equipos de respuesta a incidentes csirt cert clase_tres_auo
DESCRIPTION
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.TRANSCRIPT
![Page 1: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/1.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
EQUIPOS DE RESPUESTA A INCIDENTES (CSIRT/CERT)
Jhon Jairo Hernández HernandezAnalista Seguridad Informática
Investigador Informática Forense
Password S.A.TheMuroGroup
Asesor/ Consultor TICs
Compulink-jjhNickname – Dinosaurio (Dino)
http://World-Of-Dino.blogspot.com
@d7n0
![Page 2: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/2.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
QUÉ ES UN CSIRT?
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.
![Page 3: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/3.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
QUÉ ES UN CSIRT?
Un CERT estudia el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información que ayude a mejorar la seguridad de estos sistemas.
![Page 4: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/4.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Hablemos de su HistoriaEntre los 80-90: Hay Surgimiento de diversas organizaciones:
En 1990: Conformación del FIRST - Forum of Incident Response and Security Teams
![Page 5: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/5.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
CERT Statistics (Historical) Carnegie Mellon University's
![Page 6: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/6.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
La siguiente tabla y gráfica muestran los incidentes detectados por el UNAM-CERT desde el 2004. Desde las mejorar en nuestros sistemas de detección en el 2009, se aprecia una tendencia de decremento sustancial en 2010 y 2011, registrando la menor cantidad de incidentes desde 2005.
![Page 7: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/7.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
![Page 8: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/8.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM 2011
Una vez más, los bots son el principal problema de seguridad observado en el año, seguidos de spam. Estos dos tipos de incidente representan el 96% de toda la actividad maliciosa detectada por el UNAM-CERT en lo que va del 2011.
![Page 9: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/9.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Incidentes Anuales Red UNAM
La siguiente tabla y gráfica muestran la cantidad de incidentes registrados en el UNAM-CERT por trimestre durante 2011. Se aprecia un decremento conforme avanza el año, debido a la falta de actividad en los meses vacacionales.
![Page 10: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/10.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Reporte trimestral de incidentes en Red-UNAM 2010
![Page 11: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/11.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
![Page 12: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/12.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
¿Qué es un incidente de seguridad?
Un incidente de Seguridad Informática está definido como un evento que atente contra la Confidencialidad, Integridad y Disponibilidad de la información
![Page 13: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/13.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Las funciones de un CERT/CSIRT son:
Ayudar al público objetivo (constituency) a atenuar y prevenir incidentes graves de seguridad.
Ayudar a proteger informaciones valiosas.Coordinar de forma centralizada la seguridad de la información.
Guardar evidencias, por si hubiera que recurrir a pleitos.Apoyar y prestar asistencia a usuarios para recuperarse de las consecuencias de los incidentes de seguridad.
Dirigir de forma centralizada la respuesta a los incidentes de seguridad - Promover confianza, que alguien controla la situación
![Page 14: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/14.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Servicios de un CERT/CSIRT :
![Page 15: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/15.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
1. Desarrollar una política de respuesta a incidentes2. Desarrollar procedimientos para el manejo de incidentes,
basados en la Política3. Establecer relaciones entre el equipo de respuesta a
incidentes y otros grupos, tanto internos (ej.: RRHH, Legales, etc.) como externos (ej.: CERTs,etc.)
4. Definir guías para la comunicación con terceros en caso de incidentes
5. Organizar un equipo de respuesta a incidentes, definir y asignar funciones
6. Determinar qué servicios proveerá el equipo de respuesta a incidentes
7. Entrenar al equipo de respuesta a incidentes
Creando una capacidad de respuesta de incidentes:
![Page 16: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/16.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Gestión de incidentes de seguridad
![Page 17: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/17.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de categorización de incidentes:
• POR TIPO DE INCIDENTE• POR LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS
Preparación y Prevención
![Page 18: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/18.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de clasificación de incidentes
![Page 19: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/19.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Criterios de clasificación de incidentes
![Page 20: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/20.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
![Page 21: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/21.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Otras medidas de preparación
1.Definir políticas, normas y procedimientos para la gestión de Incidentes:
2.Preparar el CSIRT o VCSIRT3.Entrenar al personal4.Documentar un mapa de la topología y
arquitectura de la red5.Documentar la configuración del equipamiento6.Crear patrones de redes y sistemas7.Comprender el funcionamiento normal
![Page 22: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/22.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
1. Activar los logs en las diferentes plataformas y aplicaciones y en el equipamiento de comunicaciones
2. Utilizar logging centralizado y crear una política de almacenamiento de logs
3. Mantener los relojes de todos los equipos sincronizados
4. Crear sumas de comprobación criptográficas (cryptographic checksums)
5. Definir e implementar esquemas de resguardos de datos
6. Contactos
![Page 23: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/23.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Preparación y Prevención
![Page 24: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/24.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Manejo de información con terceras partes
Considerar la necesidad de utilizar herramientas para:
1. Detección de incidentes2. Monitoreo3. Análisis de incidentes – análisis forense4. Documentación de incidentes
1. 2. 3.
4.
![Page 25: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/25.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Prevención de incidentes
Análisis periódicos de riesgos Mejores prácticas de seguridad Auditorías periódicas Administración de actualizaciones Fortalecimiento de la seguridad de los equipos Seguridad en la red Prevención de código malicioso Concientización y capacitación de usuarios
![Page 26: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/26.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección y Notificación
![Page 27: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/27.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección y Notificación
![Page 28: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/28.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
IDS - Sistemas de detección de intrusiones de red (NIDS) o de host (HIDS)
Software de antivirus Software de control de integridad de archivos Sistemas de monitoreo de red (NMS) Análisis de registros de auditoría (logs) Información pública Usuarios del organismo Personas externas al organismo
![Page 29: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/29.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
![Page 30: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/30.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
![Page 31: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/31.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Detección de incidentes
![Page 32: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/32.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Análisis Preliminar
![Page 33: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/33.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Análisis Preliminar
![Page 34: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/34.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Análisis Preliminar
Cómo determinar el alcance:
![Page 35: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/35.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Métodos de recolección de información
Análisis Preliminar
![Page 36: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/36.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Contención, Respuesta y Recuperación
![Page 37: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/37.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Contención, Respuesta y Recuperación
Considerar los siguientes factores para la selección de una estrategia:
Daño potencial de recursos a causa del incidente Necesidad de preservación de evidencia Tiempo y recursos necesarios para poner en práctica la estrategia Efectividad de la estrategia (ej.: total o parcialmente) Duración de las medidas a tomar (ej.: período sin sistema) Criticidad de los sistemas afectados Características de los posibles atacantes Si el incidente es de conocimiento público Pérdida económica Posibles implicancias legales Relación costo-beneficio de la estrategia Experiencias anteriores
![Page 38: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/38.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de contención de incidentes
Contención, Respuesta y Recuperación
![Page 39: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/39.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de erradicación de incidentes
Contención, Respuesta y Recuperación
![Page 40: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/40.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Estrategias de recuperación de incidentes
Contención, Respuesta y Recuperación
![Page 41: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/41.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Investigación
![Page 42: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/42.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Recolección de evidencia
Investigación
![Page 43: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/43.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Proceso de recolección de evidencia
Investigación
1. Registrar información que rodea a la evidencia2. Tomar fotografías del entorno de la evidencia3. Tomar la evidencia4. Registrar la evidencia5. Rotular todos los medios que serán tomados como evidencia6. Almacenar toda la evidencia en forma segura7. Realizar las investigaciones en “duplicados de trabajo”
de la evidencia original8. Generar copias de seguridad de la evidencia original9. Realizar revisiones periódicas para garantizar que la evidencia se encuentra
correctamente conservada
![Page 44: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/44.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Documento: Denuncia de un Incidente en el que seencuentra involucrada Tecnología Informática.
Investigación
http://www.arcert.gov.ar/webs/tips/Denuncia_200903_v1.pdf
1)Dónde denunciar
2)Aspectos a tener en cuenta según el denunciante
3)Quiénes deben estar involucrados
4)Recomendaciones generales
5) Recomendaciones relacionadas con la obtención de evidencia digital
![Page 45: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/45.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Actividades Posteriores
1. Organizar reuniones2. Mantener la documentación3. Crear bases de conocimiento4. Integrar la gestión de incidentes al
análisis de riesgos5. Implementar controles preventivos6. Elaborar Tableros de Control
![Page 46: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/46.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com
Actividades PosterioresTablero de control de incidentes de seguridad
![Page 47: Equipos de respuesta a incidentes csirt cert clase_tres_auo](https://reader036.vdocumento.com/reader036/viewer/2022062418/55617e83d8b42ade208b5437/html5/thumbnails/47.jpg)
Jhon Jairo Hernandez ( Dinosaurio / Dino ) http:World-Of-Dino.blogspot.com