Manejo y Análisis de Incidentes de Seguridad Informática

advertisement
Manejo y Análisis de Incidentes de
Seguridad Informática
Julio Ardita
jardita@cybsec.com
CYBSEC
Manejo y Análisis de Incidentes de Seguridad Informática
Agenda
- Incidentes de seguridad en la Argentina
- Manejo de incidentes de seguridad
- Metodologías de investigación
- Análisis Forense Informático
- Buenas Prácticas
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en Argentina
¿Cual es el origen mas común de los incidentes de
seguridad en su empresa?
70%
60%
50%
40%
30%
20%
10%
0%
63%
58%
52%
Sistemas interno s
32%
Internet
30%
23%
10%
3%
3%
Año 2002
5% 4% 4%
Año 2003
4% 2% 6%
A cceso s remo to s vía
mo dem
Vínculo s Externo s
(pro veedo res y clientes)
Otro s
Año 2004
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en Argentina
¿Qué tipos de ataques fueron?
40%
35%
30%
25%
20%
15%
10%
5%
0%
29%
Año 2002
22%
Año 2003
Año 2004
12%
7%
6%
1%
2%
7%
2%
2%
4%
1%
2%
3%
Ac
A
Ro
S
De
R
C
Sa
O
Pe
F
M
Fr
V
ap
ob
tro
a u bu
ce i ru
bo od
ne pa m ra u
b
n
s
e
t
o
s
o
i
s
u
d
d
o
f
ga
t
t
i
de
m
o
ca s
e
de
de ra c aje
in e te ra d
no
ci ó
f
in
no c ió
ió
in
la
g
le
e
an
n
au
n
f
d
f
o
c
i
ó
n
e
de
d
ci e
rm teb n de
ce
n
t
fo
oo
so e s
rm oriz
ac
s e c or ic o
ro
pa
i
re
s
a
i
rv
ac
a
ón k
te
gin
d
o
ic i
i
o
ió
m
nt
el
c
o
a
p
n
a
e
o
ec
or
s
rn
we
nf
tró
et
id
pe
b
e
ni
rs
nc
co
on
ia
l
al
i ..
.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en Argentina
- El 74% de las grandes empresas tienen un Responsable de
Seguridad contra el 17% del año 2001.
- El 60% de los encuestados reconoció que el conocimiento del
personal para responder ataques informáticos es insuficiente.
- El 82% de las Empresas que sufrieron incidentes de seguridad
no realizaron análisis forense ni valoración de los mismos.
- Durante enero y febrero de 2008 hubo más de 250 ataques
exitosos a páginas Web en Argentina.
Fuente: Prince & Cooke y ZoneZone-h.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes en Argentina
Cantidad de incidentes graves manejados por CYBSEC:
16
14
Cantidad
12
10
8
6
4
2
0
2001
2002
200 3
200 4
200 5
200 6
200 7
Año
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes de seguridad reales
- Robo de información sensible
- Robo y pérdida de notebooks con información sensible
- Denegación de servicio sobre equipos de networking, afectando
la operación diaria de la Compañía
- Denegación de servicio por el ingreso y propagación de virus y
worms que explotan vulnerabilidades
- Sabotaje Corporativo a través de modificaciones de programas
por parte del personal interno que generó problemas de
disponibilidad en servicios críticos (programa troyano)
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Incidentes de seguridad reales
- Amenazas y denuncias falsas a través de mensajes de correo
electrónico anónimos
- Ataques locales de phishing a Bancos y Empresas
- Fraude financiero
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
¿Por qué se generan más incidentes que antes?
- Crecimiento de la dependencia tecnológica
- No hay una conciencia sobre la privacidad
- Amplia disponibilidad de herramientas
- No hay leyes globales (ni locales)
- Falsa sensación de que todo se puede hacer en Internet
- Gran aumento de vulnerabilidades de seguridad (sólo en el
2007 se reportaron 7.236 según CERT)
- Traslado de negocios con dinero real a Internet (servicios
financieros, juegos de azar, sitios de subastas, etc.)
- Oferta y demanda de información confidencial más abierta
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Tendencias en incidentes
- Los intrusos “saben” más técnicas para evitar que los rastreen
- Nuevo origen de incidentes: redes wireless abiertas
- Casos de publicación de venta en Internet de
información sensible de empresas argentinas
- Casos individuales de robo de identidad basados en
información disponible en Internet
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Manejo de incidentes de seguridad
Hacemos todo lo posible para tener un elevado nivel de
seguridad en la Compañía, pero surge un incidente de seguridad
grave.
Tips:
- No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak)
- Mantener la calma por la situación personal del CSO
- No comenzar buscando culpables
- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Manejo de incidentes de seguridad
Durante las primeras horas tendremos la atención de la
Compañía puesta en nosotros. Es clave aprovechar este
momento.
Nivel de Atención de la Gerencia durante un Incidente
% Nivel de Atención
120
100
80
0 hs
12 hs
60
24 hs
40
20
48 hs
72 hs
96 hs
0
Tiempo
Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Necesidades para el manejo de incidentes de seguridad
- Políticas y Procedimientos previamente definidos y acordados
- Capacitación del personal involucrado (seguridad informática,
administradores, help-desk, auditoría, seguridad ambiental y
legales)
- Mantenimiento activo (capacitación periódica, simulaciones y
adecuación de las Políticas y Procedimientos)
- Soporte altamente especializado
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Política de Manejo de Incidentes de Seguridad Informática
Procedimientos necesarios:
- Detección y Denuncia de Incidentes
- Recepción y Análisis de Incidentes
- Neutralización del ataque
- Búsqueda de información y rastreo del intruso
- Secuestro y preservación de evidencia
- Recuperación de datos o sistemas afectados
- Restauración de la información
- Cierre y documentación del proceso de manejo de incidentes
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Pasos a seguir cuando sucede un incidente
1. Reunión de relevamiento on-site con todos los referentes e
involucrados.
2. Verificar la información.
3. Consolidar y revisar toda la información relevada.
4. Análisis preliminar de impacto del incidente.
5. Elaborar el diagnóstico detallado de la situación.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Pasos a seguir cuando sucede un incidente
6. Definir los mensajes de comunicación a transmitir a través de
canales de comunicación externos e internos.
7. Elaborar un Plan de Acción detallado y consensuado con
todas las áreas participantes.
8. Organizar grupos de trabajo para llevar adelante las actividades
planificadas en el Plan de Acción coordinados por el CSO.
9. Implementar y gerenciar el Plan de Acción priorizando las
actividades más críticas con el objetivo de bajar lo mas rápido
posible el nivel de exposición al riesgo que afecta a la Compañía.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Pasos a seguir cuando sucede un incidente
10. Documentar detalladamente TODO lo realizado.
11. Vuelta a la normalidad.
12. Luego del cierre del incidente:
- Aplicar “lecciones aprendidas”.
- En lo posible estimar las pérdidas económicas.
- Ajustar los procedimientos.
- Informe ejecutivo al Directorio y áreas de negocio.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Análisis Forense Informático
“Es la técnica de capturar, procesar e investigar información
procedente de sistemas informáticos utilizando una metodología
definida”.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Metodología de Análisis Forense Informático
El primer paso es identificar los equipos que pueden contener
evidencia, reconociendo la frágil naturaleza de los datos
digitales.
La segunda gran tarea es preservar la evidencia contra daños
accidentales o intencionales, usualmente esto se realiza
efectuando una copia o imagen espejada exacta del medio
analizado.
El tercer paso es analizar la imagen copia de la original,
buscando la evidencia o información necesaria.
Finalmente una vez terminada la investigación se debe realizar el
reporte de los hallazgos a la persona indicada para tomar las
decisiones, como puede ser un juez o un CEO.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Documentar la Escena
¿Secuestrar
volátiles?
Si
¿Es necesario
Investigar on-site?
Capturar volátiles
Si
Investigar on-site
Hacer imágenes
Investigar en el Laboratorio
Si
Generar
Conclusiones
¿Volver a buscar más
información?
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática
Buenas Prácticas frente a incidentes de seguridad
Hay que tener
comunicados.
procedimientos
claramente
definidos
y
Es muy importante que todo el personal esté entrenado
previamente y sepa qué tiene que hacer frente a un incidente.
Durante las primeras horas tendremos la atención de la
Compañía puesta en nosotros. Es clave aprovechar ese
momento.
El tiempo es un factor que nos puede llegar a jugar en contra.
Cuanto antes reaccionemos, mejor estaremos preparados para
manejar el incidente.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Contacto:
Julio Ardita
jardita@cybsec.com
CYBSEC
Descargar