SlideShare a Scribd company logo

Equipos de respuesta a incidentes csirt cert clase_tres_auo

Download as PPTX, PDF
Jhon Jairo Hernandez
Jhon Jairo Hernandez

Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.

Technology
1 of 47
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com EQUIPOS DE RESPUESTA A INCIDENTES (CSIRT/CERT) Jhon Jairo Hernández Hernandez Analista Seguridad Informática Investigador Informática Forense Password S.A. TheMuroGroup Asesor/ Consultor TICs Compulink-jjh Nickname – Dinosaurio (Dino) http://World-Of-Dino.blogspot.com d7n0s4ur70@gmail.com @d7n0
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com QUÉ ES UN CSIRT? Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com QUÉ ES UN CSIRT? Un CERT estudia el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información que ayude a mejorar la seguridad de estos sistemas.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Hablemos de su Historia Entre los 80-90: Hay Surgimiento de diversas organizaciones: En 1990: Conformación del FIRST - Forum of Incident Response and Security Teams
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com CERT Statistics (Historical) Carnegie Mellon University's
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM 2011 La siguiente tabla y gráfica muestran los incidentes detectados por el UNAM- CERT desde el 2004. Desde las mejorar en nuestros sistemas de detección en el 2009, se aprecia una tendencia de decremento sustancial en 2010 y 2011, registrando la menor cantidad de incidentes desde 2005.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM 2011 Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM 2011 Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM La siguiente tabla y gráfica muestran la cantidad de incidentes registrados en el UNAM-CERT por trimestre durante 2011. Se aprecia un decremento conforme avanza el año, debido a la falta de actividad en los meses vacacionales.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Reporte trimestral de incidentes en Red-UNAM 2010
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com ¿Qué es un incidente de seguridad? Un incidente de Seguridad Informática está definido como un evento que atente contra la Confidencialidad, Integridad y Disponibilidad de la información
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Las funciones de un CERT/CSIRT son: Ayudar al público objetivo (constituency) a atenuar y prevenir incidentes graves de seguridad. Ayudar a proteger informaciones valiosas. Coordinar de forma centralizada la seguridad de la información. Guardar evidencias, por si hubiera que recurrir a pleitos. Apoyar y prestar asistencia a usuarios para recuperarse de las consecuencias de los incidentes de seguridad. Dirigir de forma centralizada la respuesta a los incidentes de seguridad - Promover confianza, que alguien controla la situación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Servicios de un CERT/CSIRT :
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com 1. Desarrollar una política de respuesta a incidentes 2. Desarrollar procedimientos para el manejo de incidentes, basados en la Política 3. Establecer relaciones entre el equipo de respuesta a incidentes y otros grupos, tanto internos (ej.: RRHH, Legales, etc.) como externos (ej.: CERTs,etc.) 4. Definir guías para la comunicación con terceros en caso de incidentes 5. Organizar un equipo de respuesta a incidentes, definir y asignar funciones 6. Determinar qué servicios proveerá el equipo de respuesta a incidentes 7. Entrenar al equipo de respuesta a incidentes Creando una capacidad de respuesta de incidentes:
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Gestión de incidentes de seguridad
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Criterios de categorización de incidentes: • POR TIPO DE INCIDENTE • POR LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS Preparación y Prevención
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Criterios de clasificación de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Criterios de clasificación de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Manejo de información con terceras partes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Otras medidas de preparación 1.Definir políticas, normas y procedimientos para la gestión de Incidentes: 2.Preparar el CSIRT o VCSIRT 3.Entrenar al personal 4.Documentar un mapa de la topología y arquitectura de la red 5.Documentar la configuración del equipamiento 6.Crear patrones de redes y sistemas 7.Comprender el funcionamiento normal
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Manejo de información con terceras partes 1. Activar los logs en las diferentes plataformas y aplicaciones y en el equipamiento de comunicaciones 2. Utilizar logging centralizado y crear una política de almacenamiento de logs 3. Mantener los relojes de todos los equipos sincronizados 4. Crear sumas de comprobación criptográficas (cryptographic checksums) 5. Definir e implementar esquemas de resguardos de datos 6. Contactos
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Preparación y Prevención
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Manejo de información con terceras partes Considerar la necesidad de utilizar herramientas para: 1. Detección de incidentes 2. Monitoreo 3. Análisis de incidentes – análisis forense 4. Documentación de incidentes 1. 2. 3. 4.
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Prevención de incidentes  Análisis periódicos de riesgos  Mejores prácticas de seguridad  Auditorías periódicas  Administración de actualizaciones  Fortalecimiento de la seguridad de los equipos  Seguridad en la red  Prevención de código malicioso  Concientización y capacitación de usuarios
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección y Notificación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección y Notificación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes  IDS - Sistemas de detección de intrusiones de red (NIDS) o de host (HIDS)  Software de antivirus  Software de control de integridad de archivos  Sistemas de monitoreo de red (NMS)  Análisis de registros de auditoría (logs)  Información pública  Usuarios del organismo  Personas externas al organismo
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Análisis Preliminar
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Análisis Preliminar
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Análisis Preliminar Cómo determinar el alcance:
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Métodos de recolección de información Análisis Preliminar
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Contención, Respuesta y Recuperación Considerar los siguientes factores para la selección de una estrategia:  Daño potencial de recursos a causa del incidente  Necesidad de preservación de evidencia  Tiempo y recursos necesarios para poner en práctica la estrategia  Efectividad de la estrategia (ej.: total o parcialmente)  Duración de las medidas a tomar (ej.: período sin sistema)  Criticidad de los sistemas afectados  Características de los posibles atacantes  Si el incidente es de conocimiento público  Pérdida económica  Posibles implicancias legales  Relación costo-beneficio de la estrategia  Experiencias anteriores
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Estrategias de contención de incidentes Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Estrategias de erradicación de incidentes Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Estrategias de recuperación de incidentes Contención, Respuesta y Recuperación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Investigación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Recolección de evidencia Investigación
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Proceso de recolección de evidencia Investigación 1. Registrar información que rodea a la evidencia 2. Tomar fotografías del entorno de la evidencia 3. Tomar la evidencia 4. Registrar la evidencia 5. Rotular todos los medios que serán tomados como evidencia 6. Almacenar toda la evidencia en forma segura 7. Realizar las investigaciones en “duplicados de trabajo” de la evidencia original 8. Generar copias de seguridad de la evidencia original 9. Realizar revisiones periódicas para garantizar que la evidencia se encuentra correctamente conservada
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Documento: Denuncia de un Incidente en el que se encuentra involucrada Tecnología Informática. Investigación http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf 1)Dónde denunciar 2)Aspectos a tener en cuenta según el denunciante 3)Quiénes deben estar involucrados 4)Recomendaciones generales 5) Recomendaciones relacionadas con la obtención de evidencia digital
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Actividades Posteriores 1. Organizar reuniones 2. Mantener la documentación 3. Crear bases de conocimiento 4. Integrar la gestión de incidentes al análisis de riesgos 5. Implementar controles preventivos 6. Elaborar Tableros de Control
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Actividades Posteriores Tablero de control de incidentes de seguridad
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com

