Medidas a tener en cuenta
como elementos probatorios
en caso de una
intrusión. Un caso práctico
Manuel H. Santander Peláez
GIAC Certified Forensic Analyst
Objetivo
• Presentar a los asistentes del evento V
Jornada Nacional de Seguridad
Informática una base de controles
adecuada para llevar el registro de las
acciones realizadas por los usuarios, con
el fin de servir como pruebas a la hora de
argumentar un caso de computación
forense.
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Agenda
• Introducción
• Proceso de atención de incidentes de
Seguridad
• Factores críticos de éxito
• Línea base de controles propuesta
• Conclusiones
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Introducción
Tomado de http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2004.pdf
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Introducción
Falsificación de paquetes
Alto
Diagnóstico no detectable
Back Doors
Sweepers
Sniffers
Explotando
Vulnerabilidades
Conocidas
Hijacking de Sesiones
Deshabilitando
Auditoría
Autoreplicación de Código
Cracking de Passwords
Conocimiento
Técnico Requerido
Password Guessing
Bajo
1980
1990
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
2000
Manuel Humberto Santander P.
Introducción
Tomado de http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2004.pdf
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Introducción
• ¿Qué se considera una amenaza?
Es la posibilidad que un siniestro pueda
ocurrir.
• ¿Qué se considera un riesgo?
Es toda amenaza evaluada en cuanto su
posibilidad de ocurrencia y al impacto
esperado.
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Introducción
• ¿Qué se considera evidencia?
Se constituye en aquella porción de
información que permite afirmar o
descartar la ocurrencia de un hecho en
específico. Debe correlacionar todas las
posibles variables para no ser
circunstancial.
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Proceso de Atención de
Incidentes de Seguridad
• Objetivo:
Determinar el origen y las causas de los
incidentes de seguridad informática que
se presentan, con el fin de prevenir,
mitigar, corregir y controlar los riesgos en
la infraestructura informática que soporta
los procesos críticos del negocio
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Proceso de Atención de
Incidentes de Seguridad
• Metodología
–
–
–
–
–
–
–
–
–
Descripción del sistema
Verificación del incidente
Continuidad del servicio
Recolección de la evidencia
Creación y análisis de la línea de tiempo
Análisis específico de medios
Recuperación de datos
Realización de reportes
Implantación de recomendaciones
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Factores Críticos de Éxito
Pasos críticos:
• Verificación del incidente:
– Línea base de Seguridad
– Cuentas y privilegios
• Recolección de la evidencia
– Zona horaria
– Rootkits
– Logs arquitectura de seguridad
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Factores Críticos de Éxito
Pasos críticos:
• Análisis específico de medios:
– Recuperación de logs
– Reconocimiento trojans
– Correlación eventos Línea de Tiempo –
Firewall – IDS – IPS
– Información de inicio de sesión del modelo de
autenticación
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Factores Críticos de Éxito
Qué controles deben tenerse para
asegurar el éxito en la realización de los
pasos críticos?
DEMOSTRACIÓN
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Línea base de controles
propuesta
• Elementos:
– Direcciones IP
– Nombres de Usuario
– Punto de Red
– Roles
• Información del sistema de archivos:
– Línea de tiempo
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Línea base de controles
propuesta
• Cómo correlacionar esta información para
que tenga sentido?
– Modelo integrado de autenticación
– Registro correlacionado de asignación entre
nombre de usuario, dirección IP y permisos
– Registro de inicio de sesión para el uso de los
recursos
– Independencia de los ambientes
– Identificación adecuada de los permisos
asignados
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Línea base de controles
propuesta
• Nivel de aplicación: Metadirectorios,
Sistemas de Prevención de Intrusos (IPS),
Registro de accesos de las aplicaciones.
• Nivel de transporte y red: Firewalls, IDS,
IPSEC, VPN, DHCP.
• Nivel de Enlace de Datos: 802.1X, VLAN
Dinámicas, Aseguramiento de puertos.
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Conclusiones
• La metodología forense puede encontrar
información de un hecho delictivo en el
medio físico donde ocurrió, pero en forma
aislada, lo cual no se constituye en prueba
de fundamentación válida contra un sujeto
en la corte.
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Conclusiones
• Debe constituirse un modelo integrado
que provea la información requerida para
que la evidencia encontrada en cualquiera
de los casos sea contundente.
• Este modelo debe estar acompañado de
políticas y procedimientos que garanticen
el mano de la información del mismo
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
¿ Preguntas?
¿ Comentarios?
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Por su Atención,
¡Muchas Gracias!
Manuel H. Santander P.
[email protected]
V Jornada Nacional de Seguridad Informática – ACIS – 2005.
Manuel Humberto Santander P.
Descargar

Medidas a tener en cuenta como elementos probatorios …