Incidentes de Seguridad Informática
en las Empresas
CSIRT: un modelo de respuesta
Dr. Ing. Gustavo Betarte
[email protected]
CIGRAS 2012
Plan de la Presentación
• Motivación y Contexto
• Creación y operación de un equipo de
respuesta a incidentes de SI
• CSIRT Tilsor
• Conclusiones
CIGRAS 2012
Motivación
•
Nuevas tecnologías han revolucionado la forma de proveer servicios y
hacer negocios pero también han introducido nuevos riesgos
•
Es necesario reconocer y asumir que la seguridad total no existe
•
Incidentes de seguridad informática son un dato de la realidad y es
necesario desarrollar mecanismos para gestionarlos
•
La complejidad para realizar un ataque sofisticado ha disminuido
significativamente y la motivación se ha diversificado e incrementado
•
Velocidad con la que las empresas y organizaciones puedan
reconocer, analizar y responder a un incidente limitará los daños y
disminuirá los costos de recuperación
CIGRAS 2012
Contexto
CIGRAS 2012
Tendencias
• Convergencia
– Interconexión de sistemas internos
– Interdependencia con sistemas externos
– Consolidación hacia estándares abiertos (IP)
• Consecuencias
– Exposición de los sistemas (de infraestructuras
críticas) a potenciales ataques de Internet
– Nuevos riesgos: conexiones wireless,
mantenimiento remoto por terceros
– Ataques pueden tener consecuencias que superen
el valor de la organización o compañía, con
consecuencias significativas
CIGRAS 2012
Desafíos de la Seguridad de la Información
• La Seguridad se ha convertido en un área
crítica de los Sistemas de Información
• Cómo encarar este desafío?
– Gestión de la Seguridad de la Información
– Sensibilización y Capacitación
– Evaluación proactiva del nivel de aseguramiento
de las plataformas informáticas y de
comunicación
– Gestión de incidentes (qué nivel de criticidad?)
CIGRAS 2012
Incidentes: Impacto
• Reporte Norton Cyber Crime 2011
– Daños del orden de los 338.000 M USD
– LATAM: Brasil y México son los más afectados
• Reporte ARBOR Networks 2011 Infrastructure Security
– Uruguay: Top 2 en BPS y PPS promedio de Misuse DDoS attacks
en LATAM
– El 70% de los encuestados nunca intentaron efectuar una
respuesta a un ataque DDoS
• Ataques a gran empresa y gobiernos en aumento
–
–
–
–
Denegación de servicios (DDoS)
Botnets
Phishing
Defacement
CIGRAS 2012
Incidentes: Soluciones
• Los expertos piden
– Centrarse en la detección y no únicamente en la
protección
– Monitorear y gestionar incidentes
– Enfocar los esfuerzos de protección en los
activos críticos y no sólo en el perímetro
• Apoyo en CERTs/CSIRTs
– 40% de encuestados tienen CERT o CSIRT
– 66% colaboran con un CERT nacional
CIGRAS 2012
CERT/CC: Origen
• 1988, Internet Worm afecta a un alto
porcentaje de sistemas, dejándolos fuera
de servicio
• Se define estrategia para mejorar
respuesta a incidentes de seguridad
informática
• La agencia DARPA crea el CERT/CC en
el SEI de la Carnegie Mellon University
CIGRAS 2012
CERT/CC: Misión
• Responder a incidentes de seguridad en
Internet
• Servir como modelo de operaciones para otros
equipos de respuesta
• Facilitar la creación de otros grupos (CSIRTs)
que sirvan a otras comunidades objetivo
(constituencies)
• Facilitar la comunicación/divulgación de
incidentes informáticos y coordinar acciones a
nivel nacional o regional
CIGRAS 2012
Un enfoque organizacional
para la gestión de
incidentes de seguridad
CIGRAS 2012
CSIRT: Qué es?
