View
1.651
Download
1
Category
Preview:
DESCRIPTION
Esta presentación muestra a las compañías algunas acciones para mitigar el impacto de los fraudes informáticos.
Citation preview
Acciones empresariales en la prevención de criminalidad virtual para mitigar
riesgos
Manuel Humberto Santander PeláezArquitecto Seguridad de la Información
Agenda
• Introducción
• Riesgos Seguridad de la Información
• Procedimiento Respuesta a Incidentes
• Metodología investigación forense
• Conclusiones
Introducción
Historia
• Los viejos días …
– Windows 3.1
– DOS era usado para la gran mayoría de los
programas
– Internet Incipiente
– Modems!!!
– Computación Centralizada
– Mainframes
Historia (2)
• Manejo de dinero en efectivo
– Las redes de cajeros eran incipientes
– Tarjetas débito o crédito manejadas mediante
voucher o autorización telefónica
• La información de la compañía residía en
libros
– Consultas manuales en archivos físicos de las
compañías
– Aseguramiento físico de la información
Los viejos fraudes …
• Los mensajes anónimos se realizaban
manualmente
– Se cortaban letras de revistas
– Había que evitar los reconocimientos grafológicos
– El correo público, ideal para camuflar el emisor de
la comunicación
• Las suplantaciones igualmente existían
– ¿Qué tan fácil se puede suplantar una firma?
– ¿Cuántas personas cayeron en conversaciones
telefónicas con una persona ficticia?
Los viejos fraudes … (2)
• Los virus de aquel entonces no hacían
mayores estragos
– Se desplegaban por diskettes
– Pocas aplicaciones en red
– Internet inexistente
• Cuando ocurrían estragos, los procesos de
contingencia se activaban
– Tecnología no era una variable crítica en la
empresa
– El tiempo de restauración no era relevante
Pero …
• La tecnología evolucionó
• Internet hizo su aparición en el país
• Gopher, sólo para sistemas UNIX, empezó ser
desplazado gradualmente por Navegadores
Web
• Windows eliminó del mapa al viejo DOS
• Los negocios empezaron a requerir
intercambio de archivos dinámico
• La información ya no estaba sólo en servidores
centrales …
Los nuevos fraudes
• Suplantación de usuarios
– Robo cuentas MSN
– Robo cuentas Facebook
– ¿Qué pasa si se roban las cuentas con privilegios
de pagos en el ERP?
• Envío de correos electrónicos anónimos
– Hotmail, GMAIL, yahoo, …
– ¿Qué pasa si el correo anónimo es interno?
• Robo información estratégica de las
compañías
Los nuevos fraudes (2)
• Negación de servicio en la infraestructura de la
compañía
– ¿Recuerdan el denial of service en twitter?
(http://status.twitter.com/post/157191978/ongoing-
denial-of-service-attack)
– ¿Qué pasa si eso lo hacen al portal web de Banco?
• Falsificación información en las bases de datos
– La infraestructura tiene vulnerabilidades
– ¿Qué pasa si alguien las aprovecha?
Los nuevos fraudes (3)
• Exploits al alcance de cualquier persona
– http://www.packetstormsecurity.org
– http://www.securityfocus.org
– http://inj3ct0r.com/
• Herramientas para análisis de vulnerabilidades
– http://www.nessus.org
– http://www.openvas.org
Los nuevos fraudes (4)
• Frameworks para penetration testing
– http://www.metasploit.org
• Distribuciones LiveCD para seguridad
– http://www.remote-exploit.org/backtrack.html
• Todos estos sitios actualizan su contenido
periódicamente
• Aunque el Sistema de Gestión de Seguridad
de la Información define controles, ¿Cubren
ampliamente estos controles los riesgos?
Retos
• No existe seguridad garantizada 100%
– Los controles que minimizan los riesgos siempre
dejan un riesgo residual
– Riesgo residual, aunque bajo, implica que puede
materializarse
• Sabemos como controlar los riesgos para que
permanezcan mínimos
• ¿Qué hacer cuando los riesgos de seguridad
de la información se materializan?
Riesgos Seguridad de la Información
Controles ISO27001Políticas de Seguridad
Organización de la Seguridad
Clasificación y Control de Activos
Control de Accesos
Seguridad del Personal
Seguridad FísicaDesarrollo y
Mantenimiento de Sistemas
Gestión de Comunicaciones y
Operaciones
Administración de la Continuidad del
Negocio
Cumplimiento
Gestión de Incidentes de
Seguridad
ISO27001
Sistema de Gestión de
Seguridad de la
Información
Controles técnicos de seguridad
• Firewalls
– Aplicación
– Red
• Sistemas de Detección de Intrusos
– Red (NIDS)
– Host (HIPS)
• Controles de navegación URL
Controles técnicos de seguridad (2)
• Control antimalware
– Servidores
– PC
– Internet (http, ftp, smtp)
• Data loss prevention
– Servidores
– PC
– Internet
• NAC
Controles técnicos de seguridad (2)
• Mitigan el riesgo de seguridad de la
información
– No lo eliminan
– Sí, puede materializarse el riesgo aún teniendo
controles
• Pueden proveer evidencia en caso de la
ocurrencia de un incidente de seguridad
• ¿Qué hacer empresarialmente?
