CSIRT

Anuncio
CSIRT - Equipo de Respuesta a Incidentes de
Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
“ … La rapidez con que se
pueda reconocer, analizar
y responder a las
amenazas, minimizará el
daño y disminuirá los
costos de recuperación….”
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
EVOLUCIÓN DEL CONCEPTO SEGURIDAD
GESTIÓN DE LA
SEGURIDAD ES UNA
ACTIVIDAD DE
GESTIÓN DEL RIESGO
OPERACIONAL.
LA GESTIÓN DE
RIESGOS SE CENTRA
EN MANTENER LOS
OBJETOS O ACTIVOS
CRÍTICOS
PRODUCTIVOS PARA:
•LIMITAR EL RIESGO
•GESTIONAR EL IMPACTO SI
EL RIESGO SE VUELVE REAL
SEGURIDAD,
HOY,
HABÍA SIDO REDEFINIDA
COMO:
•UNA CUESTIÓN DE NEGOCIOS
•PROPIEDAD
DE
LA
ORGANIZACIÓN
•UNA INVERSIÓN
•UN PROCESO DE LA EMPRESA
QUE SE PUEDE MEDIR Y QUE
SE GESTIONA
¿Qué es el Resiliencia Operacional?
Resiliencia
Operacional:
• Es la habilidad de
la organización de
sostener la misión
en caso que estos
riesgos ocurran.
Objetivo común:
Resiliencia Operacional
La velocidad con la cual una
organización pueda reconocer,
analizar, y responder a un
incidente podría limitar el daño
hecho y reducir el costo de la
recuperación.
Incluso la mejor
infraestructura de seguridad
de la información, no puede
garantizar que las
intrusiones y otros actos
maliciosos no vayan a
suceder.
Cuando se producen
incidentes de información o
de tecnología, será crítico
para una organización contar
con un medio eficaz de
responder.
El problema
Tener un mejor proceso de respuesta en el lugar, permite un mayor nivel de
resiliencia operativa
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Equipo de Respuesta a incidentes de seguridad informática (Computer
Security Incident Response Team). Término acuñado a finales de los
90’s .
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CERT o CERT/CC Equipo de respuesta a emergencias informáticas / Centro de
Coordinación (Computer Emergency Response Team). Término registrado en
EE.UU.
IRT Equipo de respuesta a incidentes (Incident Response Team)
CIRT Equipo de respuesta a incidentes informáticos (Computer Incident Response
Team)
SERT Equipo de respuesta a emergencias de seguridad (Security Emergency Response
Team)
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
“ Gusano MORRIS (1988): primer ejemplar de malware auto
replicable que afectó a Internet. El 2 de noviembre de 1988
hizo su aparición el primer gusano (gusano informático) en
Internet:
Morris
worm.
Durante
unas
horas,
aproximadamente el 10% de todas las máquinas de Internet
se vieron afectadas por ese gusano. “Tomado de la Wikipedia.
Robert Morris
•El mundo se da cuenta de la necesidad de cooperación y coordinación entre
administradores de sistemas y gestores de TI para enfrentarse a este tipo de casos.
•Días después del caso Morris la DARPA (Defence Advanced Research Projects Agency,
Agencia de Investigación de Proyectos Avanzados de Defensa) crea el primer CSIRT: el
CERT/CC ubicado en la Universidad de Carnegie Mellon, en Pitsburgh (Pensilvania).
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
TIPOS DE CSIRTs
Es importante saber cual va a ser el entorno de actuación y cuales van a
ser sus usuarios. Es por esto que se distinguen los siguientes sectores:
CSIRT del sector académico: prestan
servicios a centros académicos y
educativos, como universidades o centros
de investigación, y a sus campus virtuales.
Grupo de clientes atendido: personal y los
estudiantes de esos centros.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT comercial: prestan
servicios comerciales a sus
clientes. En el caso de un
proveedor de servicios de
Internet, el CSIRT presta
principalmente servicios
relacionados con el abuso a
los clientes y servicios de
CSIRT a sus clientes
profesionales.
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Grupo de clientes atendido:
Por lo general prestan sus
servicios a un grupo de
clientes que paga por ello.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT del sector CIP/CIIP:
Se centran principalmente en la
protección de la información
vital (CIP) y de la información y
las
infraestructuras
vitales
(CIIP). Por lo general, estos
CSIRT especializados colaboran
estrechamente
con
un
departamento
público
de
protección de la información y
las infraestructuras vitales.
Estos CSIRT abarcan todos los
sectores vitales de las TI del
país
y
protegen
a
los
ciudadanos.
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Grupo de clientes atendido:
Sector público; empresas de TI
de importancia fundamental;
ciudadanos.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT del sector público:
prestan servicios a agencias
públicas y, en algunos
países, a los ciudadanos.
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Grupo de clientes atendido:
Las administraciones y sus
agencias. En algunos países
también prestan servicios
de alerta a los ciudadanos.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT interno: únicamente prestan
servicios a la organización a la que
pertenecen, lo que describe más su
funcionamiento que su pertenencia a un
sector. Por regla general, estos CSIRT no
mantienen sitios web públicos.
Grupo de clientes atendido: Personal
y departamento de TI de la
organización a la que pertenece el
CSIRT.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT del sector
militar:
prestan servicios
a organizaciones
militares con
responsabilidades
en
infraestructuras
de TI necesarias
con fines de
defensa.
Grupo de clientes
atendido:
Personal de
instituciones militares y
de entidades
estrechamente
relacionadas con éstas.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT del sector de la pequeña y mediana
empresa (PYME): organizado por sí mismo
que presta servicios a las empresas del ramo o
a un grupo de usuarios similar.
Grupo de clientes atendido:
Pueden ser las PYME y su personal, o grupos
de interés especial.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT de soporte: se centran en productos
específicos. Suelen tener por objetivo desarrollar y
facilitar soluciones para eliminar vulnerabilidades
y mitigar posibles efectos Negativos.
Grupo de clientes atendido:
Propietarios de productos.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT NACIONAL
Un CSIRT nacional se considera un punto de contacto de seguridad
de un país. En algunos casos, el CSIRT del sector público también
actúa como punto de contacto nacional.
Grupo de clientes atendido:
Este tipo de CSIRT no suele tener un grupo de clientes directo, pues
se limita a desempeñar un papel de intermediario para todo el país.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Desde otra perspectiva también
puede servir como el “equipo de
respuesta de último recurso”:
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
“si es necesario informar un incidente
de ciberseguridad y no es claro dónde
reportarlo, el informe se puede
presentar ante este CSIRT, que lo
remitirá al equipo de respuesta
adecuado para su manejo o
suministrará algún nivel mínimo de
apoyo.”..
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Qué se protege?
Fuente: TB-Security
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Fuente: TB-Security
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Fuente: TB-Security
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Fuente: TB-Security
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Ciclo de vida de la gestión
de incidentes
Fuente: CERT/CC www.cert.org
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Convención de Budapest
ESTABLECER
STANDARS
OBJETIVOS
FORTALECER LAS
CAPACIDADES DEL
SECTOR JUDICIAL
Armonización
legislativa
Hablar el mismo
idioma
Estar alineados
con la tendencia
internacional
COOPERACIÓN
INTERNACIONAL
Redes 7x24
 Tener
procedimientos
acordes
Permitir una
adecuada
investigación
Obtener
evidencia válida
 Preservarla
adecuadamente
Fuente: Consulting Project
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Diferencias entre las redes 24/7 y CSIRTs/CERTs
CSIRTs /CERTs
Redes 24/7
Qué son?
Funciones?
Objetivos?
Puntos de contacto disponible las 24 hs
los 365 días
Asistencia inmediata para:
* Investigaciones
* Procedimientos
* Obtención de pruebas
Facilitar:
* Asesoramiento Técnico
* Conservación de datos
* Prueba, información jurídica y
localización de sospechosos
Centros de respuesta destinados a atender
incidentes de seguridad ocurridos en redes
públicas o privadas
* Incrementar los niveles de seguridad
* Compartir mejores prácticas
* Atender los incidentes de seguridad
* Proveer asesoramiento
* Centralizar los reportes
* Repositorio de información
* Fomentar la interacción entre sector
público, privado y academia
Las redes 7x24 sirven de asistencia mutua para preservar evidencia digital y permitir una adecuada
ejecución de los procedimientos legales.
Fuente: Consulting Project
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Servicios Reactivos
* Servicio de Alertas
* Gestión de Incidentes
• Análisis de incidentes
• Respuesta a incidentes en
sitio
Servicios Proactivos
•
•
•
Calidad de los Servicios de Gestión de
la Seguridad
• Comunicados
• Análisis de riesgos
• Vigilancia tecnológica
Auditorias de seguridad
o evaluaciones.
