Upload
buingoc
View
221
Download
0
Embed Size (px)
Citation preview
Proyecto AMPAROPresentaciones
Manual de Gestión de IncidentesTutorial LACNIC XVII
Quito-Ecuador
Proyecto AMPAROCapítulo I:
“Lineamientos y Acciones recomendadas para la formación
de un CSIRT”Autor:
José Luis Chávez Cortez
Información Básica Inicial
¿Qué se protege con un CSIRT? Alcance.
Publicación de Políticas y Procedimientos. Relaciones entre diferentes CSIRT. Establecimiento de medios de comunicación.
Manejo de información, procedimientos y políticas. Descripción del CSIRT. Políticas. Servicios. Formas de notificación de Incidentes.
Personal que integra un CSIRT.
Información Básica Inicial
¿Qué se protege con un CSIRT?
Infraestructuras Críticas: Agricultura, Energía, Transporte, Industrias, Servicios Postales, Suministros de Agua, Salud Pública, Telecomunicaciones, Banca / Finanzas, Gobierno.
Infraestructuras de Información: Internet, Hardware, Software y Sistemas de Control.
Información Básica Inicial
Manejo de información, Procedimientos y Políticas. Descripción del CSIRT. Políticas. Servicios. Formas de Notificación de Incidentes.
Información Básica Inicial
Personal que integra un CSIRT. Diversidad de conocimientos tecnológicos. Personalidad: habilidad de comunicación y relación
personal. Personas dedicadas, innovadoras, detallistas, flexibles y
metódicas. Experiencia en el área de seguridad de la información. Puedan asumir funciones de: gerente, líder de equipo y/o
supervisores. Otras Funciones: personal de apoyo, redactores técnicos,
administración de redes y/o sistemas, desarrolladores, asesores, etc.
Políticas de Seguridad Informática
Definición. Elementos: alcance, objetivo, identificación de roles,
responsabilidad, interacción, procedimientos, relaciones, mantenimiento, sanciones.
Parámetros para su establecimiento Razones que impidan su aplicación. Implementación, mantenimiento y ejecución. Políticas Recomendadas.
Políticas de Seguridad Informática
POLÍTICAS RECOMENDADASPolítica de seguridad. Política de tratamiento de grandes
actividades.Política de clasificación de información. Política de error humano.Política de comunicación externa. Política de selección de personal.Política para la clasificación de los datos. Política de despido.Política de aislamiento de la información. Política de uso de dispositivos móviles.Política de seguridad del Internet. Política de uso del correo electrónico.Política de notificación de Incidentes. Política de entrenamiento y capacitación.Política de tratamiento de incidentes. Política de tele conmutación de la
información.Política externa para el acceso de la información.
Política de la seguridad de la computadora personal.
Política de la seguridad de la red de computadoras.
Política de la seguridad de los equipos de telecomunicaciones (Internos y Externos)
Nivel de Prioridad. Escalonamiento. Proceso. Registro. Clasificación. Análisis, Resolución y Cierre. Control de Proceso. Soporte de Incidentes.
Gestión de Incidentes
Nivel de Prioridad Impacto: determina la
importancia del incidente dependiendo de cómo éste afecta a los procesos de negocio y/o del número de usuarios afectados.
Urgencia: depende del tiempo máximo de demora que acepte el cliente para la resolución del incidente y/o el nivel de servicio.
Gestión de Incidentes
Escalado Funcional: se requiere el
apoyo de un especialista de más alto nivel para resolver el problema.
Jerárquico: debemos acudir a un responsable de mayor autoridad para tomar decisiones que se escapen de las atribuciones asignadas a ese nivel, como, por ejemplo, asignar más recursos para la resolución de un incidente especifico.
Gestión de Incidentes
CERRAR INCIDENTE
Gestión de Incidentes
Proceso
Monitorización y Seguimiento
Cierre delIncidente
Registro La admisión a trámite del incidente: el Centro de Servicios debe de ser capaz de evaluar en
primera instancia si el servicio requerido se incluye en el nivel de servicio contratado del cliente y en caso contrario reenviarlo a una autoridad competente.
Comprobación de que ese incidente aún no ha sido registrado: es común que más de un usuario notifique la misma incidencia y por lo tanto han de evitarse duplicaciones innecesarias.
Asignación de referencia: al incidente se le asignará una referencia que le identificará unívocamente tanto en los procesos internos como en las comunicaciones con el cliente.
Registro inicial: se han de introducir en la base de datos asociada la información básica necesaria para el procesamiento del incidente (hora, descripción del incidente, sistemas afectados...).
Información de apoyo: se incluirá cualquier información relevante para la resolución del incidente que puede ser solicitada al cliente a través de un formulario específico, o que pueda ser obtenida de la propia base de datos de la gestión de la configuración (hardware interrelacionado), etc.
Notificación del incidente: en los casos en que el incidente pueda afectar a otros usuarios estos deben ser notificados para que conozcan como esta incidencia puede afectar su flujo habitual de trabajo.
Gestión de Incidentes
Clasificación Establecimiento del nivel de prioridad: dependiendo del impacto y la
urgencia se determina, según criterios preestablecidos, un nivel de prioridad.
Asignación de recursos: si el Centro de Servicios no puede resolver el incidente en primera instancia designará al personal de soporte técnico responsable de su resolución (segundo nivel).
Monitorización del estado y tiempo de respuesta esperado: se asocia un estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y se estima el tiempo de resolución del incidente en base al nivel de servicio correspondiente y la prioridad.
Gestión de Incidentes
Análisis, resolución y cierre Análisis: se examina el incidente con ayuda de la base de datos de conocimiento
para determinar si se puede identificar con alguna incidencia ya resuelta y aplicar el procedimiento asignado.
Resolución: Si la resolución del incidente se escapa de las posibilidades del Centro de Servicios éste redirecciona el mismo a un nivel superior para su investigación por los expertos asignados. Si estos expertos no son capaces de resolver el incidente se seguirán los protocolos de escalado predeterminados. Durante todo el ciclo de vida del incidente se debe actualizar la información almacenada en las correspondientes bases de datos para que los agentes implicados dispongan de cumplida información sobre el estado del mismo.
Cierre: cuando se haya solucionado el incidente se: Confirma con los usuarios la solución satisfactoria del mismo. Incorpora el proceso de resolución a la base de datos de conocimiento. Reclasifica el incidente si fuera necesario. Actualiza la información en la base de datos de gestión de configuraciones
sobre los elementos de configuración implicados en el incidente. Cierra el incidente.
Gestión de Incidentes
Gestión de Incidentes CSIRT
MODELOS ORGANIZACIONALES CSIRT Modelo Equipo de Seguridad. Modelo Distribuido. Modelo Centralizado. Modelo Combinado. Modelo Coordinador.
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
TIPOS DE ESTRUCTURAS ORGANIZACIONALES Modelo Funcional. Modelo basado en el Producto. Modelo basado en los Clientes. Modelo Híbrido. Modelo Matricial.
MODELO FUNCIONAL
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO FUNCIONAL
FORTALEZASDEBILIDADES
•Permite economías de escala en los departamentos funcionales.
•Permite el desarrollo de habilidades en profundidad.
•Permite que la organización alcance sus objetivos funcionales.
•Es mejor con uno o unos cuantos productos.
•Repuesta lenta a los cambios del entorno.
•Puede hacer que las decisiones se acumulen en la parte superior, con sobrecarga de la jerarquía.
•Conduce a una mala coordinación horizontal entre departamentos.
•Da lugar a una menor innovación.
•Implica un punto de vista limitado de las metas organizacionales.
MODELO BASADO EN EL PRODUCTO
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO BASADO EN EL PRODUCTO
FORTALEZAS DEBILIDADES
•Descentraliza la toma de decisiones.•Se utiliza en organizaciones grandes.•Rápida adaptación de unidades de trabajo.•Permite que los problemas de coordinación e integración sean detectados lo más pronto posible y se les de una solución rápida.•Altamente recomendada para la implementación de cambios rápidos. •Se logra aislar los problemas concernientes a un producto respecto a los demás y evita que interfieran los problemas de una función con todos los productos.•Permite el empleo de equipo especializado para el manejo de materiales, así como de sistemas especializados de comunicaciones.•Satisfacción del Cliente.
•Reduce la oportunidad de utilizar equipo o personal especializado.•Entorpece la estandarización.•Coordinación deficiente entre líneas del producto.•Se entorpece la comunicación entre especialistas, ya que ahora presentan sus servicios en diferentes unidades.•Los empleados de la organización se dividen en grupos y se encarga de la producción de un producto especifico, además cada grupo tiene un especialista para cada función y un gerente que es el responsable de supervisar el proceso que se lleva a cabo para la obtención del producto o servicio y además envía un reporte al director general de la organización acerca de la evolución de este proceso, este director general es el responsable de supervisar que cada gerente realice de forma adecuada su trabajo y fija las metas de la organización.
