computer security incident response team -...
TRANSCRIPT
2
• Fundada en 2006
• Equipo de consultores locales, +100 en toda el mundo
• Consultoría de Procesos en el área de tecnología, innovación y sistemas de información
• HQ en Panamá
Asistir a organizaciones a ser más competitivas por medio de una mejor utilización de los recursos de tecnología a través de procesos eficaces.
Misión
Sobre Nosotros
4
Somos Partners del
Software Engineering Institute (SEI)
• El SEI es un organismo de prestigio mundial en el establecimiento de mejores prácticas para ingeniería de software.
Pittsburgh, Pennsylvania, USA
5
Áreas de Actividad del SEI
• Seguridad informática: CERT
• Ingeniería de Software: CMMI, TSP
• Arquitectura de Software
• Adquisición de Tecnología
CMMI-
SVC
CMMI-
DEVCMMI-
ACQ
6
La Red Liveware
+100 consultores+ 25 años de experiencia
Cobertura en América, Asia y EuropaConsultores de renombre internacional
Constelación de 7 consultoras
8
Clientes de Capacitación• Dirección de Tránsito
• Global Bank
• HSBC
• Icaza, González Ruiz y Alemán
• IFARHU
• INDRA
• Infosgroup
• IQ Nova
• La Prensa
• Latam Consulting Services
• Latam Trade and Commerce
• Morgan & Morgan
• Ministerio de Economía y Finanzas
• Ministerio de Educación
• Ministerio de Comercio e Industrias
• Ministerio de Salud
• ACP
• ADR
• Autoridad Nacional de Aduanas
• Autoridad de Innovación
• Alianzasoft
• ASI Technologies
• Autoridad de los Servicios Públicos
• Autoridad de Turismo
• Banco General
• Banesco
• Cable Onda
• Caja de Ahorros
• Caja de Seguro Social
• Cervecería Nacional
• Cibernética
• Conéctate
• Copa Airlines
• Ministerio de Obras Públicas
• Órgano Judicial
• Petróleos Delta
• Policía Nacional
• Quantic Vision
• Ricardo Pérez, S.A.
• SIONSA
• St. Georges Bank
• Superintendencia de Bancos
• TESA
• Towerbank
• Tribunal Electoral
• Universidad Tecnológica de Panamá
12
¿Qué es un incidente de seguridad?
Adware Backdoor TrojansBluejacking
Bluesnarfing Boot Sector Viruses ExtortionBrowser Hijackers Chain Letters Cookies
Denial of Service attack (DoS) DialersSabotage Document Viruses Email Viruses
Internet Worms Mobile Phone Viruses Mousetrapping Obfuscated spam
Page-jacking Palmtop viruses
Parasitic viruses Pharming Phishing Vandalism
Espionage Social Engineering
13
Gestión de incidentes
• Requiere del desarrollo de un plan de acción y de procesos que son:
– Consistentes
– Repetibles
– Motivados por la calidad
– Medibles
– Entendidos por todos los implicados
• Seguridad no es asunto de tecnología, sino una inversión de negocios
14
¿Qué es un CSIRT?
• Una organización que provee servicios y apoyo a una circunscripción definida para prevenir manejar y responder a incidentes de seguridad informática.
15
¿Por qué se necesita un CSIRT?
• Entidades y personas están al acecho de sus activosmás preciados.
• La mejor infraestructura no puede garantizar que no ocurrirán actos maliciosos
• Cuando sucede un incidente es necesario poderresponder de forma efectiva
• Se trata de minimizar el costo y el tiempo de la respuesta
No es lo mismo…
CSIRT
•Puede realizar las funciones del área de seguridad de un departamento de TI•Repositorio de información de incidentes•Centro de reporte y análisis•Coordina la respuesta a incidentes en la organización•Colaboración con equipos externos y estamentos de seguridad
Departamento de TI
•Monitoreo diario de la red y sistemas•Responsable de actualizar los sistemas•Instalación de parches•Mitiga los incidentes
17
Tipos de CSIRTAlgunas categorías, según el ámbito al que proveen servicios:• CSIRT Interno: dentro de la organización. Ej. Bancos, empresas,
universidades, ciudades o asociaciones. • CSIRT Nacionales: para un país. • CSIRT Público: vela por la infraestructura estatal.• CSIRT Regional: para un conjunto de países.• Centros de coordinación: coordinan y facilitan el manejo de incidentes
entre varios CSIRTs. • Centros de análisis: sintetizan datos de distintas fuentes para hallar
patrones y tendencias de incidentes. Dicha información sirve paraactividades predictivas y alertas tempranas.
• Proveedores de Respuesta a Incidentes: ofrecen servicios privados de manejo de incidentes para empresas y otro tipo de organizaciones.
20
CSIRT de Responsabilidad Nacional
• Reconocido por el gobierno
• Responsabilidad amplia que puedeincluir
– Infraestructura crítica
– Gobierno
– Ciudadanía en general
– Otros CSIRT en el país
21
Servicios
Fase I Fase II Fase III
Servicios Reactivos Servicios Proactivos Servicios de Gestión de la
Calidad de la Seguridad
Alertas y
Advertencias
Apoyo en el manejo
de incidentes, de
Vulnerabilidades y
Artefactos: Análisis y
coordinación de
respuesta
Levantar
estadísticas de los
incidentes
Monitoreo de un mapa global
de virus y amenazas
Desarrollo e investigación de
herramientas de seguridad
Apoyo en la detección de
intrusos
Divulgación de información
relacionada con la seguridad
Prospectiva Tecnológica
Análisis de riesgo
Coordinar la planificación
de recuperación de
desastres de
infraestructura crítica
Concientización
ciudadana
Educación/Entrenamiento
Evaluación de productos o
certificación
22
Algunos Roles
General
Director generalPersonal
Administración y contabilidadRelaciones públicas
Asesoría jurídicaEquipo técnico operativo
Jefe del equipo técnicoTécnicos del CSIRT
Investigadores
23
Mapa de Ruta para un crear un CSIRT
Planificación•Asesoría/Capacitación inicial
• Plan de proyecto
•Identificar usuarios potenciales
•Definir misión
•Modelo financiero y presupuesto
•Estructura organizativa
•Definir servicios
•Crear o modificar legislación
Creación de competencias•Definir roles y niveles de autoridad
•Identificar personal idóneo
•Contratar personal
•Plan de capacitación
•Oficina física: Equipar oficina
•Desarrollar política de seguridad de la información
•Documentar flujos de trabajo
•Definir interfaces e interacciones
Operación del CSIRT•Lanzamiento del centro
•Promover los servicios del CSIRT
•Evaluar el mercado y grupo de usuarios
•Generación de alertas, advertencias y comunicados
•Coordinar la respuesta a los incidentes de seguridad que se presenten
•Coordinar las iniciativas nacionales de seguridad de la información
•Métodos de evaluación
•Desarrollar plan de contingencia
•Obtener reconocimiento internacional
•Establecer convenios de colaboración con otros CSIRT
•Evaluar desempeño
24
Socios esenciales para un CSIRT Nacional
• Equipos CSIRT de otros países• Otros CSIRT dentro del país• Consejo de Seguridad• Policía• Ministerio público• Proveedores de internet• Proveedores de software• Integradores• Proveedores de Antivirus• Expertos en seguridad• Universidades• Medios de comunicación especializados• Proveedores de infraestructura crítica: luz, agua, telcos
25
Confianza: Condición sine qua non
• Servicios proactivos y reactivos
• Garantizar confidencialidad e imparcialidad
• Coordinar con otras organizaciones y expertos
– universidades, gobierno, empresas
– Modelo distribuido de equipos de respuesta a incidentes(coordinación y cooperación – no control)
26
Apoyo del SEI para CSIRT Nacionales• Herramientas para personal autorizado en CSIRT Nacionales, incluyendo un sitio web
colaborativo y una lista de correo electrónico
• Intercambio de información y servicios
– Vigilia y respuesta a advertencias
– Actualizaciones de actividades
– Análisis de incidentes y entrenamiento
– Capacidad de alerta y contenidos
– Investigación sobre tendencias, amenazas y evaluación de riesgos
• Intercambio técnico
– Consultoría técnica, entrenamiento y construcción de habilidades
– Intercambio de personal técnico o pasantías con afiliados
– Desarrollo de herramientas y soporte
– Análisis de vulnerabilidades
– Análisis de artefactos
– Monitoreo y análisis de redes
• Desarrollo de capacidades y habilidades de un CSIRT
• Evaluación de los requerimientos de madurez y capacidad de un CSIRT
• Patrocinio ante FIRST e introducción a otras organizaciones y socios estratégicos
27
Cursos oficiales del CERT• Creating a Computer Security Incident Response Team
• Managing Computer Security Incident Response Teams
• Fundamentals of Incident Handling
• Advanced Incident Handling
• Information Security for Technical Staff
• Malware Analysis Apprenticeship
• Insider Threat Workshop
• Introduction to the CERT Resilience Management Model
• CERT Resilience Management Model Appraisal Boot Camp
• Managing Enterprise Information Security
• Advanced Forensic Response and Analysis
• Assessing Information Security Risk Using the OCTAVE Approach
28
CERT Resilience Management Model
• Elasticidad Operativa: capacidad de una organización de hacerle frente a sus riesgos
• Modelo enfocado a procesos. Guías y prácticas para:
– Gestión de la seguridad
– Continuidad del negocio
– Gestión de las operaciones de TI
– Medición y madurez
• 26 áreas de procesos en 4 categorías
30
Enlaces relevantes
• FIRST: www.first.org
• CERT / CSIRT: www.cert.org
• CERT-Certified Computer Security Incident Handler (CSIH) certification program
http://www.sei.cmu.edu/certification/security/csih/index.cfm
Contacto: Rolando Armuelles / [email protected]
United States
Email: [email protected]
Phone: +1 415.598.8905
Address:
1288 Columbus Ave. Suite #218
San Francisco, CA 94133
United States of America
International
Email: [email protected]
Phone: +507 260.9820
Address:
Building 235
International Technopark of Panama
City of Knowledge, Clayton
PO Box 0819-07121
Panama, Rep. of Panama