Acciones empresariales en la prevención de criminalidad virtual para mitigar

riesgos

Manuel Humberto Santander PeláezArquitecto Seguridad de la Información

Agenda

• Introducción

• Riesgos Seguridad de la Información

• Procedimiento Respuesta a Incidentes

• Metodología investigación forense

• Conclusiones

Introducción

Historia

• Los viejos días …

– Windows 3.1

– DOS era usado para la gran mayoría de los

programas

– Internet Incipiente

– Modems!!!

– Computación Centralizada

– Mainframes

Historia (2)

• Manejo de dinero en efectivo

– Las redes de cajeros eran incipientes

– Tarjetas débito o crédito manejadas mediante

voucher o autorización telefónica

• La información de la compañía residía en

libros

– Consultas manuales en archivos físicos de las

compañías

– Aseguramiento físico de la información

Los viejos fraudes …

• Los mensajes anónimos se realizaban

manualmente

– Se cortaban letras de revistas

– Había que evitar los reconocimientos grafológicos

– El correo público, ideal para camuflar el emisor de

la comunicación

• Las suplantaciones igualmente existían

– ¿Qué tan fácil se puede suplantar una firma?

– ¿Cuántas personas cayeron en conversaciones

telefónicas con una persona ficticia?

Los viejos fraudes … (2)

• Los virus de aquel entonces no hacían

mayores estragos

– Se desplegaban por diskettes

– Pocas aplicaciones en red

– Internet inexistente

• Cuando ocurrían estragos, los procesos de

contingencia se activaban

– Tecnología no era una variable crítica en la

empresa

– El tiempo de restauración no era relevante

Pero …

• La tecnología evolucionó

• Internet hizo su aparición en el país

• Gopher, sólo para sistemas UNIX, empezó ser

desplazado gradualmente por Navegadores

Web

• Windows eliminó del mapa al viejo DOS

• Los negocios empezaron a requerir

intercambio de archivos dinámico

• La información ya no estaba sólo en servidores

centrales …

Los nuevos fraudes

• Suplantación de usuarios

– Robo cuentas MSN

– Robo cuentas Facebook

– ¿Qué pasa si se roban las cuentas con privilegios

de pagos en el ERP?

• Envío de correos electrónicos anónimos

– Hotmail, GMAIL, yahoo, …

– ¿Qué pasa si el correo anónimo es interno?

• Robo información estratégica de las

compañías

Los nuevos fraudes (2)

• Negación de servicio en la infraestructura de la

compañía

– ¿Recuerdan el denial of service en twitter?

(http://status.twitter.com/post/157191978/ongoing-

denial-of-service-attack)

– ¿Qué pasa si eso lo hacen al portal web de Banco?

• Falsificación información en las bases de datos

– La infraestructura tiene vulnerabilidades

– ¿Qué pasa si alguien las aprovecha?

Los nuevos fraudes (3)

• Exploits al alcance de cualquier persona

– http://www.packetstormsecurity.org

– http://www.securityfocus.org

– http://inj3ct0r.com/

• Herramientas para análisis de vulnerabilidades

– http://www.nessus.org

– http://www.openvas.org

Los nuevos fraudes (4)

• Frameworks para penetration testing

– http://www.metasploit.org

• Distribuciones LiveCD para seguridad

– http://www.remote-exploit.org/backtrack.html

• Todos estos sitios actualizan su contenido

periódicamente

• Aunque el Sistema de Gestión de Seguridad

de la Información define controles, ¿Cubren

ampliamente estos controles los riesgos?

Retos

• No existe seguridad garantizada 100%

– Los controles que minimizan los riesgos siempre

dejan un riesgo residual

– Riesgo residual, aunque bajo, implica que puede

materializarse

• Sabemos como controlar los riesgos para que

permanezcan mínimos

• ¿Qué hacer cuando los riesgos de seguridad

de la información se materializan?

Riesgos Seguridad de la Información

Controles ISO27001Políticas de Seguridad

Organización de la Seguridad

Clasificación y Control de Activos

Control de Accesos

Seguridad del Personal

Seguridad FísicaDesarrollo y

Mantenimiento de Sistemas

Gestión de Comunicaciones y

Operaciones

Administración de la Continuidad del

Negocio

Cumplimiento

Gestión de Incidentes de

Seguridad

ISO27001

Sistema de Gestión de

Seguridad de la

Información

Controles técnicos de seguridad

• Firewalls

– Aplicación

– Red

• Sistemas de Detección de Intrusos

– Red (NIDS)

– Host (HIPS)

• Controles de navegación URL

Controles técnicos de seguridad (2)

• Control antimalware

– Servidores

– PC

– Internet (http, ftp, smtp)

• Data loss prevention

– Servidores

– PC

– Internet

• NAC

Controles técnicos de seguridad (2)

• Mitigan el riesgo de seguridad de la

información

– No lo eliminan

– Sí, puede materializarse el riesgo aún teniendo

controles

• Pueden proveer evidencia en caso de la

ocurrencia de un incidente de seguridad

• ¿Qué hacer empresarialmente?

