gestión de incidentes de seguridad informática

Pero hay que tener en cuenta una serie de obstáculos como: También ayuda  a identificar al atacante los sistemas de escaneos, logs, IDS, etc. Programa Acredita 2023 – Abierto plazo de inscripción, 14.390 plazas ofertadas para trabajar en el SAS, Finaliza el curso de Técnicas Administrativas Básicas impartido en Tomares, Abierto plazo de inscripción: 2.874 plazas de Auxilio Judicial, Gestión y Tramitación Procesal. Route: muestra y manipula las tablas de enrutamiento del equipo. No obstante, los servidores de correo también podrían ser configurados para no aceptar envíos de mensajes desde equipos externos a la red local. “TCP Window Scanning”: permite reconocer determinados puertos abiertos a través del tamaño de ventana de los paquetes TCP. Adquisición e instalación de herramientas informáticas y dispositivos que faciliten la respuesta ante incidentes. 100 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 4.2.3 Análisis de las evidencias obtenidas El análisis de las evidencias digitales capturadas en las etapas anteriores podría ser realizado mediante herramientas especializadas (como EnCase) que permiten analizar la imagen obtenida de los discos duros sin tener que volcarla a otro disco o unidad de almacenamiento. Para garantizar la adecuada protección de los logs, será necesario almacenarlos de forma segura en un entorno distinto al del sistema protegido, para evitar que los intrusos los puedan modificar o eliminar: grabación de los registros en discos WORM (Write Once Read More), generación de una copia en papel, etcétera. Proceso de verificación de la intrusión RESPUESTA ANTE INCIDENTES DE SEGURIDAD 73 El objetivo perseguido con la Guía de Procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad, realizando los pasos necesarios y en el orden adecuado para evitar errores ocasionados por la precipitación o la improvisación. Distintos tipos de ataques en una red de ordenadores Seguidamente se presenta una relación de los principales tipos de ataques contra redes y sistemas informáticos: 1.4.1 Actividades de reconocimiento de sistemas Estas actividades directamente relacionadas con los ataques informáticos, si bien no se consideran ataques como tales ya que no provocan ningún daño, persiguen obtener información previa sobre las organizaciones y sus redes y sistemas informáticos, realizando © STARBOOK CAPÍTULO 1. Por último, la recuperación es la etapa del Plan de Respuesta a Incidentes en la que se trata de restaurar los sistemas para que puedan volver a su normal funcionamiento. Organización de la información de un proyecto. Además, estas actividades de monitorización y registro se realizan tratando de pasar de forma inadvertida para los intrusos. La NSA utiliza su poder e influencias para restringir la disponibilidad pública de los últimos avances y técnicas criptográficas. Herramientas como Tripwire (www.tripwire.org) facilitan esta función. Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario interno o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o recursos de forma no autorizada. A pesar de ser intangibles, las evidencias digitales o electrónicas pueden ser admitidas como prueba en un juicio, si se ofrecen unas determinadas garantías en las distintas etapas del análisis forense, mediante el aislamiento de la escena del crimen para evitar la corrupción de ésta y de las posibles evidencias que en ella puedan hallarse. Gracias a sus conocimientos informáticos pudo intervenir la central de conmutación para que su línea personal de teléfono fuera seleccionada como la ganadora en multitud de concursos y ofertas telefónicas, mientras bloqueaba la de otros usuarios del servicio. Utilización de privilegios. Pero los Gobiernos no solo deben afrontar las amenazas del ciberterrorismo y las guerras cibernéticas, sino que también deben mejorar la seguridad física y lógica de sus sistemas y bases de datos, para evitar que por un descuido puedan extraviarse decenas de miles de registros con datos de los ciudadanos. Por su parte, la herramienta Traceroute proporciona una relación de todos los equipos incluidos en una ruta entre dos equipos determinados. Realización de un nuevo análisis detallado de las vulnerabilidades y riesgos del sistema informático. Así, un 17% de las Pymes norteamericanas había sufrido algún tipo de extorsión por la red, según un estudio de la Universidad Carnegie Mellon dado a conocer en septiembre de 2005. También han aumentado los casos de extorsión a particulares a través de Internet, consistentes en la publicación o amenaza de publicación de alguna información difamatoria sobre la víctima, utilizando algún medio de la Red (páginas web, foros, grupos de noticias…). ¡Temario GRATIS para prepararte las oposiciones de CORREOS! La tarea de análisis de los ficheros se puede ver dificultada por el hecho de que algunos de estos ficheros se encuentren comprimidos y/o cifrados (en este último caso resultará mucho más difícil el análisis si se ha utilizado un algoritmo de cifrado robusto). Los técnicos pudieron solucionar parcialmente el problema seis horas después, aunque no lograron volver a ponerlo en funcionamiento completamente, porque la operación hubiera llevado unas cuatro o cinco horas y habría provocado nuevas demoras en los servicios. Mediante este curso en línea podrás seguir la formación a tu ritmo y en el horario que tengas disponible. Para ello, será necesario disponer de la información sobre el estado del sistema previo al incidente (firmas digitales de los ficheros y librerías, mediante algoritmos como SHA1 o MD5). Eventos de sistema. Las arquitecturas de IDS más importantes son CIDF e IDWG. Ocupaciones y puestos relevantes:Almaceneros de empresas de transportes. A lo largo de estos últimos años también se ha creado lo que algunos expertos en seguridad informática han dado en llamar la “yihad electrónica”, constituida por varios miles de islamistas que se han especializado en la organización y la coordinación de cibercampañas contra los sitios Web israelíes, estadounidenses, católicos o daneses (en este último caso a raíz de la publicación de las caricaturas de Mahoma en ese país). Almacenamiento de contenidos ilegales en los equipos: muchos atacantes aprovechan los equipos comprometidos de una organización para guardar y distribuir copias piratas de software, canciones o vídeos, pornografía infantil… Modificación o destrucción de archivos y documentos guardados en un servidor. Las distintas técnicas de criptoanálisis: criptoanálisis lineal, diferencial, técnicas de análisis estadístico de frecuencias, etcétera. GESTIÓN DE INCIDENTES DE SEGURIDAD 67 2.6 OTRAS HERRAMIENTAS Y APLICACIONES DE UTILIDAD Podemos destacar otras herramientas y aplicaciones que pueden resultar de ayuda para gestionar y supervisar la seguridad en las redes de ordenadores. El concepto de sistema trampa ya fue propuesto hace algunos años por Cliff Stoll en su libro Cukoo’s Egg. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. 1.1.2 Crackers (blackhats) Los crackers son individuos con interés en atacar un sistema informático para obtener beneficios de forma ilegal o, simplemente, para provocar algún daño a la organización propietaria del sistema, motivados por intereses económicos, políticos, religiosos, etcétera. Así, por ejemplo, en los sistemas UNIX se podría utilizar la herramienta “System log”, mientras que en los sistemas Windows se puede recurrir al registro de eventos (event log). El atacante podría haber empleado una dirección IP dinámica, asignada a su equipo por un proveedor de acceso a Internet. Eliminación de todos los medios posibles que faciliten una nueva intrusión en el sistema: cambiar todas las contraseñas de los equipos a los que hayan podido tener acceso atacantes o usuarios no autorizados; revisar la configuración de los equipos; detectar y anular los cambios realizados por los atacantes en los equipos afectados; restaurar programas ejecutables y ficheros binarios (como las librerías del sistema) desde copias seguras; mejorar, si es posible, los mecanismos de registro de la actividad en estos equipos. 84 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Aplicación de soluciones de emergencia para tratar de contener el incidente: desconectar los equipos afectados de la red corporativa; desactivar otros dispositivos y servicios afectados; apagar temporalmente los equipos más críticos; cambiar contraseñas e inhabilitar cuentas de usuarios; monitorizar toda la actividad en estos equipos; verificar que se dispone de copias de seguridad de los datos de los equipos afectados por el incidente; etcétera. Reconfiguración de los cortafuegos de la red para filtrar el tráfico que pueden estar causando el incidente. Se utiliza el término de phishing para referirse al tipo de ataques que tratan de obtener los números de cuenta y las claves de acceso a servicios bancarios, para realizar con ellos operaciones fraudulentas que perjudiquen a los legítimos propietarios. Agentes inteligentes como gestores de incidentes de seguridad informática. Generación de tráfico extraño en la red: envío de mensajes de correo electrónico hacia el exterior con contenido sospechoso, inusual actividad de transferencia de ficheros, escaneo de otros equipos desde un equipo interno, etc. Address: Be the first to receive exclusive offers and the latest news on our products and services directly in your inbox. Así mismo, también podemos encontrar algunos servicios que se encargan de evaluar el estado del tráfico en Internet, como Internet Health Monitoring (www.internetpulse.net), que contribuye a la detección y control de los ataques de Denegación de Servicio (DoS). LA FUNCION DE SEGURIDAD INFORMÁTICA EN LA EMPRESA _____ Este siempre ha sido un tema complicado porque cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa. En abril de 2007 se daba a conocer que un grupo de piratas informáticos chinos habían logrado acceder a los ordenadores personales de varios oficiales de Taiwán y copiar información secreta sobre las maniobras anuales Han Kuang, que simulan la defensa de la isla frente a un ataque chino. Implementación de las mejoras de seguridad propuestas como consecuencia de las “lecciones aprendidas” en cada incidente: revisión de las políticas y procedimientos de seguridad, realización de un nuevo análisis detallado de las vulnerabilidades y riesgos del sistema, etcétera. ; ¿qué tipo de información se obtuvo para gestionar el incidente? De este modo, se persigue “inyectar” información falsa en el base de datos del servidor de nombres, procedimiento conocido como “envenenamiento de la caché del servidor DNS”, ocasionando con ello serios problemas de seguridad, como los que se describen de forma más detallada a continuación: Redirección de los usuarios del servidor DNS atacado a websites erróneos en Internet, que simulan ser los websites reales. 96 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK todas las actividades que se realizarán en cada una de las etapas del análisis forense en sistemas informáticos. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 107 Más recientemente, la publicación de decenas de miles de documentos secretos e información confidencial por parte de la organización Wikileaks a finales del año 2010 ha venido a poner de manifiesto las deficientes medidas de seguridad informática en distintos Departamentos del Gobierno de Estados Unidos. Por su parte, la arquitectura IDWG (Intrusion Detection Working Group) propone el formato IDEF (Intrusion Detection Exchange Format) para facilitar el intercambio de información sobre los incidentes de seguridad. Mediante el Visor de Sucesos es posible acceder a la información de estos tres registros. Ideología: ataques realizados contra determinadas organizaciones, empresas y websites gubernamentales, con un contenido claramente político. Un Host IDS requiere de la instalación de un dispositivo sensor, conocido como “agente”, en el equipo informático objeto de monitorización. En mayo de 2005 se informaba de varios casos de crackers que habían conseguido “secuestrar” archivos o páginas web de otros usuarios, solicitando un rescate para proceder a su “liberación”. Categorización de los incidentes derivados de intentos de intrusión o infecciones en función de su impacto potencial Arquitecturas más frecuentes de los sistemas de detección de intrusos Este Centro Alternativo debería contar con las mismas medidas de seguridad informática que las instalaciones principales de la organización. Exposición del Principio de Lockard GESTIÓN DE LOS SERVICIOS DE SEGURIDAD Versión No. En dicha documentación se debe reflejar de forma clara y precisa la identificación de las personas que intervienen en el proceso, así como el momento y lugar en que se captura cada una de las evidencias. En los servidores Web se utiliza este lenguaje para acceder a bases de datos y ofrecer páginas dinámicas o nuevas funcionalidades a sus usuarios. 90 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 3.12.3 Agencia Europea de Seguridad de las Redes y de la Información Agencia europea creada por decisión del Consejo y del Parlamento (EC 460/2004) con la finalidad de alcanzar un alto nivel de seguridad en las redes y en el tratamiento de la información dentro de la Unión Europea. Además, se pueden descargar nuevas reglas directamente desde bases de datos disponibles en Internet, que permiten catalogar nuevos tipos de incidentes, exploits y vulnerabilidades de sistemas. Long, J. En un principio, este tipo de aplicaciones eran distribuidas por proveedores de acceso a Internet para facilitar a sus clientes el proceso de conexión con el servidor. Para ello, existen varias posibilidades de conseguirlo: Ejecutar algunas actividades que produzcan un elevado consumo de los recursos de las máquinas afectadas: procesador, memoria y/o disco duro, provocando una caída en su rendimiento. Llegado a este punto, conviene destacar un problema adicional de los servidores DNS, y es que se suelen dedicar a esta función equipos antiguos y con un mantenimiento deficiente, ejecutando versiones obsoletas de sistemas operativos, sin los parches y actualizaciones recomendadas por los fabricantes. Diversión: algunos usuarios de Internet realizan estos ataques como una forma de pasar el rato delante de su ordenador. Se debe reportar el posible incidente de seguridad de la información a la herramienta mesa de servicios ver procedimiento de Gestión de Así mismo, es necesario garantizar que los datos digitales adquiridos de copias no puedan ser alterados, por lo que para su obtención se deberían emplear herramientas de generación de imágenes bit a bit, que incorporen códigos de comprobación (checksums o algoritmos de huella digital como SHA-1 o MD5) para facilitar la comprobación de la integridad de estos datos. Estadísticas de incidentes de Seguridad Informática 2021. Por su parte, la Informática Forense se encarga de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional (definición propuesta por el FBI). La dirección URL se construye de forma especial para que incluya un Script del atacante, que será transmitido por el servidor afectado al cliente que utilice el enlace para visitar esa dirección Web. La arquitectura IDWG ha definido un modelo de datos orientado a objetos basado en lenguaje XML para describir los eventos, conocido como IDMEF (Intrusion Detection Message Exchange Format). Cresson, C. (2002): Information Security Policies Made Easy, PentaSafe Security Technologies. Registro del Sistema: incluye los errores, advertencias y sucesos generados por el propio sistema operativo y sus servicios esenciales. El número de unidades que se deben disponer de los utensilios, máquinas y herramientas que se especifican en el equipamiento de los espacios formativos, será el suficiente para un mínimo de 15 alumnos y deberá incrementarse, en su caso, para atender a número superior. 