Documente Academic
Documente Profesional
Documente Cultură
1
INDICE
Gestión de incidentes: Fuentes de información:
▪ Conceptos. ▪ Avisos de seguridad.
▪ Objetivos de la gestión de incidentes.
▪ Otras fuentes: logs, registros, eventos.
▪ Gestión de incidentes vs. respuesta a incidentes.
▪ Metodologías.
▪ Herramientas.
Role-play:
▪ Ciclo de vida de un incidente. ▪ Utilidad.
Incidentes críticos: ▪ Toma de decisiones.
▪ Valoración de la criticidad.
▪ Niveles.
Avisos de seguridad:
▪ Servicios reactivos: alertas y advertencias.
▪ Servicios proactivos: Comunicados y anuncios.
▪ Otros procesos asociados.
INDICE
Gestión de incidentes: Fuentes de información:
▪ Conceptos. ▪ Avisos de seguridad.
▪ Objetivos de la gestión de incidentes. ▪ Otras fuentes: logs, registros, eventos.
▪ Gestión de incidentes vs. respuesta a incidentes.
▪ Metodologías.
Role-play:
▪ Herramientas.
▪ Ciclo de vida de un incidente. ▪ Utilidad.
▪ Toma de decisiones.
Incidentes críticos:
▪ Valoración de la criticidad.
▪ Niveles.
Avisos de seguridad:
▪ Servicios reactivos: alertas y advertencias.
▪ Servicios proactivos: Comunicados y anuncios.
▪ Otros procesos asociados.
Gestión de incidentes: Conceptos
Un incidente de seguridad informática es la violación o amenaza inminente a la
violación de una política de seguridad de la información implícita o explícita.
También es un incidente de seguridad un evento que compromete la seguridad de
un sistema (confidencialidad, integridad y disponibilidad). Un incidente puede
ser denunciado por los involucrados, o indicado por un único o una serie de
eventos de seguridad informática. [NIST800-61,ISO 27035].
NIST 800-61 R2
ISO27035
Metodologías
NIST SP 800-61 R2
Estructura y Servicios del Equipo Procesos y Fases de la Gestión Colaboración y Coordinación
de Respuesta a Incidentes de Incidentes entre organizaciones
▪ Preparación
▪ Modelos de Equipo de Respuesta ▪ Coordinación con
▪ Detección organizaciones externas
▪ Selección del personal del equipo
▪ Contención, erradicación y
▪ Servicios de Gestión Incluidos ▪ Colaboración para el
recuperación intercambio de información
▪ Relación con otras Áreas
▪ Actividades post-incidente
Metodologías NIST SP 800-61 R2
NIST SP 800-61 R2
▪ Ntop
▪ Nfsen
▪ Nfdump
Herramientas
▪ OpenVAS
Herramientas
▪ Squid Proxy
▪ IPFire
Herramientas
▪ Nagios
Herramientas
nightHawkResponse
Herramienta que permite representar la información proporcionada
por Mandiant Redline. -> extracción de información de los Hosts.
Esta aplicación permite controlar múltiples investigaciones sobre
cientos de endpoints.
Herramientas
INDICE
Gestión de incidentes: Fuentes de información:
▪ Conceptos. ▪ Avisos de seguridad.
▪ Objetivos de la gestión de incidentes.
▪ Otras fuentes: logs, registros, eventos.
▪ Gestión de incidentes vs. respuesta a incidentes.
▪ Metodologías.
▪ Herramientas. Role-play:
▪ Ciclo de vida de un incidente. ▪ Utilidad.
Preparación
¿Por qué gastar mis recursos en prepararme para responder ante un
Ciberataque, cuando puedo invertir en mantener a los atacantes
fuera?
▪ No importa la fortaleza de las defensas
▪ Medios y determinación acompañan a los atacantes sofisticados
▪ Si un ataque tiene éxito, ¿Cómo va a responder la organización?:
construir un equipo, construir un plan.
Ciclo de Vida de un Incidente
¿Me NO
preparo?
SI
Preparación
Las organizaciones que invierten tiempo y recursos en prepararse para una
brecha le irá mucho mejor en los esfuerzos de respuesta y erradicación.
Ciclo de Vida de un Incidente
Preparación
1. Creación de políticas y procedimientos de gestión de incidentes.
2. El staff debe estar entrenado para incidentes reales
3. Procedimientos de erradicación
4. Procedimientos de contención
5. Procedimientos de respuesta
Ciclo de Vida de un incidente
Ciclo de Vida de un Incidente
Detección y Análisis
El componente principal de cualquier análisis es la recolección y
análisis en sí de la evidencia. En un ataque de APT, el propósito
principal del análisis es proveer información para la elaboración del
plan de erradicación y contención.
Ciclo de Vida de un Incidente
Detección y Análisis
Debe ser el cuestionamiento inicial y desprenderá las siguientes preguntas en
análisis:
▪ ¿Los atacantes pertenecen a un grupo hacktivista?
▪ ¿Son patrocinados por alguien (competidor, gobierno, tercero, etc.)?
▪ ¿Es un individuo o un grupo colaborando en conjunto para realizar el ataque?
▪ ¿Estos ataques pueden ser identificados por alguna entidad de gobierno o de
inteligencia?
▪ ¿Tienen apoyo por alguien interno de la organización?
▪ ¿Están realizando el ataque desde las instalaciones de la empresa?
▪ ¿Están utilizando algún proveedor o tercero como un vector de ataque?
Ciclo de Vida de un Incidente
Detección y Análisis
Identificar los sistemas que son atacados pueden ayudar a identificar qué tipo de información están
buscando.
▪ ¿Los atacantes alcanzaron sus objetivos?
▪ ¿Qué equipos fueron comprometidos?
▪ ¿Qué información fue comprometida?
▪ ¿Existen equipos o servidores infectados con malware?
La organización debe estar preparada para dar respuesta a las siguientes preguntas:
▪ ¿Qué información se llevaron?
▪ ¿Qué impacto tiene si la información es divulgada?
▪ ¿Qué tipo de declaraciones se manejarán ante la prensa en caso de que el ataque se haga público?
Ciclo de Vida de un Incidente
Detección y Análisis
¿De donde vienen los ataques? Las siguientes preguntas ayudarán a
tener un mejor entendimiento del ataque:
▪ ¿Cuál fue el vector inicial de ataque?
▪ ¿Qué otras rutas de ataque fueron consideradas?
▪ ¿Qué puertas traseras (backdoors) pudieron dejar habilitadas?
▪ ¿Qué otros recursos exploraron?
▪ ¿Qué repositorios de información pudieron dejar habilitados?
Ciclo de Vida de un Incidente
Detección y Análisis
La organización debe reconsiderar los siguientes cuestionamientos:
▪ ¿Dónde somos vulnerables?
▪ ¿Dónde están nuestros datos sensitivos?
▪ ¿Cuándo fue la última vez que se actualizaron los inventarios de
datos?
Ciclo de Vida de un Incidente
Detección y Análisis
¿Qué atacaron? Los siguientes preguntas ayudarán a determinar el
motivo de los ataques:
▪ ¿Qué tipo de información buscaban?
▪ ¿El patrón del ataque puede decirnos cuáles fueron sus motivos?
▪ ¿Por qué no se identificó el ataque inicial?
▪ ¿Por qué no se identificaron las actividades subsiguientes del
ataque?
Ciclo de Vida de un incidente
Detección y Análisis
¿Los atacantes siguen dentro de la organización? Los siguientes
preguntas ayudarán a responder:
▪ ¿Qué accesos lograron?
▪ ¿Qué tipo de información expuesta pudo ayudar a realizar el
ataque?
▪ ¿Pueden tener acceso persistente a los sistemas?
▪ ¿Qué información están obteniendo?
▪ ¿Cómo están sacando información de la organización?
Ciclo de Vida de un incidente
Conocer las
Establecer
técnicas, tácticas
protocolos de
y procedimientos
comunicación
del atacante (TTP)
Ciclo de Vida de un incidente
BLOQUEAR LOS
EJECUTAR UN RECONSTRUIR LOS
COMANDOS Y EL
CAMBIO DE SISTEMAS PROPAGAR IoC
CONTROL DEL
CONTRASEÑAS COMPROMETIDOS
ATACANTE
Ciclo de Vida de un incidente
POST Incidente
▪ ¿Qué tipo de información se necesito con más prisa?
▪ ¿Qué debería hacer el staff diferente para la próxima vez e un incidente
similar?
▪ ¿Cómo podía ser mejorado el intercambio de información con otras
organizaciones?
▪ ¿Qué acciones preventivas pueden prevenir incidentes en el futuro?
▪ ¿Qué indicadores deben ser monitorizados para detectar incidentes
similares?
▪ ¿Qué herramientas adicionales o recursos se necesitan para detectar,
analizar y contener futuros incidentes?
INDICE
Gestión de incidentes: Fuentes de información:
▪ Conceptos. ▪ Avisos de seguridad.
▪ Objetivos de la gestión de incidentes. ▪ Otras fuentes: logs, registros, eventos.
