Embed Size (px)
DESCRIPTION
Security +
Citation preview
Chapter 11
Exploring Operational Security
Exploración de Políticas de Seguridad
Las políticas de seguridad trazan un plan de seguridad dentro de una empresa. Son documentos creados como un primer paso para mitigar los riesgos escritos. Cuando creó a tiempo, que ayudan a garantizar que el personal de considerar y aplicar la seguridad en todo el ciclo de vida de los distintos sistemas de la empresa.
Las políticas incluyen declaraciones breves, de alto nivel que identifican metas basadas en las creencias y los principios generales de una organización. Después de crear la política, la organización crea directrices y procedimientos para apoyar las políticas.
Si bien las políticas son a menudo declaraciones de alto nivel, las directrices y procedimientos proporcionan detalles sobre la implementación de políticas.
Controles de seguridad hagan cumplir los requisitos de una política de seguridad. Por ejemplo, una política de seguridad puede indicar que los usuarios internos no deben usar (P2P) aplicaciones peer-to-peer. Un firewall con reglas apropiadas para bloquear estas aplicaciones proporciona una implementación técnica de esta política. Del mismo modo, los administradores pueden utilizar herramientas de escaneo de puertos para detectar las aplicaciones que se ejecutan en los sistemas internos contrarios a la política.
Recuerda esto
Las políticas de seguridad son documentos que identifican a un plan de seguridad escritas. Controles de seguridad (incluyendo técnica, gestión y controles operacionales) hacer cumplir las políticas de seguridad.
Una política de seguridad puede ser un solo documento de gran tamaño o dividida en varios documentos más pequeños, dependiendo de las necesidades de la empresa. Las siguientes secciones identifican muchos de los elementos comunes de una política de seguridad.
Política de Escritorio Limpio
Una política de escritorio limpio dirige a los usuarios a mantener sus áreas organizados y libres de papeles. El objetivo principal es la seguridad para reducir las amenazas de los incidentes de seguridad, garantizando la protección de los datos sensibles. Más específicamente, ayuda a prevenir la posibilidad de robo de datos o de la divulgación inadvertida de información.
Imagina un atacante entrar en un banco por un préstamo bancario y el cumplimiento de un oficial de préstamo. El oficial de préstamo tiene pilas de papel sobre su escritorio, incluyendo las solicitudes de préstamos de diversos clientes. Si el oficial de crédito sale, el atacante puede agarrar fácilmente algunos de los documentos, o simplemente tomar fotografías de los documentos con un teléfono móvil.
Más allá de la seguridad, las organizaciones quieren presentar una imagen positiva a los clientes y clientes. Los empleados con escritorios desordenados con pilas de papel pueden convertir fácilmente a los clientes.
Sin embargo, una política de escritorio limpio no sólo se aplica a los empleados que conocer y saludar a los clientes. También se aplica a los empleados que no interactúan con los clientes. Del mismo modo que los buceadores de contenedores de basura se pueden ordenar a través de la basura para obtener información valiosa, cualquiera puede ordenar a través de documentos en un escritorio para aprender información. Lo mejor es conseguir todos los papeles para mantener lejos de las miradas indiscretas.
Recuerda esto
Una política de escritorio limpio requiere que los usuarios organizar sus áreas para reducir el riesgo de un posible robo de datos. Se recuerda a los usuarios a proteger los datos sensibles y puede incluir una declaración de no escribir las contraseñas.
Algunos artículos dejados en un escritorio que pueden presentar riesgos incluyen:
1. Claves2. celulares3. tarjetas de acceso4. documentos sensibles5. Que ha iniciado sesión en el ordenador6. Las impresiones dejadas en la impresora7. Las contraseñas en notas adhesivas8. Archivadores dejaron abierta o desbloqueada9. Artículos personales, como el correo con PII
Algunas personas quieren tener una política de escritorio limpio un paso más allá al lavado y desinfección de escritorios con limpiadores antibacteriales y desinfectantes sobre una base diaria. Ellos son libres de hacerlo, pero eso no es parte de una política de escritorio limpio relacionada con la seguridad.
Las políticas de administración de cuentas / Account Management Policies
Capítulo 2 presenta la gestión de cuentas como un control de acceso lógico. Cuentas proporcionan acceso a los sistemas y redes, y gestión de cuentas implica la creación, eliminación y desactivación de cuentas.
Cuando no se gestionan las cuentas, que pueden representar vulnerabilidades significativas a la organización. Políticas de gestión de la cuenta de guiar a los administradores para tratar y prevenir estas vulnerabilidades. Esta sección describe los elementos comunes incluidos en una política de gestión de cuentas.
Política Privilege de privilegios de usuario son los derechos y permisos asignados a los usuarios. Derechos identifican lo que un usuario puede hacer, como cambiar la hora del sistema o reiniciar un sistema, y los permisos definen el acceso a los recursos, tales como ser capaz de leer o modificar un archivo.
Una política de privilegios de usuario garantiza que los usuarios sólo tienen los derechos y permisos necesarios para realizar su trabajo y nada más. En otras palabras, que dicta el uso del principio de privilegio mínimo (descrito en el capítulo 2). Por ejemplo, si Joe tiene que imprimir en una impresora, se le debe conceder el permiso de impresión para que la impresora pero nada más.
Muchos sistemas operativos imponen automáticamente esto. Por ejemplo, en el modelo de control de acceso discrecional (DAC) utilizado por los sistemas operativos de Microsoft, los usuarios de los propios archivos. Cuando un usuario crea un nuevo archivo, se concede al usuario acceso completo al expediente, pero nadie más se le da acceso directo al archivo. Los archivos heredarán los permisos asignados a carpetas, por lo que otros usuarios pueden tener acceso basado en la herencia, pero el sistema operativo no asignar estos permisos adicionales directamente a los archivos recién creados. Sólo el creador tiene acceso por defecto.
Los administradores a menudo utilizan los privilegios basados en el grupo (que se describen en el capítulo 2 como parte del control de acceso basado en roles) para hacer cumplir una política de privilegios de usuario. En otras palabras, en lugar de los administradores asignar privilegios directamente a un usuario, agregan la cuenta de usuario a un grupo, y asignar privilegios al grupo. Esto simplifica la administración de usuarios y ayuda a cumplir privilegio menos. Si un empleado es reasignado o promovido, el administrador simplemente añade el empleado a grupos relacionados con el nuevo trabajo y elimina la cuenta de los grupos relacionados con el trabajo anterior.
Capítulo 8 presenta una revisión de los derechos de usuarios y permisos como una auditoría de seguridad. Esta crítica asegura que la política está siendo seguido, los usuarios no tienen más privilegios que ellos necesitan, y las cuentas inactivas son deshabilitado o eliminado.
Recuerda esto
El principio de privilegios mínimos garantiza que los usuarios son los derechos otorgados y los permisos necesarios para realizar las tareas asignadas y nada más. Los sistemas operativos hacen cumplir esto dando sólo el creador de archivos acceso completo a los archivos recién creados. Los administradores cumplir con privilegios basados en el grupo. Derechos y permisos opiniones descubren violaciónes.
Exigir a los administradores utilizar dos cuentas
Es común para exigir a los administradores tener dos cuentas. Utilizan una cuenta para el trabajo regular del día a día. Tiene los mismos privilegios limitados como un usuario normal. La otra cuenta ha elevado privilegios necesarios para realizar el trabajo administrativo, y usar esto sólo cuando se realiza el trabajo administrativo. El beneficio de este la práctica es que reduce la exposición de la cuenta administrativa a un ataque.
Por ejemplo, cuando el malware infecta un sistema, a menudo intenta obtener derechos y permisos adicionales utilizando técnicas de escalada de privilegios. Puede explotar un error o defecto en un sistema de aplicación o funcionamiento. O puede simplemente asumir los derechos y permisos del usuario conectado.
Si un administrador inicia sesión con una cuenta administrativa, el malware puede asumir estos privilegios elevados.
Por el contrario, si el administrador inicia sesión con una cuenta de usuario normal, el malware no es capaz de escalar sus privilegios a través de esta cuenta.
Recuerda esto
Exigir a los administradores utilizar dos cuentas, una con privilegios de administrador y otro con privilegios de usuario regulares, ayuda a prevenir los ataques de escalada de privilegios.
Esto también reduce el riesgo para la cuenta administrativa para el trabajo del día a día. Imagínese Joe es un administrador y él llama de distancia a una crisis. Es muy posible que él a pie sin bloquear su ordenador. Si era iniciado sesión con su cuenta de administrador, un atacante caminando por puede acceder al sistema y tienen administrativa privilegios. Mientras que los sistemas a menudo tienen protectores de pantalla protegidos por contraseña, estos por lo general no comenzará hasta las diez minutos o más después de un usuario se aleja.