Procedimiento respuesta a incidentes
Ciclo de vida respuesta a incidentes
PreparaciónDetección y
Análisis
Contención, Erradicación
y Recuperación
Actividades Post-Incidente
• Debe establecerse una capacidad de respuesta
a incidentes en la organización
• Deben instalarse controles para que los equipos
de cómputo, la red y las aplicaciones son
suficientemente seguros
• Comunicaciones de los administradores de
incidentes
• Hardware y software para respuesta a
incidentes
21
Preparación de incidentes
• El riesgo debe ser mínimo
– Los controles necesarios deben ser implementados
– Si no están los controles necesarios implementados,
el número de incidentes aumenta
• Proceso de gestión del riesgo
– Parte del Sistema de Gestión de Seguridad de la
Información
– El entorno cambia continuamente
– Debe realizarse periódicamente
22
Prevención de incidentes
• Controles de seguridad para prevención de
incidentes
– Administración de parches
– Línea base para servidores y PC
– Seguridad en Red
– Prevención de código malicioso
– Entrenamiento para usuarios
23
Prevención de incidentes (2)
• Los incidentes deben agruparse en categorías
– Definición de procedimientos por cada categoría de
incidente
– Permite mayor rapidez para atender los incidentes
• Tipos de incidente
– Denial of Service
– Código malicioso
– Acceso no autorizado
– Uso inapropiado
24
Detección y análisis
• Análisis de incidentes
– Las señales de incidentes no corresponden
necesariamente a incidentes que hayan ocurrido o
estén ocurriendo
– Deben descartarse problemas en la infraestructura o
en el software antes de determinar que fue un
incidente de seguridad
– ¿Cómo determinar si ocurrió un incidente?
oDetermine patrones en los equipos y las redes de
datos
oDetermine los comportamientos normales
oUse logs centralizados y cree una política de
retención de logs
25
Detección y análisis (2)
• Escogencia de una estrategia de contención
• Captura y manejo de evidencia
– Debe aplicarse la normatividad legal para la captura
de la evidencia
• Erradicación y recuperación
– El servicio debe recuperarse
– ¿Qué es primero? ¿Evidencia o servicio?
26
Contención, erradicación y recuperación
• Lecciones aprendidas
– ¿Qué pasó exactamente y en qué tiempos?
– ¿Cómo manejó la gerencia y el personal el incidente?
¿Se siguieron los procedimientos? ¿Fueron
adecuados?
• Métricas del proceso de respuesta a incidentes
– Número de incidentes atendidos
– Tiempo por incidente
– Auditoría del proceso de respuesta a incidentes
27
Actividades Post-incidente
MetodologíaInvestigación Forense
29
Metodología Investigación Forense
Recolección de
Evidencia
Procesamiento de la
Evidencia
Análisis de la Evidencia
Reporte Final
• Recolección de Evidencia
– Identificar, etiquetar, grabar y adquirir evidencia
desde fuentes relevantes de datos para el caso
– El procedimiento de cadena de custodia es
fundamental en esta etapa
– Deben utilizarse procedimientos que garanticen la
integridad de las porciones de evidencia extraídas
– Siempre y cuando usted sea cuidadoso y siga la
metodología en el procedimiento de extracción de
evidencia, ésta será válida dentro de un proceso
30
Metodología Investigación Forense (2)
• Procesamiento de la Evidencia
– Procesar la evidencia mediante la combinación de
procedimientos automáticos y manuales para realizar
la valoración y la extracción de datos particulares de
interés para el investigador
– La integridad de la evidencia debe garantizarse
– Involucra el análisis del sistema de archivos, el
sistema operativo y los programas instalados en el
equipo
– Diversas herramientas para la realización de estas
tareas
31
Metodología Investigación Forense (3)
• Análisis de la Evidencia
– Analizar los datos arrojados como resultado del
procesamiento de la evidencia
– Construcción del caso: Quién, qué, cuándo, dónde y
cómo
• Reporte Final
– Detalle completo de los pasos, herramientas y
procedimientos utilizados en toda la investigación
– Incluye recomendación de acciones para evitar la
materialización de riesgos como mejoras la las
políticas, guías, procedimientos, herramientas
32
Metodología Investigación Forense (4)
Preguntas
¡Muchas Gracias!
Manuel Humberto Santander Peláez
Unidad Arquitectura y Estrategia
Subdirección Tecnología de Información
Empresas Públicas de Medellín E.S.P.
E-mail: manuel.santander@epm.com.co
http://manuel.santander.name
Recommended