▪ Gestión de incidentes vs. respuesta a incidentes.
▪ Metodologías.
▪ Herramientas. Role-play:
▪ Ciclo de vida de un incidente. ▪ Utilidad.
Incidentes críticos: ▪ Toma de decisiones.
▪ Valoración de la criticidad.
▪ Niveles.
Avisos de seguridad:
▪ Servicios reactivos: alertas y advertencias.
▪ Servicios proactivos: Comunicados y anuncios.
▪ Otros
▪ Procesos asociados.
Incidentes Críticos: Valoración de la Criticidad
Gusanos
Troyanos
Software cuyo objetivo es infiltrarse o
dañar un ordenador, servidor u otro Spyware
Código dañino dispositivo de red, sin el
conocimiento de su responsable o Rootkit
usuario y con finalidades muy
diversas. Ransomware (secuestro
informático)
Herramienta para Acceso
Remoto Remote Access
Tools (RAT)
Incidentes Críticos: Valoración de la criticidad
CLASIFICACIÓN DE LOS CIBERINCIDENTES
Clase de Ciberincidente Descripción Tipo de ciberincidente
Denegación [Distribuida]
del Servicio DoS
Ataques dirigidos a poner
Fallo (Hardware/Software)
fuera de servicio los
sistemas, al objeto de causar
Disponibilidad daños en la productividad Error humano
y/o la imagen de las
instituciones atacadas.
Sabotaje
Incidentes Críticos: Valoración de la criticidad
CLASIFICACIÓN DE LOS CIBERINCIDENTES
Clase de Ciberincidente Descripción Tipo de ciberincidente
Identificación
de
Ataques dirigidos a recabar Vulnerabilidades
información fundamental
que permita avanzar en Sniffing
Obtención de ataques más sofisticados, a
información través de ingeniería social o Ingeniería Social
de identificación de
vulnerabilidades.
Phishing
Incidentes Críticos: Valoración de la criticidad
CLASIFICACIÓN DE LOS CIBERINCIDENTES
Clase de Ciberincidente Descripción Tipo de ciberincidente
Compromiso de cuenta
de Usuario
Defacement
Ataques dirigidos a la Cross Site Scripting
explotación de Cross-Site Request
vulnerabilidades de diseño, Forgery (CSRF)
Intrusiones de operación o de Inyección SQL
configuración de diferentes Spear Phising
Pharming
tecnologías, al objeto de
Ataque de fuerza Bruta
introducirse de forma
fraudulenta en los sistemas Inyección de Ficheros
de una organización. Explotación SW
Explotación HW
Incidentes Críticos: Valoración de la criticidad
CLASIFICACIÓN DE LOS CIBERINCIDENTES
Clase de Ciberincidente Descripción Tipo de ciberincidente
Acceso NO AUTORIZADO
Suplantación/Spoofing
SPAM
OTROS
Incidentes Críticos: Niveles
Nivel Descripción
Afecta a sistemas clasificados SECRETO
Afecta a más de 100 equipos con información cuya máxima categoría es MEDIA
Afecta a más de 50 equipos con información cuya máxima categoría es ALTA
Afecta a más de 10 equipos con información clasificada RESERVADO
L5 CRITICO
El ciberincidente precisa para resolverse más de 50 JP
Afecta apreciablemente a la seguridad nacional
Afecta gravemente a una infraestructura crítica
INDICE
Gestión de incidentes: Fuentes de información:
▪ Conceptos. ▪ Avisos de seguridad.
▪ Objetivos de la gestión de incidentes. ▪ Otras fuentes: logs, registros, eventos.
▪ Gestión de incidentes vs. respuesta a incidentes.
▪ Metodologías. Role-play:
▪ Herramientas.
▪ Utilidad.
▪ Ciclo de vida de un incidente.
▪ Toma de decisiones.
Incidentes críticos:
▪ Valoración de la criticidad.
▪ Niveles.
Avisos de seguridad:
▪ Servicios reactivos: alertas y advertencias.
▪ Servicios proactivos: Comunicados y anuncios.
▪ Otros procesos asociados.
Avisos de Seguridad
Incidentes críticos:
▪ Valoración de la criticidad.
▪ Niveles.
Avisos de seguridad:
▪ Servicios reactivos: alertas y advertencias.
▪ Servicios proactivos: Comunicados y anuncios.
▪ Otros procesos asociados.
Fuentes de Información: Avisos de Seguridad
Para explicar las fuentes de log, vamos a ver los Incidente Response
Methodologies(IRM). Aquí veremos guías de como enfrentarnos a un
incidente que ya está categorizado.
Las siguientes guías son del CERT Société Générale(inglés):
IRM-1: Worm Infection IRM-9: Smartphone Malware
IRM-2: Windows Intrusion IRM-10: Social Engineering
IRM-3: Unix Intrusion IRM-11: Information Leakage
IRM-4: DDoS IRM-12: Insider Abuse
2. Identification
Detect the infection
▪ Information coming from several sources should be gathered and analyzed:
▪ Antivirus logs
▪ Intrusion Detection Systems
▪ Suspicious connection attempts on servers
▪ High amount of accounts locked
▪ Suspicious network traffic Fuentes de Log
▪ Suspicious connection attempts in firewalls
▪ High increase of support call
▪ High load or system freeze
▪ High volumes of e-mail sent
Otras fuentes de log
2. Identification
Identify the infection
Analyze the symptoms to identify the worm, its propagation vectors and countermeasures.
Leads can be found from :
▪ CERT’s bulletins;
▪ External support contacts (antivirus companies, etc.) ;
▪ Security websites (Secunia, SecurityFocus etc.)
Notify Chief Information Security Officer. Contact your CERT if required.
3. Contention
The following actions should be performed and monitored by the crisis
management cell:
▪ Disconnect the infected area from the Internet.
▪ Isolate the infected area. Disconnect it from any network.
▪ If business-critical traffic cannot be disconnected, allow it after
ensuring that it cannot be an infection vector or find validated
circumventions techniques.
Otras fuentes de log
3. Contention
Neutralize the propagation vectors. A propagation vector can be anything
from network traffic to software flaw. Relevant countermeasures have to
be applied (patch, traffic blocking, disable devices, etc.)
For example, the following techniques can be used:
- Patch deployment tools (WSUS),
- Windows GPO,
- Firewall rules,
- Operational procedures
Otras fuentes de log
4. Remediation
Identify
Identify tools and remediation methods.
The following resources should be considered:
▪ Vendor fixes (Microsoft, Oracle, etc.)
▪ Antivirus signature database
▪ External support contacts
▪ Security websites
Define a disinfection process. The process has to be validated by an external structure, like your
CERT for example.
Test
Test the disinfection process and make sure that it properly works without damaging any service.
Otras fuentes de log
4. Remediation
Deploy
Deploy the disinfection tools. Several options can be used:
- Windows WSUS
- GPO
- Antivirus signature deployment
- Manual disinfection
Warning: some worms can block some of the remediation deployment
methods. If so, a workaround has to be found.
Remediation progress should be monitored by the crisis cell
Otras fuentes de log
5. Recovery
Verify all previous steps have been done correctly and get a management
approval before following next steps.
1. Reopen the network traffic that was used as a propagation method by the
worm.
2. Reconnect sub-areas together
3. Reconnect the mobile laptops to the area
4. Reconnect the area to your local network
5. Reconnect the area to the Internet
All of these steps shall be made in a step-by-step manner and a technical
monitoring shall be enforced by the crisis team.
Otras fuentes de log
6. Aftermath
Report
A crisis report should be written and made available to all of the actors of the crisis management cell.
The following themes should be described:
▪ Initial cause of the infection
▪ Actions and timelines of every important event
▪ What went right
▪ What went wrong
▪ Incident cost
Capitalize
Actions to improve the worm infection management processes should be defined to capitalize on this
experience.
Otras fuentes de log
Esta actividad nos puede servir para afrontar los distintos roles que se
pueden ocasionar en la gestión de incidentes, para analizar las
tensiones que surgen en la gestión de incidentes y para adecuar
convenientemente la tolerancia al estrés y para TOMAR
DECISIONES.
También valdrá para valorar el nerviosismo asumible como un
aspecto positivo.
Role Play: Utilidad
Triage officer: tiene que lidiar con todos los incidentes que son
reportados hacia o para el equipo. Necesita decidir si un incidente
debe ser gestionado por el equipo, cuando se gestiona y quien va ser
la persona que lo gestione. Tiene que estar puesto al día en cuento a
tendencias actuales de seguridad.
Tareas: revisar nuevos incidentes, realizar triaje en términos de
origen, severidad, impacto. Asignar incidentes, reportar problemas
cuando haya exceso de incidentes.
Role Play: Roles
All rights reserved. No part of this publication may be reproduced, distributed, or transmitted in any form or by any means, including photocopying, recording, or other
electronic or mechanical methods, without the prior written permission of the publisher, except in the case of brief quotations embodied in critical reviews and certain
other noncommercial uses permitted by copyright law.
161