CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática “ … La rapidez con que se pueda reconocer, analizar y responder a las amenazas, minimizará el daño y disminuirá los costos de recuperación….” Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure EVOLUCIÓN DEL CONCEPTO SEGURIDAD GESTIÓN DE LA SEGURIDAD ES UNA ACTIVIDAD DE GESTIÓN DEL RIESGO OPERACIONAL. LA GESTIÓN DE RIESGOS SE CENTRA EN MANTENER LOS OBJETOS O ACTIVOS CRÍTICOS PRODUCTIVOS PARA: •LIMITAR EL RIESGO •GESTIONAR EL IMPACTO SI EL RIESGO SE VUELVE REAL SEGURIDAD, HOY, HABÍA SIDO REDEFINIDA COMO: •UNA CUESTIÓN DE NEGOCIOS •PROPIEDAD DE LA ORGANIZACIÓN •UNA INVERSIÓN •UN PROCESO DE LA EMPRESA QUE SE PUEDE MEDIR Y QUE SE GESTIONA ¿Qué es el Resiliencia Operacional? Resiliencia Operacional: • Es la habilidad de la organización de sostener la misión en caso que estos riesgos ocurran. Objetivo común: Resiliencia Operacional La velocidad con la cual una organización pueda reconocer, analizar, y responder a un incidente podría limitar el daño hecho y reducir el costo de la recuperación. Incluso la mejor infraestructura de seguridad de la información, no puede garantizar que las intrusiones y otros actos maliciosos no vayan a suceder. Cuando se producen incidentes de información o de tecnología, será crítico para una organización contar con un medio eficaz de responder. El problema Tener un mejor proceso de respuesta en el lugar, permite un mayor nivel de resiliencia operativa CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Equipo de Respuesta a incidentes de seguridad informática (Computer Security Incident Response Team). Término acuñado a finales de los 90’s . CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CERT o CERT/CC Equipo de respuesta a emergencias informáticas / Centro de Coordinación (Computer Emergency Response Team). Término registrado en EE.UU. IRT Equipo de respuesta a incidentes (Incident Response Team) CIRT Equipo de respuesta a incidentes informáticos (Computer Incident Response Team) SERT Equipo de respuesta a emergencias de seguridad (Security Emergency Response Team) Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática “ Gusano MORRIS (1988): primer ejemplar de malware auto replicable que afectó a Internet. El 2 de noviembre de 1988 hizo su aparición el primer gusano (gusano informático) en Internet: Morris worm. Durante unas horas, aproximadamente el 10% de todas las máquinas de Internet se vieron afectadas por ese gusano. “Tomado de la Wikipedia. Robert Morris •El mundo se da cuenta de la necesidad de cooperación y coordinación entre administradores de sistemas y gestores de TI para enfrentarse a este tipo de casos. •Días después del caso Morris la DARPA (Defence Advanced Research Projects Agency, Agencia de Investigación de Proyectos Avanzados de Defensa) crea el primer CSIRT: el CERT/CC ubicado en la Universidad de Carnegie Mellon, en Pitsburgh (Pensilvania). CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure TIPOS DE CSIRTs Es importante saber cual va a ser el entorno de actuación y cuales van a ser sus usuarios. Es por esto que se distinguen los siguientes sectores: CSIRT del sector académico: prestan servicios a centros académicos y educativos, como universidades o centros de investigación, y a sus campus virtuales. Grupo de clientes atendido: personal y los estudiantes de esos centros. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática CSIRT comercial: prestan servicios comerciales a sus clientes. En el caso de un proveedor de servicios de Internet, el CSIRT presta principalmente servicios relacionados con el abuso a los clientes y servicios de CSIRT a sus clientes profesionales. Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Grupo de clientes atendido: Por lo general prestan sus servicios a un grupo de clientes que paga por ello. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática CSIRT del sector CIP/CIIP: Se centran principalmente en la protección de la información vital (CIP) y de la información y las infraestructuras vitales (CIIP). Por lo general, estos CSIRT especializados colaboran estrechamente con un departamento público de protección de la información y las infraestructuras vitales. Estos CSIRT abarcan todos los sectores vitales de las TI del país y protegen a los ciudadanos. Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Grupo de clientes atendido: Sector público; empresas de TI de importancia fundamental; ciudadanos. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática CSIRT del sector público: prestan servicios a agencias públicas y, en algunos países, a los ciudadanos. Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Grupo de clientes atendido: Las administraciones y sus agencias. En algunos países también prestan servicios de alerta a los ciudadanos. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT interno: únicamente prestan servicios a la organización a la que pertenecen, lo que describe más su funcionamiento que su pertenencia a un sector. Por regla general, estos CSIRT no mantienen sitios web públicos. Grupo de clientes atendido: Personal y departamento de TI de la organización a la que pertenece el CSIRT. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT del sector militar: prestan servicios a organizaciones militares con responsabilidades en infraestructuras de TI necesarias con fines de defensa. Grupo de clientes atendido: Personal de instituciones militares y de entidades estrechamente relacionadas con éstas. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT del sector de la pequeña y mediana empresa (PYME): organizado por sí mismo que presta servicios a las empresas del ramo o a un grupo de usuarios similar. Grupo de clientes atendido: Pueden ser las PYME y su personal, o grupos de interés especial. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT de soporte: se centran en productos específicos. Suelen tener por objetivo desarrollar y facilitar soluciones para eliminar vulnerabilidades y mitigar posibles efectos Negativos. Grupo de clientes atendido: Propietarios de productos. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT NACIONAL Un CSIRT nacional se considera un punto de contacto de seguridad de un país. En algunos casos, el CSIRT del sector público también actúa como punto de contacto nacional. Grupo de clientes atendido: Este tipo de CSIRT no suele tener un grupo de clientes directo, pues se limita a desempeñar un papel de intermediario para todo el país. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Desde otra perspectiva también puede servir como el “equipo de respuesta de último recurso”: Ronald Morales rmorales@csirt.gt Retico.gt/retisecure “si es necesario informar un incidente de ciberseguridad y no es claro dónde reportarlo, el informe se puede presentar ante este CSIRT, que lo remitirá al equipo de respuesta adecuado para su manejo o suministrará algún nivel mínimo de apoyo.”.. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Qué se protege? Fuente: TB-Security CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Fuente: TB-Security CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Fuente: TB-Security CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Fuente: TB-Security CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Ciclo de vida de la gestión de incidentes Fuente: CERT/CC www.cert.org Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Convención de Budapest ESTABLECER STANDARS OBJETIVOS FORTALECER LAS CAPACIDADES DEL SECTOR JUDICIAL Armonización legislativa Hablar el mismo idioma Estar alineados con la tendencia internacional COOPERACIÓN INTERNACIONAL Redes 7x24 Tener procedimientos acordes Permitir una adecuada investigación Obtener evidencia válida Preservarla adecuadamente Fuente: Consulting Project CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Diferencias entre las redes 24/7 y CSIRTs/CERTs CSIRTs /CERTs Redes 24/7 Qué son? Funciones? Objetivos? Puntos de contacto disponible las 24 hs los 365 días Asistencia inmediata para: * Investigaciones * Procedimientos * Obtención de pruebas Facilitar: * Asesoramiento Técnico * Conservación de datos * Prueba, información jurídica y localización de sospechosos Centros de respuesta destinados a atender incidentes de seguridad ocurridos en redes públicas o privadas * Incrementar los niveles de seguridad * Compartir mejores prácticas * Atender los incidentes de seguridad * Proveer asesoramiento * Centralizar los reportes * Repositorio de información * Fomentar la interacción entre sector público, privado y academia Las redes 7x24 sirven de asistencia mutua para preservar evidencia digital y permitir una adecuada ejecución de los procedimientos legales. Fuente: Consulting Project CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Servicios