Zusammenfassung der Ressource
RESPUESTA ANTE INCIDENTES DE
SEGURIDAD
- 3.1 Definicion
ante un Incidente
de seguridad
- Actividades
- 1. Constitucion un equipo de Respuesta a incidentes
- 2. Definicion de una guia de procedimientos
- 3. Analisis del Incidente
- 4. Contencion, Erradicacion y recuperacion
- 5. Identificacion del atacante y posibles actuaciones legales
- 6. Documentacion del incidente de seguridad
- 7. Analisis y revision posterior al incidente
- Equipo de respuesta a
Incidentes de Seguridad
Informatica (CSIRT)
- Esta constituido por las personas que cuentan con la
experiencia y la formacion para poder actuar ante las
incidencias y desastres que afectan la seguridad de la
informacion.
- La organizacion debera mantener
actualizada la lista de direcciones y
telefonos de contactos para
emergencias.
- Se debe realizar formacion continua de los
miembros del Equipo de Respuesta a
Incidentes.
- El equipo de contar con la dotacion de
medios tecnicos y materiales necesarios
para poder cumplir con eficacia su mision.
- Procedimientos y
actividades a realizar
- La organizacion debe definir una guia
de actuacion clara y detallada de los
procedimientos para la restauracion
rapida y eficiente.
- El objetivo de la guia es conseguir
una respuesta sistematica ante los
incidentes de seguridad.
- Una buena guia permitira minimizar los
daños ocasionados y facilitar la
recuperacion.
- Debe tratar las cuestiones legales
que se pudieran derivar de cada
incidente de seguridad.
- 3.2 . Deteccion ante un
incidente de seguridad:
Recoleccion de
Informacion
- La organizacon debera prestar atencion
a los siguientes indicadores de posibles
incidentes de seguridad:
- 1. Precursores de un ataque: como el
escaneo de puertos, el escaneo de
vulnerabilidades, reconocimiento de
versiones de S.O y aplicaciones
- 2. Alarmas generadas en los Sistemas de
Deteccion de Intrusos (IDS), antivirus y
cortafuegos
- 3. Registro de actividad extraña
en los LOGS de los servidores y
dispositivos d red.
- 4 Caida o mal
funcionamiento de algun
servidor.
- 5. Cambios en la
configuracion de los
equipos de red.
- 6. Aparicion de herramientas
no autorizadas en el sistema
- 3.3. Analisis de un
incidente de
seguridad.
- Se utilizaria una Matriz de Diagnostico
para apoyar al personal frente a
incidentes de seguridad
- Se debe realizar una valoracion de los
daños y de los posibles consecuencias
para establecer una orden de
prioridades.
- Prioridad uno: Proteger la vida
humana y la seguridad de las
personas.
- Prioridad dos: Proteger
los datos e informacion
de la empresa.
- Prioridad tres: Proteger
otros datos de la empresa.
- Prioridad cuatro: Prevenir daños
en los sistemas informaticos
- Prioridad cinco: Minimizar la
interrupcion de los servicios
- 3.4 Contencion,
Erradicacion y
Recuperacion
- El equipo de respuesta debe elegir una
estrategia de CONTENCION.
- Una primera opcion seria
llevar a cabo una rapida
actuacion del incidente.
- Apagar todos los equipos
afectados, desconexion de los
equipos de red, desactivar
algunos servicios.
- La ERRADICACION se lleva a
cabo para eliminar los agentes
causantes del incidente.
- Puertas traseras, rootkits, codigos
malignos, y material inadecuado
introducido en los servidores.
- La RECUPERACION es la etapa
en la que se trata de restaurar
los sistemas para volver a su
normalidad
- Se debe reinstalar los sistemas
operativos, aplicaciones y
configuraciones de los servicios,
instalacion de los parches y
actualizaciones de seguridad.
- 3.5. Identificacion del
atacante y posibles
actuaciones legales
- Es necesaria para
poder emprender
acciones legales
- Se debe presentar una
denuncia ante las
unidades policiales
especializadas en
ataques informaticos.
- 3.6 Comunicacion
con terceros y
relaciones publicas
- La empresa debe comunicar la causa
y las posibles consecuencias de un
incidente de seguridad
- Deben estar provistos de los
contactos de los organismos de
respuesta a Incidentes (CERT) Y
las fuerzas policivas.