Cuenta Política de Incapacidad / Account Disablement Policy
Una política cuenta invalidez (a veces llamado una política de caducidad de la cuenta) especifica cuándo desactivar cuentas. Esta política dirige cuentas incapacitantes para los ex empleados o empleados que tienen un permiso de ausencia. Si la cuenta no está deshabilitada, el empleado u otra persona puede utilizarlo para los ataques.
Recuerda esto
Una política cuenta invalidez o expiración asegura que las cuentas inactivas están desactivados. Algunas compañías también deshabilitar cuentas cuando los usuarios tienen un permiso de ausencia.
Por ejemplo, el capítulo 6 se menciona el caso de Fannie Mae, donde se dio por terminado un ingeniero de UNIX pero conservó acceso a la cuenta. Se instaló una bomba lógica configurar para que suene el 31 de enero que habría borrado de datos y copias de seguridad de cerca de cuatro mil servidores. Mientras que otro administrador descubrió la bomba lógica antes de que fuera off, una política más estricta cuenta de invalidez habría evitado el riesgo por completo.
Las organizaciones a menudo identifican un proceso de salida específico cuando despedir a un empleado. Por ejemplo, el personal de recursos humanos puede describir los derechos y beneficios para el empleado. Sin embargo, desde una perspectiva de seguridad, el proceso a menudo incluye la desactivación de cuentas durante la entrevista de salida. Cuando no se usa un proceso de salida, las cuentas se pueden dejar habilitadas. La organización suele eliminar la cuenta después de un período de tiempo, como por ejemplo después de tres meses.
Esto les da a los administradores la oportunidad de recuperar los archivos utilizados por la cuenta. También es posible configurar cuentas para expirar después de un cierto período de tiempo. Por ejemplo, si una organización contrató a un contratista por un período de noventa días, un administrador puede configurar la cuenta de expirar en noventa días. Cuando expire la cuenta, se desactiva automáticamente.
Política de Gestión del Cambio
Capítulo 5 presenta el proceso de gestión del cambio. Como recordatorio, la gestión del cambio asegura cambios en los sistemas de TI no dan lugar a interrupciones imprevistas y proporciona una estructura de contabilidad o método para documentar todos los cambios. Una política de gestión del cambio proporciona la dirección general para la gestión del cambio procesos.
La gestión de parches (también cubierto en el capítulo 5) por lo general se incluye en un proceso de gestión del cambio. Parche gestión asegura que los sistemas se mantienen actualizados y reduce los riesgos asociados con vulnerabilidades conocidas.
El proceso de gestión de parches incluye pruebas, implementar y verificar los cambios de parches. Cuando se incluye con la gestión del cambio, gestión del cambio proporciona la documentación del proceso.
La mayoría de los procedimientos de gestión del cambio comienza con una solicitud de cambio. El personal designado revisa el cambio, y, una vez que sea aprobado, un técnico implementa el cambio. Cada paso del proceso se documenta. La todo el proceso está documentado en cada etapa. La documentación se asegura de todo el mundo es consciente del cambio, que puede revertirse fácilmente si es necesario, y puede ser reproducido si un sistema tiene que ser reconstruido después de un corte de luz.
Recuerda esto
Las políticas de seguridad son documentos que identifican a un plan de seguridad escritas. Controles de seguridad (incluyendo técnica, gestión y controles operacionales) hacer cumplir las políticas de seguridad.
Hey! Quién se ha llevado mi Cambios? / Hey! Who Moved My Changes?
En un entorno en el que trabajé, varios técnicos pasaron el fin de semana de solucionar un problema que estaba afectando negativamente servicios. Ellos finalmente identificaron dos servidores groseramente mal configurados. A través de un lento, proceso doloroso, identificaron todas las configuraciones incorrectas y regresaron los servicios a 100 por ciento para el final del fin de semana.
El lunes, otro grupo de técnicos entró y se dio cuenta de que los cambios que hizo el viernes para dos servidores eran todos sin hacer. Los cambios realizados el viernes no se comunicaron a los técnicos que trabajan en el fin de semana, y los cambios no fueron probados adecuadamente, lo que resulta en la pérdida de servicios no deseados.
Los técnicos lunes estaban molestos de que el trabajo que hicieron el viernes estaba sin hacer. Los técnicos de fin de semana estaban molestos que desperdician su tiempo solucionar un cambio indocumentados. Los usuarios finales sufrieron a través de servicios reducidos.
Gestión del cambio eficaz asegura que los cambios tienen el menor efecto sobre los servicios, están bien documentados, y todo el personal esté adecuadamente informados de los cambios. Sin una estructura contable para documentar cambios, es difícil asegurar que el personal se les informa de los cambios.
Políticas de dispositivos portátiles / Portable Device Policies
Como se ha mencionado en varias ocasiones a lo largo de este libro, unidades USB representan un riesgo significativo para una organización.
Pueden transportar malware sin el conocimiento del usuario y pueden ser una fuente de la fuga de datos. Los usuarios malintencionados pueden copiar y robar una cantidad significativa de información a través de una unidad flash fácilmente ocultable. Los usuarios pueden perder estas unidades, y los datos pueden caer fácilmente en las manos equivocadas.
Debido a los riesgos, es común que una organización para incluir las declaraciones de política de seguridad para prohibir el uso de las unidades flash USB y otros dispositivos de almacenamiento móvil. Observe que la restricción no es sólo en las unidades flash sin embargo.
Muchos dispositivos de música personales, tales como reproductores de MP3, utilizan el mismo tipo de memoria unidad flash como flash USB conducir. Los usuarios pueden conectarlos a un sistema y copiar datos fácilmente desde y hacia un sistema. Además, muchos de hoy teléfonos incluyen capacidades de almacenamiento utilizando el mismo tipo de memoria.
Recuerda esto
Unidades flash USB son una fuente de la fuga de datos y la distribución de malware. Dispositivos de música personales también pueden almacenar datos y, a menudo se incluyen en las políticas destinadas a prevenir la fuga de datos.
Los teléfonos móviles presentan otros riesgos. Por ejemplo, la mayoría de los teléfonos celulares incluir capacidades de la cámara y tener la capacidad de transmitir audio sin el conocimiento del usuario. Algunas organizaciones prohíben la posesión de teléfonos móviles en algunas áreas, y hagan cumplir estrictamente la política. Por ejemplo, yo sé de una organización en la que el personal de seguridad de exploración al azar empleados para teléfonos móviles que utilizan un dispositivo electrónico. Si el personal de seguridad a encontrar un teléfono móvil, se confiscan y el empleado es despedido inmediatamente.
Políticas de Personal
Empresas frecuentemente desarrollan políticas para definir y aclarar las cuestiones relacionadas con el personal específicamente. Esto incluye el comportamiento personal, las expectativas, y las posibles consecuencias. Personal aprenden estas políticas cuando son contratados y como se produzcan cambios.
Algunas de las políticas directamente relacionadas con el personal son:
El uso aceptable Vacaciones obligatorios Separación de funciones La rotación de empleo
Uso Aceptable
Una política de uso aceptable define el uso adecuado del sistema. A menudo describir el propósito de los sistemas informáticos y redes, cómo los usuarios pueden acceder a ellos, y las responsabilidades de los usuarios cuando acceden a los sistemas.
Recuerda esto
Una política de uso aceptable define el uso adecuado del sistema. Los usuarios a menudo están obligados a leer y firmar una política de uso aceptable cuando contratado, así como periódicamente, como con el entrenamiento de seguridad anual.
Esta política se suele incluir definiciones y ejemplos de uso inaceptable. Por ejemplo, los usuarios pueden estar prohibido el uso de recursos de la empresa para asuntos personales, como las compras en Internet o visitar sitios web que no están relacionados con su trabajo.
Muchas organizaciones requieren que los usuarios leer y firmar un documento indicando que entienden la política de uso aceptable cuando están contratados y en conjunción con el entrenamiento de seguridad anual. En muchos casos, las organizaciones publican la política en un sitio de intranet y firmar electrónicamente. Otros métodos, tales como banners de inicio de sesión o e-mails, ayudan reforzar una política de uso aceptable.
Vacaciones obligatorios / Mandatory Vacations
Políticas de vacaciones obligatorias ayudan a detectar cuando los empleados están involucrados en actividades maliciosas, como el fraude o malversación de fondos. A modo de ejemplo, los empleados en puestos de confianza fiscal, tales como operadores de valores o los empleados del banco, a menudo tienen que tomar unas vacaciones anuales de por lo menos cinco días de trabajo consecutivos.
Para las acciones de malversación de cualquier tamaño sustancial para tener éxito, un empleado necesitaría estar constantemente presente con el fin de manipular los registros y responder a diferentes preguntas. Por otro lado, si un empleado está obligado a estar ausente durante al menos cinco días de trabajo consecutivos, la probabilidad de que cualquier acción ilegal sucesivas se reduce, ya que alguien más estaría obligado a responder a las preguntas durante la ausencia del empleado.
