Ing.

Rubn Borja

Existen una gama de incidentes: incidentes criminales, incidentes que involucran litigio civil, incidentes que interrumpen negocios pero que en una gran parte de los casos es improbable que se pueda generar una accin legal. Estn inmersos en esto desde empresas que ofrecen servicios financieros hasta empresas de produccin de bienes. Se hace necesario por tanto un proceso de respuesta a incidente para hacer frente estos hechos. Tanto los encargados de tratar los aspectos legales y los investigadores deben conocer todas las partes del proceso, as sea que su trabajo solo implique una porcin del proceso completo.

Notar que muchos de esos eventos incluye violacin de la ley publica, y ellos pueden ser sujetos de denuncias civiles y penales. Algunas de esas acciones tienen un gran impacto en la reputacin de la organizacin y las operaciones de negocio. La respuesta a incidentes de seguridad pueden involucrar presin intensa, tiempo y restriccin de recursos. Un incidente severo afectando recursos crticos puede parecer abrumador. Por otra parte no todos los incidentes son idnticos, y muy pocos sern manejados de forma idntica. Sin embargo la divisin del procedimiento en pasos lgicos hace que la respuesta a incidente sea manejable.

La respuesta a incidente es una disciplina multifactica. Demanda una mirada de capacidades que usualmente requieren recursos de las diferentes unidades operacionales de la organizacin. Recursos Humanos, abogados, expertos tcnicos, profesionales de seguridad, funcionarios de seguridad de la empresa, gerentes, usuarios finales, help desk y otros empleados que pueden estar involucrados en responder a un incidente de seguridad. La mayora de las organizaciones establece un equipo de individuos, a menudo referido como un: Computer Security Incident Response Team (CSIRT), para responder a cualquier incidente de seguridad de computador

El CSIRT es un equipo multidisciplinario, con la experiencia legal, tcnica y otras necesarias para resolver un incidente. Ya que los miembros del CSIRT tienen habilidades especiales y la respuesta a incidente no es requerido en todo momento, el CSIRT normalmente es un equipo que se ensambla dinmicamente cuando la organizacin requiere de sus capacidades.

Una metodologa de respuesta a incidente puede ser como el planteamiento mostrado en la figura. Este divide el proceso en 7 componentes y examina las entradas y salidas de cada componente.

PREPARACION PRE-INCIDENTE DETECCION DE INCIDENTES RESPUESTA INICIAL FORMULAR ESTRATEGIA DE RESPUESTA INVESTIGAR EL INCIDENTE REPORTE RESOLUCION

PREPARACION PRE-INCIDENTE: toma accin para preparar la organizacin y el CSIRT antes que ocurra un incidente. DETECCION DE INCIDENTES: identifica un potencial incidente de seguridad. RESPUESTA INICIAL: realiza una investigacin inicial, registrando los detalles bsicos circundantes al incidente, ensambla el equipo de respuesta a incidente, y notifica a los individuos que necesitan conocer acerca del incidente. FORMULAR ESTRATEGIA DE RESPUESTA: basado en los resultados de todos los hechos conocidos, determina la mejor respuesta y obtiene la aprobacin de la gestin. Determina que acciones a tomar son apropiadas civil, penal u otros; basados en las conclusiones de la investigacin.

INVESTIGAR EL INCIDENTE: realiza una completa coleccin de datos. Revisa los datos recolectados para determinar que ocurri, cuando ocurri, quienes hicieron eso y como puede prevenirse en el futuro. REPORTE: reportar informacin precisa acerca de la investigacin en forma til para los encargados de tomar decisiones. RESOLUCION: emplear medidas de seguridad, cambios de procedimientos, registro de lecciones aprendidas, y desarrollar soluciones a largo plazo de los problemas identificados.

