Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Abuse, Cert, IRT, ..

Anuncio 
Abuse, Cert, IRT, .....
IRIS-CERT
04 de Marzo del 2005
Objetivos:
Introducir algunos conceptos y diferencias entre los
diversos “actores” (¿roles?) en un incidente de
seguridad.
Presentar el grupo de seguridad de RedIRIS (IRISCERT) .
¿Cual es el papel de “abuse@isp” en los incidentes de
seguridad ?
CERT // IRT // CSIRT
¿Sinónimos ?
 CERT: Computer Emergency Response Team
• Primer CERT formado tras el famoso problema del gusano de
Morris
• Ambito genérico no solo “intrusiones” , backups, ¿Y2K ?
IRT : Incident Response Team
 CSIRT: Computer Security Incident & Response Team
• Define lo que ahora viene a significar un grupo de seguridad en
una organización.
• Abundande
bibliografía
al
respecto,
http://www.sei.cmu.edu/publications/documents/03.reports/03hb0
02.html
Caracteristicas de un CSIRT // CERT
 Ambito de actuación: Clientes , empleados de una empresa
organización.
 Actividades:
,
• Protección de la infraestructura de la organización
• Monitorización y aviso a los usuarios sobre problemas de
seguridad (alertas de vulnerabilidades, nuevos problemas, etc.)
 Actuación:
• Tras la detección (propia) de actividad no usual
• Requeridos por los clientes, empleados ,etc de la propia
organización
 Coordinación ,
• Europeo: http://ti.terena.nl
• Mundial: http://www.first.org
RedIRIS
en
1988
para
 Surge
proporcionar conectividad a
recursos informáticos y de I+D
Españoles
 Puesta en marcha de los
primeros servicios de Internet
en España, DNS, News, etc..
 Conexión basada en un un
punto de acceso regional al
que se conectan los centros.
 Desde Enero de 2004
depende del ente publico
empresarial Red.es
IRIS-CERT
 Formado en 1995 para gestionar los incidentes de seguridad en los
que se vean involucradas redes conectadas a RedIRIS.
 Coordinación internacional con otras redes y grupos de seguridad.
 Actividades de coordinación y fomento de la seguridad informática
dentro de RedIRIS.
 Proyectos de seguridad específicos:
• PED: Sistema de Máquinas trampas , análisis forense.
• IRIS-PCA: Autoridad de certificación experimental
• Monitorización y control de tráfico
Problema de los incidentes de seguridad
Evolución incidentes
seguridad
1800
Sigue aumentando el número de
incidentes reportados cada año.
 ¿Quien “reporta” ?
1600
1400
• Usuarios externos
1200
• Otros Grupos de seguridad
1000
800
600
400
200
0
1999 2000 2001 2002 2003 2004
Incidentes
reportados
• Sistemas automáticos.
 Los
clientes
//
usuarios
propios no suelen avisar de
problemas de seguridad
Los equipos “finales” pueden
causar problemas:
 Saturación de la red,
 SPAM
 Acciones legales
ABUSE
 Inicialmente
• quejas por problemas de SPAM (mala configuración)
• Contenidos ofensivos en páginas WWW
 Incremento del “ruido de fondo” en Internet:
• Escaneos debidos a virus, equipos comprometidos
• SPAM debido a virus
• Aspectos legales (denuncias de copyright)
 Necesidad de un grupo que se encargue de recibir las quejas
procedentes del exterior.
Abuse
 Punto de contacto del proveedor organización con el exterior
• Reemplando direcciones de contacto técnicas.
 Iniciativas todavía incipientes:
• Europa: ECOAT
 Procedimientos de actuación limitados a cada organización:
• ¿Qué se puede hacer ?
• ¿Quién se encarga ?
¿Help desk de usuarios ?
¿Grupo de seguridad interno ?
 Falta de coordinación ante problemas “graves” de seguridad
• ¿Qué hacer cuando no se trata de un virus// spam //infección ?
Diferencias entre CSIRT y Abuse
CERT // CSIRT
 Inicio de actuación en base a
requerimientos internos
 Ambito de actuación técnico
(intrusiones, escaneos, etc)
 Información de contacto no
disponible en herramientas
automáticas (whois)
 Actuaciones para la protección
del usuario/cliente del exterior.
 Contacto directo externos con
otros CSIRT
 Empleo de “abuses” externos
para la resolución del problema
ABUSE:
 Inicio de actividad en base a
requerimientos del exterior
 Ambito de actuación no
solamente técnico (copyright,
SPAM)
 Contacto sobre todo en base a
direcciones
publicadas
en
whois.
 Actuaciones para la protección
del exterior// interior del cliente.
 Contacto directos externos con
usuarios finales // CSIRT
 Empleo de CSIRT interno para
la resolución del problema
Importancia el “Abuse”
 Es el punto de contacto “exterior” para problemas de todo tipo con los
usuarios internos:
• Para usuarios finales
• Herramientas automáticas (abuse@organizacion)
• Grupos de seguridad
• Asociaciones de propiedad intelectual
 Representa la “imagen” externa de la organización con respecto a
sus usuarios
• ¿Se tienen muchas quejas ?
• ¿Se atienden? Abuse: /dev/null ?

Abuse
Problemas de los grupos de abuse:
 Falta de concienciación sobre la necesidad de este elemento dentro
los proveedores y organizaciones.
 ¿Qué departamento // sección se encarga de las tareas de Abuse?
• Atención a usuarios
• NOC
• Grupo de seguridad
 Falta de información y coordinación sobre las tareas de abuse
 Procedimientos no estandard
• De atención de quejas
• De recepción de información
Documentos relacionados
Descarga gratuita Dr Abuse, programa de charla
Descarga gratuita Dr Abuse, programa de charla
NHCC ASSESMENT and HISTORY INFORMATION Esta
NHCC ASSESMENT and HISTORY INFORMATION Esta
am or y cariño por sus hijos am or y cariño por sus hijo s
am or y cariño por sus hijos am or y cariño por sus hijo s
Report Form
Report Form
Cómo beber con moderación y no en exceso
Cómo beber con moderación y no en exceso
poster: pautas de actuacion enfermera ante el
poster: pautas de actuacion enfermera ante el
política editorial revista criterios. cuadernos de ciencias jurídicas y
política editorial revista criterios. cuadernos de ciencias jurídicas y
PRINCIPIOS DE LA UNIÓN LIBERAL
PRINCIPIOS DE LA UNIÓN LIBERAL
PresentacionCSIRT-USS
PresentacionCSIRT-USS
Red CERT, garantía de seguridad en todo el - CCN-CERT
Red CERT, garantía de seguridad en todo el - CCN-CERT
Tratamiento de Incidentes de Seguridad: Una visión práctica
Tratamiento de Incidentes de Seguridad: Una visión práctica
Español
Español
Descargar
Anuncio
Anuncio