Vacaciones obligatorias no se limitan sólo a las instituciones financieras, sin embargo. Muchas organizaciones requieren políticas similares para los administradores. Por ejemplo, un administrador puede ser la única persona que debe realizar las actividades sensibles, tales como la revisión de los registros. Un administrador malintencionado puede pasar por alto o encubrir ciertas actividades reveladas en los registros. Sin embargo, unas vacaciones obligatorias requerirían otra persona para llevar a cabo estas actividades y aumentar las posibilidades de descubrimiento.
Por supuesto, las vacaciones obligatorias por sí solas no prevenir el fraude. La mayoría de las empresas aplicar el principio de defensa en profundidad mediante el uso de varias capas de protección. Políticas adicionales pueden incluir la separación de funciones y la rotación de puestos para proporcionar la mayor protección posible.
Recuerda esto
Políticas de vacaciones obligatorias exigen a los empleados a tomar tiempo fuera de su trabajo. Estas políticas ayudan a reducir el fraude y descubrir actividades maliciosas.
Separación de tareas / Separation of Duties
Separación de funciones es un principio que impide a cualquier persona o entidad de ser capaz de completar todas las funciones de un proceso crítico o sensible. Está diseñado para prevenir el fraude, el robo, y los errores.
Contabilidad ofrece el ejemplo clásico. Es común dividir los departamentos de contabilidad en dos divisiones:
Cuentas por cobrar y cuentas por pagar. El personal de la revisión división de Cuentas por Cobrar y validar las facturas. A continuación, enviar las facturas validadas para el personal de la división de cuentas por pagar, que pagan las facturas.
Si Joe era la única persona que realiza ambas funciones, sería posible para él para crear y aprobar un proyecto de ley del Excelentísimo Cuenta de Retiro de Joe. Después de aprobar el proyecto de ley, Joe entonces pagarlo. Si Joe no va a la cárcel, de hecho puede jubilarse anticipadamente a expensas de la salud financiera de la empresa.
La separación de las políticas deberes también se aplica al personal de TI. Considere la posibilidad de defensa de la red. Un firewall es un control preventivo que trata de prevenir los ataques y un sistema de detección de intrusiones basado en red (NIDS) es un control detective que intenta detectar ataques. Si un solo administrador logró ambos sistemas, es posible que las cuestiones podría ser pasado por alto lo que resulta en errores. Sin embargo, mediante la separación de las tareas entre dos personas, se reduce la posibilidad de errores.
Como otro ejemplo, un grupo de administradores de TI puede ser asignado la responsabilidad de mantener un grupo de servidores de bases de datos, pero no tienen acceso a los registros de seguridad en estos servidores. En lugar de ello, los administradores de seguridad revisar periódicamente estos registros, pero estos administradores de seguridad no tendrán acceso a los datos dentro de las bases de datos.
Considere lo que debería ocurrir si uno de los administradores de TI es promovido y ahora está trabajando como administrador de la seguridad? Sobre la base de la separación de funciones, este administrador debe ahora tener acceso a los registros de seguridad, pero el acceso a los datos dentro de las bases de datos debe ser revocado. Sin embargo, si no se revocan los permisos del administrador a los datos, el administrador tendrá más permisos de los necesarios violar el principio de privilegios mínimos. A los derechos y permisos de revisión de usuario a menudo descubrir este tipo de cuestiones.
Recuerda esto
Separación de funciones impide que una sola persona o entidad de ser capaz de completar todas las funciones de un proceso crítico o sensible al dividir las tareas entre los empleados. Políticas de rotación de empleo requieren que los empleados para cambiar los roles en una base regular. Esto ayuda a asegurar que los empleados no pueden continuar con la actividad fraudulenta indefinidamente.
Rotación de empleo / Job Rotation
La rotación de empleo es un concepto que tiene empleados rotan por diferentes puestos de trabajo para conocer los procedimientos y procesos en cada uno. Desde una perspectiva de seguridad, rotación de tareas ayuda a prevenir o exponer atajos peligrosos o incluso la actividad fraudulenta. El conocimiento se comparte con varias personas, y ninguna persona puede mantener el control explícito de cualquier proceso o datos.
Por ejemplo, su empresa podría tener un departamento de contabilidad. Como se mencionó en la separación de la sección de funciones, que separaría la contabilidad en dos divisiones: Cuentas por cobrar y cuentas por pagar.
Además, se puede rotar el personal dentro y fuera de puestos de trabajo en las dos divisiones. Esto garantizaría una mayor supervisión sobre las operaciones del pasado y ayudar a asegurar que los empleados están siguiendo las reglas y políticas.
Por el contrario, si una sola persona siempre tiene la misma función sin ninguna expectativa de supervisión, la tentación de ir fuera de los límites de los aumentos de las políticas establecidas.
Políticas de rotación de empleo trabajan bien juntos, con la separación de las políticas de deberes. Una separación de la política de derechos de ayuda a evitar que una sola persona controle demasiado. Sin embargo, si una organización sólo se utiliza una separación de la política de los derechos, es posible que dos personas se unen en un plan para defraudar a la compañía. Si se utiliza una política de rotación en el empleo, estas dos personas no serán capaces de continuar la actividad fraudulenta indefinidamente.
Políticas de rotación de empleo también se aplican al personal de TI. Por ejemplo, la política puede requerir a los administradores cambiar los roles de manera regular, como cada año o cada tres meses. Esto evita que cualquier administrador único de tener demasiado control sobre una red.
Voy a ir a la cárcel Antes Le doy las contraseñas! (I’ll Go to Jail Before I Give You the Passwords!)
La ciudad de San Francisco tenía un ejemplo extremo de los peligros de una sola persona con mucho conocimiento explícito o poder. Un administrador de red con la más alta certificación de Cisco de Cisco Certified Internetwork Expert (CCIE) realizó cambios en la red de la ciudad, el cambio de contraseñas para que sólo los conocía y asegurar que él era la única persona con acceso administrativo.
Podría ser que él estaba tomando estas acciones para proteger la red que él consideraba su "bebé". Él era el único CCIE, y es posible mirar a los demás como simplemente no tener los conocimientos necesarios para mantener adecuadamente la red. Con los años, cada vez menos personas tuvieron acceso a lo que estaba haciendo, y su conocimiento se hicieron más y más propietarios. En lugar de ser malicioso en la naturaleza, que puede haber sido simplemente protectora, aunque excesivamente protector.
En algún momento, su jefe reconoció que todos los huevos de información estaban en la canasta de este CCIE solitario. Era demasiado arriesgado. ¿Y si el CCIE fue alcanzado por uno de los tranvías de San Francisco? ¿Qué iban a hacer? El jefe le pidió algunas contraseñas y él se negó, incluso cuando se enfrentan a la detención. Más tarde, se dio cumplimiento de la ley contraseñas de personal que no funcionaron.
Fue acusado de cuatro cargos de manipulación de una red informática y se mantiene bajo custodia con una fianza de $ 5 millones. En abril de 2010, fue declarado culpable de un cargo de delito grave y condenado a cuatro años de prisión. Se trata de una caída lejos de su salario anual reportada de 127.735 dólares.
La ciudad de San Francisco tuvo que traer a expertos de Cisco y la ciudad informó de costos de 900.000 dólares para recuperar el control de su red. Tras su condena, la CCIE se le ordenó pagar $ 1.5 millones en restitución.
¿Cuál es la lección aquí? Controles de seguridad internas, como la creación y aplicación de políticas relacionadas con la rotación de funciones, la separación de funciones, y la formación transversal, pueden haber sido capaces de evitar por completo esta situación. Si esto CCIE realmente tenía buenas intenciones hacia lo que él percibe como su red, estos controles internos podrían haberlo evitado para que no pasen la línea en la sobreprotección y mirando el mundo a través de los barrotes de una celda de la cárcel.
Conciencia de Seguridad y Formación / Security Awareness and Training
Muchas organizaciones crean un plan de educación y concienciación sobre la seguridad para identificar los métodos de aumento de la concienciación sobre la seguridad de los empleados. El objetivo principal es reducir al mínimo el riesgo planteado por los usuarios y ayudar a reforzar el cumplimiento de usuario con las políticas de seguridad.
Capacitación a menudo ayuda a los usuarios a entender los riesgos. Mediante la comprensión de los riesgos, son más propensos a cumplir con las políticas de seguridad.
Por ejemplo, muchos usuarios no son conscientes de los riesgos asociados con las unidades flash USB. Ellos saben que las unidades flash USB son muy convenientes y restringiendo su uso a veces hace que sea más difícil hacer su trabajo. Sin embargo, no siempre saben que una unidad USB infectada puede infectar un sistema tan pronto como está enchufado, y un sistema infectado infectará otras unidades USB conectados al sistema. Con un poco de entrenamiento, los usuarios a comprender los riesgos y son más propensos a cumplir con una política de unidad flash USB restrictiva.
El éxito de cualquier conciencia de seguridad y plan de formación está directamente relacionado con el apoyo de la alta gerencia. Si la alta dirección apoya el plan, la administración y los empleados media también lo apoyarán. Por otro lado, si la alta dirección no muestra su apoyo al plan, es muy probable que no contará con el apoyo de toda la organización.
Formación de conciencia de seguridad no es un evento de una sola vez. El personal están capacitados cuando son contratados y periódicamente después. Por ejemplo, es común tener cursos de actualización anual. Este informa a los usuarios de las amenazas actuales y actualizadas y ayuda a reforzar la importancia del cumplimiento de usuario.
Recuerda esto
Un objetivo principal de la concienciación sobre la seguridad y la formación es reforzar el cumplimiento de usuario con las políticas de seguridad y ayudar a reducir los riesgos planteados por los usuarios. El éxito de cualquier plan de concienciación sobre la seguridad y la formación depende del apoyo de la alta dirección. Debido a cuestiones de seguridad cambian con el tiempo, es común para proporcionar cursos de actualización periódica.
El entrenamiento puede incluir una amplia variedad de temas en función de la organización. Algunos de los temas son:
Contenidos de política de seguridad El uso aceptable y responsabilidades de los usuarios Clasificación de la información tanto duros y blandos Protección de datos personales Importancia del etiquetado de datos, manipulación y eliminación Cumplimiento de las leyes pertinentes, las mejores prácticas y estándares Conciencia de amenazas incluyendo malware actual y los ataques de phishing Los hábitos de los usuarios que representan riesgos como con contraseñas y chupar rueda
(tailgating) El uso de sitios de redes sociales y aplicaciones peer-to-peer y la forma en que dan lugar a la
fuga de datos
La siguiente sección sobre políticas de datos cubre muchos de estos temas, mientras que otros temas fueron tratados en los capítulos anteriores.
Políticas de datos
Cada compañía tiene secretos. Mantener estos secretos a menudo puede hacer la diferencia entre el éxito y el fracaso. Una empresa puede tener valiosos datos de investigación y desarrollo, bases de datos de clientes, propiedad de la información sobre los productos, y mucho más. Si la empresa no puede mantener en secreto los datos privados y de propiedad, que puede afectar directamente a su cuenta de resultados.
Las políticas de datos ayudan a la protección de datos y ayudan a prevenir la fuga de datos. Esta sección cubre muchos de los diferentes elementos que pueden estar contenidos en una política de datos.
Clasificación de Información
Como práctica, las organizaciones se toman el tiempo para identificar, clasificar y etiqueta de datos que utilizan. Las clasificaciones de datos aseguran que los usuarios entiendan el valor de los datos y las clasificaciones ayudan a proteger los datos sensibles. Clasificaciones pueden aplicarse a los datos duros (Impressos) y datos blandos (archivos). A modo de ejemplo, el gobierno de Estados Unidos utiliza clasificaciones tales como "Top Secret", "Secreto", "Confidencial" y "Sin clasificar" para identificar la sensibilidad de los datos. Las empresas privadas suelen utilizar términos como "Propietario", "Private", "anuncio" o "Público".
Recuerda esto
Organizaciones clasifican los datos para asegurarse de que los usuarios a entender el valor de los datos y para ayudar a proteger los datos sensibles. Etiquetado de datos garantiza que los usuarios sepan qué datos están manejando y procesamiento.
Los datos de etiquetado y manipulación
Etiquetado de datos garantiza que los usuarios sepan qué datos están manejando y procesamiento. Por ejemplo, si una organización clasifica los datos de forma confidencial, privada, sensible, y pública, sino que también utilizarían el etiquetado para identificar los datos. Estas etiquetas se pueden imprimir etiquetas para los medios de comunicación, tales como cintas de respaldo. También es posible marcar los archivos usando las propiedades del archivo, encabezados, pies de página y marcas de agua.
Las etiquetas y clasificaciones usos una organización no son tan importantes como el hecho de que utilizan etiquetas y clasificaciones. Organizaciones toman tiempo para analizar sus datos, clasificar, y capacitar a los usuarios para garantizar la usuarios reconocen el valor de los datos.
Considere una empresa que gasta millones de dólares en investigación y desarrollo (I + D) tratando de desarrollar o mejorar los productos. La empresa valora mucho más que datos de estos datos públicamente disponibles en su sitio web, y hay que protegerlo. Sin embargo, si los empleados tienen acceso a los datos de I + D y no se clasifican o etiquetados, que no se dan cuenta de su valor y no puede protegerlo.
Por ejemplo, un contenido web autor puede escribir un artículo para el sitio web de la empresa haciendo alarde de sus logros.
Si los datos de I + D no está clasificado y etiquetado, el autor puede incluir algo de esto en I + D de datos en el artículo, sin querer dar competidores de la empresa libre acceso a datos valiosos. Mientras que los empleados de I + D será fácil reconocer el valor de los datos, no es seguro asumir que todo el mundo lo hace. Por otro lado, si los datos incluidos etiquetas confidencial o privada, cualquiera sería reconocer su valor y tomar las medidas adecuadas para su protección.
Capítulo 9 presentó información sobre las copias de seguridad. Como recordatorio, es importante proteger las copias de seguridad con el mismo nivel de protección que los datos originales. Las etiquetas de los administradores de ayuda de los medios de copia de seguridad a identificar fácilmente el valor de los datos de las copias de seguridad.
Almacenamiento y retención Políticas
Una política de almacenamiento y retención identifica dónde se almacenan los datos y el tiempo que se conserva. Por ejemplo, una política de almacenamiento a menudo dicta que los usuarios deben almacenar todos los datos en los servidores en lugar de estaciones de trabajo locales. Una de las ventajas es que los administradores pueden realizar copias de seguridad de datos en el servidor para asegurarse de que tienen copias de los datos del usuario. Si los usuarios almacenan datos en sus sistemas individuales, que hace que sea mucho más difícil y costoso hacer copia de seguridad de datos.
Las políticas de retención ayudan a reducir las responsabilidades legales, y esta es otra razón por la que están acostumbrados. Por ejemplo, imagínese si una política de retención establece que la empresa sólo
mantendrá e-mail por un año. Una orden judicial que requiere todo el correo electrónico de la empresa sólo puede esperar recibir correo electrónico desde el año pasado.
Por otro lado, si la organización no tiene una política de retención, es posible que tenga que proporcionar el correo electrónico de los últimos diez años o más en respuesta a una orden judicial. Esto puede requerir una gran cantidad de trabajo por los administradores para recuperar archivos o buscar correos electrónicos específicos. Además, las investigaciones pueden descubrir otra evidencia embarazosa de años anteriores. La política de retención ayuda a evitar estos problemas.
Algunas leyes exigen la conservación de datos para los marcos de tiempo específicos, tales como tres años o más. Por ejemplo, las leyes exigen la retención de todos los correos electrónicos de la Casa Blanca de forma indefinida. Si una ley se aplica a una organización, la política de retención refleja los mismos requisitos.
Recuerda esto
Políticas de almacenamiento y retención de identificar dónde se almacenan los datos y el tiempo que se conserva. En algunos casos, las políticas de retención pueden limitar la exposición de la empresa a los procedimientos judiciales y reducir la cantidad de trabajo requerido para responder a órdenes de la corte.
Información de Identificación Personal
La información personal identificable (PII) es la información personal que se puede utilizar para identificar personalmente a un individuo. Algunos ejemplos de PII son:
nombre completo Cumpleaños y el nacimiento lugar La información médica y de la salud Calle o correo electrónico la información de dirección Las características personales, como los datos biométricos Cualquier tipo de número de identificación, como por ejemplo un número de Seguro Social o
número de licencia de conducir
En general, se necesitan dos o más piezas de información para que sea PII. Por ejemplo, "John Smith" no es PII por sí mismo, ya que no se puede remontar de nuevo a una persona específica. Sin embargo, cuando se conecta el nombre con un fecha de nacimiento, dirección, información médica, o de otro tipo de datos, es PII.
Cuando los atacantes ganan PII, a menudo lo utilizan para obtener ganancias económicas a expensas de la persona. Por ejemplo, atacantes roban identidades, tarjetas de crédito, el acceso y las cuentas bancarias vacías. Siempre que sea posible, las organizaciones deberían minimizar el uso, recolección y retención de información de identificación personal. Si no se mantiene, no puede verse comprometida. Por otro lado, si que recopilan información de identificación personal y los atacantes comprometen los datos, la empresa es responsable.
El número de incidentes de violación de la seguridad que implique la pérdida de la PII sigue aumentando. Por ejemplo, de un Veterano Empleado de la Administración copiar una base de datos en su ordenador portátil que contenía información de identificación personal en más de veintiséis millones
de EE.UU. veteranos. Tomó el ordenador portátil a casa y un ladrón robó. El VA luego pasó por el doloroso y costoso proceso de notificar a todas las personas que eran vulnerables al robo de identidad, y los individuos afectados gastados incontables horas para fregar sus registros de incidentes de robo de identidad. A pesar de que la policía más tarde recuperaron la computadora portátil, la VA pagó $ 20 millones para resolver una demanda en el caso.
Capítulo 5 menciona varios otros casos, como el ataque a PlayStation Network de Sony que comprometido más de setenta y siete millones de registros de clientes que resultan en gasto directo de más de $ 171 millones.
Cada uno de estos casos resultó en el robo de identidad potencial y la pérdida de la buena voluntad y la confianza pública de la compañía. Tanto los clientes como los empleados se vieron afectados negativamente, y las empresas se vieron obligadas a pasar tiempo y energía discutiendo el incidente, y gastar dinero tratando de reparar su reputación.
Recuerda esto
La información personal identificable (PII) incluye información como el nombre completo, fecha de nacimiento, datos biométricos, y la identificación de los números como un SSN. Las organizaciones tienen la obligación de proteger PII y, a menudo identifican procedimientos para manejar y conservar PII en las políticas de datos.
Proteger la PII
Las organizaciones tienen la obligación de proteger la PII. Hay muchas leyes que exigen la protección de la información de identificación personal incluyendo las leyes internacionales, las leyes federales y las regulaciones locales. Las organizaciones a menudo se desarrollan políticas para identificar cómo manejan, retener y distribuir información de identificación personal, y estas políticas ayudan a asegurar que están cumpliendo con las regulaciones pertinentes. Cuando una empresa no utiliza una política específica PII, por lo general identificar los métodos utilizados para proteger PII en las políticas de datos relacionados.
Además, muchas leyes requieren una empresa para reportar pérdidas de datos debido a fallos de seguridad. Si resulta un ataque en la pérdida de datos PII cliente, se requiere a la empresa a informar y notificar a las personas afectadas. A modo de ejemplo, Arizona promulgó una ley de notificación violación de la seguridad que requiere cualquier empresa hacer negocios en Arizona para notificar a los clientes de las brechas de seguridad. La mayoría de los estados en los Estados Unidos tienen leyes similares, y existen leyes internacionales similares.
Una de las razones más comunes de datos parece caer en las manos equivocadas es que los empleados no entienden los riesgos involucrados. Ellos no se dan cuenta del valor de los datos en un ordenador portátil, o pueden copiar casualmente datos PII en una unidad flash USB. Como se mencionó anteriormente, la clasificación de datos y procedimientos de etiquetado ayudan a los empleados a reconocer el valor de los datos y ayudan a proteger los datos sensibles.
La capacitación también es importante. Uno de los objetivos de los profesionales de seguridad es reforzar los riesgos de no proteger PII. Cuando los empleados comprendan los riesgos, son menos propensos a arriesgar los datos de clientes y empleados para el robo de identidad.
Recuerda esto
PII requiere entrega especial y las políticas de retención de datos. Los empleados deben ser entrenados para no dar ningún tipo de información personal. Muchas leyes exigen la presentación de informes de los ataques que resultan en la pérdida de datos PII.
Política De Privacidad
Es casi un requisito de negocio hoy para una empresa tener un sitio web. Los clientes esperan de un sitio web y, a menudo lo buscan para obtener información adicional acerca de una empresa. Cuando no existe, los clientes suelen ir a otra parte. Sin embargo, los sitios web tienen requisitos adicionales, como una política de privacidad.
Una política de privacidad identifica cómo un sitio web recoge, utiliza y divulga información sobre los visitantes. Por ejemplo, los formularios web recopilan direcciones de correo electrónico y otros datos de los usuarios. La política de privacidad indica si la empresa utiliza esta información sólo internamente o si se vende o comparte con otras entidades.
Muchos estados, como California, Nebraska y Pennsylvania, tienen leyes específicas que requieren políticas de privacidad. Por ejemplo, una ley de California requiere que los sitios web para publicar visible una política de privacidad en el sitio. Esta ley se aplica a cualquier sitio web que recopila información sobre los residentes de California, independientemente de donde se encuentra el sitio web.
Generalmente, usted puede encontrar un enlace a una política de privacidad en la página principal del sitio. Por ejemplo, si usted va a Google.com, encontrará un enlace titulado "Privacidad" y haciendo clic en él, verá su política de privacidad.
Sitios de Redes Sociales
Millones de personas interactúan unos con otros sitios de redes sociales utilizando como Facebook y Twitter. Facebook permite a las personas compartir sus vidas con amigos, familiares y otros. Twitter permite a las personas pío sobre los eventos a medida que ocurren. Desde una perspectiva social, estas tecnologías permiten a la gente compartir fácilmente información sobre a sí mismos con los demás.
Sin embargo, desde una perspectiva de seguridad, presentan algunos riesgos significativos, especialmente relacionados con la involuntaria revelación de información. Los atacantes pueden utilizar estos sitios para obtener información sobre los individuos y luego usar esa información en un ataque.
Los usuarios a menudo de información personal poste tales como fechas de nacimiento, sus colores favoritos o libros, la escuela secundaria que se graduaron de, fechas de graduación, y mucho más. Algunos sitios utilizan esta información personal para validar a los usuarios cuando se les olvida o necesitan cambiar su contraseña. Por ejemplo, imagine a Sally necesita para restablecer su contraseña para una cuenta bancaria. El sitio web puede desafiarla para introducir su fecha de nacimiento, libro favorito, y fecha de graduación para su validación. Si a Sally publica toda esta información en Facebook, un atacante puede utilizar para cambiar la contraseña de la cuenta bancaria.
En algunos casos, los atacantes han utilizado información personal de los sitios de redes sociales para lanzar estafas. Por ejemplo, un atacante identifica primero el nombre de un amigo o familiar con el sitio de redes sociales. El atacante suplanta al amigo o familiar en un correo electrónico, alegando que fueron robados y están atrapados en una extranjera país. El atacante termina con una petición de ayuda pidiendo a la víctima a enviar dinero a través de transferencia bancaria.
También vale la pena señalar que los sitios de redes sociales se han convertido en uno de los métodos que los empleadores utilizan para recopilar información sobre los posibles empleados. En 2010, Microsoft encuestó a profesionales de recursos humanos de Estados Unidos y se enteró de que el 70 por ciento de ellos había rechazado una solicitud de empleo en base a la información que encontraron en línea.
Recuerda esto
El uso inadecuado de los sitios de redes sociales puede dar lugar a la divulgación inadvertida de información. Información disponible en estos sitios también se puede utilizar para lanzar ataques contra los usuarios.
P2P
Peer-to-peer (P2P o de intercambio de archivos) aplicaciones permiten a los usuarios compartir archivos como música, vídeo y datos a través de Internet. En lugar de un único servidor que proporciona los datos a los usuarios finales, todos los equipos de la red P2P son pares, y cualquier equipo puede actuar como un servidor para otros clientes.
La primera red P2P ampliamente utilizada fue Napster, un servicio para compartir música en línea que funcionó entre 1999 y 2001. Los usuarios copiar y distribuir archivos de música MP3 entre unos y otros, y estos fueron a menudo los archivos de música pirateada. Los archivos se almacenan en el sistema de cada usuario, y siempre y cuando el sistema era accesible en Internet, otros usuarios pueden acceder y descargar los archivos. Una orden judicial cerró Napster debido a cuestiones de derecho de autor, pero más tarde volvió a abrir como una tienda de música en línea. Otras redes P2P y de software P2P siguen apareciendo y evolucionando.
Organizaciones generalmente restringen el uso de aplicaciones P2P en redes, pero esto no es debido a problemas de piratería. En cambio, un riesgo significativo con aplicaciones P2P es la fuga de datos. Los usuarios a menudo no son conscientes de lo que los datos que están compartiendo. Otro riesgo es que los usuarios no son conscientes de lo que los datos de las descargas de aplicaciones y tiendas en sus sistemas, haciendo que se reciban los datos inapropiados. Dos ejemplos ayudan a ilustrar estos riesgos de fuga de datos.
Información Concentradora redes P2P de búsqueda de información de interés y recogerlo. En marzo de 2009, los investigadores descubrieron un concentrador de información en Irán, con más de doscientos documentos que contienen los datos del gobierno de Estados Unidos clasificados y secretos. Esto incluyó información clasificada sobre Marine One, el helicóptero utilizado por el presidente. Si bien la información sobre el Marine One en los titulares, los atacantes tenían información de mineral mucho. Por ejemplo, este concentrador incluye informes sobre la situación en Irak y las listas de soldados con los datos de privacidad.
