Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.
2. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
QUÉ ES UN CSIRT?
Un Equipo de Respuesta ante
Emergencias Informáticas (CERT, del
inglés Computer Emergency Response
Team) es un centro de respuesta a
incidentes de seguridad en tecnologías
de la información. Se trata de un grupo
de expertos responsable del desarrollo
de medidas preventivas y reactivas
ante incidencias de seguridad en los
sistemas de información.
3. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
QUÉ ES UN CSIRT?
Un CERT estudia el estado de
seguridad global de redes y
ordenadores y proporciona
servicios de respuesta ante
incidentes a víctimas de
ataques en la red, publica
alertas relativas a amenazas
y vulnerabilidades y ofrece
información que ayude a
mejorar la seguridad de
estos sistemas.
4. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Hablemos de su Historia
Entre los 80-90: Hay Surgimiento de diversas
organizaciones:
En 1990: Conformación del FIRST - Forum of Incident
Response and Security Teams
6. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
La siguiente tabla y gráfica muestran los incidentes detectados por el UNAM-
CERT desde el 2004. Desde las mejorar en nuestros sistemas de detección en
el 2009, se aprecia una tendencia de decremento sustancial en 2010 y 2011,
registrando la menor cantidad de incidentes desde 2005.
7. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
Una vez más, los bots son el principal problema de seguridad observado en el
año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda
la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
8. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
Una vez más, los bots son el principal problema de seguridad observado en el
año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda
la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
9. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM
La siguiente tabla y gráfica muestran la cantidad de incidentes registrados en el
UNAM-CERT por trimestre durante 2011. Se aprecia un decremento conforme
avanza el año, debido a la falta de actividad en los meses vacacionales.
10. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Reporte trimestral de incidentes en Red-UNAM 2010
12. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
¿Qué es un incidente de seguridad?
Un incidente de Seguridad Informática
está definido como un evento que atente
contra la Confidencialidad, Integridad y
Disponibilidad de la información
13. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Las funciones de un CERT/CSIRT son:
Ayudar al público objetivo (constituency) a atenuar y
prevenir incidentes graves de seguridad.
Ayudar a proteger informaciones valiosas.
Coordinar de forma centralizada la seguridad de la
información.
Guardar evidencias, por si hubiera que recurrir a pleitos.
Apoyar y prestar asistencia a usuarios para recuperarse
de las consecuencias de los incidentes de seguridad.
Dirigir de forma centralizada la respuesta a los
incidentes de seguridad - Promover confianza, que alguien
controla la situación
14. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Servicios de un CERT/CSIRT :
15. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
1. Desarrollar una política de respuesta a incidentes
2. Desarrollar procedimientos para el manejo de incidentes,
basados en la Política
3. Establecer relaciones entre el equipo de respuesta a
incidentes y otros grupos, tanto internos (ej.: RRHH,
Legales, etc.) como externos (ej.: CERTs,etc.)
4. Definir guías para la comunicación con terceros en caso
de incidentes
5. Organizar un equipo de respuesta a incidentes, definir y
asignar funciones
6. Determinar qué servicios proveerá el equipo de respuesta
a incidentes
7. Entrenar al equipo de respuesta a incidentes
Creando una capacidad de respuesta de
incidentes:
16. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Gestión de incidentes de seguridad
17. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de categorización de incidentes:
• POR TIPO DE INCIDENTE
• POR LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS
Preparación y Prevención
18. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de clasificación de incidentes
19. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de clasificación de incidentes
20. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
21. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Otras medidas de preparación
1.Definir políticas, normas y procedimientos para
la gestión de Incidentes:
2.Preparar el CSIRT o VCSIRT
3.Entrenar al personal
4.Documentar un mapa de la topología y
arquitectura de la red
5.Documentar la configuración del equipamiento
6.Crear patrones de redes y sistemas
7.Comprender el funcionamiento normal
22. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
1. Activar los logs en las diferentes plataformas y
aplicaciones y en el equipamiento de comunicaciones
2. Utilizar logging centralizado y crear una política de
almacenamiento de logs
3. Mantener los relojes de todos los equipos sincronizados
4. Crear sumas de comprobación criptográficas
(cryptographic checksums)
5. Definir e implementar esquemas de resguardos de datos
6. Contactos
24. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
Considerar la necesidad de utilizar herramientas para:
1. Detección de incidentes
2. Monitoreo
3. Análisis de incidentes – análisis forense
4. Documentación de incidentes
1. 2. 3.
4.
25. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Prevención de incidentes
Análisis periódicos de riesgos
Mejores prácticas de seguridad
Auditorías periódicas
Administración de actualizaciones
Fortalecimiento de la seguridad de los
equipos
Seguridad en la red
Prevención de código malicioso
Concientización y capacitación de
usuarios
28. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
IDS - Sistemas de detección de intrusiones de
red (NIDS) o de host (HIDS)
Software de antivirus
Software de control de integridad de archivos
Sistemas de monitoreo de red (NMS)
Análisis de registros de auditoría (logs)
Información pública
Usuarios del organismo
Personas externas al organismo
37. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Contención, Respuesta y Recuperación
Considerar los siguientes factores para la
selección de una estrategia:
Daño potencial de recursos a causa del incidente
Necesidad de preservación de evidencia
Tiempo y recursos necesarios para poner en práctica la
estrategia
Efectividad de la estrategia (ej.: total o parcialmente)
Duración de las medidas a tomar (ej.: período sin sistema)
Criticidad de los sistemas afectados
Características de los posibles atacantes
Si el incidente es de conocimiento público
Pérdida económica
Posibles implicancias legales
Relación costo-beneficio de la estrategia
Experiencias anteriores
38. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de contención de incidentes
Contención, Respuesta y Recuperación
39. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de erradicación de incidentes
Contención, Respuesta y Recuperación
40. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de recuperación de incidentes
Contención, Respuesta y Recuperación
43. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Proceso de recolección de evidencia
Investigación
1. Registrar información que rodea a la evidencia
2. Tomar fotografías del entorno de la evidencia
3. Tomar la evidencia
4. Registrar la evidencia
5. Rotular todos los medios que serán tomados como
evidencia
6. Almacenar toda la evidencia en forma segura
7. Realizar las investigaciones en “duplicados de trabajo”
de la evidencia original
8. Generar copias de seguridad de la evidencia original
9. Realizar revisiones periódicas para garantizar que la
evidencia se encuentra
correctamente conservada
44. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Documento: Denuncia de un Incidente en el que se
encuentra involucrada Tecnología Informática.
Investigación
http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf
1)Dónde denunciar
2)Aspectos a tener en cuenta según el
denunciante
3)Quiénes deben estar involucrados
4)Recomendaciones generales
5) Recomendaciones relacionadas con la
obtención de evidencia digital
45. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Actividades Posteriores
1. Organizar reuniones
2. Mantener la documentación
3. Crear bases de conocimiento
4. Integrar la gestión de incidentes al
análisis de riesgos
5. Implementar controles preventivos
6. Elaborar Tableros de Control
46. Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Actividades Posteriores
Tablero de control de incidentes de seguridad