MODELO BASADO EN LOS CLIENTES
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO BASADO EN EL CLIENTE
FORTALEZASDEBILIDADES
•Mejora la adaptación a las necesidades del cliente.•Descentralización del proceso de decisión.•Mejor estandarización de productos.•Satisfacción del Cliente.•Gestión de nichos de negocio de la organización.
•Dificultad de coordinación con los departamentos organizados sobre otras bases, con una constante presión de los gerentes solicitando excepciones y tratamiento especial.•En ciertas ocasiones pueden reducirse o incrementarse ciertos tipos de clientes, ya sea por recesiones económicas donde los comercios minoristas tienden a disminuir y por el contrario se incrementan los muy pequeños negocios, esto requiere más vendedores pero disminuye el grado de eficiencia de los mismos.
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO HÍBRIDO
MODELO HÍBRIDO
FORTALEZAS DEBILIDADES
•Coordinación entre y dentro de las líneas del producto.•Coincidencia de objetivos entre las divisiones y la central.•Eficiencia en los departamentos centralizados.•Adaptabilidad, coordinación en las divisiones.
•Se crean conflictos entre el personal corporativo y el divisional.•Altos costos administrativos.
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO MATRICIALMODELO MATRICIAL
FORTALEZAS DEBILIDADES
•Logra la coordinación necesaria para satisfacer las demandas duales de los clientes.•Comparte flexiblemente los recursos humanos entre productos.•Adaptada para decisiones complejas y cambios frecuentes en un entorno inestable.•Proporciona oportunidades para el desarrollo de habilidades tanto funcionales como en productos.•Es más adecuada en organizaciones de tamaño mediano con productos múltiples.•Recursos Humanos compartidos.
•Somete a los participantes a la experiencia de una autoridad dual; esto puede ser frustrante y ocasionar confusión.•Implica que los participantes necesitan buenas habilidades interpersonales y mucha capacitación.•Consume tiempo; implica frecuentes reuniones y sesiones para la solución de conflictos.•No funcionará a menos que los participantes entiendan y adopten relaciones colegiadas en lugar de tipo vertical.•Requiere grandes esfuerzos para mantener el equilibrio de poder.
RECOMENDACIONES DE SEGURIDAD FISICA Y AMBIENTAL
Local Físico. Espacio y Movilidad. Tratamiento Acústico. Ambiente Climático. Instalación Eléctrica. Picos y Ruidos Electromagnéticos. Cableado. Iluminación. Seguridad Física del Local. Próximos Pasos:
Aseguramiento contra situaciones Hostiles. Control de Accesos
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
CONCLUSIÓN Evaluar y controlar permanentemente la seguridad física del local es la base para
comenzar a integrar la seguridad como una función primordial dentro de cualquier organización.
Tener controlado el ambiente y acceso físico permite: Disminuir siniestros. Trabajar mejor manteniendo la sensación de seguridad. Descartar falsas hipótesis si se produjeran incidentes. Tener los medios para luchar contra accidentes.
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el local en caso de accidentes.
RECOMENDACIONES SOBRE ARQUITECTURA DE REDES DE UN CSIRT
Ambiente Físico. Infraestructura de Red. Hardware. Software. Infraestructura de Telecomunicaciones. Diagramas Sugeridos.
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
Ambiente Físico Áreas Administrativas: las áreas administrativas así como las salas de reuniones o
apoyo podrán ser compartidas con el resto de la organización. Áreas Operativas: tales como salas de trabajo de los equipos técnicos, sala de
servidores y sala de laboratorios son considerados ambientes críticos y deberán tener implementaciones de aspectos de seguridad física específica.
Ambientes Críticos: ambiente asilado de otros departamentos, segmentación del circuito de servicios, acceso restringido al ambiente de trabajo, obedecer la política de información del CSIRT y/u organización.
Recomendaciones: el acceso y permanencia en el local de terceras personas sea acompañado por integrantes del CSIRT y tener siempre a disposición medios de protección y prevención: extintores, sensores de humo, rociadores, circuito interno de televisión, piso falso, paredes refractarias, caja fuerte para el almacenamiento de documentos secretos, sistema empresarial de almacenaje de copias de seguridad.
Áreas Físicas Mínimas: recepción, oficina del director, cuarto de seguridad (Caja Fuerte), sala de reuniones, sala de archivos y almacenamiento de medios, salda de capacitación/entrenamiento, sala de operaciones, laboratorio, sala de servidores.
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
Infraestructura de Red La infraestructura de la red de computadores del CSIRT debe estar separada de
la infraestructura de la organización en que esté hospedada. El CSIRT debe tener una estructura propia de subredes y dominios. Red de la organización y red del CSIRT.
Se recomienda que el CSIRT tenga una estructura de red de computadores aislada, permitiendo implementar segmentos de redes con funciones específicas. Al menos deben de existir dos segmentos dentro de la red CSIRT:
Red para la operación en ambiente de producción: para el almacenaje de los datos y ejecución de las tareas relativas a los servicios.
Red para tareas de laboratorio: para la aplicación de pruebas y estudios. Las redes que se conectan con el ambiente externo (Internet) deben de ser
protegidas por medio de dispositivos de seguridad según su necesidad. (Firewall, Proxy, IDS, IPS, etc.)
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
RED SEGURA SEGMENTADASEPARADA DE LA ORGANIZACIÓN
Detalles Descripción
Características• Esquema para brindar servicios reactivos y
proactivos.• Separación física de la red CSIRT y de la
organización.• Enlaces para el acceso al Internet redundantes
para la red CSIRT.• Sensores y Servidor con Sistema de Detección de
Intrusos (IDS).• Red aislada para Pruebas de laboratorio.• Tres redes diferentes.• Niveles de acceso internos regulado por los
Firewalls entre la Organización y el CSIRT.• Acceso a Internet
o Enlace de la Organización: 2 Mbps.o Enlaces redundantes CSIRT: 4 Mbps.o Enlace para red de Laboratorio: 2 Mbps.
Software• Se puede utilizar software libre.
Beneficios en la implementación de un CSIRT así como su Análisis Situacional e Implementación de su Presupuesto de Inversión y Funcionamiento.
BENEFICIOS EN LA IMPLEMENTACIÓN DE UN CSIRT
• Un punto de contacto focal y confiable dentro de la comunidad para el manejo de incidentes de seguridad informática.
• Promueve un desarrollo en la utilización de infraestructura tecnológica basado en las buenas y mejores prácticas para la adecuada coordinación de la respuesta a incidentes de seguridad informática.
• Un punto especializado y asesor para la protección de las distintas actividades informáticas de los sectores que conforman su comunidad objetivo.
• Brinda información sobre vulnerabilidades y las asocia con sus respectivas recomendaciones para la su mitigación y/o control.
• Provee servicios de publicación de información eficaces con la finalidad de socializar la cultura de seguridad informática.
• Promueve y desarrolla materiales de concientización, educación y entrenamiento en variedad de temas de seguridad informática.
• Participa y comparte experiencias con equipos similares y proveedores de servicios de seguridad informática para su promoción y actualización, así como para el establecimiento de mejores estrategias para el manejo de incidentes de seguridad informática.
• Administra puntos de contacto con otros CSIRTs para respaldar las distintas estrategias de seguridad informática en un sentido más global.
• Apoya a otras instituciones que lo requieran a desarrollar capacidades propias para el manejo de incidentes así como la implantación de buenas y mejores prácticas de seguridad informática.
• Posee un equipo personal especializado en constante proceso de actualización con la intención de brindar servicios de soporte informáticos con un alto nivel de eficacia y eficiencia a los distintos requerimientos que la comunidad demande de su respectivo CSIRT.
Beneficios en la implementación de un CSIRT así como su Análisis Situacional e Implementación de su Presupuesto de Inversión y Funcionamiento.
ANÁLISIS FODA GENERAL PARA UN CSIRT
ELEMENTO DESCRIPCIÓN
FORTALEZAS •Posee el respaldo de la organización que lo hospeda así como el recorrido que la misma tenga en la comunidad a la que pertenece.•Un punto focal para la notificación y tratamiento de incidentes de seguridad.•Disponibilidad de personal técnico calificado y actualizado.•Dado el conocimiento que posee su personal, el CSIRT es relevante para el proceso de educación para la seguridad y prevención de incidentes.