11 Un rootkit es un programa dañino que simula actuar como una herramienta o servicio legítimo del sistema infectado. El equipo de CSIRT (Computer Security Response Team) está constituido por las personas que cuentan con la experiencia y la formación necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad informática de la organización. En agosto de 2008 un fallo informático en la Agencia Federal de Aviación (FAA) de Estados Unidos provocaba el colapso del tráfico aéreo en todo el país, tal y como reflejaban en directo las noticias de la CNN. Demostrador/a de productos y aparatos de peluquería. Un procedimiento para la recuperación frente a desastres debería contemplar las siguientes actividades: Detección y respuesta al desastre en el Centro Principal: - Adopción de las medidas de contención previstas dependiendo del tipo de desastre: incendio, inundación, explosión… - Comunicación a las personas y organismos externos indicados según el tipo de desastre. Generalmente, se utilizan páginas web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar. Alarmas generadas en los Sistemas de Detección de Intrusos (IDS), en los cortafuegos o en las herramientas antivirus. Whois: relaciona nombres de dominio con direcciones IP. 2.7 DIRECCIONES DE INTERÉS Cortafuegos: Firewall-1 de CheckPoint: http://www.checkpoint.com/. Internet Storm Center: http://isc.sans.org/. Adquisición de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad. AMENAZAS A LA SEGURIDAD INFORMÁTICA SYN 47 SYN SYN/ACK SYN/ACK ACK Cliente Servidor Cliente Servidor Figura 1.15. Identificación y caracterización de los datos de funcionamiento del sistema © STARBOOK CAPÍTULO 3. Se puede recurrir a distintas técnicas de escaneo, siendo las más conocidas las que se describen a continuación: Técnica “TCP Connect Scanning”: Esta técnica de escaneo es la más sencilla, ya que consiste en el envío de un paquete de intento de conexión al puerto del servicio que se pretende investigar, para comprobar de este modo si el sistema responde aceptando la conexión o denegándola. El presente gráfico trata de representar las fases del ciclo de gestión de incidentes y los grupos de atención que deben tratarlo en cada fase. Esta estrategia de contención es la más adecuada cuando se puedan ver afectados servicios críticos para la organización, se pueda poner en peligro determinada información confidencial, se estén aprovechando los recursos de la organización para lanzar ataques contra terceros o cuando las pérdidas económicas puedan ser considerables. Hechos registrados (eventos en los logs de los equipos). Para ello, conviene apagar de forma repentina el equipo, de modo que se pueda evitar que en el proceso de apagado desde el sistema operativo se puedan borrar algunas evidencias, ya que el atacante podría haber incluido alguna rutina para eliminar evidencias de sus actuaciones dentro del sistema cuando éste fuera apagado. Esta tarea se puede completar posteriormente con un análisis de riesgos en el sistema informático, en el que se pretende determinar cuál es el nivel de riesgo a partir del análisis de posibles amenazas y vulnerabilidades. ), que se pueden detectar mediante herramientas de revisión de la integridad de ficheros. Así, podemos encontrar en Internet aplicaciones que permiten simular determinados servicios para registrar los posibles intentos de ataque e intrusión, como BackOfficer Friendly, Specter, Honeyd, Decoy Server de Symantec, Deception Toolkit, etcétera. Así, por ejemplo, podríamos citar en primer lugar determinadas herramientas y comandos incluidos en el propio sistema operativo de un ordenador, entre las que destacan las siguientes8: Netstat: comando que muestra el estado de las conexiones de red. Con este curso el alumnado podrá adquirir los conocimientos necesarios que permitan planificar e implantar los sistemas de detección de intrusos según las normas … En junio de 2007 un grupo de piratas informáticos checos lograba interrumpir un programa de la cadena de televisión Ceska Televize sobre las montañas de Krkonose, y mostraron los efectos devastadores de la explosión de una bomba atómica en la zona, lo que atemorizó a muchos telespectadores. Specter: http://www.specter.com/. ; etcétera. Existencia de herramientas no autorizadas en el sistema. Técnicas que se basan en el análisis de los mensajes de error generados ante paquetes de control ICMP malformados enviados a un equipo: modificación maliciosa de la cabecera del paquete, uso de valores inválidos, etcétera. - Real Decreto 628/2013, de 2 de agosto, por el que se establecen cuatro certificados de profesionalidad de la familia profesional Informática y comunicaciones que se incluyen en el Repertorio Nacional de certificados de profesionalidad y se actualizan los certificados de profesionalidad establecidos como anexos I, II, III, IV, V, VI, VII, VIII, IX, X, XI y XII del Real Decreto 1531/2011, de 31 de octubre y como anexos I, II, III, IV, V y VI del Real Decreto 686/2011, de 13 de mayo (BOE 19-09-2013). En relación con los ficheros incluidos en la copia del disco o discos del sistema, conviene realizar las siguientes tareas: Identificación de los tipos de archivos, a partir de sus extensiones o del estudio de los “números mágicos” (Magic Numbers), es decir, de la información contenida en la cabecera de cada fichero. Tabla 3.2. De hecho, algunas empresas ya han sufrido varios casos de difusión de virus y ataques de denegación de servicio realizados por expertos informáticos que habían sido contratados por algún competidor. Criterios de seguridad para la configuración de las herramientas de protección frente a código malicioso Lanzamiento de bombas electromagnéticas para neutralizar todos los equipos electrónicos militares no protegidos y silenciar a las principales emisoras de radio y televisión. Seguimiento de procesos. Figura 1.4. Tener en cuenta el cumplimiento de la normativa existente ya en algunos países, se obliga a la notificación de los incidentes de seguridad a determinados organismos de la Administración. © STARBOOK CAPÍTULO 2. GESTIÓN DE INCIDENTES DE SEGURIDAD 57 2.3 SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) 2.3.1 Características básicas de los IDS Los Sistemas de Detección de Intrusos (Intrusion Detection Systems, IDS) son los sistemas encargados de detectar y reaccionar de forma automatizada ante los incidentes de seguridad que tienen lugar en las redes y equipos informáticos. Incluso existen herramientas que facilitan este tipo de ataques ocultando su actividad y que se pueden obtener de forma gratuita en Internet. También podemos considerar dentro de este tipo de ataques la difusión de correos electrónicos con ofertas falsas o engañosas, así como la publicación de falsas noticias en foros y grupos de noticias, con distintas intenciones, como podría ser el caso de intentar alterar el valor de las acciones de una empresa (de hecho, ya se han producido varias de estas actuaciones en Estados Unidos y en Europa). Incidente de seguridad informática: Un incidente de seguridad informática es la violación o amenaza inminente a la violación de una política de seguridad de la información implícita o explícita. En la actualidad, falsificar mensajes de correo resulta bastante sencillo porque el protocolo SMTP carece totalmente de autenticación. Para ello, se envían una serie de paquetes de control ICMP que permiten determinar el número de saltos (nodos o equipos que hay que atravesar) necesarios para alcanzar un determinado equipo (host) destinatario. Se trata, por tanto, de un sistema redundante, adecuado para situaciones que requieran de una alta disponibilidad. 1.4.10.3 ATAQUES DE INYECCIÓN DE CÓDIGO SQL SQL, Structured Query Language (Lenguaje de Consulta Estructurado), es un lenguaje textual utilizado para interactuar con bases de datos relacionales. Entre ellas podríamos citar el establecimiento de múltiples conexiones simultáneas, el envío masivo de ficheros de gran tamaño o los ataques lanzados contra los puertos de configuración de los routers. PROCEDIMIENTO GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN P5.GTI 28/01/2020 Versión 6 Página 1 de 16 ... Para el caso de los incidentes de seguridad informática, el equipo de respuesta estará conformado por el propietario y/o custodio del activo, el 912 171 879. Estos silbatos generaban tonos de una frecuencia de 2.600 Hz, empleada para la señalización interna en las redes y centralitas del operador de telefonía AT&T en Estados Unidos. Así mismo, la NSA es uno de los principales centros de investigación en criptografía y criptoanálisis del mundo. La erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, entre las que podríamos citar posibles “puertas traseras” instaladas en los equipos afectados, rootkies u otros códigos maliciosos, etc. - Verificación del nivel de servicio recuperado. Astalavista – The Underground: http://www.astalavista.com/. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 113 espionaje industrial y comercial por parte de Estados Unidos, con la colaboración del Reino Unido. Sin embargo, en enero de 2005 el FBI anunciaba su intención de desechar este programa y reemplazarlo por otras soluciones comerciales convencionales que resultaban mucho más económicas. Otra alternativa sería la de modificar las rutas a través de los propios protocolos de enrutamiento utilizados, como RIP (puerto UDP 520) o BGP. Uno de estos virus es el denominado “Qhosts/Delude”, dado a conocer en octubre de 2003 y que se caracteriza por realizar una serie de cambios en la configuración TCP/IP del equipo identificado, modificando las direcciones de los servidores de DNS y creando un nuevo archivo HOSTS en el disco duro para que, de esta forma, se puedan redireccionar de forma transparente determinadas peticiones de acceso a servicios de Internet, es decir, el equipo infectado utilizará a partir de ese momento un servidor de nombres ilegítimo, que podría estar bajo el control del creador del virus. suelen ser marcas registradas. Por Incidente de Seguridad entendemos cualquier evento que pueda provocar una interrupción o degradación de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad, o integridad de la información. Revisión de los permisos de acceso y ejecución de los ficheros, así como de la información sobre quiénes son sus propietarios. De este modo, los Servicios de Seguridad Estatales podrían tener acceso al contenido de las comunicaciones de los usuarios y a la información sobre el tráfico cursado tanto en Internet, como en los servicios de llamadas móviles terrestres, los servicios de llamadas de larga distancia e internacionales, la transmisión de datos o los mensajes de correo de voz. Por supuesto, será necesario evitar que personal no autorizado pueda tener acceso a esta documentación sensible. Dirección de correo electrónico de contacto: [email protected] INTRODUCCIÓN Este libro se dedica al estudio de la gestión de incidentes de seguridad informática. Se debe prestar atención a los posibles indicadores de un incidente de seguridad. Detección de procesos extraños en ejecución dentro de un sistema, que se inician a horas poco habituales o que consumen más recursos de los normales (tiempo de procesador o memoria)10. © STARBOOK CAPÍTULO 5. Servicio de Información de RIPE-NCC (Réseaux Coordination Center) para Europa: www.ripe.net. También es posible conseguir una activación automática de los ataques de Cross-Site Scripting, aprovechando vulnerabilidades conocidas relacionadas con la forma en que ciertos navegadores Web y lectores de correo electrónico interpretan los tipos MIME de los documentos compuestos. Formación y entrenamiento del personal afectado por este plan y procedimientos de actuación. Seguidamente el equipo de respuesta debería determinar cómo se ha producido el incidente: Qué tipo de ataque informático (si lo ha habido) ha sido el causante, Qué vulnerabilidades del sistema han sido explotadas. 3.12.1 CERT/CC (Computer Emergency Response Team/Coordination Center) El CERT, el “Equipo de Respuesta a Emergencias Informáticas”, es el primer y más conocido centro de respuesta, creado en diciembre de 1988 por la agencia DARPA de Estados Unidos para gestionar los incidentes de seguridad relacionados con Internet. Si el atacante ha utilizado técnicas de enmascaramiento (como IP Spoofing), la organización podría lanzar un ataque contra equipos y redes inocentes, con las correspondientes responsabilidades legales que se derivan de esta actuación, por lo que podría ser denunciada por las organizaciones propietarias de estos equipos atacados a modo de represalia. Transporte de copias de seguridad a un almacén Centro Alternativo “Frío”: Se trata de un Centro Alternativo que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización. (2000): Secrets & Lies. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 89 3.12 ORGANISMOS DE GESTIÓN DE INCIDENTES Para combatir de forma más eficaz las distintas amenazas que afectan a la seguridad de los sistemas informáticos, en estos últimos años se han creado varios organismos especializados cuya misión es alertar a los gobiernos, empresas y ciudadanos en general para poder contener y minimizar los daños ocasionados por los ataques informáticos. ANÁLISIS FORENSE INFORMÁTICO 103 Figura 4.3. En este sentido, los documentos RFC 1244 y RFC 2196 (del IETF, Internet Engineering Task Force) proponen la siguiente priorización de las actividades a realizar por parte de un equipo de respuesta a incidentes: Prioridad uno: proteger la vida humana y la seguridad de las personas. Modificación de contenidos para engañar al visitante víctima del ataque Cross-Site Scripting, con la posibilidad de construir formularios para robar datos sensibles, como contraseñas, datos bancarios, etcétera. KeyGhost: http://www.keyghost.com/. Apóyenos, denos un like, para apoyar el contenido! En virtud de lo dispuesto por esta ley, toda empresa afectada por un ataque o incidencia informática deberá informar de este hecho por correo electrónico a sus clientes, indicándoles que el número de su tarjeta de crédito o algún otro dato de carácter personal podría haber sido sustraído de los ordenadores de la empresa. Definición de políticas de corte de intentos de intrusión en los IDS/IPS, Análisis de los eventos registrados por el IDS/IPS para determinar falsos positivos y caracterizarlos en las políticas de corte del IDS/IPS, Relación de los registros de auditoría del IDS/IPS necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de intentos de intrusión, Establecimiento de los niveles requeridos de actualización, monitorización y pruebas del IDS/IPS, Sistemas de detección y contención de código malicioso, Relación de los distintos tipos de herramientas de control de código malicioso en función de la topología de la instalación y las vías de infección a controlar, Criterios de seguridad para la configuración de las herramientas de protección frente a código malicioso, Determinación de los requerimientos y técnicas de actualización de las herramientas de protección frente a código malicioso, Relación de los registros de auditoría de las herramientas de protección frente a código