Reactivos * Servicio de Alertas * Gestión de Incidentes • Análisis de incidentes • Respuesta a incidentes en sitio Servicios Proactivos • • • Calidad de los Servicios de Gestión de la Seguridad • Comunicados • Análisis de riesgos • Vigilancia tecnológica Auditorias de seguridad o evaluaciones. • Continuidad de negocio y plan de recuperación de desastres • Consultoría de seguridad • Configuración y mantenimiento. de seguridad, herramientas • Sensibilización en seguridad y aplicaciones e Coordinación de respuesta a infraestructura incidentes • Educación / Entrenamiento • Desarrollo de Gestión de vulnerabilidades herramientas de • Evaluación de productos o seguridad Análisis de vulnerabilidades certificación • Servicios de detección Respuesta a vulnerabilidades de intrusos • Soporte de respuesta a incidentes • Ronald Morales rmorales@csirt.gt Retico.gt/retisecure • Coordinación de respuesta a vulnerabilidades • Gestión de herramientas • Análisis de herramientas • Respuesta con herramientas • Difusión de información relacionada con la seguridad CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Un CSIRT típico define las funciones siguientes en el equipo Asesor de comunicaciones Asesor jurídico Director general Director de la oficina Contable Investigadores Jefe del equipo técnico Técnicos del CSIRT, encargados de la prestación de servicios Consultores externos Contratados cuando se necesitan CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure “Sugerencias“ de Herramientas disponibles para CSIRT HERRAMIENTAS INCIDENTES DE TRATAMIENTO DE •Administración de incidentes y seguimiento, rastreando acciones. * RTIR http://www.bestpractical.com/rtir/ (Gratuita y de código fuente abierto para el tratamiento de incidentes). Su diseño responde a las necesidades de los CERT y otros equipos de respuesta a incidentes. CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure Herramientas de CRM •Si el grupo atendido es muy amplio y necesita localizar todos los detalles, una base de datos CRM le será útil. Existen diferentes variedades. •Algunos ejemplos: •* SugarCRM http://www.sugarcrm.com/crm/ •* Sugarforce (versión libre de código fuente abierto) http://www.sugarforge.org/ CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure •Verificación de la información *Website watcher http://www.aignes.com/index.htm (Comercial) Detecta actualizaciones y cambios en los sitios web. * Watch that page http://www.watchthatpage.com/ (Gratuito y comercial). El servicio envía por correo electrónico información sobre cambios en páginas web CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure SOFTWARE DE ENCRIPTACIÓN DE CORREOS ELECTRÓNICOS Y MENSAJES GNUPG http://www.gnupg.org/ (Gratuito) Permite encriptar y firmar los datos y comunicaciones. PGP (Comercial) http://www.symantec.com/products-solutions/families/?fid=encryption Se pueden encontrar más consejos en la Clearinghouse of Incident Handling Tools (CHIHT) - http://www.enisa.europa.eu/activities/cert/support/chiht CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure BÚSQUEDA DE INFORMACIÓN DE CONTACTO Buscar el contacto más indicado para la comunicación de incidentes no es tarea sencilla. Se pueden usar, por ejemplo, las siguientes fuentes de información: – RIPE whois: http://www.ripe.net/whois – http://www.enisa.europa.eu Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Etapas básicas para la creación de un CSIRT 0 a 5 meses 9 meses 6 meses Operación +3 novato novato ETAPA 1 Educación ETAPA 2 Planificación ETAPA 3 Implementación ETAPA 4 Operación ETAPA 5 Colaboración Curso de acción – puntos a considerar •Misión / Visión •Comunidad de usuarios •Alcance •Autoridad •Servicios (interacción / niveles / estructuras) •Interacciones externas •Terminología (incidentes, tipos, categorias) experto CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática CSIRT alrededor del mundo Fuente: CERT/CC Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure EJEMPLO DE ORGANIZACIONES CSIRT CERT Coordination Center (CERT/CC) Forum of Incident Response and Security Teams (FIRST)- www.first.org United States Computer Emergency Readiness Team (US-CERT) www.us-cert-gov/ Computer Emergency Response Team Brazil (CERT.br) www.cert.br/ www.ccn-cert.cni.es www.arcert.gov.ar www.csirt-antel.com.uy CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure