Incidentes de Seguridad.

April 21, 2018 | Author: josemorenorsa03 | Category: Information Security, Network Protocols, Computer Network, Networks, Internet Architecture
Share Embed Donate


Short Description

Download Incidentes de Seguridad....

Description

1. Manejo de Incidentes Incidentes de Seguridad

 –

Introducción.

El manejo de incidentes es un plan de acción para lidiar con el mal uso de la computadoras y redes (intrusiones, infección por virus, robos cibernéticos, DoS.). Contar con los procedimientos escritos y una política implantada para saber qué hacer cuando un incidente ocurra.

 –

Objetivo general.

Contar con los procedimientos establecidos que permitan minimizar el impacto, contener el incidente, preservar la evidencia que pudiera servir para identificar a l responsable y recuperar o normalizar la operación lo más pronto posible, de manera que no afecte el cumplimiento de los objetivos del negocio.

 –

Objetivo del proceso.

-

 –

Garantizar que todos los involucrados conozcan las actividades con el fin de contener el impacto del mismo. Entendimiento al apego a las mejores prácticas de ITIL y al modelo de metodología SCISO. El correcto funcionamiento de las fases del proceso con el propósito de reducir el impacto tanto a nivel operativo como de seguridad. Los niveles de Servicio relacionados al proceso

Conceptos.

-

-

Bitácora. Archivo que almacena todos los eventos relevantes con respecto a la operación de un sistema. Problema. Es la causa de uno ó más incidentes, la causa es no conocida o contingencia que provoque un alto en el desarrollo del proceso de manejo de incidentes. Evento. Cualquier acontecimiento relevante en términos de seguridad que se origina en un equipo de cómputo o en una red. Identificación. Determinación de la existencia de un ataque, intento de ataque o un incidente o falsas alarmas. Categorización. Clasificar el problema o evento de acuerdo a la tabla de tipos de incidentes de seguridad. KPI. Siglas de Key Performance Indicator. Son medidas cuantificables que reflejan factores de éxito de la organización. Falso Negativo. Término aplicado a una falla en los sistemas de monitoreo. Ocurre cuando existe un evento de seguridad pero es ignorado por las herramientas de monitoreo. Falso Positivo. Se refiere a un evento que dispara alarmas que indican que se trata de la materialización de una amenaza, sin embargo la amenaza realmente no existe. Incidente de seguridad. Evento ocurrido en la infraestructura TI que pone en riesgo la seguridad, confidencialidad, integridad y disponibilidad disponibilidad de los datos y sistemas sistemas de información. - - (SOC); es una violación o una amenaza inminente de violación de políticas de seguridad informática o al uso aceptable de políticas o de prácticas de seguridad de la información. Seguridad de la Información. Preservar la confidencialidad, integridad y disponibilidad de la información. Confidencialidad. Intenta prevenir la revelación no a utorizada, intencional o no, del contenido de un mensaje o de información general. La perdida de la información confidencial puede producirse por la publicación intencional de información confidencial o por medio de un mal uso de los derechos de acceso en un sistema.

-

-

-

-

Integridad. Asegurar que no se realicen modificaciones de datos de un sistema por personal o procesos no autorizados. Los datos consistentes, es decir, la información interna es consistente entre sí misma y respecto de la situación externa. Disponibilidad. Asegura que el acceso a los datos o a los recursos de infor mación por personal autorizado, se produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que los sistemas funcionan cuando se les necesita. Actividad Sospechosa. Cualquier actividad anómala que no está identificada dentro del comportamiento, operación, monitoreo y mantenimiento normal del ambiente de trabajo; se debe identificar la siguiente información: Origen (Interno/Externo). País de Origen. Patrón de Ataque. Dominio. Sistemas afectados o comprometidos. Dirección IP del origen. Hardening. El hardening de sistemas es una estrategia defensiva que protege a los servidores o equipos de comunicaciones de ataques, a través de la eliminación de aplicaciones o servicios innecesarios, cerrando los huecos de seguridad y asegurando los controles de acceso.

Beneficios del Hardening de sistemas: Asegura que los recursos críticos tengan los “parches” actualizados y sean capaces de defenderse contra vulnerabilidades conocidas. Facilita el despliegue rápido de una configuración de referencia base segura y de fácil auditoria de un servidor frente a cambios inesperados. Mejora la seguridad de sus sistemas frente a amenazas internas y externas.

-

Reduce los riesgos asociados con fraude y error humano. Tuning de un sistema. En involucra el afinar parámetros de comportamientos del sistema operative con el fin de mejorar su rendimiento. El afinamiento se realiza en base a la función principal que desempeña el equipo dentro de la red y a los aplicativos o servicios que presta dentro de la empresa. Beneficios del tunning de sistemas: Transacciones más rápidas y eficientes, gracias a que mejora los t iempos de respuesta de los sistemas. Uso más eficiente de los recursos de su infraestructura informática. Posibilidad de agregar más usuarios a sus sistemas dados la optimización del rendimiento de los mismos. Análisis de Trafico. El servicio de análisis de tráfico incluye la configuración e instalación de un dispositivo portátil analizador de protocolos, conectado en modo promiscuo (captura todo el trafico aunque este no sea el destinatario no evalúa su dirección IP) a uno de los puertos de un switch principal de la red; con el objetivo de determinar posibles cuellos de botella que ocasionen detrimentos al rendimiento de la red y de los aplicativos.