maliciosos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad, Establecimiento de la monitorización y pruebas de las herramientas de protección frente a código malicioso, Análisis de los programas maliciosos mediante desensambladores y entornos de ejecución controlada, Procedimiento de recolección de información relacionada con incidentes de seguridad, Exposición de las distintas técnicas y herramientas utilizadas para el análisis y correlación de información y eventos de seguridad, Naturaleza y funciones de los organismos de gestión de incidentes tipo CERT nacionales e internacionales, Establecimiento de las responsabilidades en el proceso de notificación y gestión de intentos de intrusión o infecciones, Categorización de los incidentes derivados de intentos de intrusión o infecciones en función de su impacto potencial, Criterios para la determinación de las evidencias objetivas en las que se soportara la gestión del incidente, Establecimiento del proceso de detección y registro de incidentes derivados de intentos de intrusión o infecciones, Guía para la clasificación y análisis inicial del intento de intrusión o infección, contemplando el impacto previsible del mismo, Establecimiento del nivel de intervención requerido en función del impacto previsible, Guía para la investigación y diagnostico del incidente de intento de intrusión o infecciones, Establecimiento del proceso de resolución y recuperación de los sistemas tras un incidente derivado de un intento de intrusión o infección, Proceso para la comunicación del incidente a terceros, si procede, Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente, Conceptos generales y objetivos del análisis forense. 70 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA Sistemas IDS: Tripwire: http://www.tripwire.org/. Sucesos que se pueden registrar en un equipo Windows Eventos de inicio de sesión interactivo. Diseño de una honeynet Los elementos integrantes de una honeynet, según el esquema anterior, serían uno o varios honeypots (servidores que actuarían de señuelos), un sistema de detección de intrusiones en red (NIDS), un servidor de logs, un dispositivo que se haría pasar por un cortafuegos (honeywall) y un router. Una base de datos de patrones de comportamiento considerados como normales, así como de los perfiles de distintos tipos de ataque. Finger: muestra información sobre un determinado usuario del sistema. Se trata, por lo tanto, de un equipo o sistema que actúa a modo de señuelo o trampa para los intrusos. También se puede obtener información interesante sobre una organización recurriendo al análisis de sus páginas web publicadas en Internet, en especial de la revisión del código fuente y de los comentarios incluidos en el propio código de las páginas HTML, ya que permitirán averiguar qué herramientas utilizó el programador para su construcción, así como alguna otra información adicional sobre el sistema (tipo de servidor o base de datos utilizada, por ejemplo). Por su parte, el proyecto HoneyNet (www.honeynet.org) se remonta a junio del año 2000, con el objetivo de “estudiar las técnicas, tácticas y motivaciones de la comunidad de atacantes y compartir las lecciones aprendidas”. Reservados todos los derechos de publicación en cualquier idioma. También se puede prever la posibilidad de realizar una grabación en vídeo por parte del equipo encargado de la captura de evidencias digitales. ; ¿qué medidas están adoptando para contrarrestarlo? © STARBOOK CAPÍTULO 3. Definición de nuevas directrices y revisión de las actualmente previstas por la organización para reforzar la seguridad de su sistema informático. Esta arquitectura está constituida por los siguientes elementos: Generador de eventos: obtención y descripción de eventos mediante objetos denominados GIDO (Generalized Intrusion Detection Objects). Eliminación de las pruebas que puedan revelar el ataque y el compromiso del sistema: eliminación o modificación de los registros de actividad del equipo (logs); modificación de los programas que se encargan de monitorizar la actividad del sistema; etcétera. Estas aplicaciones infectadas provocaban la instalación de varios programas spyware y adware en el ordenador de la víctima, así como otros códigos maliciosos. Gestión de incidentes de seguridad informática. Computer Forensic: http://www.computer-forensic.com/. Así, mediante Cross-Site Scripting, un atacante puede realizar operaciones o acceder a información guardada en un servidor Web en nombre del usuario afectado, suplantando su identidad. RA-MA ha intentado a lo largo de este libro distinguir las marcas comerciales de los términos descriptivos, siguiendo el estilo que utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del propietario de la misma. Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario. Como parte del plan de recuperación que se estipule, ESED, Ciber Security & IT Solutions propone una serie de pasos que deben ser cumplimentados luego de sufrirse ataques a la seguridad informática: 1) Identificar la amenaza y su nivel de gravedad. Explotación de las vulnerabilidades detectadas (para ello, se suelen utilizar herramientas específicamente construidas para tal fin, conocidas como exploits). La infección de PremiumSearch comienza con la instalación en el equipo de un fichero BHO (Browser Helper Object) malicioso, aprovechando algunas de las vulnerabilidades más utilizadas para la instalación de spyware. Guía 4 - Roles y responsabilidades. RFC 2350 - Expectations for Computer Security Incident Response: http://www.ietf.org/rfc/rfc2350.txt. Y finalmente ¿Cómo se resuelve el incidente? Para poder llevar a cabo un ataque informático los intrusos deben disponer de los medios técnicos, los conocimientos y las herramientas adecuadas, deben contar con una determinada motivación o finalidad, y se tiene que dar además una determinada oportunidad que facilite el desarrollo del ataque (como podría ser el caso de un fallo en la seguridad del sistema informático elegido). Security Focus: http://www.securityfocus.com/. En cuanto éste fuese detectado por la organización, determinando en primer lugar ¿Cuál es su Alcance? Fragmentación de paquetes deliberada. Estas personas deben contar con la dotación de medios técnicos y materiales necesarios para poder cumplir con eficacia su misión. El cuarto capítulo se centra en el estudio de las principales características y procedimientos incluidos en el análisis forense informático. Guía para la investigación y diagnostico del incidente de intento de intrusión o infecciones Captura de datos sobre los intrusos: en el cortafuegos, en el NIDS y en los propios registros (logs) de los honeypots. DFN-CERT: http://www.cert.dfn.de/. 42 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK El ataque por inyección de código SQL se produce cuando no se filtra de forma adecuada la información enviada por el usuario. Se ha podido comprobar que un porcentaje elevado de estas amenazas eran realizadas por un antiguo empleado de la © STARBOOK CAPÍTULO 1. Con este curso … Su venta no supone para el editor ninguna forma de asistencia legal, administrativa o de ningún otro tipo. Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en el futuro. En algunos casos será necesario contratar a las personas con la necesaria experiencia y cualificación profesional (conocimientos técnicos, habilidades de comunicación…). Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (insiders) como con los usuarios externos del sistema informático (outsiders). En muchos de estos casos, los chantajistas aseguran tener información confidencial sobre la empresa y amenazan con difundirla si no reciben una determinada cantidad de dinero. GESTIÓN DE INCIDENTES DE SEGURIDAD 65 En definitiva, podemos considerar que los sistemas basados en señuelos (honeynets y honeypots) ofrecen los siguientes servicios y funciones: Conexión segura de la red corporativa a Internet. Banda Ancha – Fibra óptica Figura 3.2. Por este motivo, su foto llegó a estar en la lista de los delincuentes más buscados por el FBI, que le persiguió durante tres años hasta que finalmente consiguió detenerlo en febrero de 1995, gracias a la colaboración del experto informático Tsutomu Shimomura, un miembro del Centro de Supercomputación de San Diego que también había sufrido uno de los ataques de Kevin Mitnick. Desarrollo de ataques específicos contra los sistemas de comunicaciones militares. Registro de las conexiones a un servidor Web Dirección IP o nombre de dominio de la máquina remota (cliente) que se conecta al servidor Web. Acceso a la base de datos Whois Por otra parte, se podrían utilizar herramientas que facilitan todos estos tipos de consultas, como podría ser el caso de “DNS Stuff” (www.dnsstuff.com). Esta estrategia se puede adoptar siempre y cuando sea posible monitorizar y controlar la actuación de los atacantes, para este modo reunir evidencias. (IDS – IPS) ¿Qué herramientas facilitan la gestión del incidente? Verificación de los procedimientos y dispositivos de copias de seguridad. 3.8 ANÁLISIS Y REVISIÓN A POSTERIORI DEL INCIDENTE: VERIFICACIÓN DE LA INTRUSIÓN Dentro del Plan de Respuesta a Incidentes se tiene que contemplar una etapa para el análisis y revisión a posteriori de cada incidente de seguridad, a fin de determinar qué ha podido aprender la organización como consecuencia del mismo. Debería estar previsto los contactos con organismos de respuesta a incidentes de seguridad informática (como el CERT), con las fuerzas de seguridad (Policía o Guardia Civil en España), con agencias de investigación y con los servicios jurídicos de la organización. 1.3 FASES DE UN ATAQUE INFORMÁTICO Los ataques contra redes de ordenadores y sistemas informáticos suelen constar de las etapas o fases que se presentan a continuación: Descubrimiento y exploración del sistema informático. Servicio de Información de RIPE-NCC (Réseaux IP Européens Network Coordination Center) para Europa: http://www.ripe.net/. 6 Ficheros o documentos que figuraban como eliminados del Sistema de Ficheros, pero que todavía figuran intactos en el disco duro del equipo.

Examen Nombramiento 2022, Hotel Los Tucanes Huachipa, Problemas De Lógica Matemática, Food And Drinks'' En Inglés Y Español, Quien Es El Vocalista Principal De Bts, Evaluación De Plagas Y Enfermedades, Eventración Abdominal Postoperatorio Cie 10,

gestión de incidentes de seguridad informática