OPORTUNIDADES •Desarrollo de relaciones comerciales de largo plazo con los clientes.•Búsquedas de alianzas con terceros que complementen los servicios en el mercado objetivo.•Gran necesidad de coordinación de incidentes de seguridad informática.•Proyecto de interés general para todos los sectores de la sociedad.•No existe centralización en la medición de seguridad informática en el segmento de servicio.
DEBILIDADES •Experiencia.•Reconocimiento del trabajo del nuevo CSIRT.•Los sectores público y privado no tienen la prioridad ni la costumbre de asesorarse por un ente especializado en temas de seguridad informática.•Infraestructura TIC débil. Incipiente regulación de servicios informáticos.
AMENAZAS •Desaceleración de la economía mundial y local.•Rápida obsolescencia de los equipos informáticos.•Competidores ya establecidos en el mercado de la seguridad informática.•Respaldo financiero limitado.•Bajos incidentes de seguridad informática pueden desembocar en dificultar el auto sostenimiento del CSIRT.
La convergencia de los sistemas multiplica exponencialmente los problemas de seguridad planteados. El equilibro es difícil, el espectro a cubrir es amplio y, como dificultad extra, el campo de trabajo es intangible. Esto hace necesario desarrollar técnicas y/o adaptar las existentes de forma tal de circunscribir nuestro trabajo de conseguir información dentro de un marco de seguridad.
Cuando se diseña un sistema se lo hace en base a su operatividad y/o funcionalidad dejando de lado la Seguridad. Será necesario establecer una pertenencia y correspondencia entre las técnicas adoptadas conformando un sistema de seguridad; y no procedimientos aislados que contribuyan al caos general existente. Esto sólo puede lograrse al integrar la seguridad desde el comienzo, desde el diseño, desde el desarrollo.
Las tecnologías involucradas en estos procesos condicionan las técnicas empleadas, los tiempos condicionan esas tecnologías y, paradójicamente, las legislaciones deben adaptarse a los rápidos cambios producidos. Esto hace obligatorio no legislar sobre tecnologías actuales, sino sobre conceptos y abstracciones que podrán ser implementados con distintas tecnologías en el presente y el futuro. Es urgente legislar un marco legal adecuado, no solo que castigue a los culpables sino que desaliente acciones hostiles futuras.
CONCLUSIONES
Algunos pocos métodos realmente novedosos de infiltración ponen en jaque los sistemas de seguridad. Aquí, se prueba la incapacidad de lograr 100% de seguridad, pero también es hora de probar que los riesgos, la amenaza, y por ende los daños pueden ser llevados a su mínima expresión. Muchas veces basta con restringir accesos a información no utilizada o que no corresponde a los fines planteados. Otras veces la capacitación será la mejor herramienta para disminuir drásticamente los daños.
La seguridad es un estado mental, la seguridad perfecta requiere un nivel de perfección que realmente no existe, y de hecho dudo que algún día exista, pero los riesgos deben y pueden ser manejables.
El costo en el que se incurre suele ser bajo comparado con aquellos luego de producido un daño. El desconocimiento y la falta de información son el principal inconveniente cuando se evalúa la inclusión de seguridad como parte de un sistema.
El desarrollo de software es una “ciencia” imperfecta; y como tal es vulnerable. Es una realidad, la seguridad involucra manipulación de naturaleza humana. Hay que comprender que la seguridad consiste en tecnología y política, es decir que su combinación y su forma de utilización determina cuan seguros son los sistemas. El problema de la seguridad no puede ser resuelto por única vez, es decir que constituye un viaje permanente y no un destino.
CONCLUSIONESContinuación…
Proyecto AMPAROCapítulo II:
“Tipologías de centros de respuesta”
Rubén Aquino LunaUNAM-CERT
Modelos organizacionales
Decisión fundamental para un centro de respuesta a incidentes
Definición de la estructura del centro de respuesta de acuerdo aObjetivosVisiónMisión
Modelos organizacionales
Factores para definir el modelo adecuadoCircunscripciónMisiónServicios que se van a proporcionarPosición en la organizaciónObligaciones y autoridadInfraestructuraFinanciamiento de la operaciónEstructura
Modelos organizacionales
Modelos de referenciaEquipo de seguridadCentro de respuesta centralizadoCentro de respuesta distribuidoCentro coordinador
Modelos organizacionales
Nombre del centro de respuestaNo hay ningún requisitoNombres actuales basados en la reputación
construidaAlgunos nombres frecuentes
IRTCSIRTCIRTSIRTCERT*
Modelos organizacionales
CircunscipciónÁmbito de acciónDepende de los objetivosNo necesariamente es el sector al que pertenece la
organizaciónCobertura geográfica
CentralizadoDistribuido
Modelos organizacionales
Misión
Definición breve, clara y precisa del propósito y función
Delinea servicios y alcance de los mismos
Modelos organizacionales
ServiciosAl iniciar operaciones: respuesta a incidentes y los
necesariosAtención en sitio, coordinación de equipos, cómputo
forense, análisis de software malicioso, etc.Los servicios pueden ampliarse durante la
operaciónCasi nunca se hace sólo respuesta a incidentes
PrevenciónDetección
Modelos organizacionales
Servicios
Emisión de boletines y alertas de seguridadAnálisis de vulnerabilidadesDetección de incidentesDifusión y capacitaciónImplementación de estándares y mejores prácticas
Modelos organizacionales
Reportar, clasificar, asignar
Cómo se reportan los incidentes al centro de respuesta
El manejo de un incidente requiere recursos humanos y materiales
Eficacia y eficiencia dependen de estas acciones iniciales
Modelos organizacionales
Reportar
Teléfono (definición de horarios, costos)Correo electrónicoFormularios webPersonalmente
Modelos organizacionales
Clasificar, asignarSistema para el seguimiento de reportes de
incidentesMesa de ayuda
PropiaTerceros (buscar adecuado entrenamiento y
conocimiento del servicio)Capacitación del personal sobre la recepción,
clasificación, asignación
Modelos organizacionales
AutoridadAutoridad totalAutoridad compartidaNo autoridad
DiferenciaToma de decisiones en el manejo de incidentes
Decisión de la gerencia/dirección
Modelos organizacionales
Personal
Una sola persona es responsableIndependientemente de la forma del servicio: interno,
externo.Jefe o administrador y un sustituto por ausencia
Modelos organizacionales
Personal (responsable)Enlace entre en centro de respuesta y la dirección
y otras unidades de la organizaciónPunto de contacto con entidades externasComunicación al interior y exterior. Evitar
situaciones de crisis por la interacción cotidianaResponsable de gestionar los recursos para el
centro de respuesta
Modelos organizacionales
Personal
Características del responsable
Dominio de aspectos técnicosHabilidades de comunicación hacia el interior y el
exteriorentre otras.
Modelos organizacionales
PersonalResponsable técnico
Coordinar las actividades técnicas para la respuesta a incidentes
Responsable de la calidad técnica
La imprecisión en el dominio técnico puede minar credibilidad de todo el centro de respuesta
Un incidente puede empeorar sin la capacidad técnica adecuada
Modelos organizacionales
PersonalAdministración de sistemasRedes de datosProgramaciónSoporte técnicoDetección de intrusosAnálisis de vulnerabilidadesAnálisis de software maliciosoOtros particulares a la organización
Modelos organizacionales
Personal (staff)Resolución de problemasExperienciaUna persona especialista en cada áreaColaboración necesaria en incidentes críticosAyuda
Programas de transferencia de conocimientoReferencias técnicas (libros, manuales, etc.)Promover su participación en otras tareas: elaboración
de contenidos, instrucción en talleres, evaluación de herramientas, etc.
Modelos organizacionales
Personal (staff)Debe fomentarse
Interacción y retroalimentación sobre actividades de la organización
Conocimiento de los objetivos y misión del centro de respuesta
Intercambio con expertos de otras entidadesIntercambio de conocimiento
Modelos organizacionales
Personal (staff)Habilidades
Habilidades técnicasTrabajo en equipoComunicaciónFacilidad de expresiónEscribir informes técnicos
Modelos organizacionales
Personal (contratación)
EmpleadosParcialmente empleadosOutsourcing
Modelos organizacionales
Selección del modelo
Disponibilidad del servicioCriticidad de la infraestructuraQué tipo de atención se requiere: 24x7, en sitio
(básica o especializada)Habilidades del personal
Modelos organizacionales
Selección del modeloCostosExperiencia del personalEstructura organizacionalDivisión de responsabilidadesProtección de la información confidencialConocimiento específico sobre la organizaciónCorrelación de informaciónDiversas ubicaciones geográficas
Modelos organizacionales
Dependencias dentro de la organizaciónAdministración
Establece política de respuesta a incidentesPresupuestoPersonal
Seguridad de la informaciónMonitoreo de operaciónControl sobre dispositivosNotifican sobre muchos de los incidentes
Modelos organizacionales
Dependencias dentro de la organizaciónTelecomunicaciones
Incidentes con tráfico de red en el perímetroContacto con ISPsContener incidentes en el perímetro
Soporte técnicoOperación de infraestructuraAdministración de sistemas, red, desarrollo de software
Modelos organizacionales
Dependencias dentro de la organizaciónDepartamento jurídico
Seguimiento a incidentesProcesos administrativosSeguimiento legalRevisión de políticas y procedimientos para ajustarse al
marco regulatorioRelaciones públicas
Proporcionar información a los mediosComunicados de acuerdo a políticas de la organizaciónComunicación inadecuada puede confundir al público y
afectar a la organización
Modelos organizacionales
Dependencias dentro de la organizaciónRecursos humanos
Incidentes relacionados con abusos o faltas a normas de la organización
Planeación de la continuidad del negocioIncidentes que afectan significativamente la operación
normalIdentificación de riesgos asociados a cada activoMinimización de impacto de incidente y el manejo de
incidentes en las operaciones
Modelos organizacionales
Dependencias dentro de la organizaciónSeguridad física y administración de instalaciones
Acceso a equipos en instalaciones cerradasBuscar evidenciaRealizar monitoreo de áreas específicas
Equipo de respuesta
No hay centro de respuestaRespuesta a incidentes con recursos humanos y
materiales existentesQuien es responsable o administra el activo
proporciona la respuestaDifícil establecer niveles de servicioRespuesta exitosa depende de cada individuoDifícil implementar mejores prácticas y mejora
continuaNo hay independencia en el manejo de incidentes
Equipo de respuesta
Características particularesNo hay estructura definidaEquipo de respuesta ad hoc a las circunstanciasNo hay centralización de reportes de incidentesResponsable del activo decide sus mecanismos
para reportar y clasificar incidentesDifícil realizar seguimiento de incidentesRetroalimentación limitadaPoca o complicada coordinación en el manejo de
incidentes
Equipo de respuesta
ServiciosPrácticamente sólo respuesta a incidentesInvestigación superficial por personal con otras
obligaciones. Posibles conclusiones equivocadasNo hay servicios adicionales necesarios
Alertas de seguridadBoletines de seguridad
Equipo de respuesta
RecursosNo se requieren recursos humanos adicionalesNo se requiere infraestructura adicionalProbablemente se requiera equipo para atención de
incidentes. Generalmente se identifica la necesidad luego de ocurrido un incidente.
Equipo de respuesta
VentajasNo se requiere infraestructura adicional
DesventajasNo hay un único punto de contactoNo hay elementos para verificar la calidad del
servicio de respuesta a incidentesNo hay mayor beneficio de la respuesta a
incidentes para la organización
Centro de respuesta a incidentes centralizado
Centro de respuesta para todos los incidentesPersonal administrativo y operativo dedicadoRespuesta a incidentes y servicios adicionalesDefinición de impulso de estrategias de seguridadModelo adecuado para organizaciones pequeñas
o con infraestructura centralizada
Centro de respuesta a incidentes centralizado
Características particularesDebe estar cerca de la gerencia/administración en
la estructura de la organización. Nivel alto en toma de decisiones.
Debe contarse con personal especializadoAnálisis y recomendaciones acertadas
Puede tener asesorías/consultorías bajo demandaDeben establecerse canales adecuados para
reportar incidentesUsuarios internos y externos
Centro de respuesta a incidentes centralizado
ServiciosRespuesta a incidentes y tareas asociadas
Respuesta en sitio, análisis de vulnerabilidades, análisis de software malicioso, análisis forense, seguimiento legal, etc.
Prevención y detección de incidentesDifusión y capacitaciónMecanismos de detección de incidentes para alertas
Información a la administración/gerencia de la organización
Centro de respuesta a incidentes centralizado
Servicios adicionalesEvaluación de tecnologíaEvaluación de riesgosAuditorías de seguridadImplementación de mejores prácticasConsultoría
Centro de respuesta a incidentes centralizado
RecursosEstructura central
Administrador/coordinador del centro de respuestaAdministrador de la infraestructura tecnológica propia
del centro de respuestaPersonal administrativoPersonal técnico para el manejo de incidentesPersonal especializado para servicios adicionalesDesarrolladores de sistemas web
Centro de respuesta a incidentes centralizado
Recursos
Otros recursos humanos que podrían requerirseEditores (para todas las publicaciones)Personal de relaciones públicasPersonal jurídicoExpertos técnicos adicionales
Centro de respuesta a incidentes centralizado
RecursosMateriales
Instalaciones físicasEquipo de oficinaEquipos de cómputo y telecomunicacionesProbablemente equipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,
recolectores de tráfico, discos duros grandes, etc.)Equipo para almacenamiento de grandes cantidades de
información para la evidencia digital
Centro de respuesta a incidentes centralizado
RecursosSistemas
Sistema de seguimiento (tracking)Software para cómputo forenseSoftware para pentestSoftware para análisis de software malicioso
Centro de respuesta a incidentes centralizado
VentajasModelo establePersonal dedicadoPermite iniciativas de mejora continua
DesventajasRequiere recursos significativosRequiere cambios en la estructura de la
organizaciónEl personal no está involucrado en el ambiente de
operación
Centro de respuesta a incidentes distribuido
Varios equipos de respuestaTodos los equipos conforman el centro de
respuestaPersonal de los equipos puede estar asignado a
tareas operativas. Colabora cuando hay incidentes en su área.
El personal también podría ser dedicado para el centro de respuesta
Administración/coordinación centralizadaGarantiza niveles de servicioFacilita intercambio de información
Centro de respuesta a incidentes distribuido
Características particularesCerca de la dirección de la organización en la
estructuraCuenta con un administrador/directorPersonal para la administraciónEstablecer circunstancias en las cuales el personal
técnico actúa para el centro de respuestaEstablecer canales de comunicación adecuadosDefinir cómo se hará el proceso de reporte de
incidentesEn los equipos distribuidosDe manera centralizada
Centro de respuesta a incidentes distribuido
ServiciosRespuesta a incidentes y tareas asociadas
Respuesta en sitio, análisis de vulnerabilidades, análisis de software malicioso, análisis forense, seguimiento legal, etc.
Prevención y detección de incidentesDifusión y capacitaciónMecanismos de detección de incidentes para alertas
Información a la administración/gerencia de la organización
Servicios adicionales dependen de la disponibilidad de personal
Centro de respuesta a incidentes distribuido
RecursosAdministración central
Administrador/coordinador del centro de respuestaAdministrador de la infraestructura tecnológica propia
del centro de respuestaPersonal administrativo (al menos una persona)Analistas para el manejo de incidentes
Otros (opcionalmente)Editores (para publicaciones)Personal de relaciones públicasPersonal jurídicoExpertos técnicos adicionales
Centro de respuesta a incidentes distribuido
RecursosMateriales
Instalaciones físicasEquipo de oficinaEquipos de cómputo y telecomunicacionesProbablemente equipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,
recolectores de tráfico, discos duros grandes, etc.)Equipo para almacenamiento de grandes cantidades de
información para la evidencia digital
Centro de respuesta a incidentes distribuido
RecursosSistemas
Sistema de seguimiento (tracking)Software para cómputo forenseSoftware para pentestSoftware para análisis de software malicioso
Centro de respuesta a incidentes distribuido
VentajasServicios se implementan de manera coordinadaPersonal especializadoPersonal operativo con conocimientos
especializados de seguridadDesventajas
No es fácil de implementarProblemas para asignar nuevas responsabilidades
al personalDifícil coordinar personal con dos jefes
Centro coordinador
Coordinar y facilitarRespuesta a incidentesManejo de vulnerabilidades
Circunscripción ampliaAsesoría e información a otros equipos de
respuestaIntercambio de informaciónDefinición de estrategias para mitigar impacto de
amenazasInfluencia en la toma de decisiones de diversas
organizaciones
Centro coordinador
Características particularesPersonal dedicadoUbicación física centralAdministración/dirección únicaPersonal especializadoActuar como centro de coordinación para dirigir
acciones de respuesta a incidentes y amenazas a la seguridad de la información
Recolección y síntesis de información para comunicar a su circunscripción
Centro coordinador
ServiciosRespuesta a incidentesApoyo y asesoría técnica
Respuesta en sitioAnálisis de vulnerabilidadesCómputo forenseAnálisis de software maliciosoSeguimiento de incidentes
No realiza todas las tareas asociadas al manejo de incidentes
Alerta sobre amenazas a la seguridad de la información
Centro coordinador
Servicios adicionalesDetección proactiva de amenazasEvaluación de tecnologíaEvaluación de mejores prácticas y estándares de
seguridad de la informaciónCapacitación
Manejo de incidentesAnálisis de amenazasImplementación de tecnologíaImplementación de mejores prácticas, etc.
Centro coordinador
RecursosPersonal
Administrador/coordinador del centro de respuestaAdministrador de la infraestructura tecnológica propia
del centro de respuestaPersonal administrativo (al menos una persona)Analistas para el manejo de incidentesEspecialistas en evaluación de tecnologíasExpertos en la implementación de mejores prácitasEditores (para publicaciones)Relaciones públicas
Centro coordinador
RecursosMateriales
Instalaciones físicasEquipo de oficinaInstalaciones para laboratorios de pruebas, incluyendo
equipo de cómputo, telecomunicaciones, etc.Equipos de cómputo y telecomunicacionesEquipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,
recolectores de tráfico, discos duros grandes, etc.)Equipo para almacenamiento de grandes cantidades de
información para evidencia digital
Centro coordinador
RecursosSistemas
Sistema de seguimiento (tracking)Software para cómputo forenseSoftware para pentestSoftware para análisis de software malicioso
Centro coordinador
VentajasContar con un grupo de especialistas en manejo de
incidentesExperiencia se aprovecha en varias organizaciones
DesventajasLos especialistas no están involucrados en la
operación de las organizacionesPlaneación complicadaIndependencia difícil
Proyecto AMPAROCapítulo III:
“Propuesta de Especialización de Funciones en el interior de un Centro de
Respuesta”
Ing. Leonardo Vidal - CISSP
Segregación de FuncionesIntroducción
Varias funciones
Modelo Organizacional actual y futuro
Identificación clara de las funciones
Una forma de organizar el trabajo
Centro de Respuesta = Equipo de Respuesta
Segregación de FuncionesIntroducción
Actividades recreativas
Grupo, familias, amigos
Flexibilidades
Segregación de FuncionesLas Funciones
Directorio Director Ejecutivo Comité Ejecutivo Gerente Operacional Difusión Infraestructura
Segregación de FuncionesLas Funciones
Triage Documentación Capacitación y Entrenamiento Logística Investigación Legal
Segregación de FuncionesLas Funciones
Gestión de incidentes Embajadores Formación Continua Comercial Financiero y Económico
Descripción de Funciones
Directorio Miembros reconocidos en la comunidad Política Vinculación Apoyo Facilitador Director Ejecutivo
Integrante o invitado Frecuencia de reuniones Convocatoria grave y urgente
Descripción de Funciones
Director Ejecutivo Capacidad de mando Liderazgo Motivación
Comité Ejecutivo Director pro tempore o no Si es pro tempore, fundamental que el Comité Ejecutivo
brinde una visión homogénena hacia el Centro y hacia la Comunidad Objetivo
Descripción de Funciones
Director Ejecutivo
Contacto frecuente con los restantes integrantes del Centro
Reunión con algún representante del resto de los integrantes
Informe periódico al Comité Ejecutivo (si existe) o en su defecto al Directorio (si existe)
Descripción de Funciones
Comité Ejecutivo
Conjunto de Directores Ejecutivos Pro tempore o no
Número impar de integrantes
Reuniones periódicas
Convocatoria grave y urgente
Descripción de Funciones
Gerente Operacional Visión más general y completa de Centro pero cercana
a la actividad diaria
Nexo entre el resto de los integrantes del Centro y el Director Ejecutivo
Capacidad de mando, liderazgo y motivación
Reuniones periódicas para unificar criterios, definir próximas acciones y saber “en qué anda el otro”
Descripción de Funciones
Difusión Responsable de todas las formas de comunicación con
los integrantes de la Comunidad Objetivo, otros Centros de Respuesta, prensa, entre otros.
Metas Hacer conocer la existencia del Centro Difundir a la Comunidad Objetivo información que puede
resultar de su interés Fomentar la Capacitación y Entrenamiento de los integrantes
de la Comunidad Objetivo Comunicación con: Comunidad Objetivo, otros Centros
de Respuesta, Prensa. Imagen única.
Descripción de Funciones
Infraestructura Que sustenta los servicios brindados
De cara a la Comunidad Objetivo De uso exclusivo interno
Ejemplos: red, servidores, estaciones de trabajo, notebooks, laboratorio, análisis forense, análisis de artefactos, preservación de evidencia, ...
Capacitación e idoneidad Previsión para contemplar las necesidades futuras
Descripción de Funciones
Triage Debe analizar los reportes de eventos o incidentes de
seguridad para clasificarlos y si corresponde, asignarlos para su gestión.
Responsabilidad única o compartida (con Gerente Operacional, con Director Ejecutivo) y según el caso.
Cualidades buscadas en el encargado del triage Capacidad de correlacionar eventos e incidentes de
seguridad Mantener la calma en momentos “complicados” Saber distinguir entre lo urgente y lo importante
Descripción de Funciones
Triage Qué considerar al momento de identificar el integrante
del Centro que gestionará el incidente de seguridad Expertise del potencial candidato Carga laboral actual del candidato Carga laboral futura del candidato Expectativa de duración de la gestión del incidente a
gestionar Estado de ánimo del candidato Vinculación del candidato con quien reporta y otros posibles
integrantes de la Comunidad Objetivo que podrían estar vinculados al incidente
Descripción de Funciones
Documentación Todo Centro de Respuesta maneja una importante
cantidad de información y en diferentes medios y formatos
Políticas y Procedimientos para Generarla Clasificarla Almacenarla Respaldarla Destruirla Difundirla
Descripción de Funciones
Documentación
Dos grandes grupos
La que es utilizada para el funcionamiento del Centro de Respuesta
La vinculada directamente a los servicios que brinda
Por ejemplo la vinculada con un incidente de seguridad que se está gestionando
Descripción de Funciones
Capacitación y Entrenamiento Cursos, talleres, seminarios, charlas Expertise en la Comunidad Objetivo
Gestión de Incidentes Crear Centros similares
Ingreso de fondos para el Centro Punto de Referencia No sólo aspecto técnicos Indentificar temáticas que pueden ser de interés para la
Comunidad Objetivo Escuchar las inquietudes de la Comunidad Objetivo
Descripción de Funciones
Logística
Insumos fungibles y no fungibles
No requiere formación técnica
Descripción de Funciones
Investigación
Generar información y conocimiento en el interior del Centro
Beneficio para el Centro y para la Comunidad Objetivo
Vincularse con otros Centros de Respuesta Reputación Generar confianza hacia afuera Semilla de un posible servicio futuro o mejora de uno
existente
Descripción de Funciones
Legal
Profesional integrante o no del Centro de Respuesta Asesorar a quienes gestionan incidentes de seguridad
en Recolección y preservación de evidencia Redacción de informes
Reuniones periódicas entre responsable legal e integrantes técnicos del Centro de Respuesta, para difundir leyes, decretos, ordenanzas, reglamentaciones y buenas prácticas
Descripción de Funciones
Gestión de Incidentes
Servicio fundamental en el Centro de Respuesta A cargo de integrantes técnicos del Centro y con el
apoyo de los restantes integrantes Quizás con la función de triage al mismo tiempo Vinculación con la Comunidad Objetivo y otros Centros
de Respuesta Informar al Gerente Operacional A gestionar incidentes se aprende gestionando
Nuevos en la función: rol de Mentor
Descripción de Funciones
Embajadores Miembros temporales del Centro, para alguna actividad
puntual Permite
al embajador conocer la realidad del Centro al Centro identificar posibles futuros integrantes del mismo Contar con una persona con conocimiento profundo sobre
determinado activo afectado por un incidente de seguridad Su participación en el Centro requerirá que
previamente firme un NDA (Non-Disclosure Agreement) o Compromiso de Confidencialidad.
Descripción de Funciones
Formación Continua De los integrantes del Centro Estudiar, leer, ser “curiosos”
TICs Vectores de ataques Malware Protocolos Herramientas (sniffer de paquetes, herramienta forense) Redes sociales, spam, botnets, honeypots, ...
Reuniones internas poco formales para compartir conocimiento
Descripción de Funciones
Formación Continua Certificaciones internacionalmente reconocidas de
“todos” los integrantes del Centro de Respuesta
Posibles
ISC2
ISACA
PMI
Descripción de Funciones
Financiero y Económico Fondos para existir
Pagas remuneraciones, leyes sociales, hardware, software, libros, insumos, local del Centro, conectividad a Internet, asistencia a conferencias, viáticos, etc.
