Manejo y An
Manejo y An
á
á
lisis de Incidentes de
lisis de Incidentes de
Seguridad Inform
Seguridad Inform
á
á
tica
tica
Julio Ardita
Julio Ardita
[email protected] [email protected]CYBSEC
CYBSEC
Manejo y Análisis de Incidentes de Seguridad Informática
Agenda
- Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad
- Metodologías de investigación - Análisis Forense Informático - Buenas Prácticas
Manejo y Análisis de Incidentes de Seguridad Informática
¿Cual es el origen mas común de los incidentes de seguridad en su empresa? 32% 23% 30% 52% 63% 58% 3% 5% 4% 10% 4% 2% 3% 4% 6% 0% 10% 20% 30% 40% 50% 60% 70%
Año 2002 Año 2003 Año 2004
Sistemas interno s Internet
A cceso s remo to s vía mo dem
Vínculo s Externo s (pro veedo res y clientes) Otro s
Incidentes
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes
Incidentes en Argentinaen Argentina
¿Qué tipos de ataques fueron?
6% 22% 1% 2% 7% 29% 2% 12% 2% 1% 4% 7% 2% 3% 0% 5% 10% 15% 20% 25% 30% 35% 40% D en eg ació n d e s erv icio Spam m in g d e c orreo ele Frau de tele fó nico C aptu ra d e inform ac ión Ac ce so n o a uto riz ad o p Virus Fr au de fin an cie ro Abus o d el ac ce so a inte Pene tra ció n d e s istem as Sa bota je R ob o de info rm ació n con R ob o de n ote book M od ific ac ión d e p agin a w O tros Año 2002 Año 2003 Año 2004
- El 74% de las grandes empresas tienen un Responsable de Seguridad contra el 17% del año 2001.
- El 60% de los encuestados reconoció que el conocimiento del personal para responder ataques informáticos es insuficiente.
- El 82% de las Empresas que sufrieron incidentes de seguridad no realizaron análisis forense ni valoración de los mismos.
- Durante enero y febrero de 2008 hubo más de 250 ataques exitosos a páginas Web en Argentina.
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en Argentina
Incidentes en Argentina
Fuente: Prince & Cooke y Zone
Cantidad de incidentes graves manejados por CYBSEC:
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en Argentina Incidentes en Argentina 0 2 4 6 8 10 12 14 16 1 2 3 4 5 6 7 Año Ca n ti d a d 200 200 200 200 200 200 200
Incidentes de seguridad reales
Incidentes de seguridad reales - Robo de información sensible
- Robo y pérdida de notebooks con información sensible
- Denegación de servicio sobre equipos de networking, afectando la operación diaria de la Compañía
- Denegación de servicio por el ingreso y propagación de virus y worms que explotan vulnerabilidades
- Sabotaje Corporativo a través de modificaciones de programas por parte del personal interno que generó problemas de disponibilidad en servicios críticos (programa troyano)
Incidentes de seguridad reales
Incidentes de seguridad reales
- Amenazas y denuncias falsas a través de mensajes de correo electrónico anónimos
- Ataques locales de phishing a Bancos y Empresas - Fraude financiero
¿
¿Por quPor quéé se generan mse generan máás incidentes que antes?s incidentes que antes?
- Crecimiento de la dependencia tecnológica - No hay una conciencia sobre la privacidad - Amplia disponibilidad de herramientas
- No hay leyes globales (ni locales)
- Falsa sensación de que todo se puede hacer en Internet
- Gran aumento de vulnerabilidades de seguridad (sólo en el 2007 se reportaron 7.236 según CERT)
- Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.)
- Oferta y demanda de información confidencial más abierta
Tendencias en incidentes
Tendencias en incidentes
- Los intrusos “saben” más técnicas para evitar que los rastreen - Nuevo origen de incidentes: redes wireless abiertas
- Casos de publicación de venta en Internet de información sensible de empresas argentinas
- Casos individuales de robo de identidad basados en información disponible en Internet
Manejo de incidentes de seguridad
Manejo de incidentes de seguridad
Hacemos todo lo posible para tener un elevado nivel de seguridad en la Compañía, pero surge un incidente de seguridad grave.
Tips:
- No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak)
- Mantener la calma por la situación personal del CSO - No comenzar buscando culpables
- Obtener información de primera mano y verificarla - Establecer un Plan de Acción y coordinarlo
Manejo de incidentes de seguridad
Manejo de incidentes de seguridad
Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar este momento.
Nivel de Atención de la Gerencia durante un Incidente
0 hs 12 hs 24 hs 48 hs 72 hs 96 hs 0 20 40 60 80 100 120 Tiempo % N ivel d e A ten ci ó n
Necesidades para el manejo de incidentes de seguridad
Necesidades para el manejo de incidentes de seguridad
- Políticas y Procedimientos previamente definidos y acordados - Capacitación del personal involucrado (seguridad informática, administradores, help-desk, auditoría, seguridad ambiental y legales)
- Mantenimiento activo (capacitación periódica, simulaciones y adecuación de las Políticas y Procedimientos)
- Soporte altamente especializado
Política de Manejo de Incidentes de Seguridad Informática Procedimientos necesarios:
- Detección y Denuncia de Incidentes - Recepción y Análisis de Incidentes - Neutralización del ataque
- Búsqueda de información y rastreo del intruso - Secuestro y preservación de evidencia
- Recuperación de datos o sistemas afectados - Restauración de la información
- Cierre y documentación del proceso de manejo de incidentes
Pasos a seguir cuando sucede un incidente
Pasos a seguir cuando sucede un incidente
1. Reunión de relevamiento on-site con todos los referentes e involucrados.
2. Verificar la información.
3. Consolidar y revisar toda la información relevada. 4. Análisis preliminar de impacto del incidente.
5. Elaborar el diagnóstico detallado de la situación.
Pasos a seguir cuando sucede un incidente
Pasos a seguir cuando sucede un incidente
6. Definir los mensajes de comunicación a transmitir a través de canales de comunicación externos e internos.
7. Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes.
8. Organizar grupos de trabajo para llevar adelante las actividades planificadas en el Plan de Acción coordinados por el CSO.
9. Implementar y gerenciar el Plan de Acción priorizando las
Pasos a seguir cuando sucede un incidente
Pasos a seguir cuando sucede un incidente 10. Documentar detalladamente TODO lo realizado. 11. Vuelta a la normalidad.
12. Luego del cierre del incidente:
- Aplicar “lecciones aprendidas”.
- En lo posible estimar las pérdidas económicas. - Ajustar los procedimientos.
- Informe ejecutivo al Directorio y áreas de negocio.
An
Anáálisis Forense Informlisis Forense Informááticotico
“Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología definida”.
Metodolog
Metodologíía de Ana de Anáálisis Forense Informlisis Forense Informááticotico
El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales.
La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado.
El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria.
Finalmente una vez terminada la investigación se debe realizar el
reporte de los hallazgos a la persona indicada para tomar las
decisiones, como puede ser un juez o un CEO.
Manejo y Análisis de Incidentes de Seguridad Informática Documentar la Escena
¿Secuestrar
volátiles? Capturar volátiles
¿Es necesario
Investigar on-site? Investigar on-site
Hacer imágenes
Investigar en el Laboratorio Generar
Conclusiones Si
Buenas Pr
Buenas Práácticascticas frente a incidentes de seguridadfrente a incidentes de seguridad
Hay que tener procedimientos claramente definidos y comunicados.
Es muy importante que todo el personal esté entrenado previamente y sepa qué tiene que hacer frente a un incidente.
Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar ese momento.
El tiempo es un factor que nos puede llegar a jugar en contra. Cuanto antes reaccionemos, mejor estaremos preparados para manejar el incidente.