La respuesta a incidente es reactiva en naturaleza. La fase de preparacin pre incidente comprende la nica medida proactiva, el CSIRT puede iniciar para asegurar que los activos y la informacin de la compaa estn protegidos. Idealmente, la preparacin involucra no solo obtener las herramientas y desarrollar tcnicas para responder a incidentes, si no tambin tomar accin sobre los sistemas y redes que sern parte de cualquier incidente que usted necesite investigar. Si no tiene suficiente control sobre los hosts y redes, que ser capaz de investigar.

Involucra desarrollar todas las estrategias que comprenden a toda la organizacin para tener una mejor postura de esta a la respuesta a incidente, esto incluye lo siguientes:
IMPLEMENTAR MEDIDAS DE SEGURIDAD BASADAS EN HOST IMPLEMETAR MEDIDAS DE SEGURIDAD BASADOS EN RED ENTRENAR USUARIOS FINALES EMPLEAR UN SISTEMAS DE DETECCION DE INTRUSOS(IDS) CREAR UN CONTROL DE ACCESO FUERTE REALIZAR EVALUACION DE VULNERABILIDADES PERIODICAMENTE BACKUPS SEGUROS DEBEN SER REALIZADOS REGULARMENTE

El CSIRT es definido durante la fase de preparacin pre-incidente. Su organizacin ensamblara un equipo de expertos para manejar cualquier incidente que ocurra. La preparacin del CSIRT incluye almenos las siguientes consideraciones: El hardware necesario para investigar incidentes de seguridad de computador. El software necesario para investigar incidentes de seguridad de computador. La documentacin (formularios y reportes)necesaria para investigar incidentes de seguridad. Las polticas y procedimientos operativos apropiados para implementar su estrategia de respuesta. El entrenamiento de su personal o empleados requeridos para realizar la respuesta a incidente en una forma que promueva el xito forense, investigaciones y remediacin.

Si una organizacin no puede detectar incidentes efectivamente, no puede responder exitosamente a los incidentes. Por tanto la fase de deteccin de incidentes es uno de los aspecto ms importantes de respuesta a incidente. Es tambin una de las fases ms descentralizadas, en el que las personas con conocimientos de respuesta a incidentes tienen el menor control. La sospecha de incidente puede ser detectada en incontables formas. Los incidentes de seguridad de computadoras son normalmente identificados cuando alguien sospecha de que un evento no autorizado, inaceptable o ilegal a ocurrido involucrando la red de computadoras de la organizacin o el equipamiento de procesamiento

Inicialmente, el incidente puede ser reportado por un usuario final, detectado por un administrador de sistemas, identificado por una alerta del IDS, o descubierto de cualquier otra forma. Las organizaciones deben tener un mecanismo simple y bien documentado de reporte de incidentes. Esto es critico para establecer metricas precisas, los cuales son requeridos para obtener el presupuesto adecuado requerido para la capacidad de respuesta a incidente de la organizacin.

Registre exactamente los hechos conocidos. Algunos de los detalles crticos incluyen lo siguiente:
Fecha y hora actual Que/Quien reporta el incidente Naturaleza del incidente Cuando ocurri el incidente Hardware/Software involucrado Puntos de contacto para el involucrado.

personal

Uno de los pasos iniciales es obtener la mayor informacin para determinar una respuesta apropiada. La respuesta inicial involucra ensamblar el CSIRT, recolectar datos basados en red y otros, determinar el tipo de incidente que ha ocurrido y evaluar el impacto del incidente. La idea es recolectar la suficiente informacin para la siguiente fase, el cual es desarrollar una estrategia de respuesta. Tpicamente la estrategia inicial no involucra tocar el sistema afectado.

Esta fase tareas:

involucra

las

siguientes

Entrevista a los administradores de los sistemas que tengan acceso a los detalles tcnicos del incidente. Entrevista con el personal de la empresa que podra tener acceso a los eventos del negocio que podran proveer un contexto para el incidente. Revisar los reportes de los IDS que podran respaldar que se ha producido un incidente. Revisar la topologa de la red y las ACL para determinar si se pueden descartar algunas formas de ataque.