El entregable del proyecto es un informe de Análisis de Tráfico con hallazgos y recomendaciones, que permitirán mejorar los tiempos de respuesta de aplicativos y de la red.

Las herramientas utilizadas es un analizador de protocolos que recopila información de cabeceras y payloads para su posterior análisis para determinar: Porcentaje de participación de protocolos. Top Ten host: equipos con mayor tráfico. Porcentaje de distribución de datos, por tamaño. Porcentaje del uso de ancho de banda de la red. -

Configuración de equipos de comunicaciones:

Routers Switches Firewalls Balanceadores de Carga Controladores Inalámbricos (WLC´s) Centrales Telefonicas IP. Configuración de interfaces de red. Protocolos de enrutamiento (RIP, EIGRP, OSPF, IS/IS, BGP) Administración SNMP Protocolos de autentificación AAA (Radius, Tacacs+) Redes Virtuales (VLANS 802.1q, VTP) Configuración de enlaces WAN Redes Privadas Virtuales (VPN´s sitio-a-sitio y de acceso remoto)

 –

Manejo de Incidentes de Seguridad.

Entradas del Proceso: Alarmas emitidas por la infraestructura sujetas a la s actividades de monitoreo. Notificación por parte del usuario. Actividad Sospechosa.

 –

Fases del Proceso de Manejo de Incidentes.

-

Fase de Preparación: Objetivo: Reducir la posibilidad de que un incidente pueda afectar a un determinado sistema. Esta fase se encuentra integrada por la siguiente tarea: 1) Valoración y ajuste del entorno de infraestructura:

Consiste en garantizar que los equipos en producción, encargados de la protección de la información y redes, se encuentran debidamente configurados, minimizando la probabilidad de ocurrencia de un incidente a través de la explotación de una vulnerabilidad. 2) Las principales actividades son:

Revisión y análisis de Aseguramiento TI (Hardening) Revisión de controles de efectividad de seguridad perimetral (firewalls, host y red, IDS´s) Procedimientos de respaldo y restauración. Administración de vulnerabilidades

Análisis de comportamiento de la red para solo permitir el trafico necesario, todo el trafico adicional debe denegarse. “Todo lo que no está explícitamente permitido está prohibido”. Definir un límite de ancho de banda para servicios o protocolos no críticos. Baseline de seguridad para servidores y estaciones de traba jo dependiendo de su función. Definición de umbrales de utilización normal en servidores críticos. Cuando sea posible implementar redundancia para servidores claves 3) Información requerida.

Actualización de Matriz de notificación tanto interna como externa Contactos de emergencia. Kits para análisis forense. Media para respaldo de imágenes. Información de puertos de troyanos conocidos. Entrenamiento y Capacitación (Awareness - Conciencia). Listado de aplicaciones, servidores críticos. Documentación general del cliente (mapas de red, aplicaciones, sistemas operativos) -

Fase de Detección y Análisis. Objetivo: Garantizar que a través de las actividades permanentes de revisión se pueda confirmar la existencia de eventos que ocasionen posibles daños a la infraestructura tecnológica y a la información, dichos eventos se clasificarán de a cuerdo a su severidad. Esta fase se encuentra conformada por (MIN): Monitoreo de Seguridad. Identificación Notificación Monitoreo de Seguridad. Objetivo. Garantizar que los roles involucrados en la operación identifiquen aquellas actividades inusuales que puedan dar origen a fallas en los sistemas afectando la disponibilidad, la confidencialidad y la integridad de la información. Tipos de Monitoreo: En línea. Fuera de Línea Principales actividades:

Explotación de bitácoras. Inspecciones manuales Monitoreo en línea Captura de registro de la información Tipificación, asociación del evento Comunicar a las partes afectadas. Escalar los posibles incidentes afectados Análisis de la información necesaria. Identificación

Objetivo: llevar a cabo la comparación de los eventos registrados contra un patrón de incidentes para confirmar la existencia de un incidente. Principales Actividades:

Confirmación del evento (incidente de seguridad) Captura y registro de la información del sistema Asociación de los eventos detectados Confirmación de que las actividades sospechosas sean o no ataques. Categorización, asociación del incidente de seguridad a la magnitud, impacto y prioridad del mismo. Categorización de incidentes de Seguridad: DoS. Denegación de Servicios. Es la a cción de limitar el uso autorizado de redes, sistemas o aplicaciones.

Smurf (Ping Bradcast). DDoS SYN Flood Nuke (ICMP Corrptos) Teardrop (Fragmentación) Código Malicioso.

Intento de acceso no autorizado Uso inapropiado de recursos Mixto

Notificación

-

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF