PDF de programación - Desarrollo de una red de equipos de seguridad informática, paradojas y desafíos

Congreso Seguridad en
Computo 2011

Desarrollo de una red de equipos
de seguridad informática,
paradojas y desafíos



Msc. Ing. Eduardo Carozo, CIS

www.proyectoamparo.net

Agenda

!  Desafíos
!  Paradojas
!  Que tenemos que hacer en un CSIRT?
!  Desarrollo de la red

Desafíos

!  Hoy

!  Miles de sistemas operativos
!  Millones de aplicaciones

!  2020

!  Miles de millones de dispositivos, con capacidad de

almacenamiento y computo (según IDC):

!  2.6 mil millones de usuarios de internet móviles
!  1.9 mil millones de PC/laptops
!  31 mil millones de smart meters
!  2 Teras de transacciones financieras
!  Disponibilidad de direcciones IP, para muchos más

dispositivos con IPv6

Desafíos

!  Reingeniería: Pasa por automatización de controles

de servicios esenciales, la mayoría de los SCADA
en Nivel 3

!  Masividad de dispositivos estándares (ej. Modems

adsl)

!  Dispositivos móviles con capacidad equivalente a

un Desktop..

!  Integración de datos cada vez más relevantes,
valiosos y catalogados como personales en las
aplicaciones (ej. localización, redes sociales,
kinect, venta de aplicaciones en línea, etc.)

Desafíos

!  Mayor alcance de la conectividad, facilita la

administración, pero complejiza la respuesta a
incidentes y fallos

!  La baja de costo de desarrollo y los nuevos canales

de difusión de nuevas aplicaciones en los
dispositivos actuales y futuros

!  La infraestructura cloud,! exige comportamientos
diferentes respecto de la gestión de la información

!  En muy corto tiempo las interacciones entre
individuos e individuos, individuos y
organizaciones, cambiarán completamente

Desafíos

!  La aparición de aplicaciones para el hogar a través
de Internet serán de gran utilidad para los usuarios

!  El usuario tiene una mayor interrelación (para la

que no está preparado) con la tecnología que
pretenda utilizar

!  Falta de capacidad actual y futura de acompasar la

normativa y legislación al proceso de cambio

!  Estamos entrando en una era mucho más cómoda,

pero drásticamente más dependiente de la
tecnología

Paradojas

!  Usuario/Empresas

!  Más acceso e interacción, mas usabilidad
!  Menos comprensión de la complejidad y consecuencia

de las acciones

!  Más dependencia
!  Más superficie expuesta de vulnerabilidades
!  Más automatismos y eficiencia
!  Más impacto de los ataques e interrupciones
!  Más simplificación y sofisticación de servicios
!  Más compleja la infraestructura, menos resiliencia



Paradojas

!  Gobierno

!  Más acceso e interacción, mas usabilidad, mas

servicios al ciudadano

!  Mayor criticidad e impacto de los ataques
!  Más dependencia
!  Más superficie expuesta de vulnerabilidades
!  Más automatismos y eficiencia
!  Más impacto de los ataques e interrupciones
!  Más simplificación y sofisticación de servicios
!  Más compleja la infraestructura, menos resiliencia



Que tenemos que hacer en un CSIRT?

Fases en la Gestión de un Incidente de Seguridad

Ciclo

de Vida

de un

Incidente

de

Seguridad

Fase Pre-Incidente
(no hay incidente reportado)

Centro de
Respuesta
preparado

! Información de contacto
! Mecanismo de reporte de

eventos o incidentes

! Celulares
! Software para servicios de
seguridad e intercambio de
información

! Sitio del Centro
! Estaciones de trabajo
! Laptops
! Servidores
! Equipamiento de red
! Estaciones y servidores de

laboratorio

! Dispositivos de
almacenamiento

! Impresora
! Cámara de fotos, filmadora
! Herramientas: sniffers,

analizadores de protocolo,
análisis forense

! Herramientas “de taller”
! Insumos para preservar

evidencia

! Capacitación, formación y

entrenamiento

! Estado del arte de la

seguridad y fuentes de
información a las cuales
recurrir

! Mecanismos para alertar a la

Comunidad Objetivo

! Software parches para mitigar

Políticas,

Procedimientos y

Manuales

Integrantes
Y funciones

Determinación

(¿es un evento o un incidente
de un integrante de la CO?)

Fase Incidente
(el incidente está siendo

gestionado)

Fase Post-Incidente
(el incidente ha sido cerrado)

Reporte

¿Comunidad

Objetivo?

NO

Incidente

de Seguridad

para

gestionar

SI

¿Evento o
incidente?

SI

NO

SI

¿Incidente?

NO

Se registra

Se notifica al

quien
reportó

¡¡Triage!!

Solicitud de
información

Rcepción de
información

Documentación

interna

!

Internet

Laboratorio

Informes

Reuniones

Documentación

interna

Información para
toda o parte de la

Comunidad

Objetivo

Información para
otros Centros de

Respuesta

Decisiones:

Políticas

Procedimientos
Capacitación

Manuales
Tutoriales

Diseño de un Flujograma del Proceso
de Gestión de Incidentes, end to end.