Recommended

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Daniel Sasia
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework Types
LearningwithRayYT
 
Kheirkhabarov24052017_phdays7
Kheirkhabarov24052017_phdays7Kheirkhabarov24052017_phdays7
Kheirkhabarov24052017_phdays7
Teymur Kheirkhabarov
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
Teymur Kheirkhabarov
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
Francisco Medina
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
PECB
 
CISSP INFORGRAPH MINDMAP
CISSP INFORGRAPH MINDMAPCISSP INFORGRAPH MINDMAP
CISSP INFORGRAPH MINDMAP
Deepak Kumar (D3)
 

Recommended

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Daniel Sasia
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework Types
LearningwithRayYT
 
Kheirkhabarov24052017_phdays7
Kheirkhabarov24052017_phdays7Kheirkhabarov24052017_phdays7
Kheirkhabarov24052017_phdays7
Teymur Kheirkhabarov
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
Teymur Kheirkhabarov
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
Francisco Medina
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
PECB
 
CISSP INFORGRAPH MINDMAP
CISSP INFORGRAPH MINDMAPCISSP INFORGRAPH MINDMAP
CISSP INFORGRAPH MINDMAP
Deepak Kumar (D3)
 
Hunting for Credentials Dumping in Windows Environment
Hunting for Credentials Dumping in Windows EnvironmentHunting for Credentials Dumping in Windows Environment
Hunting for Credentials Dumping in Windows Environment
Teymur Kheirkhabarov
 
Hunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows EnvironmentHunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows Environment
Teymur Kheirkhabarov
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
Sergey Soldatov
 
Cybersecurity for Your Law Firm: Data Security and Data Encryption
Cybersecurity for Your Law Firm: Data Security and Data EncryptionCybersecurity for Your Law Firm: Data Security and Data Encryption
Cybersecurity for Your Law Firm: Data Security and Data Encryption
Shawn Tuma
 
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
NetEnrich, Inc.
 
Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018
Christopher Korban
 
Cybersecurity concepts & Defense best practises
Cybersecurity concepts & Defense best practisesCybersecurity concepts & Defense best practises
Cybersecurity concepts & Defense best practises
WAJAHAT IQBAL
 
Introduction to SIEM.pptx
Introduction to SIEM.pptxIntroduction to SIEM.pptx
Introduction to SIEM.pptx
neoalt
 
Ch07 Access Control Fundamentals
Ch07 Access Control FundamentalsCh07 Access Control Fundamentals
Ch07 Access Control Fundamentals
Information Technology
 
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Jorge Orchilles
 
Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025
Radar Cyber Security
 
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdf
slametarrokhim1
 
BSidesLV 2016 - Powershell - Hunting on the Endpoint - Gerritz
BSidesLV 2016 - Powershell - Hunting on the Endpoint - GerritzBSidesLV 2016 - Powershell - Hunting on the Endpoint - Gerritz
BSidesLV 2016 - Powershell - Hunting on the Endpoint - Gerritz
Christopher Gerritz
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle
1&1
 
Cyber Attack Analysis
Cyber Attack AnalysisCyber Attack Analysis
Cyber Attack Analysis
codefortomorrow
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE - ATT&CKcon
 
Active Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The FieldActive Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The Field
Digital Bond
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
Sqrrl
 
An Underground education
An Underground educationAn Underground education
An Underground education
grugq
 
Mapa de la seguridad por tipología de delitos
Mapa de la seguridad por tipología de delitosMapa de la seguridad por tipología de delitos
Mapa de la seguridad por tipología de delitos
Securitas Direct España
 
The Critical Security Controls and the StealthWatch System
The Critical Security Controls and the StealthWatch SystemThe Critical Security Controls and the StealthWatch System
The Critical Security Controls and the StealthWatch System
Lancope, Inc.
 

More Related Content

What's hot

Ch07 Access Control Fundamentals
Ch07 Access Control FundamentalsCh07 Access Control Fundamentals
Ch07 Access Control Fundamentals
Information Technology
 
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Jorge Orchilles
 
An Underground education
An Underground educationAn Underground education
An Underground education
grugq
 

What's hot (20)

Hunting for Credentials Dumping in Windows Environment
Hunting for Credentials Dumping in Windows EnvironmentHunting for Credentials Dumping in Windows Environment
Hunting for Credentials Dumping in Windows Environment
 
Hunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows EnvironmentHunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows Environment
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
Cybersecurity for Your Law Firm: Data Security and Data Encryption
Cybersecurity for Your Law Firm: Data Security and Data EncryptionCybersecurity for Your Law Firm: Data Security and Data Encryption
Cybersecurity for Your Law Firm: Data Security and Data Encryption
 
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
 
Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018
 
Cybersecurity concepts & Defense best practises
Cybersecurity concepts & Defense best practisesCybersecurity concepts & Defense best practises
Cybersecurity concepts & Defense best practises
 
Introduction to SIEM.pptx
Introduction to SIEM.pptxIntroduction to SIEM.pptx
Introduction to SIEM.pptx
 
Ch07 Access Control Fundamentals
Ch07 Access Control FundamentalsCh07 Access Control Fundamentals
Ch07 Access Control Fundamentals
 
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
Managing & Showing Value during Red Team Engagements & Purple Team Exercises ...
 
Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025
 
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdf
 
BSidesLV 2016 - Powershell - Hunting on the Endpoint - Gerritz
BSidesLV 2016 - Powershell - Hunting on the Endpoint - GerritzBSidesLV 2016 - Powershell - Hunting on the Endpoint - Gerritz
BSidesLV 2016 - Powershell - Hunting on the Endpoint - Gerritz
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle
 
Cyber Attack Analysis
Cyber Attack AnalysisCyber Attack Analysis
Cyber Attack Analysis
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
MITRE ATT&CKcon 2.0: ATT&CK Updates - Cyber Analytics Repository (CAR); Ivan ...
 
Active Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The FieldActive Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The Field
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
 
An Underground education
An Underground educationAn Underground education
An Underground education
 

Viewers also liked

The Critical Security Controls and the StealthWatch System
The Critical Security Controls and the StealthWatch SystemThe Critical Security Controls and the StealthWatch System
The Critical Security Controls and the StealthWatch System
Lancope, Inc.
 
Seguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadoraSeguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadora
Fabian Sosa
 
Hmu tema 02
Hmu tema 02Hmu tema 02
Hmu tema 02
--- ---
 
SRK Exploration Services Ltd Service Brochure
SRK Exploration Services Ltd Service BrochureSRK Exploration Services Ltd Service Brochure
SRK Exploration Services Ltd Service Brochure
Oliver Bayley
 

Viewers also liked (20)

Mapa de la seguridad por tipología de delitos
Mapa de la seguridad por tipología de delitosMapa de la seguridad por tipología de delitos
Mapa de la seguridad por tipología de delitos
 
The Critical Security Controls and the StealthWatch System
The Critical Security Controls and the StealthWatch SystemThe Critical Security Controls and the StealthWatch System
The Critical Security Controls and the StealthWatch System
 
Seguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadoraSeguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadora
 
Ricardo Nieto. CNPIC. CERTSI. Semanainformatica.com 2015
Ricardo Nieto. CNPIC. CERTSI. Semanainformatica.com 2015Ricardo Nieto. CNPIC. CERTSI. Semanainformatica.com 2015
Ricardo Nieto. CNPIC. CERTSI. Semanainformatica.com 2015
 
Arsblue Company Profile
Arsblue Company ProfileArsblue Company Profile
Arsblue Company Profile
 
Texto Muñoz Molina
Texto Muñoz MolinaTexto Muñoz Molina
Texto Muñoz Molina
 
Zodiac
ZodiacZodiac
Zodiac
 
Conectores
ConectoresConectores
Conectores
 
Premios fe pi 2011
Premios fe pi 2011Premios fe pi 2011
Premios fe pi 2011
 
Sec 968
Sec 968Sec 968
Sec 968
 
Hmu tema 02
Hmu tema 02Hmu tema 02
Hmu tema 02
 
ATV BPW16 Stichwahl: Wählerstruktur
ATV BPW16 Stichwahl: WählerstrukturATV BPW16 Stichwahl: Wählerstruktur
ATV BPW16 Stichwahl: Wählerstruktur
 
Super interessante 8
Super interessante 8Super interessante 8
Super interessante 8
 
Auto ebro sport n1
Auto ebro sport n1Auto ebro sport n1
Auto ebro sport n1
 
Mkt político digital
Mkt político digitalMkt político digital
Mkt político digital
 
Newsletter SFAI Spain Febrero 2015
Newsletter SFAI Spain Febrero 2015Newsletter SFAI Spain Febrero 2015
Newsletter SFAI Spain Febrero 2015
 
MM_3. for email
MM_3. for emailMM_3. for email
MM_3. for email
 
BMW Z4 2009 Brochure
BMW Z4 2009 BrochureBMW Z4 2009 Brochure
BMW Z4 2009 Brochure
 
SRK Exploration Services Ltd Service Brochure
SRK Exploration Services Ltd Service BrochureSRK Exploration Services Ltd Service Brochure
SRK Exploration Services Ltd Service Brochure
 
Case Study: Old Spice for Effie Awards
Case Study: Old Spice for Effie AwardsCase Study: Old Spice for Effie Awards
Case Study: Old Spice for Effie Awards
 

Similar to Equipos de respuesta a incidentes csirt cert clase_tres_auo

Robo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmasRobo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmas
Gonzalo Espinosa
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
rayudi
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Camilo Hernandez
 

Similar to Equipos de respuesta a incidentes csirt cert clase_tres_auo (20)

