentinaIncidentes en Argentina
0
2
4
6
8
10
12
14
16
1 2 3 4 5 6 7
Año
Cant
idad
200 200 200 200 200 200 200
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Incidentes de seguridad realesIncidentes de seguridad reales
- Robo de información sensible
- Robo y pérdida de notebooks con información sensible
- Denegación de servicio sobre equipos de networking, afectando la operación diaria de la Compañía
- Denegación de servicio por el ingreso y propagación de virus y worms que explotan vulnerabilidades
- Sabotaje Corporativo a través de modificaciones de programas por parte del personal interno que generó problemas de disponibilidad en servicios críticos (programa troyano)
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Incidentes de seguridad realesIncidentes de seguridad reales
- Amenazas y denuncias falsas a través de mensajes de correo electrónico anónimos
- Ataques locales de phishing a Bancos y Empresas
- Fraude financiero
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
¿¿Por quPor quéé se generan mse generan máás incidentes que antes?s incidentes que antes?
- Crecimiento de la dependencia tecnológica- No hay una conciencia sobre la privacidad- Amplia disponibilidad de herramientas- No hay leyes globales (ni locales)- Falsa sensación de que todo se puede hacer en Internet- Gran aumento de vulnerabilidades de seguridad (sólo en el 2007 se reportaron 7.236 según CERT)- Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.)- Oferta y demanda de información confidencial más abierta
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Tendencias en incidentesTendencias en incidentes
- Los intrusos “saben” más técnicas para evitar que los rastreen
- Nuevo origen de incidentes: redes wireless abiertas
- Casos de publicación de venta en Internet de información sensible de empresas argentinas
- Casos individuales de robo de identidad basados en información disponible en Internet
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo de incidentes de seguridadManejo de incidentes de seguridad
Hacemos todo lo posible para tener un elevado nivel de seguridad en la Compañía, pero surge un incidente de seguridadgrave.
Tips:- No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak)
- Mantener la calma por la situación personal del CSO- No comenzar buscando culpables- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo de incidentes de seguridadManejo de incidentes de seguridad
Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar estemomento.
Nivel de Atención de la Gerencia durante un Incidente
0 hs
12 hs
24 hs
48 hs72 hs
96 hs0
20
40
60
80
100
120
Tiempo
% N
ivel
de
Ate
nció
n
Manejo y Análisis de Incidentes de Seguridad Informática
Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Necesidades para el manejo de incidentes de seguridadNecesidades para el manejo de incidentes de seguridad
- Políticas y Procedimientos previamente definidos y acordados
- Capacitación del personal involucrado (seguridad informática, administradores, help-desk, auditoría, seguridad ambiental y legales)
- Mantenimiento activo (capacitación periódica, simulaciones y adecuación de las Políticas y Procedimientos)
- Soporte altamente especializado
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Política de Manejo de Incidentes de Seguridad Informática
Procedimientos necesarios:- Detección y Denuncia de Incidentes- Recepción y Análisis de Incidentes- Neutralización del ataque- Búsqueda de información y rastreo del intruso- Secuestro y preservación de evidencia- Recuperación de datos o sistemas afectados- Restauración de la información- Cierre y documentación del proceso de manejo de incidentes
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Pasos a seguir cuando sucede un incidentePasos a seguir cuando sucede un incidente
1. Reunión de relevamiento on-site con todos los referentes e involucrados.
2. Verificar la información.
3. Consolidar y revisar toda la información relevada.
4. Análisis preliminar de impacto del incidente.
5. Elaborar el diagnóstico detallado de la situación.
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Pasos a seguir cuando sucede un incidentePasos a seguir cuando sucede un incidente
6. Definir los mensajes de comunicación a transmitir a través de canales de comunicación externos e internos.
7. Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes.
8. Organizar grupos de trabajo para llevar adelante las actividades planificadas en el Plan de Acción coordinados por el CSO.
9. Implementar y gerenciar el Plan de Acción priorizando las actividades más críticas con el objetivo de bajar lo mas rápido posible el nivel de exposición al riesgo que afecta a la Compañía.
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Pasos a seguir cuando sucede un incidentePasos a seguir cuando sucede un incidente
10. Documentar detalladamente TODO lo realizado.
11. Vuelta a la normalidad.
12. Luego del cierre del incidente:- Aplicar “lecciones aprendidas”.- En lo posible estimar las pérdidas económicas. - Ajustar los procedimientos.- Informe ejecutivo al Directorio y áreas de negocio.
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
AnAnáálisis Forense Informlisis Forense Informááticotico
“Es la técnica de capturar, procesar e investigar información
procedente de sistemas informáticos utilizando una metodología
definida”.
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
MetodologMetodologíía de Ana de Anáálisis Forense Informlisis Forense Informááticotico
El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales.
La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.
El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria.
Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO.
Manejo y Análisis de Incidentes de Seguridad Informática
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Documentar la Escena
¿Secuestrarvolátiles?
Capturar volátiles
¿Es necesarioInvestigar on-site?
Investigar on-site
Hacer imágenes
Investigar en el Laboratorio
¿Volver a buscar másinformación?
GenerarConclusiones
Si
Si
Si
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Buenas PrBuenas Práácticascticas frente a incidentes de seguridadfrente a incidentes de seguridad
Hay que tener procedimientos claramente definidos y comunicados.
Es muy importante que todo el personal esté entrenado previamente y sepa qué tiene que hacer frente a un incidente.
Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar esemomento.
El tiempo es un factor que nos puede llegar a jugar en contra. Cuanto antes reaccionemos, mejor estaremos preparados para manejar el incidente.
Manejo y Análisis de Incidentes de Seguridad Informática
