Respuesta a Incidentes

Respuesta a IncidentesAnlisis Forense

Es la tcnica de capturar, procesar e investigar informacinprocedente de sistemas informticos utilizando una metodologacon el fin de que pueda ser utilizada en la justicia.Respuesta a IncidentesAnlisis ForenseProceso para identificar qu ha ocurrido en un sistema examinando el rastro de la informacinConcepto: Borrado Forense

IncidenteOcurrencia de cualquier evento que pone en peligro a un sistema o una red

Respuesta a IncidentesProceso de Identificar, Investigar, Reparar, Documentar y Ajustar los procedimientos para prevenir otro incidente

IRP (Incident Response Plan)

Respuesta a Incidentes

Paso 1: Identificar el IncidenteRealmente un Incidente?Algo ha ocurrido?Ataque interno o externo en base a un ataque pre-existente o uno que recin esta ocurriendoUn escaneo de la red o pruebas aleatorias?Funcin del IDSFalsos positivosAnalizar el evento antes de declararlo como incidenteIncidente identificadoEscalamiento involucra consultar polticas, procedimientos e investigacinCustodia de la evidenciaQuin es el primero en responder al Incidente?Controlar la informacin ante la ocurrencia de un incidentePaso 1: Identificar el Incidente

Paso 2: Investigacin del IncidentePaso 2: Investigacin del IncidenteInvolucra la revisin de:Logs o eventosArchivos involucradosCualquier otro origen de informacin

Determinar si:Parte de un ataque elaboradoEvento randomFalso positivo

Identificar ataques que no requieren respuestaINCIDENTE

CasoIdentifique 2 escenarios en los cuales se haya obtenido eventos de seguridad y estos correspondan a una identificacin e investigacin requerida.Identifique:Origen del evento: Fecha y Hora:Usuario involucrado:Cmo se Identifico el Evento:Datos de la Investigacin:

Paso 3: Reparar el DaoPaso 3: Reparar el DaoObjetivo: Cmo restaurar el acceso a los recursos comprometidos?Factor TiempoFactor ExperienciaFactor Integridad

Restablecer el control del sistema!!ReinicioProcedimientos de solucinActualizacin del sistema y aplicativosAntivirusReinstalacin total

Paso 4: Documentar y Reportar la RespuestaPaso 4: Documentando y Reportando la RespuestaEs prioritario documentar los pasos realizados para:Identificar el problemaDetectar el problema y Reparar el sistema

Base de Datos de Conocimiento (Knowledge Base)Sistemas de Mesa de AyudaNotificar al CSIRT (Computer Security Incident Response Team)Paso 4: Documentar y Reportar la RespuestaCmo funciona un IRP (Incident Response Plan)?Se debe evaluar los siguientes items:La evidencia fue recopilada? Se mantuvo una custodia de la informacin?Siguieron los procedimientos de escalamiento correctos?Segn los resultados de la investigacin, fueron capaces de encontrar y atrapar al culpable?Qu se hizo que no debi haberse hecho?

Inventar Incidentes Falsos para poner a prueba el IRPPaso 5: Ajustar ProcedimientosPaso 5: Ajustar ProcedimientosLuego de un incidente satisfactoriamente controlado es recomendable revisar los procedimiento utilizadosComprobar que:Las polticas hayan funcionado correctamente en la situacinQu nuevo apareci que pueda ser aprendido?Qu actividades diferentes a las actuales deberemos realizar en el futuro?

ANALISIS POSTMORTEMCSIRT (Computer Security Incident Response Team)Definicin:Un Computer Security Incident Response Team (CSIRT) es una organizacin de servicio responsable de recibir, revisar y responder a las actividades y reportes de incidentes de seguridad sobre computadorasLos servicios son proporcionados a:CorporacinGobiernoOrganizacin EducativaRegin o PasCliente pago

CSIRT (Computer Security Incident Response Team)Terminologa:CSIRT: Computer Security Incident Response TeamCERT: Computer Emergency Response TeamCIRC: Computer Incident Response CapabilityCIRT: Computer Incident Response TeamIRC: Incident Response Center or Incident Response CapabilityIRT: Incident Response TeamSERT: Security Emergency Response TeamSIRT: Security Incident Response Team

CSIRT (Computer Security Incident Response Team)La constitucin de un CSIRT debe indicar:La misin (qu hacer?)Especificar a quien se brindar el servicioUbicacin en la organizacinRelacin con terceros (con quien cooperar, ej; otros CSIRT)

CSIRT (Computer Security Incident Response Team)Servicios Potenciales: Servicios Reactivos (manejo de alertas de vulnerabilidades, manejo de incidentes) Servicios Proactivos (anuncios, auditorias de seguridad, pruebas de herramientas de seguridad, mantenimiento y configuracin y deteccin de instrusos Gestin de la Calidad (anlisis de riesgos, plan de recuperacin ante desestres, consultora, educacin, etc

CSIRT (Computer Security Incident Response Team)

CSIRT (Computer Security Incident Response Team)Un cliente puede ser:compaa internocompaa< product relacionado ISPGobiernoCSIRT nacionales

CSIRT (Computer Security Incident Response Team)Staff:Experiencia tcnica no es la ms importateEnfocarse en conocimientos interpersonal y entrenar a las persona a hacer un trabajo orientado al incidentePara cualquier da a das es vital tener un buen entendimiento de como la tecnologa trabaja

CSIRT (Computer Security Incident Response Team)Conocimientos Interpersonales

Comunicacin efectiva oral y escrita en lenguaje nativo e inglsHabilidad para mantener un seguirmiento a las polticas y procedimientosSentido comn a utilizar cuando las polticas no aplicancommonHabilidad para vencer al stress y trabajar bajo presipon

CSIRT (Computer Security Incident Response Team)Conocimientos Tcnicos:Internet (historia, conceptos, futuro & filosofa)Elementos de infraestructura y protocolos de redes (IP, TCP, routing, DNS) Aplicaciones de red, protocolos, servicios, etc (HTTP, SMTP, SSH)seguridad principios, riesgos y amenazasProblemas de seguridad en la red y en el hostTecnologas de encriptacin, firmas digitales (AES, RSA, DH, MD5)CSIRT (Computer Security Incident Response Team)

CSIRT (Computer Security Incident Response Team)

Caso RecuperacinComo conceptualizara un CSRIT para la XXX