Varias fuentes posibles:
correo electrónico
IDS, IPS, IDPS
fax
formulario web
nota
Firewall
llamada telefónica
chat
hablado
prensa
RSS
logs
Web

El objetivo es determinar
de una manera y con un
esfuerzo razonable, que
alguien ha reportado un
evento o incidente de
seguridad. Puede tratarse de
una denuncia anónima

Es importante que más allá
que el reporte llegue por un
medio informal, se de la
pueda validar

Si no es un evento ni un
incidente, se registrará,
principalmente con fines
estadísticos y se le informará
a quien lo reportó de la
decisión tomada

Si es un evento, se
registrará, principalmente
con fines estadísticos y se
le informará a quien lo
reportó de la decisión
tomada
Si es un incidente de
seguridad, se lo gestionará y
se le informará de ello a
quién lo reportó

¿Comunidad

Objetivo?

NO

SI

¿Origen verificado?

SI

NO

¿Información
proporcionada
Por medio
adecuado?

NO

SI

¿Evento o
incidente?

SI

¿Incidente?

SI

NO

NO

Incidente

a

gestionar

Se le

informa a
quien lo
reportó

Determinación

Reporte

SI

¿Se obtiene en un
plazo razonable?

NO

Solicitar

información
para verificar

origen

Se entiende por “plazo
razonable”, una semana

Se entiende por “plazo
razonable”, una semana

SI

¿Se obtiene en un
plazo razonable?

NO

Se solicita el
envio de la
información
por medio
adecuado

Se le

informa a
quien lo
reportó

Se registra la

acción

Diseño de un Flujograma del Proceso
de Gestión de Incidentes, end to end.

1

2

3

4

Incidente a
gestionar

¿Se requiere

información de la

Comunidad
Objetivo?

2

NO

¿Se requiere

información de otros

Centros?

3

NO

¿Se requiere más

información de quién

lo reportó?

Se almacena en un servidor, la información que se

conoce hasta ese momento

Incidente

y Post-Incidente

¿Se requiere informar

a la Justicia?

NO

NO

1

SI

Nada

Se elabora

documento para

Legal

Se almacena el documento elaborado

Se envía
información
a la Justicia

1

2

1

2

Se solicita
información

¿Se obtiene la

información solicitada?

SI

Proceso de
análisis de la
información
recabada y

solicitud de más

información

3

3

4

Se anexa a la

información que ya se

dispone sobre el

incidente que se está

gestionando

Proceso de
elaboración
de Informe de

Cierre

Informe de Cierre

Proceso de
elaboración
de Informe
Devolución al

Cliente

Informe

Devolución al

Cliente

Se envía
Informe

Devolución
al Cliente

SI

SI

SI

|

Registro

Modelos organizacionales

!  Factores para definir el modelo adecuado

!  Circunscripción
!  Misión
!  Servicios que se van a proporcionar
!  Posición en la organización
!  Posición de la organización
!  Obligaciones y autoridad
!  Infraestructura
!  Financiamiento de la operación
!  Estructura



Recomendaciones para la posible inserción
del CSIRT en la organización y sus posibles
modelos de relación

Modelo



Equipo



de Seguridad

Descripción


Es la organización que se da de
hecho cuando no existe un CSIRT
constituido.

No hay una asignación formal de
responsabilidades respecto a los
incidentes de seguridad.

El personal existente, usualmente
de TI, maneja los eventos de
seguridad como parte de su
actividad habitual.

Servicios


Básicos:
•  Análisis de Incidentes.
•  Respuesta al incidente en el lugar.
•  Coordinación de respuesta a incidentes.
•  Respuesta a Vulnerabilidades.
•  Respuesta a Artefactos.
•  Configuración y mantenimiento de herramientas.
•  Servicios de detección de intrusiones.
Adicionales:
•  Alertas y Advertencias.
•  Análisis de Vulnerabilidades.
•  Coordinación de respuesta a vulnerabilidades.
•  Análisis de Artefactos.
•  Coordinación de la respuesta a Artefactos.

Recomendaciones para la posible inserción
del CSIRT en la organización y sus posibles
modelos de relación

Descripción

Servicios

Modelo



Equipo



Distribuido


Es una estructura central pequeña
(al menos un gerente de seguridad)
supervisa y coordina al personal
del equipo distribuido en la
organización.

El personal del equipo distribuido
es personal previamente existente
en la organización. Se le asignan
explícitamente responsabilidades
relativas a seguridad, a las que se
dedica parcial o totalmente.

Este modelo se adecúa bien a
organizaciones grandes en las que
un equipo centralizado puede ser
insuficiente.


Básicos:
•  Alertas y Advertencias.
•  Análisis de Incidentes.
•  Soporte telefónico / correo electrónico.
•  Coordinación de respuesta a incidentes.
•  Coordinación de respuesta a vulnerabilidades.
•  Anuncios.
Adicionales:
•  Respuesta al incidente en el lugar.
•  Análisis de Vulnerabilidades.
•  Respuesta a Vulnerabilidades.
•  Análisis de Artefactos.
•  Respuesta a Artefactos.
•  Coordinación de la respuesta a Artefactos.
•  Observatorio tecnológico.
•  Auditorías o evaluaciones de seguridad.
•  C o n f i g u r a c i ó n y m a n t e n i m i e n t o d e
•  Desarrollo de herramientas.
•  Servicios de detección de intrusiones.
•  Difusión de información relacionada con
•  Análisis de Riesgo.
•