Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita
[email protected]
CYBSEC
Manejo y Análisis de Incidentes de Seguridad Informática Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación - Análisis Forense Informático - Buenas Prácticas
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Incidentes en Argentina ¿Cual es el origen mas común de los incidentes de seguridad en su empresa? 70% 60% 50% 40% 30% 20% 10% 0%
63% 58% 52% Sistemas interno s
32%
Internet
30% 23% 10% 3% 3%
Año 2002
5% 4% 4%
Año 2003
4% 2% 6%
A cceso s remo to s vía mo dem Vínculo s Externo s (pro veedo res y clientes) Otro s
Año 2004
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Incidentes en Argentina ¿Qué tipos de ataques fueron? 40% 35% 30% 25% 20% 15% 10% 5% 0%
29%
Año 2002
22%
Año 2003 Año 2004
12% 7%
6% 1%
2%
7% 2%
2%
4% 1%
2%
3%
Ac A Ro S De R C Sa O Pe F M Fr V ap ob tro a u bu ce i ru bo od ne pa m ra u b n s e t o s o i s u d d o f ga t t i de m o ca s e de de ra c aje in e te ra d no ci ó f in no c ió ió in la g le e an n au n f d f o c i ó n e de d ci e rm teb n de ce n t fo oo so e s rm oriz ac s e c or ic o ro pa i re s a i rv ac a ón k te gin d o ic i i o ió m nt el c o a p n a e o ec or s rn we nf tró et id pe b e ni rs nc co on ia l al i .. .
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Incidentes en Argentina - El 74% de las grandes empresas tienen un Responsable de Seguridad contra el 17% del año 2001. - El 60% de los encuestados reconoció que el conocimiento del personal para responder ataques informáticos es insuficiente. - El 82% de las Empresas que sufrieron incidentes de seguridad no realizaron análisis forense ni valoración de los mismos. - Durante enero y febrero de 2008 hubo más de 250 ataques exitosos a páginas Web en Argentina. Fuente: Prince & Cooke y ZoneZone-h.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Incidentes en Argentina Cantidad de incidentes graves manejados por CYBSEC: 16 14 Cantidad
12 10 8 6 4 2 0 2001
2002
200 3
200 4
200 5
200 6
200 7
Año
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Incidentes de seguridad reales - Robo de información sensible - Robo y pérdida de notebooks con información sensible - Denegación de servicio sobre equipos de networking, afectando la operación diaria de la Compañía - Denegación de servicio por el ingreso y propagación de virus y worms que explotan vulnerabilidades - Sabotaje Corporativo a través de modificaciones de programas por parte del personal interno que generó problemas de disponibilidad en servicios críticos (programa troyano) Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Incidentes de seguridad reales - Amenazas y denuncias falsas a través de mensajes de correo electrónico anónimos - Ataques locales de phishing a Bancos y Empresas - Fraude financiero
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática ¿Por qué se generan más incidentes que antes? - Crecimiento de la dependencia tecnológica - No hay una conciencia sobre la privacidad - Amplia disponibilidad de herramientas - No hay leyes globales (ni locales) - Falsa sensación de que todo se puede hacer en Internet - Gran aumento de vulnerabilidades de seguridad (sólo en el 2007 se reportaron 7.236 según CERT) - Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.) - Oferta y demanda de información confidencial más abierta Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Tendencias en incidentes - Los intrusos “saben” más técnicas para evitar que los rastreen - Nuevo origen de incidentes: redes wireless abiertas - Casos de publicación de venta en Internet de información sensible de empresas argentinas - Casos individuales de robo de identidad basados en información disponible en Internet
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Manejo de incidentes de seguridad Hacemos todo lo posible para tener un elevado nivel de seguridad en la Compañía, pero surge un incidente de seguridad grave. Tips: - No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak) - Mantener la calma por la situación personal del CSO - No comenzar buscando culpables - Obtener información de primera mano y verificarla - Establecer un Plan de Acción y coordinarlo Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Manejo de incidentes de seguridad Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar este momento. Nivel de Atención de la Gerencia durante un Incidente