En la conclusin del estado de respuesta inicial, se conocer si se ha producido o no un incidente de seguridad y tiene una buena idea de los sistemas afectados, el tipo de incidente, y el impacto potencial sobre el negocio. Armado con esta informacin, esta listo para tomar una decisin de cmo manejar el incidente.

El objetivo de la fase de formulacin de la estrategia de respuesta, dado las circunstancias del incidente. La estrategia debera tomar en consideracin los factores polticos, tcnicos, legales y de negocio que circundan el incidente. La solucin final depende de los objetivos del grupo o individuos con la responsabilidad de seleccin de la estrategia.

Cuan crticos estn afectados los sistemas? Cuan sensible son los datos perdidos o comprometidos? Quines son los potenciales perpetradores? Es el incidente conocido por el publico? Cul es el nivel de acceso no autorizado logrado por el atacante? Cul es la habilidad aparente del atacante? Cunto tiempo muerto a nivel de sistema y usuario esta involucrado? Cul es la perdida total en dlares?

Armado con la circunstancias del ataque y su capacidad de responder, debera ser capaz de arribar a una estrategia de respuesta Su estrategia de respuesta puede ser significativamente impactada por la falta de polticas de uso de Internet, polticas de monitoreo, y el cumplimiento de polticas previas.

Ocasionalmente, una organizacin necesitar tomar accin para disciplinar a un empleado o para responder a actos maliciosos realizados por externos. Cuando el incidente ordena, esta accin puede ser iniciada con una demanda penal, civil o alguna amonestacin administrativa o revocacin de privilegios.

Las dos potenciales opciones legales son presentar una demanda civil o notificar a las autoridades. Notificar a las autoridades significa reducir la autonoma que su organizacin tiene para lidiar con el incidente, deber de realizar una cuidadosa deliberacin antes de comprometer a las autoridades. En los casos en que la organizacin se sienta obligada a notificar a las autoridades, es posible que desee determinar la cantidad de esfuerzo y de recursos que invertira en la investigacin antes de presentar el caso ante las autoridades.

El siguiente criterio debera ser considerado cuando decida si incluye a las autoridades en la respuesta a incidente.
El dao/costo del incidente amerita un proceso penal? Es probable que la accin civil o penal logre el resultado deseado por la organizacin?(puede recuperar los daos o recibir la restitucin de la parte ofensora?) La causa del incidente ha sido establecida razonablemente? (Los agentes del orden no son profesionales de seguridad en computadoras)

 Tiene

su organizacin la documentacin apropiada y un reporte organizado que conducir a una investigacin efectiva? Pueden las investigaciones tangibles conducir a los oficiales del orden a actuar? Su organizacin conoce o tiene una relacin de trabajo con oficiales del orden? Esta su organizacin dispuesta a la exposicin publica? Cmo el involucramiento de las autoridades impacta en las operaciones del negocio?

Disciplinar o despido de empleados mediante procesos administrativos es lo ms comn actualmente mas que iniciar acciones penales o civiles. Algunas acciones administrativas que pueden ser implementadas para disciplinar a los empleados internos incluyen lo siguiente:
Carta de amonestacin Despido inmediato Vacaciones forzadas por un tiempo determinado (pagadas o no pagadas) Reasignacin de actividades de trabajo(disminucin de responsabilidad) Disminucin temporal del pago a cuenta de perdidas/daos. Retiro de ciertos privilegios, tal como acceso web o ala red.

La fase de investigacin involucra determinar quien, que, cuando, donde, como y por que sucedi el incidente. Conducir la investigacin revisando evidencias basadas en host, en red y evidencia recolectada tradicionalmente y medidas de investigacin no tcnicos. No importa como conduce la investigacin, esta respondiendo a un incidente causado por personas. Las personas causan los incidentes usando cosas para destruir, robar, acceso, ocultar, atacar y daar otras cosas. Como en cualquier tipo d investigacin, la clave es determinar cuales fueron los daos ocasionados por tales personas.

