> Respuesta ante incidentes
> Antonio Sanz - ansanz@unizar.es
Indice
> Respuesta ante incidentes
> Continuidad de negocio
Respuesta ante incidentes
> Ley de Murphy = “Shit happens”
> El riesgo se minimiza, nunca se elimina > Incidencia / Contingencia Cualquier
suceso o evento que altere el correcto
funcionamiento de los activos de un sistema > Ej: Corte de red, fallo de disco, ataque zombi > Objetivo de la respuesta ante incidentes =
Fases del IR
> Detección
> Evaluación del alcance > Control de daños
> Recogida de evidencia
> Recuperación del sistema > Análisis posterior
Detección
> Detección prontana
> Monitores, IDS, Usuarios
> Activación de la respuesta
> Lista de contactos
Evaluación del alcance
>Gravedad de la incidencia
>Activación de protocolos extra >Si es una intrusión, medir la
profundidad del daño
>!! Obtener información !! >Empezar a tomar notas
Contención de daños
>Evitar la propagación de la incidencia
>Ej: Apagar servidores, cortar segmentos de red
>Actuación rápida pero
Recogida de evidencia
>
Información de lo sucedido> Acciones legales / operativas
> Tener procedimientos y
herramientas
Recuperación del sistema
> Devolver el sistema a su correcto
funcionamiento
> Restaurar copias de seguridad / sistema > Reemplazar componentes
> Pedir soporte avanzado
Análisis postmortem
>Analizar todo lo ocurrido
>Detectar la causa de la incidencia
>Corregir errores futuros
>Analizar la respuesta
Exito de la respuesta ante incidentes
>Definición de procedimientos
>Entrenamiento de personas
>Inteligencia de datos
>Respuesta rápida
Ejemplo de IR – Incendio en la empresa
>Activos: Servidores y datos
>Detección: Detectores / personas
>Evaluación: Ver zonas afectadas
>Control de daños: Evacuación /
antiincendios / bomberos
Conclusiones
>Los accidentes ocurren
>Hay que estar preparado
>Los procedimientos son
fundamentales
> Antonio Sanz - ansanz@unizar.es
> 25 / May / 11 - @antoniosanzalc
Continuidad de negocio
>Riesgo controlado pero el desastre siempre es posible
>Ej: 11S, Katrina, Tsunami Japón
> Definición:
“Medidas que permiten a un negocio operando antes, DURANTE y después
Continuidad de Negocio
>DRP (Disaster Recovery Plan) : Recuperar al SI de desastres
>BRP (Business Recovery
Plan):Recupera el negocio de desastres >BCP (Business Continuity Plan):
Permite continuar el negocio en caso de desastre Lo que queremos
Continuidad de Negocio
> Definir entorno
> Analizar los procesos/activos
> Analizar los riesgos (BIA)
> Implantar medidas de continuidad
> Verificar su eficacia
Continuidad de Negocio
> !VIP! : Elegir el alcance lo que se protege
>Definir tiempos de recuperación
> No pensar solo en TIC !Negocio! > Apartado estratégico
Continuidad de Negocio
> Analizar procesos de negocio / activos > Analizar amenazas y riesgos (BIA –
Business Impact Analysis)
> Desastres naturales/provocados, fallos de terceros, personal
> RTO (Recovery Time Objective) Tiempo de recuperación
Continuidad de Negocio
>Definir medidas de continuidad >Cold/Warm/Hot/Mirror sites
>Copias de seguridad !!VIP!!
>Estandarizar equipamiento
>Establecer prioridades
Continuidad de Negocio
> ! Hay que
verificar
el plan !
> Pruebas sobre
papel
> Pruebas en
frío
> Pruebas en
caliente
Continuidad de Negocio
> Revisión de activos/procesos > Revisión de amenazas
> Revisión de procedimientos
> Realimentación del plan
> Metodología PDCA 100%
Continuidad de Negocio
> Centro principal en Zaragoza (oficinas CAI) > Mirror en Madrid a tiempo real
> Almacén offsite de cintas en Logroño
> Tiempo estimado de pérdida en fallo de primario: 1.2 seg
> Tiempo estimado de recuperación en caso de fallo de primario y mirror : 24h
Continuidad de Negocio
Ej: ATCA
Centro principal en Zaragoza (oficinas CAI)
Mirror en Madrid a tiempo real
Almacén offsite de cintas en Logroño
Tiempo estimado de pérdida en fallo de primario: 1.2 seg
Conclusiones
>El
desastre
es nuestra espada de
Damocles particular
>Vital la
planificación
previa
>Hay que
entrenar
y depurar el
plan
More info?. Press here !
> RSS Feeds (Forensic & Security) – Mayo 2011
http://criptosec.unizar.es/doc/feeds_forense_seguridad_2011.xml
> Book1: “Hacking Exposed Computer Forensics, 2ed : Computer
Forensics Secrets & Solutions” (2009) - Aaron Philip, David Cowen, McGraw Hill
> Book2: “Windows Forensic Analysis DVD Toolkit”, Second Edition -Harlan A. Carvey (2009) - Syngress
> Book3: “File System Forensic Analysis” - Brian Carrier (2005), Addison-Wesley
> Tened cuidado ahí fuera …