• Continuidad de negocio y
plan de recuperación de
desastres
• Consultoría de seguridad
• Configuración y
mantenimiento. de
seguridad, herramientas • Sensibilización en
seguridad
y aplicaciones e
Coordinación de respuesta a
infraestructura
incidentes
• Educación /
Entrenamiento
• Desarrollo de
Gestión de vulnerabilidades
herramientas de
• Evaluación de productos o
seguridad
Análisis de vulnerabilidades
certificación
• Servicios de detección
Respuesta a vulnerabilidades
de intrusos
• Soporte de respuesta a
incidentes
•
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
• Coordinación de respuesta a
vulnerabilidades
• Gestión de herramientas
• Análisis de herramientas
• Respuesta con herramientas
• Difusión de información
relacionada con la
seguridad
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Un CSIRT típico define las funciones siguientes en el
equipo
Asesor de
comunicaciones
Asesor jurídico
Director general
Director de la
oficina Contable
Investigadores
Jefe del equipo
técnico
Técnicos del CSIRT,
encargados de la
prestación de
servicios
Consultores
externos
Contratados cuando
se necesitan
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
“Sugerencias“ de Herramientas disponibles para CSIRT
HERRAMIENTAS
INCIDENTES
DE
TRATAMIENTO
DE
•Administración de incidentes y seguimiento,
rastreando acciones.
* RTIR http://www.bestpractical.com/rtir/ (Gratuita
y de código fuente abierto para el tratamiento de
incidentes).
Su diseño responde a las necesidades de los CERT
y otros equipos de respuesta a incidentes.
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Herramientas de CRM
•Si el grupo atendido es muy amplio y necesita localizar
todos los detalles, una base de datos CRM le será útil.
Existen diferentes variedades.
•Algunos ejemplos:
•* SugarCRM http://www.sugarcrm.com/crm/
•* Sugarforce (versión libre de código fuente abierto)
http://www.sugarforge.org/
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
•Verificación de la información
*Website
watcher
http://www.aignes.com/index.htm
(Comercial)
Detecta actualizaciones y cambios en los sitios web.
* Watch that page http://www.watchthatpage.com/ (Gratuito y
comercial).
El servicio envía por correo electrónico información sobre
cambios en páginas web
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
SOFTWARE DE ENCRIPTACIÓN DE CORREOS
ELECTRÓNICOS Y MENSAJES
 GNUPG http://www.gnupg.org/ (Gratuito)
Permite encriptar y firmar los datos y comunicaciones.
 PGP (Comercial)
http://www.symantec.com/products-solutions/families/?fid=encryption
Se pueden encontrar más consejos en la Clearinghouse of Incident Handling Tools
(CHIHT) - http://www.enisa.europa.eu/activities/cert/support/chiht
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
BÚSQUEDA DE INFORMACIÓN DE CONTACTO
Buscar el contacto más indicado para la comunicación de incidentes no es tarea
sencilla. Se pueden usar, por ejemplo, las siguientes fuentes de información:
– RIPE whois: http://www.ripe.net/whois
– http://www.enisa.europa.eu
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Etapas básicas para la creación de un CSIRT
0 a 5 meses
9 meses
6 meses
Operación
+3
novato
novato
ETAPA 1
Educación
ETAPA 2
Planificación
ETAPA 3
Implementación
ETAPA 4
Operación
ETAPA 5
Colaboración
Curso de acción – puntos a considerar
•Misión / Visión
•Comunidad de usuarios
•Alcance
•Autoridad
•Servicios (interacción / niveles / estructuras)
•Interacciones externas
•Terminología (incidentes, tipos, categorias)
experto
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT alrededor del mundo
Fuente: CERT/CC
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
EJEMPLO DE ORGANIZACIONES CSIRT
CERT Coordination Center (CERT/CC)
Forum of Incident Response and Security Teams
(FIRST)- www.first.org
United States Computer Emergency Readiness Team
(US-CERT) www.us-cert-gov/
Computer Emergency Response Team Brazil
(CERT.br) www.cert.br/
www.ccn-cert.cni.es
www.arcert.gov.ar
www.csirt-antel.com.uy
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Ronald Morales
rmorales@csirt.gt
Retico.gt/retisecure
Descargar