Sin embargo el incidente criminal de computadora adiciona complejidad a esta simple ecuacin. El establecimiento de la identidad de las personas en una red es cada vez ms dificultoso. La investigacin del incidente de seguridad de computadora puede dividirse en dos fases: recoleccin de datos y anlisis forense. Durante la fase de recoleccin de datos, recolecta toda la informacin relevante necesaria para resolver el incidente de manera que cumpla con su estrategia de respuesta

En la fase de analisis forense, examina todos los datos recolectados para determinar el quien, que, cuando, donde, y como informacin relevante al incidente.

Recoleccin de datos es la acumulacin de hechos y pistas que deberin ser considerados durante su analisis forense. Los datos que recolecta forma las bases de sus conclusiones. Si no recolecta datos necesarios, podria no ser capaz de comprender como un incidente ocurrio o resolver apropiadamente un incidente. Debe recolectar datos antes de realizar cualquier investigacin.

La recoleccin de datos desafos forenses nicos:

involucra

Debe recolectar datos electrnicos de forma forense. A menudo recolecta mas datos del que podr leer a lo largo de su vida. Debe manejar los datos recolectados de forma tal que proteja su integridad. La informacin que obtiene durante la fase de recoleccin de datos puede ser dividida en tres reas fundamentales: informacin basada en host, basada en red y otras.

La evidencia basada en host incluye logs, registros, documentos y cualquier otra informacin que es encontrada en el sistema y no obtenida de los nodos de red. Los esfuerzos de recoleccin de datos basados en host deberan incluir recoleccin obtenida de dos formas: recoleccin de datos en vivo y duplicacin forense.

Los datos voltiles proveen instantneas de un sistema en tiempo de respuesta. Registrara la siguiente informacin voltil:
Fecha y hora del sistema Aplicaciones que estn ejecutndose actualmente Conexiones de red establecida actualmente Sockets abiertos actualmente. Aplicaciones que estn oyendo en los sockets Estado de las interfaces (Promiscuo o no)

Esta informacin ser obtenida mientras el sistema esta encendido, esto significa que los datos deben ser recolectados sin impactar los datos en el sistema comprometido. Hay tres variaciones de respuesta en vivo:
RESPUESTA EN VIVO INICIAL RESPUESTA EN PROFUNDIDAD RESPUESTA EN VIVO COMPLETA

La evidencia basada en red incluye informacin obtenida de los siguientes recursos:

IDS logs Logs de monitoreo autorizados Escuchas no autorizadas Registros/trampas, huellas Logs de ruteadores Logs de firewalls Servidores de autenticacin

La vigilancia de red en forma de monitoreo consentido, no intenta prevenir ataques, sino permitir a la organizacin cumplir con un numero de tareas:
Confirmar o desvirtuar sospechas de incidentes de seguridad de computadores. Acumular informacin y evidencia adicional Verificar el mbito de compromiso Identificar las partes adicionales involucradas. Determinar la linea de tiempo de lo ocurrido en la red Asegurar el cumplimiento de la actividad deseada.

Incluye revisar todos los datos recolectados, esto incluye revisar archivos log, archivos de configuracin de sistema, relaciones de confianza, archivos historicos de los navegadores web, mensajes de correo y archivos adjuntos, aplicaciones instaladas, y archivos graficos. Realizara analisis software, revisin de registros de fecha y hora, realizar busqueda de palabras claves y tomara algunos otros pasos de investigacin necesaria. El analisis forense tambien incluye realizar tareas de mas bajo nivel, tales como busqueda de informacin que ha sido logicamente borrada para determinar si los espacios ocupados contienen aun informacin que pueda ser util para la investigacin.

Reportar puede ser la parte ms dificultosa en el proceso de respuesta a incidente. El desafio es crear reportes que describan de forma precisa los detalles de un incidente que sean entendibles por parte de las personas que toman las decisiones, que puede soportar el aluvin de escrutinio legal, y que se produzca en el momento oportuno.

El objetivo de la fase de resolucin es implementar contramedidas basados en host y basados en red para prevenir que un nuevo incidente cause daos y retornar a la organizacin a un estatus operacional saludable y seguro.