- Tener contactos con los
proveedores de Internet.
- Contactar los fabricantes de
softwares y hardware que se hayan
visto involucrados en el incidente
- Definir un plan de comunicacion
con los medios, agencias de
noticias, prensa, emisoras y TV.
- 3.7 Documentacion
del Incidente de
seguridad
- El plan de respuesta debe
establecer como se tiene que
documentar un incidente de
seguridad reflejando claro lo
siguiente:
- Descripcion del Incidente. Hechos registrados.
Daños causados al sistema. Decisiones y
actuaciones. Comunicacion con terceros. Lista
de evidencias obtenidos.
- 3.8 Analisis y revision a
posteriori del Incidente:
Verificacion de la
Intrusion
- Luego del incidente de seguridad
sera necesario elaborar un informe
final sobre el incidente, se debe
detallar:
- Investigacion sobre
las causas y las
consecuencias
- Estudio de la documentacion
generada por el equipo de
respuesta
- Evaluacion del coste del incidente
- Intercambio de informacion con otras
empresas e instituciones sobre el
incidente
- Adquisicion de
herramientas y recursos
para reforzar la seguridad
- 3.9 Practicas
recomendadas por el
CERT/CC
- El CERT/CC ha propuesto una
serie de actividades para
mejorar la respuesta ante
incidentes informatico:
- Preparacion de la respuesta
ante incidentes de seguridad
- Definir un plan de actuacion y
procedimientos para responder al
incidente
- Documentacion del plan de actuacion.
- Comprobacion del que el plan de
actuacion y los procedimientos
cumplen con los requisitos legales
- Gestion del Incidente
de seguridad
- 2. Aislamiento de los equipos
afectados por el incidente
- 1. Captura y proteccion de
toda la informacion
asociada con el incidente
- 3. Aplicacion de soluciones de
emergencia
- 4. Eliminacion de todos los
medios que faciliten una
nueva intrusion
- 5. Recuperacion de la
actividad normal de los
sistemas afectados
- Seguimiento del
incidente de
seguridad
- Identificacion de las lecciones y
principales conclusiones de cada
incidente.
- Implementacion de las
mejoras de seguridad
- 3.10 Obligacion legal
de notificacion de
ataques de incidencia
- Los websites estan obligados por ley a
informar a sus clientes cuando se haya
producido un incidente de seguridad en
sus sistemas informaticos
- Toda empresa afectada por un
ataque informatico debe
informar por correo electronico,
indicandole cualquier dato de
caracter personal
- 3.11 Plan de
recuperacion del
negocio
- Constituye un elemento fundamental para
garantizar una respuesta frente a desastres,
asegurando la integridad y la recuperacion de los
datos
- Debe contemplar la disponibilidad de los recursos y
medios que permitan restaurar el sistema informatico
- Disponibilidad de un centro
alternativo para la ubicacion de
los recursos informaticos
(Servidores, bases de datos)
- Existencia de Back-up
para las comunicaciones
- Sistema de almacenamiento
RAID en los servidores
- Herramientas para llevar a cabo
una replica de los documentos y
bases de datos.
- 3.12 Organismos de
gestion de
incidentes
- Para combatir las diferentes amenazas que
afectan la seguridad de los sistemas
informaticos, se han creado varios
organismos especializados
- CERT/CC (Computer
Emergency Response
Team / Coordination
Center
- Es el primer y mas conocido equipo
de respuesta a Emergencias
Informaticas
- CERT INTECO
- Agencia Europea de
Seguridad de las leyes y
de la Informacion
- Fue creada con la finalidad de alcanzar un alto
nivel de seguridad en las redes y en el
tratamiento de la informacion de la Union
Europea
- CSRC (Computer Security
Resource Center9
- El Centro de recursos de Seguridad
Informatica, es un centro
independiente del NIST
- US-CERT
- Es el Centro de Respuestas a
Incidentes de seguridad Inforamatica
- FIRST (Forum of Incident
Response and Security
Team)
- Creado con el objetivo de facilitar el
intercambio de informacion sobre incidentes
de seguridad entre sus miembros