Owas top 10_2010_by_dino
Owas top 10_2010_by_dinoOwas top 10_2010_by_dino
Owas top 10_2010_by_dino
 
Cbasica
CbasicaCbasica
Cbasica
 
Auditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoñoAuditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoño
 
Como los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoComo los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivo
 
Virus, troyano spyware
Virus, troyano spywareVirus, troyano spyware
Virus, troyano spyware
 
Seguridad sistemasinformacion
Seguridad sistemasinformacionSeguridad sistemasinformacion
Seguridad sistemasinformacion
 
Robo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmasRobo informático de datos nuevos paradigmas
Robo informático de datos nuevos paradigmas
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridad
 
Actividad de aprendizaje 1.9
Actividad de aprendizaje 1.9Actividad de aprendizaje 1.9
Actividad de aprendizaje 1.9
 
Seguridad y medidas de prevención.
Seguridad y medidas de prevención. Seguridad y medidas de prevención.
Seguridad y medidas de prevención.
 
Negligencia vs desconocimiento_cp
Negligencia vs desconocimiento_cpNegligencia vs desconocimiento_cp
Negligencia vs desconocimiento_cp
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Estadisticas sobre Seguridad TIC e Internet
Estadisticas sobre Seguridad TIC e InternetEstadisticas sobre Seguridad TIC e Internet
Estadisticas sobre Seguridad TIC e Internet
 
Crakeryphreaker seguridad biométrica
Crakeryphreaker seguridad biométricaCrakeryphreaker seguridad biométrica
Crakeryphreaker seguridad biométrica
 
Ciberseguridad para escuelas con adaptacion curricular
Ciberseguridad para escuelas con adaptacion curricularCiberseguridad para escuelas con adaptacion curricular
Ciberseguridad para escuelas con adaptacion curricular
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Security
 
Fuga de informacion
Fuga de informacionFuga de informacion
Fuga de informacion
 
Protegeatushijos
ProtegeatushijosProtegeatushijos
Protegeatushijos
 
Informe seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionInforme seguridad en redes de comunicacion
Informe seguridad en redes de comunicacion
 

More from Jhon Jairo Hernandez

Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundida
Jhon Jairo Hernandez
 
Mi spam mi harakiri-un_caso_forense
Mi spam mi harakiri-un_caso_forenseMi spam mi harakiri-un_caso_forense
Mi spam mi harakiri-un_caso_forense
Jhon Jairo Hernandez
 
Ley 1581 swat
Ley 1581 swatLey 1581 swat
Ley 1581 swat
Jhon Jairo Hernandez
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
Jhon Jairo Hernandez
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Jhon Jairo Hernandez
 

More from Jhon Jairo Hernandez (19)

Como los delincuentes_pueden_robar_tu privacidad_charla_emavi
Como los delincuentes_pueden_robar_tu privacidad_charla_emaviComo los delincuentes_pueden_robar_tu privacidad_charla_emavi
Como los delincuentes_pueden_robar_tu privacidad_charla_emavi
 
Seguridad logica atm_charla_emavi
Seguridad logica atm_charla_emaviSeguridad logica atm_charla_emavi
Seguridad logica atm_charla_emavi
 
Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1
 
Debilidades vulnerabilidades protocolos_charla_spectra
Debilidades vulnerabilidades protocolos_charla_spectraDebilidades vulnerabilidades protocolos_charla_spectra
Debilidades vulnerabilidades protocolos_charla_spectra
 
Fat analisis
Fat analisisFat analisis
Fat analisis
 
Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundida
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
 
Historia Seguridad informatica
Historia Seguridad informaticaHistoria Seguridad informatica
Historia Seguridad informatica
 
FundamentosSeguridad informática
FundamentosSeguridad informáticaFundamentosSeguridad informática
FundamentosSeguridad informática
 
Mi spam mi harakiri-un_caso_forense
Mi spam mi harakiri-un_caso_forenseMi spam mi harakiri-un_caso_forense
Mi spam mi harakiri-un_caso_forense
 
Charla asobancaria
Charla asobancariaCharla asobancaria
Charla asobancaria
 
Estado del cibercrimen
Estado del cibercrimenEstado del cibercrimen
Estado del cibercrimen
 
Ley 1581 swat
Ley 1581 swatLey 1581 swat
Ley 1581 swat
 
Cadena de custodia_septima_clase
Cadena de custodia_septima_claseCadena de custodia_septima_clase
Cadena de custodia_septima_clase
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
 
Yo no soy_una_ip
Yo no soy_una_ipYo no soy_una_ip
Yo no soy_una_ip
 
Firewalls iptables
Firewalls iptablesFirewalls iptables
Firewalls iptables
 
De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011
 

Recently uploaded

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Recently uploaded (14)

investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
Generaciones de las Computadoras..pdf...
Generaciones de las Computadoras..pdf...Generaciones de las Computadoras..pdf...
Generaciones de las Computadoras..pdf...
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 

Equipos de respuesta a incidentes csirt cert clase_tres_auo

  • 1. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com EQUIPOS DE RESPUESTA A INCIDENTES (CSIRT/CERT) Jhon Jairo Hernández Hernandez Analista Seguridad Informática Investigador Informática Forense Password S.A. TheMuroGroup Asesor/ Consultor TICs Compulink-jjh Nickname – Dinosaurio (Dino) http://World-Of-Dino.blogspot.com d7n0s4ur70@gmail.com @d7n0
  • 2. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com QUÉ ES UN CSIRT? Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.
  • 3. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com QUÉ ES UN CSIRT? Un CERT estudia el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información que ayude a mejorar la seguridad de estos sistemas.
  • 4. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Hablemos de su Historia Entre los 80-90: Hay Surgimiento de diversas organizaciones: En 1990: Conformación del FIRST - Forum of Incident Response and Security Teams
  • 5. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com CERT Statistics (Historical) Carnegie Mellon University's
  • 6. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM 2011 La siguiente tabla y gráfica muestran los incidentes detectados por el UNAM- CERT desde el 2004. Desde las mejorar en nuestros sistemas de detección en el 2009, se aprecia una tendencia de decremento sustancial en 2010 y 2011, registrando la menor cantidad de incidentes desde 2005.
  • 7. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM 2011 Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
  • 8. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM 2011 Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
  • 9. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Incidentes Anuales Red UNAM La siguiente tabla y gráfica muestran la cantidad de incidentes registrados en el UNAM-CERT por trimestre durante 2011. Se aprecia un decremento conforme avanza el año, debido a la falta de actividad en los meses vacacionales.
  • 10. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Reporte trimestral de incidentes en Red-UNAM 2010
  • 11. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
  • 12. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com ¿Qué es un incidente de seguridad? Un incidente de Seguridad Informática está definido como un evento que atente contra la Confidencialidad, Integridad y Disponibilidad de la información
  • 13. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Las funciones de un CERT/CSIRT son: Ayudar al público objetivo (constituency) a atenuar y prevenir incidentes graves de seguridad. Ayudar a proteger informaciones valiosas. Coordinar de forma centralizada la seguridad de la información. Guardar evidencias, por si hubiera que recurrir a pleitos. Apoyar y prestar asistencia a usuarios para recuperarse de las consecuencias de los incidentes de seguridad. Dirigir de forma centralizada la respuesta a los incidentes de seguridad - Promover confianza, que alguien controla la situación
  • 14. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Servicios de un CERT/CSIRT :
  • 15. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com 1. Desarrollar una política de respuesta a incidentes 2. Desarrollar procedimientos para el manejo de incidentes, basados en la Política 3. Establecer relaciones entre el equipo de respuesta a incidentes y otros grupos, tanto internos (ej.: RRHH, Legales, etc.) como externos (ej.: CERTs,etc.) 4. Definir guías para la comunicación con terceros en caso de incidentes 5. Organizar un equipo de respuesta a incidentes, definir y asignar funciones 6. Determinar qué servicios proveerá el equipo de respuesta a incidentes 7. Entrenar al equipo de respuesta a incidentes Creando una capacidad de respuesta de incidentes:
  • 16. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Gestión de incidentes de seguridad
  • 17. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Criterios de categorización de incidentes: • POR TIPO DE INCIDENTE • POR LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS Preparación y Prevención
  • 18. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Criterios de clasificación de incidentes
  • 19. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Criterios de clasificación de incidentes
  • 20. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Manejo de información con terceras partes
  • 21. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Otras medidas de preparación 1.Definir políticas, normas y procedimientos para la gestión de Incidentes: 2.Preparar el CSIRT o VCSIRT 3.Entrenar al personal 4.Documentar un mapa de la topología y arquitectura de la red 5.Documentar la configuración del equipamiento 6.Crear patrones de redes y sistemas 7.Comprender el funcionamiento normal
  • 22. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Manejo de información con terceras partes 1. Activar los logs en las diferentes plataformas y aplicaciones y en el equipamiento de comunicaciones 2. Utilizar logging centralizado y crear una política de almacenamiento de logs 3. Mantener los relojes de todos los equipos sincronizados 4. Crear sumas de comprobación criptográficas (cryptographic checksums) 5. Definir e implementar esquemas de resguardos de datos 6. Contactos
  • 23. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Preparación y Prevención
  • 24. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Manejo de información con terceras partes Considerar la necesidad de utilizar herramientas para: 1. Detección de incidentes 2. Monitoreo 3. Análisis de incidentes – análisis forense 4. Documentación de incidentes 1. 2. 3. 4.
  • 25. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Prevención de incidentes  Análisis periódicos de riesgos  Mejores prácticas de seguridad  Auditorías periódicas  Administración de actualizaciones  Fortalecimiento de la seguridad de los equipos  Seguridad en la red  Prevención de código malicioso  Concientización y capacitación de usuarios
  • 26. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección y Notificación
  • 27. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección y Notificación
  • 28. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes  IDS - Sistemas de detección de intrusiones de red (NIDS) o de host (HIDS)  Software de antivirus  Software de control de integridad de archivos  Sistemas de monitoreo de red (NMS)  Análisis de registros de auditoría (logs)  Información pública  Usuarios del organismo  Personas externas al organismo
  • 29. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes
  • 30. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes
  • 31. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Detección de incidentes
  • 32. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Análisis Preliminar
  • 33. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Análisis Preliminar
  • 34. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Análisis Preliminar Cómo determinar el alcance:
  • 35. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Métodos de recolección de información Análisis Preliminar
  • 36. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Contención, Respuesta y Recuperación
  • 37. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Contención, Respuesta y Recuperación Considerar los siguientes factores para la selección de una estrategia:  Daño potencial de recursos a causa del incidente  Necesidad de preservación de evidencia  Tiempo y recursos necesarios para poner en práctica la estrategia  Efectividad de la estrategia (ej.: total o parcialmente)  Duración de las medidas a tomar (ej.: período sin sistema)  Criticidad de los sistemas afectados  Características de los posibles atacantes  Si el incidente es de conocimiento público  Pérdida económica  Posibles implicancias legales  Relación costo-beneficio de la estrategia  Experiencias anteriores
  • 38. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Estrategias de contención de incidentes Contención, Respuesta y Recuperación
  • 39. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Estrategias de erradicación de incidentes Contención, Respuesta y Recuperación
  • 40. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Estrategias de recuperación de incidentes Contención, Respuesta y Recuperación
  • 41. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Investigación
  • 42. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Recolección de evidencia Investigación
  • 43. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Proceso de recolección de evidencia Investigación 1. Registrar información que rodea a la evidencia 2. Tomar fotografías del entorno de la evidencia 3. Tomar la evidencia 4. Registrar la evidencia 5. Rotular todos los medios que serán tomados como evidencia 6. Almacenar toda la evidencia en forma segura 7. Realizar las investigaciones en “duplicados de trabajo” de la evidencia original 8. Generar copias de seguridad de la evidencia original 9. Realizar revisiones periódicas para garantizar que la evidencia se encuentra correctamente conservada
  • 44. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Documento: Denuncia de un Incidente en el que se encuentra involucrada Tecnología Informática. Investigación http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf 1)Dónde denunciar 2)Aspectos a tener en cuenta según el denunciante 3)Quiénes deben estar involucrados 4)Recomendaciones generales 5) Recomendaciones relacionadas con la obtención de evidencia digital
  • 45. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Actividades Posteriores 1. Organizar reuniones 2. Mantener la documentación 3. Crear bases de conocimiento 4. Integrar la gestión de incidentes al análisis de riesgos 5. Implementar controles preventivos 6. Elaborar Tableros de Control
  • 46. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com Actividades Posteriores Tablero de control de incidentes de seguridad
  • 47. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com