Dos modelos y opciones intermedias Sustentación propia Por la organización que le brinda el hosting
Desarrollo de Manuales y Procedimientos
Importantes para la operación del Centro y la vinculación hacia y desde “afuera”
Políticas → Procedimientos
Políticas → Procedimientos → Manuales
Desarrollo de Manuales y Procedimientos
Manuales Documento donde se compendia lo sustancial sobre
determinada materia
Motivos proactivos y reactivos para elaborar nuevos y revisar manuales ya existentes
Uso de los mismos por parte de la Comunidad
Crear nuevos y analizar los existentes
Desarrollo de Manuales y Procedimientos
Procedimientos Pasos a seguir para realziar determinada actividad
Se elaboran durante toda la vida del Centro
Picos y valles
Crear nuevos y analizar los existentes
Diseño de un Flujograma del Proceso de Gestión de Incidentes, end to end.
Fase Pre-Incidente(no hay incidente reportado)
Fase Incidente(el incidente está siendo
gestionado)
Fase Post-Incidente(el incidente ha sido cerrado)
Informes
Documentacióninterna
Información para toda o parte de la
ComunidadObjetivo
Información para otros Centros de
Respuesta
Decisiones:Políticas
ProcedimientosCapacitación
ManualesTutoriales
Políticas, Procedimientos y
Manuales
Integrantes Y funciones
Centro de Respuesta preparado
ü Información de contactoü Mecanismo de reporte de
eventos o incidentesü Celularesü Software para servicios de
seguridad e intercambio de información
ü Sitio del Centroü Estaciones de trabajoü Laptopsü Servidoresü Equipamiento de redü Estaciones y servidores de
laboratorioü Dispositivos de
almacenamientoü Impresoraü Cámara de fotos, filmadoraü Herramientas: sniffers,
analizadores de protocolo, análisis forense
ü Herramientas “de taller”ü Insumos para preservar
evidenciaü Capacitación, formación y
entrenamientoü Estado del arte de la
seguridad y fuentes de información a las cuales recurrir
ü Mecanismos para alertar a la Comunidad Objetivo
ü Software parches para mitigar
¿Evento o incidente?
¿Incidente?
NO
SI
Se notifica al quien
reportó
SI
NO
Fases en la Gestión de un Incidente de Seguridad
Determinación(¿es un evento o un incidente de un integrante de la CO?)
Solicitud de información
Reporte
Rcepción de información
Internet Laboratorio
Documentacióninterna
!
Reuniones¿Comunidad
Objetivo?NO
SI
Se registra
Incidentede Seguridad
paragestionar
¡¡Triage!!Ciclo
de Vida
de un
Incidente
de
Seguridad
Diseño de un Flujograma del Proceso de Gestión de Incidentes, end to end.
Reporte
Varias fuentes posibles :correo electrónico
IDS, IPS, IDPSfax
formulario webnota
Firewallllamada telefónica
chathabladoprensa
RSSlogsWeb
¿Origen verificado ?
Solicitar información para verificar
origen
NO
¿Evento o incidente?
SI
NO
Se le informa a quien lo reportó
Se registra la acción
¿Información proporcionada
Por medio adecuado ?
SI
Se solicita el envio de la información por medio adecuado
NO
¿Se obtiene en un plazo razonable ?
NO
SI
¿Se obtiene en un plazo razonable ?
NO
SI¿Incidente?
NO
SI
SI Incidente a
gestionar
Determinación
El objetivo es determinarde una manera y con un esfuerzo razonable, que alguien ha reportado un
evento o incidente de seguridad. Puede tratarse de
una denuncia anónima
Es importante que más allá que el reporte llegue por un
medio informal, se de la pueda validar
Si es un evento, se registrará, principalmente con fines estadísticos y se le informará a quien lo reportó de la decisión tomadaSi es un incidente de seguridad, se lo gestionará y se le informará de ello a quién lo reportó
Se le informa a quien lo reportó
Si no es un evento ni un incidente, se registrará, principalmente con fines estadísticos y se le informará a quien lo reportó de la decisión tomada
Se entiende por “plazo razonable”, una semana
Se entiende por “plazo razonable”, una semana
¿Comunidad Objetivo?
SI
NO
Diseño de un Flujograma del Proceso de Gestión de Incidentes, end to end.
Incidente a gestionar
Registro
Proceso de análisis de la información recabada y
solicitud de más información
Se almacena en un servidor , la información que se conoce hasta ese momento
¿Se requiere más información de quién
lo reportó?
¿Se requiere información de otros
Centros?
¿Se requiere información de la
Comunidad Objetivo?
Se solicita información
NO
SI
SI
SI
NO
NO ¿Se obtiene la información solicitada?
SI
Se anexa a la información que ya se
dispone sobre el incidente que se está
gestionando
¿Se requiere informar a la Justicia?
NO
SI
Se elabora documento para
Legal
Se almacena el documento elaborado
2
1
Nada
4
3
2
1
3
1 2
3
1 2
3 4
Informe de Cierre
Proceso de elaboración de Informe
Devolución al Cliente
Informe Devolución al
Cliente
|
Proceso de elaboración
de Informe de Cierre
Se envía Informe
Devolución al Cliente
Se envía información a la Justicia
Incidentey Post-Incidente
Referencias
M. West-Brown, D. Stikvoort, K. Kossakowski, G. Killcrece, R. Ruefle y M. Zajicek, Handbook for Computer Security Incident Response Teams (CSIRTs), abril 2003, http://www.cert.org/archive/pdf/csirt-handbook.pdf.
Forum of Incident Response and Security Teams, http://www.first.org.
FIRST Technical Colloquia, http://www.first.org/events/colloquia.
ISACA, http://www.isaca.org. International Information Systems Security Certification
Consortium, Inc., http://www.isc2.org. Project Management Institute, http://www.pmi.org.
Proyecto AMPAROCapítulo III:
“Propuesta de Especialización de Funciones en el interior de un Centro de
Respuesta”
Ing. Leonardo Vidal - CISSP
Proyecto AMPAROCapítulo III:
“Propuesta de Políticas y Procedimientos Principales para la
Operación de un Centro de Respuesta a Incidentes de Seguridad Informática”
Ing. Leonardo Vidal - CISSP
Objetivos
Realizar propuestas de
Código de Ética
Política de Seguridad Lógica
Política de Seguridad Física y Ambiental
Política de Gestión de Incidentes
Código de Ética
CoE, Code of Ethics
Definiciones La ética es el “conjunto de normas morales que rigen la
conducta de la persona en cualquier ámbito de la vida.” Una norma es una “regla que se debe seguir o a que se
deben ajustar las conductas, tareas, actividades, etc.” La moral es una “doctrina del obrar humano que pretende
regular de manera normativa el valor de las reglas de conducta y los deberes que estas implican.”
Un valor es el “grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite”.
Código de Ética
Objetivos
Fomentar la ética en sus integrantes
Incentivar el comportamiento ético uniforme
Alentar a un comportamiento similar de parte de sus pares y de los integrantes de la Comunidad Objetivo
Fortalecer la imagen del Centro de Respuesta y de cada uno de sus integrantes
Código de Ética
Lineamientos generales para elaborarlo
Lenguaje
Moral
Aceptación
Código de Ética
Valores morales
Valor moral es todo aquello que lleve al hombre (y a la mujer) a defender y crecer en su dignidad de persona.
El valor moral conduce al bien moral.
Se le considera como un bien pues nos mejora, perfecciona, completa.
Encuesta para seleccionar cuáles incluir.
Código de Ética
Valores morales Respeto Honestidad Solidaridad Responsabilidad Crítica constructiva Gratitud Optimismo Superación
Voluntad Innovación Paciencia Amabilidad Empatía Sencillez Profesionalismo Alegría
Política de Seguridad Lógica
La Seguridad Lógica en un Centro de Respuesta es la seguridad en el uso del software y los sistemas, la protección de los datos, procesos y programas así como la del acceso ordenado y autorizado de los usuarios a la información. Involucra todas aquellas medidas establecidas para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando las tecnologías de la información y la comunicaciones. La correcta implementación de las mismas colaborará para la adecuada operación del Centro.
Política de Seguridad Lógica
La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.
Política de Seguridad Lógica
La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.
“Todo lo que no está permitido está prohibido”
Política de Seguridad Lógica
Objetivo
Establecer las pautas a seguir a los efectos de resguardar el acceso a los datos y que sólo se permita acceder a ellos a las personas autorizadas para hacerlo.
Alcance
Todos los datos en el Centro de Respuesta y los integrantes del mismo.
Política de Seguridad Lógica
Contenido Sistemas y aplicaciones del Centro
Administradores Red donde se encuentran instalados No un solo administrador Control de régimen de licencias y ausencias programadas Cantidad de usuarios definidos; revisión periódica Vulnerabilidades; revisión periódica
Política de Seguridad Lógica
Contenido Seguridad perimetral
Deberá contar con IDS (Intrusion Detection System) IPS (Intrusion Prevention System) Firewall de capa 3 y 4 Firewall de aplicaciones Sistema Antimalware
Logs de los sistemas anteriores Sincronismo de los sistemas anteriores Analizar los logs
Política de Seguridad Lógica
Contenido Investigación
Se deberá realizar en infraestructura propia no compartida Laboratorio
Se deberá realizar en infraestructura propia no compartida Contraseñas “administrador”
Sólo conocidas por quienes realmente las requieren para trabajar
No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de “fortaleza”
Política de Seguridad Lógica
Contenido Contraseñas “usuarios”
Sólo conocidas por su dueño No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de “fortaleza”
Contraseñas No disponibles para terceros Implementar en los sistemas críticos mecanismos de
chequeo de fortaleza de las contraseñas
Política de Seguridad Lógica
Contenido “Mínimo privilegio” Actualización de firmas Verificación periódica de la actualización automática
del Sistema Antimalware Bloqueos de cuentas ante sucesivos intentos fallidos Sistemas operativos a utilizar
Niveles de seguridad adecuados Capacidad de administración por parte de los integrantes del
Centro Correcta prestación de los servicios que brindan
Política de Seguridad Física y Ambiental
Análisis de Riesgos
Probabilidad de ocurrencia
Severidad
Controles para mitigarlos
Objetivo: Área Segura
Política de Seguridad Física y Ambiental
Riesgos Seguridad Física
Derrumbe total o parcial
Atentados
Vandalismo
Huelgas
Política de Seguridad Física y Ambiental
Riesgos Seguridad Ambiental Fuego Humo Inundación Humedad Temperatura Falla del sistema de ventilación o del sistema de aire
acondicionado Desastres naturales: sismos, huracanes, ciclones,
tornados, tormentas, rayos
Política de Seguridad Física y Ambiental
Controles
Físicos
Técnicos
Administrativos
Ambientales
Política de Seguridad Física y Ambiental
Controles Físicos
Guardias Muros Cercas eléctricas Rejas Iluminación Cerraduras
Política de Seguridad Física y Ambiental
Controles Técnicos
Cámaras Lectores de tarjetas de acceso Identificadores biométricos Detectores de movimiento Alarmas sonoras y visuales Detectores de apertura de puertas o ventanas
Política de Seguridad Física y Ambiental
Controles Administrativos
Elección adecuada del sitio Inventarios y su control periódico Registros o logs de los accesos al sitio y su análisis Control de las personas que acceden Escritorios de recepción y de validación de
credenciales y asistencia
Política de Seguridad Física y Ambiental
Controles Ambientales Detectores de humo Detectores de agua Detectores de cambios importantes de la temperatura del aire Detectores de cambio importante en la humedad Sensores de contaminación del aire Inspecciones por parte de personal del Cuerpo de Bomberos Materiales de construcción no inflamables Cableado eléctrico no inflamable y en ductos adecuados Adecuados extintores portátiles
Política de Seguridad Física y Ambiental Texto de la propuesta
Contenido Realizar un Análisis de Riesgos y repetirlo con una
periodicidad no mayor a 2 años Conjunto mínimo de riesgos a considerar Se deberá implementar, como mínimo:
Clara delimitación de la frontera del medio Impedir el fácil acceso Almacenamiento de lo registrado por las cámaras de
seguridad Iluminación que permita en todo momento y circunstancia la
correcta visualización de lo que ocurre
Política de Gestión de Incidentes
La Politica de Gestión de Incidentes documenta los lineamientos fundamentales a respetar para cumplir adecuadamente con el principal servicio de un Centro de Respuesta.
Por tratarse del servicio que le da la razón de existir al Centro, requiere especial atención documentar su política y todos los procedimientos asociados.
Política de Gestión de Incidentes
Consideraciones previas
Expectativas
Proactivo: Prevenir incidentes de seguridad
Reactivo: Responder incidentes de seguridad
Aprender de lo ocurrido
Política de Gestión de Incidentes
La Gestión de Incidentes de Seguridad es el conjunto de todas las acciones, medidas, mecanismos, recomendaciones, tanto proactivos como reactivos, tendientes a evitar y eventualmente responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una organización minimizando su impacto en el negocio y la probabilidad de que se repita.
Política de Gestión de Incidentes
Fase Pre-Incidente(no hay incidente reportado)
Fase Incidente(el incidente está siendo
gestionado)
Fase Post-Incidente(el incidente ha sido cerrado)
Informes
Documentacióninterna
Información para toda o parte de la
ComunidadObjetivo
Información para otros Centros de
Respuesta
Decisiones:Políticas
ProcedimientosCapacitación
ManualesTutoriales
Políticas, Procedimientos y
Manuales
Integrantes Y funciones
Centro de Respuesta preparado
ü Información de contactoü Mecanismo de reporte de
eventos o incidentesü Celularesü Software para servicios de
seguridad e intercambio de información
ü Sitio del Centroü Estaciones de trabajoü Laptopsü Servidoresü Equipamiento de redü Estaciones y servidores de
laboratorioü Dispositivos de
almacenamientoü Impresoraü Cámara de fotos, filmadoraü Herramientas: sniffers,
analizadores de protocolo, análisis forense
ü Herramientas “de taller”ü Insumos para preservar
evidenciaü Capacitación, formación y
entrenamientoü Estado del arte de la
seguridad y fuentes de información a las cuales recurrir
ü Mecanismos para alertar a la Comunidad Objetivo
ü Software parches para mitigar
¿Evento o incidente?
¿Incidente?
NO
SI
Se notifica al quien
reportó
SI
NO
Fases en la Gestión de un Incidente de Seguridad
Determinación(¿es un evento o un incidente de un integrante de la CO?)
Solicitud de información
Reporte
Rcepción de información
Internet Laboratorio
Documentacióninterna
!
Reuniones¿Comunidad
Objetivo?NO
SI
Se registra
Incidentede Seguridad
paragestionar
¡¡Triage!!Ciclo
de Vida
de un
Incidente
de
Seguridad
Política de Gestión de Incidentes
Proactividad
Sustentada en
Sensibilización
Capacitación y entrenamiento
Tests de Penetración
Auditorías
Fase Pre-Incidente(no hay incidente reportado)
Políticas, Procedimientos y
Manuales
Integrantes Y funciones
Centro de Respuesta preparado
ü Información de contactoü Mecanismo de reporte de
eventos o incidentesü Celularesü Software para servicios de
seguridad e intercambio de información
ü Sitio del Centroü Estaciones de trabajoü Laptopsü Servidoresü Equipamiento de redü Estaciones y servidores de
laboratorioü Dispositivos de
almacenamientoü Impresoraü Cámara de fotos, filmadoraü Herramientas: sniffers,
analizadores de protocolo, análisis forense
ü Herramientas “de taller”ü Insumos para preservar
evidenciaü Capacitación, formación y
entrenamientoü Estado del arte de la
seguridad y fuentes de información a las cuales recurrir
ü Mecanismos para alertar a la Comunidad Objetivo
ü Software parches para mitigar
Política de Gestión de Incidentes
Reactividad Sustentada en
Comprender el incidente Identificar las vulnerabilidades involucradas Aislarlas Analizar los artefactos involucrados Recuperar los sistemas afectados Verificar que ya no son vulnerables por lo menos a lo que
ocasionó el incidente Asesorar a la organización afectada sobre cómo gestionar la
información vinculada al incidente La eventual recolección y preservación de evidencia para una
posible instancia judicial.
Política de Gestión de Incidentes
Reactividad Fase Incidente(el incidente está siendo
gestionado)
¿Evento o incidente?
¿Incidente?
Se notifica al quien
reportó
SI
NO
Determinación(¿es un evento o un incidente de un integrante de la CO?)
Solicitud de información
Reporte
Rcepción de información
Internet Laboratorio
Documentacióninterna
!
¿ComunidadObjetivo?
SI
Se registra
Incidentede Seguridad
paragestionar
¡¡Triage!!
Política de Gestión de Incidentes
Luego de la tormenta... Fase Post-Incidente(el incidente ha sido cerrado)
Informes
Documentacióninterna
Información para toda o parte de la
ComunidadObjetivo
Información para otros Centros de
Respuesta
Decisiones:Políticas
ProcedimientosCapacitación
ManualesTutoriales
Reuniones
Política de Gestión de Incidentes
Definiciones
Evento toda ocurrencia observable en un sistema
Incidente de seguridad una violación o una amenaza de violación inminente
(intencional o no) a las políticas de seguridad y/o a las políticas de uso aceptable de una organización
Política de Gestión de Incidentes
Ejemplos de Eventos enviar un correo electrónico enviar SPAM recibir un GET en un servidor Web enviar un SMS no dejar pasar un segmento TCP SYN en un firewall recibir un SMS con propaganda no solicitada dejar pasar un segmento TCP SYN en un firewall
Política de Gestión de Incidentes
Ejemplos de Incidentes de Seguridad acceso no autorizado a un sistema
Por elevación de privilegios Por acceso al archivo de passwords
DoS (Denial of Service) Envío de paquetes malformados Flooding de ICMP
sabotaje uso inapropiado de algún sistema
Amenazas vía correo electrónico o vía SMS Servidor de una organización como repositorio de videos no
vinculados al trabajo
Política de Gestión de Incidentes
Ejemplos de Incidentes de Seguridad actividades de Ingeniería Social fraude distribución de algún malware
Gusano Virus
combinación de algunos de los anteriores enviar un correo electrónico
Referencias
G. Killcrece, K. Kossakowski, R. Ruefle y M. Zajicek, State of the Practice of Com-puter Security Incident Response Teams (CSIRTs), octubre 2003. En línea: http://www.cert.org/archive/pdf/03tr001.pdf.
Internet Security Systems, Computer Security Incident Response Planning - Pre-paring for the Inevitable. En línea: http:// documents.iss.net/whitepapers/csirplanning.pdf.
N. Brownlee y E. Guttman, Expectations for Computer Security Incident Re-sponse, junio 1998. En línea: http://www.rfc-editor.org/rfc/rfc2350.txt.
Referencias
R. Shirey, Internet Security Glossary, Version 2, agosto de 2007. En línea: http://www.rfc-editor.org/rfc/rfc4949.txt.
K. Scarfone, T. Grance y K. Masone, Computer Security Incident Handling Guide – Revision 1, marzo de 2007. En línea: http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf.
T. Wright, How to Design a Useful Incident Response Policy, octubre 2001. En línea: http://www.securityfocus.com/infocus/1467.
Política de Protección de la InformaciónPropuesta
Confidencial El acceso a la misma en forma remota deberá ser asegurando la
confidencialidad y la integridad utilizando algunos de los siguientes protocolos: https, sftp o ssh.
De requerirse, la transmisión de información secreta será cifrada con clave pública de largo mínimo de 1024 bits.
Podrá almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de almacenamiento portátiles, asegurando confidencialidad con clave de largo mínimo de 1024 bits.
No podrá almacenarse en sistemas remotos propietarios de los integrantes del Centro.
No debe ser comentada con ninguna persona ajena al Centro de Respuesta.
Política de Protección de la InformaciónPropuesta
Uso interno Cuando se trata de información en formato lógico, el nombre del
mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro.
Cuando se trata de información en formato físico, la misma no podrá salir del sitio del Centro de Respuesta.
La información de uso interno no debe ser difundida fuera del ámbito del Centro de Respuesta.
Deberá existir control de acceso a la misma. El acceso a la misma en forma remota deberá ser asegurando la
confidencialidad y la integridad. En sistemas remotos propietarios de los integrantes del Centro sólo
podrá ser almacenada cifrada con clave de largo mínimo de 1024 bits.
No debe ser comentada con ninguna persona ajena al Centro de Respuesta.
Política de Protección de la InformaciónPropuesta
Pública Cuando se trata de información en formato lógico, el
nombre del mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro.
Cuando se trata de información en formato físico, para que sea considerada válida y auténtica, siempre debe existir la misma información en formato lógico según lo expresado en el párrafo anterior.
Política de Difusión de la InformaciónPropuesta
Objetivo Determinar, para toda la información que gestiona el
Centro de Respuesta, a quienes se puede difundir, utilizando qué métodos y con qué mecanismos de protección.
Alcance Aplica a toda la información que gestione el Centro de
Respuesta. En este contexto gestionar información implica alguna de las siguientes acciones con la información: recibir, procesar, almacenar, destruir, generar y enviar.
Política de Difusión de la InformaciónPropuesta
Contenido
Información recibida
Toda la Información recibida en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó. Una disminución del nivel de clasificación deberá requerir que previamente quien la haya generado otorgue por escrito el consentimiento correspondiente.
Toda la información asociada a la gestión de un incidente de seguridad o a un evento será clasificada como confidencial.
Política de Difusión de la InformaciónPropuesta
Contenido
Información procesada
Toda información procesada en el Centro de Respuesta deberá ser clasificada de acuerdo a lo expresado en la Política de Clasificación de la Información.
Toda la información procesada en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó y respetar las condiciones de difusión por él expresadas. El cambio de algunas de estas condiciones deberá requerir que a priori se obtenga un consentimiento por escrito que lo autorice.
Política de Difusión de la InformaciónPropuesta
Contenido
Información almacenada Ver Política de Almacenamiento de la Información.
Información destruida Ver Política de Destrucción de la Información.
Información generada Toda la información generada en el Centro deberá tener
explicitada su clasificación en base a la Política de Clasificación de la Información.
Política de Difusión de la InformaciónPropuesta
Contenido
Información enviada Si se trata de información generada en el Centro, se deberá
difundir explicitando la clasificación de la misma. Quien envía la información, siempre debe verificar que el
destinatario es quien se desea y que es correcto que sea recibida por él.
Si se trata de difusión de información generada por personas o sistemas externos al Centro de Respuesta y se requiere por parte del destinatario de la misma conocer su origen, previo a informarlo se debe contar con el visto bueno por escrito de tal autorización.
Política de Difusión de la InformaciónPropuesta
Contenido Información clasificada como “confidencial” o
“secreta” Vía red Vía dispositivo de almacenamiento Vía papel
Información con destino Judicial “confidencial” o “secreta” Responsable Legal, Director Ejecutivo Registro
Política de Difusión de la InformaciónPropuesta
Contenido Información ni “confidencial” ni “secreta”
Asegurar que haya llegado al destino
Información para la prensa Con solicitud previa por escrito Análisis de la respuesta a cargo de: Director Ejecutivo,
Gerente Operacional, Responsable de Difusión y Responsable Legal.
Control de integridad de la respuesta. Registro
Política de Difusión de la InformaciónPropuesta
Contenido Información ni “confidencial” ni “secreta”
Asegurar que haya llegado al destino
Información para la prensa Con solicitud previa por escrito Análisis de la respuesta a cargo de: Director Ejecutivo,
Gerente Operacional, Responsable de Difusión y Responsable Legal.
Control de integridad de la respuesta. Registro
Política de Guarda de la InformaciónPropuesta
Objetivo
Establecer, para toda la información que se almacena el Centro de Respuesta, qué tipos de protección y control se deben implementar.
Alcance
Comprende a toda la información almacenada en el Centro de Respuesta.
Política de Guarda de la InformaciónPropuesta
Contenido
Respaldo de la información
Procedimiento de Respaldo de la Información
Sitio de respaldo
Política de Guarda de la InformaciónPropuesta
Contenido Información crítica
Aquella que en caso de verse comprometida en cuanto a alguna de sus propiedades de seguridad, afectaría seriamente al dueño de la misma
Según sección “Información Crítica” del Procedimiento de Respaldo de Información
Sistemas críticos Aquel que en caso de verse comprometido en cuanto a
alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta
Según sección “Sistemas Críticos” del Procedimiento de Respaldo de Información
Política de Guarda de la InformaciónPropuesta
Contenido Información “secreta” o “confidencial” es estaciones
de trabajo y servidores Cifrado
Información “secreta” o “confidencial” En papel o unidad de almacenamiento (CD, DVD, pendrive)
en caja fuerte propiedad del Centro instalada en su sitio físico Aquel que en caso de verse comprometido en cuanto a
alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta
Según sección “Sistemas Críticos” del Procedimiento de Respaldo de Información
Política de Guarda de la InformaciónPropuesta
Contenido Cada documento de gestión del Centro
Generar dos hashes con funciones de hash distintas y los valores guardados en una unidad de almacenamiento exclusiva, dentro de caja fuerte propiedad del Centro instalada en su sitio físico
Notebooks Dispositivos de almacenamiento con contenido cifrado
Servidores Redundancia e integridad
Información de incidentes gestionados retenida, al menos tres años a partir de la apertura del
mismo.
Referencias
ISO/IEC TR 18044:2004. Gestión de incidentes de la seguridad de la información.
ISO/IEC 27001:2005. Sistemas de Gestión de la Seguridad de la Información – Requisitos.
ISO/IEC 27002:2005(17799). Código de buenas prácticas para la gestión de la seguridad de la información.