Procedimiento respuesta a incidentes

Ciclo de vida respuesta a incidentes

PreparaciónDetección y

Análisis

Contención, Erradicación

y Recuperación

Actividades Post-Incidente

• Debe establecerse una capacidad de respuesta

a incidentes en la organización

• Deben instalarse controles para que los equipos

de cómputo, la red y las aplicaciones son

suficientemente seguros

• Comunicaciones de los administradores de

incidentes

• Hardware y software para respuesta a

incidentes

21

Preparación de incidentes

• El riesgo debe ser mínimo

– Los controles necesarios deben ser implementados

– Si no están los controles necesarios implementados,

el número de incidentes aumenta

• Proceso de gestión del riesgo

– Parte del Sistema de Gestión de Seguridad de la

Información

– El entorno cambia continuamente

– Debe realizarse periódicamente

22

Prevención de incidentes

• Controles de seguridad para prevención de

incidentes

– Administración de parches

– Línea base para servidores y PC

– Seguridad en Red

– Prevención de código malicioso

– Entrenamiento para usuarios

23

Prevención de incidentes (2)

• Los incidentes deben agruparse en categorías

– Definición de procedimientos por cada categoría de

incidente

– Permite mayor rapidez para atender los incidentes

• Tipos de incidente

– Denial of Service

– Código malicioso

– Acceso no autorizado

– Uso inapropiado

24

Detección y análisis

• Análisis de incidentes

– Las señales de incidentes no corresponden

necesariamente a incidentes que hayan ocurrido o

estén ocurriendo

– Deben descartarse problemas en la infraestructura o

en el software antes de determinar que fue un

incidente de seguridad

– ¿Cómo determinar si ocurrió un incidente?

oDetermine patrones en los equipos y las redes de

datos

oDetermine los comportamientos normales

oUse logs centralizados y cree una política de

retención de logs

25

Detección y análisis (2)

• Escogencia de una estrategia de contención

• Captura y manejo de evidencia

– Debe aplicarse la normatividad legal para la captura

de la evidencia

• Erradicación y recuperación

– El servicio debe recuperarse

– ¿Qué es primero? ¿Evidencia o servicio?

26

Contención, erradicación y recuperación

• Lecciones aprendidas

– ¿Qué pasó exactamente y en qué tiempos?

– ¿Cómo manejó la gerencia y el personal el incidente?

¿Se siguieron los procedimientos? ¿Fueron

adecuados?

• Métricas del proceso de respuesta a incidentes

– Número de incidentes atendidos

– Tiempo por incidente

– Auditoría del proceso de respuesta a incidentes

27

Actividades Post-incidente

MetodologíaInvestigación Forense

29

Metodología Investigación Forense

Recolección de

Evidencia

Procesamiento de la

Evidencia

Análisis de la Evidencia

Reporte Final

• Recolección de Evidencia

– Identificar, etiquetar, grabar y adquirir evidencia

desde fuentes relevantes de datos para el caso

– El procedimiento de cadena de custodia es

fundamental en esta etapa

– Deben utilizarse procedimientos que garanticen la

integridad de las porciones de evidencia extraídas

– Siempre y cuando usted sea cuidadoso y siga la

metodología en el procedimiento de extracción de

evidencia, ésta será válida dentro de un proceso

30

Metodología Investigación Forense (2)

• Procesamiento de la Evidencia

– Procesar la evidencia mediante la combinación de

procedimientos automáticos y manuales para realizar

la valoración y la extracción de datos particulares de

interés para el investigador

– La integridad de la evidencia debe garantizarse

– Involucra el análisis del sistema de archivos, el

sistema operativo y los programas instalados en el

equipo

– Diversas herramientas para la realización de estas

tareas

31

Metodología Investigación Forense (3)

• Análisis de la Evidencia

– Analizar los datos arrojados como resultado del

procesamiento de la evidencia

– Construcción del caso: Quién, qué, cuándo, dónde y

cómo

• Reporte Final

– Detalle completo de los pasos, herramientas y

procedimientos utilizados en toda la investigación

– Incluye recomendación de acciones para evitar la

materialización de riesgos como mejoras la las

políticas, guías, procedimientos, herramientas

32

Metodología Investigación Forense (4)

Preguntas

¡Muchas Gracias!

Manuel Humberto Santander Peláez

Unidad Arquitectura y Estrategia

Subdirección Tecnología de Información

Empresas Públicas de Medellín E.S.P.

E-mail: manuel.santander@epm.com.co

http://manuel.santander.name