“A Computer Security Incident
Response Team (CSIRT) is a service
organization that is responsible for
receiving, reviewing, and responding
to computer security incident reports
and activity. The services are usually
performed for a defined constituency”
(CERT/CC)
CIGRAS 2012
CSIRT: Aspectos fundamentales
• Visión/Misión
– Objetivos de alto nivel y sus prioridades
• Comunidad Objetivo (Constituency)
– Destinatarios a los que el CSIRT dará servicios
• Servicios
– Qué servicios le ofrece el CSIRT a su comunidad
objetivo
• Forma de relacionamiento
– Forma de cooperación, coordinación (o cualquier
interacción) con otros CSIRTs
CIGRAS 2012
CSIRT: Comunidad Objetivo
• Entidad específica a la cual el CSIRT sirve
• Puede ser acotada o no
• Generalmente refleja la fuente de
financiamiento
• Relacionamiento con la comunidad objetivo:
– Full: el CSIRT tiene autoridad total
– Shared: el CSIRT comparte las decisiones
– None: El CSIRT no tiene autoridad
CIGRAS 2012
CSIRT: Tipos de Comunidad Objetivo
• Nacionales (CERTuy, ArCERT,
CERT.br,…)
• Organizacionales: Banco, Telco (CSIRT
ANTEL), Empresa TI (CSIRT Tilsor)
• Network Service Provider: ISP (CSIRT
ANTEL)
• Técnicas: el uso de un determinado S.O.
• Contractual: quienes adquieren un
servicio
CIGRAS 2012
CSIRT: Servicios
Ref: CSIRT Services, CERT/CC
CIGRAS 2012
CSIRT Tilsor
CIGRAS 2012
TILSOR Hoy
TILSOR
+40 mil horas de
entrenamiento
certificado
+250 clientes
entre Organismos
Públicos y
Empresas
Privadas
+350 mil horas de
consultoría en
Tecnologías de la
Información
+13 mil casos
de Soporte
Técnico
resueltos
CIGRAS 2012
Por qué un CSIRT?
• Estrategia de la empresa en Seguridad
Informática:
– Requerimiento interno
– Desarrollo de un área de servicios
• Desafíos
– Consolidar masa crítica experta
– Identificar necesidades del mercado
– Posicionarse como un referente
CIGRAS 2012
Comunidad Objetivo
• Interna
– SGSI de Tilsor
– Infraestructura Tecnológica y Sistemas de
Información de Tilsor SA
– Servicios reactivos, proactivos y calidad de
seguridad
• Externa
– Socios y clientes de Tilsor SA
– Servicios proactivos y calidad de seguridad
CIGRAS 2012
Servicios
• Reactivos
– Gestión de incidentes
– Alarmas
– Gestión de vulnerabilidades y artefactos
• Proactivos
– Observatorio tecnológico
– Desarrollo de herramientas
• Calidad de seguridad
– Sensibilización y capacitación
– Evaluación de seguridad de infraestructuras y
aplicaciones
CIGRAS 2012
Valor adicional
• A la comunidad interna
– Apoyo en el proceso de desarrollo de
aplicaciones
– Mitigación de riesgos en los ambientes de
producción y soporte
• A nuestros clientes y socios
– Referente a quien acudir
– Grupo profesional experto en seguridad
– Servicios de consultoría con valor agregado
CIGRAS 2012
Algunos Ejemplos de Incidentes Resueltos
• Intento de enrolar servidores de Tilsor en un ataque
DDoS a una empresa extranjera
• Estafa: intento de venta forzada de dominio Internet
• Problemas de envío de correos debido a inclusión del
ISP de Tilsor en una lista negra
• Detección proactiva de vulnerabilidades en paquetes
de software utilizados por Tilsor
• Análisis y procesamiento de alertas por infección con
Malware reportadas por antivirus
CIGRAS 2012
Colaboración y Coordinación
• A nivel nacional
– CERTuy (contacto)
– CSIRT ANTEL (contacto y colaboración)
• A nivel LATAM
– Proyecto AMPARO - LACNIC: Taller de
Gestión de Incidentes itinerante
– Reunión CSIRTs LATAm – LACNIC
• Inicio de relaciones con TBSecurity CERT
(España)
CIGRAS 2012
Algunas conclusiones
CIGRAS 2012
• Una herramienta eficaz y útil
• Masa crítica adecuada: dificultad de
montar un equipo de esta característica
• Canales de confianza: importancia de la
coordinación y colaboración
– Con la comunidad objetivo
– Entre pares
• Interacción y relacionamiento con el
medio académico
CIGRAS 2012
Preguntas
CIGRAS 2012
Preguntas
Muchas
gracias
CIGRAS 2012
Descargar

Incidentes de seguridad en las empresas