% Nivel de Atención
120 100 80
0 hs 12 hs
60 24 hs 40 20
48 hs 72 hs 96 hs
0 Tiempo
Es el momento apropiado para reforzar la asignación de recursos en el área de seguridad.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Necesidades para el manejo de incidentes de seguridad - Políticas y Procedimientos previamente definidos y acordados - Capacitación del personal involucrado (seguridad informática, administradores, help-desk, auditoría, seguridad ambiental y legales) - Mantenimiento activo (capacitación periódica, simulaciones y adecuación de las Políticas y Procedimientos) - Soporte altamente especializado
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Política de Manejo de Incidentes de Seguridad Informática Procedimientos necesarios: - Detección y Denuncia de Incidentes - Recepción y Análisis de Incidentes - Neutralización del ataque - Búsqueda de información y rastreo del intruso - Secuestro y preservación de evidencia - Recuperación de datos o sistemas afectados - Restauración de la información - Cierre y documentación del proceso de manejo de incidentes
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Pasos a seguir cuando sucede un incidente 1. Reunión de relevamiento on-site con todos los referentes e involucrados. 2. Verificar la información. 3. Consolidar y revisar toda la información relevada. 4. Análisis preliminar de impacto del incidente. 5. Elaborar el diagnóstico detallado de la situación.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Pasos a seguir cuando sucede un incidente 6. Definir los mensajes de comunicación a transmitir a través de canales de comunicación externos e internos. 7. Elaborar un Plan de Acción detallado y consensuado con todas las áreas participantes. 8. Organizar grupos de trabajo para llevar adelante las actividades planificadas en el Plan de Acción coordinados por el CSO.
9. Implementar y gerenciar el Plan de Acción priorizando las actividades más críticas con el objetivo de bajar lo mas rápido posible el nivel de exposición al riesgo que afecta a la Compañía. Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Pasos a seguir cuando sucede un incidente 10. Documentar detalladamente TODO lo realizado. 11. Vuelta a la normalidad. 12. Luego del cierre del incidente: - Aplicar “lecciones aprendidas”. - En lo posible estimar las pérdidas económicas. - Ajustar los procedimientos. - Informe ejecutivo al Directorio y áreas de negocio.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Análisis Forense Informático “Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología definida”.
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Metodología de Análisis Forense Informático El primer paso es identificar los equipos que pueden contener evidencia, reconociendo la frágil naturaleza de los datos digitales. La segunda gran tarea es preservar la evidencia contra daños accidentales o intencionales, usualmente esto se realiza efectuando una copia o imagen espejada exacta del medio analizado. El tercer paso es analizar la imagen copia de la original, buscando la evidencia o información necesaria. Finalmente una vez terminada la investigación se debe realizar el reporte de los hallazgos a la persona indicada para tomar las decisiones, como puede ser un juez o un CEO. Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Documentar la Escena ¿Secuestrar volátiles?
Si
¿Es necesario Investigar on-site?
Capturar volátiles
Si
Investigar on-site
Hacer imágenes Investigar en el Laboratorio Si
Generar Conclusiones
¿Volver a buscar más información?
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Manejo y Análisis de Incidentes de Seguridad Informática Buenas Prácticas frente a incidentes de seguridad Hay que tener comunicados.
procedimientos
claramente
definidos
y
Es muy importante que todo el personal esté entrenado previamente y sepa qué tiene que hacer frente a un incidente. Durante las primeras horas tendremos la atención de la Compañía puesta en nosotros. Es clave aprovechar ese momento. El tiempo es un factor que nos puede llegar a jugar en contra. Cuanto antes reaccionemos, mejor estaremos preparados para manejar el incidente. Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Contacto: Julio Ardita
[email protected]
CYBSEC