Cómo pasó esto? Las investigaciones revelaron que un contratista de defensa instalado una aplicación P2P en una computadora. El equipo tuvo acceso a estos datos, y la aplicación P2P compartió. Los medios de comunicación se pegaron a las noticias sobre Marine One, por lo que esta historia fue ampliamente publicada. Sin embargo, se cree ampliamente que más datos se extraen a través de redes P2P. La mayoría de los usuarios finales no se han clasificado a los datos de sus sistemas, pero sí tener PII, como información bancaria o los datos fiscales. Cuando un atacante recupera los datos en el sistema del usuario y se vacía una cuenta bancaria, puede ser una catástrofe para el usuario, pero no es noticia.
Un segundo ejemplo afectó a un niño en edad escolar. Es popular el uso de estos programas de intercambio P2P para compartir archivos de música, pero se utiliza a menudo para compartir otros datos. Una niña en edad escolar estaba navegando datos que encontró en su computadora y descubrió un número significativo de imágenes pornográficas. Ella no buscó estos o descargar deliberadamente. En su lugar, como miembro de la red P2P, la aplicación P2P utilizó su sistema para almacenar los archivos compartidos por otros.
Las organizaciones pueden restringir el acceso a las redes P2P mediante el bloqueo de acceso en los servidores de seguridad. Además, los escáneres de puertos pueden escanear puertos abiertos de sistemas remotos para identificar software P2P. Las organizaciones a menudo incluyen estos controles cuando se ejecuta un escáner de puertos como parte de un análisis de vulnerabilidades.
Recuerda esto
La fuga de datos se produce cuando los usuarios instalan software P2P y sin querer compartir archivos. Las organizaciones a menudo bloquean el software P2P en el firewall y detectar software que se ejecuta con los análisis de puertos.
Sistemas de desmantelamiento
Cuando los equipos llegan al final de su ciclo de vida, las organizaciones que donan, ellos reciclan, oa veces simplemente tiran a la basura. Desde una perspectiva de seguridad, es necesario asegurarse de que los ordenadores no incluyen ningún dato que pueda ser útil a la gente fuera de su organización o perjudicial para su organización si es puesto en libertad.
Es común que las organizaciones tienen una lista de verificación para asegurarse de que un sistema se desinfecta antes de ser puesto en libertad.
El objetivo es asegurar que todo el dato utilizable se elimina del sistema. Los discos duros representan el mayor riesgo, ya que tienen la mayoría de la información, por lo que es importante tomar medidas adicionales cuando el desmantelamiento de viejos discos duros. Simplemente borrar un archivo en una unidad en realidad no eliminarlo.
En lugar de ello, se marca el archivo para su eliminación y hace que el espacio disponible para su uso. Del mismo modo, el formateo de una unidad de disco no borrará los datos. Hay muchas aplicaciones de recuperación disponibles para recuperar los datos borrados, restos de archivos, y los datos de las unidades con formato.
Diferentes métodos de desinfección de una unidad de disco y la eliminación de todos los datos utilizables incluyen:
Sobrescritura nivel de bits. Diferentes programas están disponibles que escribirá patrones de unos y ceros varias veces para asegurar que los datos originalmente en el disco no se puede leer. Este proceso asegura que el disco no contiene ningún dato.
Desmagnetice los discos. Un desmagnetizador es un muy potente imán electrónico. Pasando un disco a través de un campo de desmagnetización hará que los datos en el disco ilegible, y será a menudo destruir los motores del disco. Desmagnetización de las cintas de copia de seguridad se desinfecte una cinta sin destruirlo.
La destrucción física. Si el disco incluye datos clasificados o de propiedad, sólo tiene que sobrescribir puede que no sea suficiente.
En cambio, la política de eliminación de la computadora puede requerir la destrucción de la unidad. Por ejemplo, los técnicos pueden eliminar platos del disco y la arena hacia abajo hasta la chapa.
Recuerda esto
Discos duros viejos son desinfectados como parte del proceso de desmantelamiento. Un método común utiliza borrado nivel de bits y sobrescribe la unidad escribiendo una serie de unos y ceros varias veces en la unidad.
También vale la pena mencionar que los discos duros pueden ser en otros dispositivos además de los ordenadores. Por ejemplo, muchas máquinas de copia incluyen unidades de disco. Si estas unidades de disco no se desinfectan, sino que también puede resultar en una pérdida de confidencialidad.
Políticas de Respuesta de Incidentes
Muchas organizaciones crean las políticas de respuesta a incidentes para ayudar al personal a identificar y responder a los incidentes. El incidente de seguridad es un evento adverso o una serie de eventos que pueden afectar negativamente a la confidencialidad, integridad, o disponibilidad de datos o sistemas dentro de la organización, o que tiene el potencial para hacerlo. Algunos ejemplos incluyen:
Ataques Lanzamiento de malware Violaciones de política de seguridad El acceso no autorizado de los datos El uso inadecuado de los sistemas
Por ejemplo, un ataque que resulta en una violación de datos es un incidente. Una vez que la organización identifica una seguridad incidente, que responderá en base a la política de respuesta a incidentes.
Una de las primeras respuestas es contener el incidente. Esto puede ser tan simple como desconectar el sistema de tarjeta de interfaz de red para asegurarse de que no se puede comunicar en la red. Sin embargo, el sistema no debe ser apagado o manipulados en absoluto hasta expertos forenses tienen la oportunidad de reunir pruebas.
Después de identificar el incidente y aislar el sistema, los expertos forenses pueden iniciar una evaluación forense dependiendo del incidente. Una evaluación forense ayuda a la organización recopilar y analizar datos como evidencia que puede utilizar en la persecución de un delito. En general, las
evaluaciones forenses proceder con la suposición de que los datos recopilada se utilizará como prueba en los tribunales. Debido a esto, las prácticas forenses proteger las pruebas para evitar modificación y controlar pruebas después de recoger la misma.
Recuerda esto
Una política de respuesta a incidentes define unos procedimientos de respuesta a incidentes e incidentes. El primer paso a tomar después la identificación de un incidente es contener o aislar el problema. Esto es a menudo tan simple como desconectar un ordenador desde una red. Una evaluación forense recoge, controla y evalúa la evidencia de incidentes.
Después de que el proceso de recolección de pruebas forenses, los administradores recuperar o restaurar el sistema a traerla de nuevo en servicio. Esto supone, por supuesto, que el propio sistema no se recoge como evidencia. Recuperación de una sistema puede requerir un simple reinicio o puede requerir una reconstrucción completa del sistema, dependiendo de la incidente.
Las organizaciones también revisar los controles de seguridad para identificar vulnerabilidades después de un incidente. Es muy posible que el incidente ofrece algunas lecciones valiosas. La organización podrá modificar los procedimientos o añadir controles adicionales para impedir que se repita el incidente.
Las siguientes secciones cubren algunos de los elementos importantes de una política de respuesta a incidentes relacionados con la Seguridad + examen.
Contención
La primera respuesta después de identificar el incidente es contener o aislar el problema. A menudo, los administradores de hacer esto simplemente desconectar el cable de la tarjeta de interfaz de red para desconectar un equipo de la red.
Por ejemplo, puede aislar un servidor atacado por desconectarlo de la red. Puede aislar una red de Internet mediante la modificación de las listas de control de acceso en un router o un firewall de red.
Esto es similar a la forma en que le respondes a derramar agua de un fregadero que desborda. Usted no empezar a limpiar el agua hasta que primero cerrar el grifo. El objetivo de la contención es evitar que el problema se propague a otras zonas o en otros equipos de la red, o simplemente para detener el ataque.
Equipo de Respuesta a Incidentes
Un equipo de respuesta a incidentes se compone de empleados con experiencia en diferentes áreas. Organizaciones refieren al equipo como un equipo de respuesta a incidentes informáticos (CIRT), el equipo de respuesta a incidentes de seguridad (SIRT), o simplemente IRT.
Combinados, tienen los conocimientos y habilidades para responder a un incidente. Los miembros del equipo pueden incluir:
La alta dirección. Alguien tiene que ser responsable con la autoridad suficiente para hacer las cosas.
Administrador de red / ingeniero. Una persona técnica debe incluirse que puede entender adecuadamente los problemas técnicos y transmitir el asunto a otro personal del equipo.
El experto en seguridad. Los expertos en seguridad saben cómo recoger y analizar pruebas utilizando diferentes procedimientos forenses.
Experto en comunicaciones. Si un incidente debe ser transmitida al público, una persona de relaciones públicas debe ser el uno para hacerlo.
Debido a la compleja naturaleza de los incidentes, el equipo suele tener una amplia formación. La formación incluye conceptos tales como la forma de identificar y validar un incidente, cómo recolectar pruebas, y cómo proteger las pruebas recogidas.
Los primeros en responder son las primeras personas de seguridad entrenados que llegan a la escena. El término proviene de la comunidad médica, en donde la primera persona con formación médica en llegar a la escena de una emergencia o accidente es el primero en responder. Una primera respuesta podría ser alguien del equipo de respuesta a incidentes o alguien con formación adecuada para saber cuáles son los primeros pasos de respuesta debe ser. Los documentos de políticas de respuesta a incidentes pasos iniciales o al menos los objetivos de los primeros en responder.
Procedimientos Forenses Básicas
Una vez que el incidente ha sido incluido o aislado, el siguiente paso es una evaluación forense. Qué piensas cuando escuchas "forense"? Mucha gente piensa en el programa de televisión CSI (abreviación de "escena del crimen investigación ") y todos sus spin-offs. Estos programas demuestran las capacidades fenomenales de la ciencia en el crimen investigaciones.
Informática forense analiza la evidencia de los ordenadores para determinar los detalles sobre incidentes informáticos, similares a cómo el personal de CSI analizar la evidencia de la escena del crimen. Utiliza una variedad de diferentes herramientas para recopilar y analizar evidencia ordenador. Informática forense es un campo cada vez mayor, y muchas instituciones educativas ofrecen especializada grados alrededor de la ciencia.
Si bien puede no ser el experto forense equipo el análisis de la evidencia, usted debe saber acerca de algunas de los conceptos básicos relacionados con la recolección y preservación de la evidencia.
Los expertos forenses utilizan una variedad de procedimientos forenses para recoger y proteger los datos después de un ataque. Una parte clave de este proceso es la preservación de la evidencia. En otras palabras, se aseguran de que no modifiquen los datos a medida que recogerlo, y protegerlo después de la recolección. Al igual que un policía novato no quería andar a través de la sangre en un delito Escena (al menos no más de una vez), los empleados no deben tener acceso a los sistemas que han sido atacados o poder hacia abajo.
Por ejemplo, los archivos tienen propiedades que muestran cuando se accede a la última. Sin embargo, en muchas situaciones, acceso al archivo modifica esta propiedad. Esto puede evitar que una investigación de la identificación cuando un atacante visitada el archivo. Además, los datos en la memoria de un sistema incluye pruebas valiosas, pero convertir un sistema de apagado elimina estos datos. En general, los primeros en responder no tratan de analizar las pruebas hasta que hayan tomado el tiempo para recoger y protegerlo.
Los expertos forenses tienen herramientas especializadas que pueden utilizar para la captura de datos. Por ejemplo, muchos expertos utilizan EnCase por Guidance Software Forensics Toolkit o por acceso a datos. Estas herramientas pueden capturar datos de la memoria o los discos.
Esto incluye documentos, imágenes, correo electrónico, correo web, artefactos de Internet, historial web, sesiones de chat, archivos comprimidos, archivos de copia de seguridad y los archivos cifrados. También pueden capturar los datos de los teléfonos inteligentes y tabletas.
Orden de Volatilidad
Orden de la volatilidad se refiere al orden en que debe reunir pruebas. "Volátil" no significa que sea explosivo, sino que no es permanente. En general, usted debe reunir pruebas empezando por el más volátil y pasar al menos volátil.
Por ejemplo, la memoria de acceso aleatorio (RAM) se pierde después de apagar el ordenador. Debido a esto, es importante darse cuenta de que usted no debe alimentar un equipo hacia abajo si es sospechosa de estar involucrada en un incidente de seguridad.
Un procesador puede trabajar solamente en los datos en la memoria RAM, así que todos los datos en la RAM indican lo que el sistema estaba haciendo. Esto incluye los datos de un usuario ha estado trabajando, los procesos del sistema, los procesos de red, restos de aplicaciones, y mucho más. Todo esto puede ser evidencia valiosa en una investigación, pero la evidencia se pierde cuando el ordenador está apagado.
Muchas de las herramientas forenses incluyen la capacidad de capturar datos volátiles. Una vez que se capturó, los expertos pueden analizar y profundizar en lo que estaban haciendo el ordenador y el usuario.
Recuerda esto
RAM es volátil y se pierde cuando un equipo está apagado. Los datos en la memoria RAM incluye procesos y aplicaciones, y datos accedidos recientemente por un usuario. Forense memoria análisis de datos en la memoria RAM.
Por el contrario, los datos en los discos permanecen en la unidad incluso después de la alimentación de un sistema de abajo. Esto incluye todos los archivos y incluso datos como el registro de inicio maestro en un disco de bajo nivel. Sin embargo, es importante para proteger los datos en el disco antes de analizar, y un método común es mediante la captura de una imagen del disco.
El orden de la volatilidad de los más volátiles de menos volátil es:
Los datos en la memoria RAM, incluidos los datos y aplicaciones de caché y recientemente utilizado
Los datos en RAM, incluyendo los procesos del sistema y de red Los datos almacenados en unidades de disco locales Registros almacenados en sistemas remotos medios Archivo
Capturar imágenes
Una imagen es una instantánea de los datos en la memoria o una instantánea de una unidad. Capítulo 5 introdujo imágenes de disco como un método común utilizado para desplegar sistemas. Estas imágenes de disco del sistema incluyen configuraciones de seguridad obligatorias y ayudan a garantizar un sistema comienza en un estado seguro. Analistas forenses utilizan procesos similares para capturar imágenes para el análisis.
Una imagen forense de un disco capta todo el contenido de la unidad. Algunas herramientas utilizan métodos poco a poco copia que pueden leer los datos sin modificarlo. Otros métodos incluyen dispositivos de hardware conectados a la unidad para protegerlo contra escritura durante el proceso de copia. Una clara diferencia entre las imágenes del sistema estándar y forense imágenes es que una imagen forense es una copia exacta y no modifica el original. Esto no siempre es cierto con herramientas de imagen del sistema.
Un elemento importante en la creación de copias forenses es asegurar que los datos en el disco duro no se modifican.
Dicho de otra manera, las copias forenses garantizar la integridad de la evidencia de disco no se vea comprometida durante el proceso de copia.
Recuerda esto
Una imagen forense es una copia bit a bit de los datos y no modifica los datos durante la captura. Expertos capturar una imagen de los datos antes del análisis. El análisis puede modificar los datos de lo que los expertos forenses analizan la imagen (o copias de la imagen) y guardar los datos originales en un estado no modificado.
Todos estos métodos de capturar todo el contenido del disco, incluyendo los archivos de usuario del sistema y, y los archivos marcados para su eliminación, pero no sobrescribe. Del mismo modo, muchas herramientas incluyen la capacidad de capturar los datos dentro de la memoria volátil y guardarlo como una imagen.
Después de capturar una imagen, los expertos crean una copia y analizan la copia. Ellos no analizan el disco original y muchas veces ni siquiera se analizan la imagen original. Ellos entienden que mediante el análisis de los contenidos de un disco directamente, pueden modificar el contenido. Mediante la creación y el análisis de las copias forenses, nunca modifican el original pruebas.
Tome hashes
Hashes proporcionan integridad y demuestran que los datos no han sido modificados. Hashing es un elemento importante del análisis forense para proporcionar la prueba de que los datos recogidos se han conservado la integridad.
Capítulo 10 hashes y hash cubiertos. Como recordatorio, un hash es simplemente un número. Puede ejecutar un algoritmo de hash con los datos tantas veces como desee, y siempre y cuando los datos es la misma, el hash será el mismo.
El foco en el capítulo 10 fue sobre el uso de hashes con archivos y mensajes. Una imagen (de RAM o un disco) es sólo un archivo, y se puede utilizar hash con imágenes forenses para asegurar la integridad de la imagen. Por ejemplo, después de capturar una imagen de RAM volátil, un experto puede crear un hash de la imagen. Algoritmos hash incluyen variaciones MD5 y SHA como SHA-1 o SHA-256.
Algunas herramientas le permiten crear un hash de todo el disco. Estos verificar que el proceso de formación de imágenes no tiene datos modificados. Por ejemplo, puede crear un hash de una unidad antes de capturar la imagen y después de la captura de la imagen. Si los hashes son iguales, se verifica que el proceso de formación de imágenes no modificó la unidad.
Además, puede ejecutar el mismo algoritmo hash en contra de la unidad después de probar la unidad original no lo hizo perder integridad. Mientras los hashes son los mismos, se demuestra la evidencia no ha sido modificado. En el otro lado, si los hashes son diferentes, indica la unidad original se ha perdido la integridad. Esto puede haber ocurrido accidentalmente o por medio de pruebas deliberada manipulación.
Recuerda esto
Analistas forenses a veces hacen una copia de la imagen a analizar, en lugar de analizar la primera imagen que capturar. Si alguna vez tienen que verificar la integridad de la copia, corren el mismo algoritmo hash en contra de ella.
Una vez más, siempre y cuando el hash es el mismo, se conocen los datos analizados es el mismo que los datos capturados.
El tráfico de red y Logs
Una investigación forense a menudo incluye un análisis de tráfico de red y los registros disponibles. Esta información ayuda a los investigadores recrean acontecimientos que condujeron a, y durante un incidente.
A modo de ejemplo, una organización puede querer probar que un equipo específico estuvo involucrado en un ataque. Una forma es para que coincida con la dirección de control de acceso al medio (MAC) utilizado por el equipo atacante con un equipo existente. La dirección MAC se asigna de forma permanente a una tarjeta de interfaz de red, y a pesar de que el sistema operativo puede ser manipulado para utilizar un MAC diferente, el MAC actual no se cambia. Por el contrario, la dirección IP y el nombre de la computadora no se asignan de forma permanente, y es relativamente fácil de cambiar.
Capítulo 8 cubierto analizadores de protocolo, y la Figura 8.1 muestra una captura con un paquete ampliado. Los datos dentro de los paquetes de identificar equipos implicados en una conversación en función de su dirección IP y su dirección MAC. Si una captura de datos muestra una dirección MAC coincide con la dirección MAC real de un equipo sospechoso, proporciona una fuerte indicación de la computadora estuvo involucrado en el ataque.
Recuerda esto
El tráfico de red y los registros se pueden identificar los equipos y parte de su actividad. Una forma de identificar los equipos que participan en los ataques es con una dirección MAC. La dirección MAC es más definitivo que una dirección IP o un nombre de equipo.
Del mismo modo, si el ataque se produjo a través de Internet, la dirección IP se puede remontar de nuevo al Proveedor de servicios de Internet (ISP). Tema ISP direcciones IP para los usuarios y los registros ISP identificar exactamente quién fue emitida una dirección IP en un momento dado. Por ejemplo, cuando David Kernell hackeó la cuenta de correo electrónico de Yahoo de Sarah Palin en 2008, el ataque fue rastreada rápidamente de nuevo a él sobre la base de su dirección IP.
Capítulo 8 presenta información sobre los registros. Registros de registro lo que ocurrió durante un evento, cuando sucedió, y lo que cuenta se utilizó durante el evento. Usted puede recordar que un registros de seguridad de inicio de sesión y cierre de sesión eventos. Del mismo modo, muchas aplicaciones requieren que los usuarios autenticarse y aplicaciones también registran sucesos de autenticación.
Todos estos registros pueden ser muy valiosa en la recreación de los detalles de un evento después de un incidente de seguridad, incluyendo la identidad de la cuenta utilizada en el ataque.
Cadena de custodia
Una parte clave de la respuesta a incidentes está recogiendo y protección de pruebas. Una cadena de custodia es un proceso que ofrece garantías de que la evidencia ha sido controlada y manejadas adecuadamente después de la recolección. Los expertos forenses establecen una cadena de custodia cuando por primera vez reunir pruebas.
Los profesionales de seguridad utilizan una forma de cadena de custodia para documentar este control. La forma de cadena de custodia identifica que tenía la custodia de las pruebas y en la que se almacena todo el tiempo desde la colección. Una cadena de custodia garantiza que la evidencia presentada en un tribunal de justicia es la misma evidencia que las seguridades profesionales recogieron.
Como ejemplo, imagine que Bob recogió una unidad flash USB como parte de una investigación. Sin embargo, en lugar de establecer una cadena de custodia, que simplemente almacena la unidad en su escritorio con la intención de analizar al día siguiente. ¿Es posible que alguien podría modificar el contenido de la noche a la mañana unidad de disco USB? Absolutamente. En cambio, se debe establecer de inmediato una cadena de custodia y bloquear la unidad en un lugar de almacenamiento seguro.
Recuerda esto
Una cadena de custodia ofrece garantías de que la evidencia ha sido controlada y manejadas adecuadamente después de la recolección. Documenta que manejó la evidencia y cuándo.
Si las pruebas no se controlan, puede ser modificado, alterado, o dañado de otra manera. Los tribunales descartan la evidencia inadmisible si hay una falta de control adecuado, o incluso la falta de documentación que demuestre que se mantuvo un control adecuado. Sin embargo, la cadena de custodia demuestra que la evidencia se ha manejado correctamente.
Captura de vídeo
Capítulo 2 introducido métodos de vigilancia de vídeo, tales como sistemas de circuito cerrado de televisión (CCTV). Estos pueden ser usados como un control detective durante una investigación. Ellos proporcionan pruebas fiables de su ubicación y la actividad de una persona. Por ejemplo, si una persona está robando equipo o datos, vídeo puede proporcionar la prueba.
Recuerdo a un estudiante de secundaria fue noches trabajando en una tienda de comestibles. La tienda tenía un suministro de cerveza en un tractor-remolque no habían descargado aún, pero mantienen una copia de seguridad de la plataforma de carga tienda durante la noche. El estudiante robó varias cajas de cerveza pensando que el crimen era indetectable. Sin embargo, toda la escena era grabado en vídeo, y cuando él se presentó a trabajar a la noche siguiente, la tienda llamó de inmediato a la policía y proporcionó una copia del video. El vídeo proporcionado pruebas fiables de que simplemente no podía ser discutida.
Record Time Offset
En algunos casos, los tiempos se expresan con claridad, por lo que es fácil de identificar el momento de un evento. Sin embargo, en otros casos el tiempo visualizado se basa en un desplazamiento. Considere la figura 11.1.
En la figura, se puede identificar fácilmente las horas exactas en que se creó el archivo, último acceso, y se guarda. En este caso, la fecha es fácil de identificar como 22 de julio de 2011. Sin embargo, en otros casos, el archivo está codificado.
Por ejemplo, Greenwich Mean Time (GMT) identifica el tiempo basado en la ubicación. Yo vivo en la zona de hora estándar del este (EST), para que pueda expresar la última vez que se accede como 9:02 am EST. Sin embargo, GMT utiliza un desplazamiento, por lo que al mismo tiempo es también 13:02 GMT.
Del mismo modo, muchos registradores utilizan desplazamientos de tiempo para identificar veces en grabaciones en cinta en lugar de la hora real. Por ejemplo, una grabación puede utilizar un contador que se muestra para identificar el tiempo que ha pasado desde que se inició la grabación. Imagine que el contador avanza 1000 garrapatas o cuentas por hora. Si el contador indica un evento ocurrió en un tiempo de desplazamiento de 1500 y la grabación comenzó a la medianoche, entonces el tiempo del evento fue la 1:30 am
Al analizar las marcas de tiempo de cualquier prueba, es importante entender que estos tiempos se basan a menudo en un desplazamiento. Si no puede identificar el desplazamiento, no puede ser capaz de identificar el tiempo real.
Imágenes / Screenshots
Imágenes son simplemente imágenes de lo que se muestra en la pantalla de un ordenador. Si desea capturar exactamente lo que un usuario estaba haciendo, o pantallas específicas, una captura de pantalla es la solución perfecta.
Por ejemplo, la Figura 11.1, mostrado anteriormente, es una captura de pantalla de Windows Explorer. Puede guardar imágenes como archivos gráficos e incrustar estos gráficos en documentos. Muchos sistemas operativos incluyen la capacidad de capturar la pantalla y guardarlo en el portapapeles. Por ejemplo, puede capturar la pantalla de casi cualquier sistema pulsando la tecla Impr Pant encontrado en la mayoría de los teclados. Muchas aplicaciones como Snagit le permiten capturar capturas de pantalla de las ventanas específicas o aplicaciones, cualquier región de la pantalla, e incluso ventanas de desplazamiento, como una página web de largo.
Testigos / Witnesses
Otro elemento de una investigación está entrevistando a testigos. Los testigos de primera mano proporcionan informes de lo que pasó y cuando pasó. Sin embargo, los testigos no serán necesariamente presentar información relevante a menos que se les pide. A menudo, los testigos no reconocen lo que la información es valiosa.
Por ejemplo, imagine que un atacante que tailgatedbehind un empleado sin mostrar credenciales. El empleado puede notar, pero no le dan mucha importancia, sobre todo si chupar rueda es común en la organización. Si el ataque resultó en la pérdida de equipo o datos, un investigador puede obtener una buena descripción del atacante simplemente entrevistando a testigos.
Track Man Horas y Gastos / Track Man Hours and Expense
Las investigaciones pueden tomar una cantidad extraordinaria de tiempo y para cualquier negocio, el tiempo es dinero. Cuando el tiempo de presupuesto alrededor de los rollos, los departamentos que se pueden identificar con precisión la cantidad de tiempo y dinero que gastaron tienen más probabilidades de obtener su presupuesto solicitado aprobado.
Además, las evaluaciones de riesgo cuantitativas decisiones de base que utilizan los importes monetarios específicos, como los valores de costo y de activos. Si un incidente requiere la participación de profesionales de la seguridad en un equipo de respuesta a incidentes, las horas hombre y gastos incurridos por el equipo de respuesta a incidentes debe ser incluido en la evaluación. Incluyendo estos datos mejora la precisión de los valores de costo utilizados en la evaluación cuantitativa de los riesgos.
