incidentes de seguridad informática en las empresas
DESCRIPTION
Incidentes de Seguridad Informática en las Empresas. CSIRT: un modelo de respuesta Dr. Ing. Gustavo Betarte [email protected]. CIGRAS 2012. Plan de la Presentación. Motivación y Contexto Creación y operación de un equipo de respuesta a incidentes de SI CSIRT Tilsor Conclusiones. - PowerPoint PPT PresentationTRANSCRIPT
CIGRAS 2012
Incidentes de Seguridad Informática en las Empresas
CSIRT: un modelo de respuesta
Dr. Ing. Gustavo Betarte [email protected]
CIGRAS 2012
CIGRAS 2012
Plan de la Presentación
• Motivación y Contexto• Creación y operación de un
equipo de respuesta a incidentes de SI
• CSIRT Tilsor• Conclusiones
CIGRAS 2012
CIGRAS 2012
Motivación
• Nuevas tecnologías han revolucionado la forma de proveer servicios y hacer negocios pero también han introducido nuevos riesgos
• Es necesario reconocer y asumir que la seguridad total no existe
• Incidentes de seguridad informática son un dato de la realidad y es necesario desarrollar mecanismos para gestionarlos
• La complejidad para realizar un ataque sofisticado ha disminuido significativamente y la motivación se ha diversificado e incrementado
• Velocidad con la que las empresas y organizaciones puedan reconocer, analizar y responder a un incidente limitará los daños y disminuirá los costos de recuperación
CIGRAS 2012
CIGRAS 2012
Contexto
CIGRAS 2012
CIGRAS 2012
Tendencias• Convergencia
– Interconexión de sistemas internos – Interdependencia con sistemas externos– Consolidación hacia estándares abiertos (IP)
• Consecuencias– Exposición de los sistemas (de infraestructuras
críticas) a potenciales ataques de Internet– Nuevos riesgos: conexiones wireless,
mantenimiento remoto por terceros– Ataques pueden tener consecuencias que
superen el valor de la organización o compañía, con consecuencias significativas
CIGRAS 2012
CIGRAS 2012
Desafíos de la Seguridad de la Información
• La Seguridad se ha convertido en un área crítica de los Sistemas de Información
• Cómo encarar este desafío?– Gestión de la Seguridad de la Información– Sensibilización y Capacitación– Evaluación proactiva del nivel de
aseguramiento de las plataformas informáticas y de comunicación
– Gestión de incidentes (qué nivel de criticidad?)
CIGRAS 2012
CIGRAS 2012
Incidentes: Impacto
• Reporte Norton Cyber Crime 2011– Daños del orden de los 338.000 M USD– LATAM: Brasil y México son los más afectados
• Reporte ARBOR Networks 2011 Infrastructure Security – Uruguay: Top 2 en BPS y PPS promedio de Misuse DDoS
attacks en LATAM– El 70% de los encuestados nunca intentaron efectuar una
respuesta a un ataque DDoS
• Ataques a gran empresa y gobiernos en aumento– Denegación de servicios (DDoS)– Botnets– Phishing– Defacement
CIGRAS 2012
CIGRAS 2012
Incidentes: Soluciones
• Los expertos piden– Centrarse en la detección y no únicamente
en la protección– Monitorear y gestionar incidentes– Enfocar los esfuerzos de protección en los
activos críticos y no sólo en el perímetro
• Apoyo en CERTs/CSIRTs– 40% de encuestados tienen CERT o CSIRT– 66% colaboran con un CERT nacional
CIGRAS 2012
CIGRAS 2012
CERT/CC: Origen
• 1988, Internet Worm afecta a un alto porcentaje de sistemas, dejándolos fuera de servicio
• Se define estrategia para mejorar respuesta a incidentes de seguridad informática
• La agencia DARPA crea el CERT/CC en el SEI de la Carnegie Mellon University
CIGRAS 2012
CIGRAS 2012
CERT/CC: Misión
• Responder a incidentes de seguridad en Internet
• Servir como modelo de operaciones para otros equipos de respuesta
• Facilitar la creación de otros grupos (CSIRTs) que sirvan a otras comunidades objetivo (constituencies)
• Facilitar la comunicación/divulgación de incidentes informáticos y coordinar acciones a nivel nacional o regional
CIGRAS 2012
CIGRAS 2012
Un enfoque organizacional para la gestión de incidentes
de seguridad
CIGRAS 2012
CIGRAS 2012
CSIRT: Qué es?
“A Computer Security Incident Response Team (CSIRT) is a service organization that is responsible for receiving, reviewing, and responding to computer security incident reports and activity. The services are usually performed for a defined constituency” (CERT/CC)
CIGRAS 2012
CIGRAS 2012
CSIRT: Aspectos fundamentales
• Visión/Misión– Objetivos de alto nivel y sus prioridades
• Comunidad Objetivo (Constituency)– Destinatarios a los que el CSIRT dará
servicios
• Servicios– Qué servicios le ofrece el CSIRT a su
comunidad objetivo
• Forma de relacionamiento– Forma de cooperación, coordinación (o
cualquier interacción) con otros CSIRTsCIGRAS 2012
CIGRAS 2012
CSIRT: Comunidad Objetivo
• Entidad específica a la cual el CSIRT sirve• Puede ser acotada o no• Generalmente refleja la fuente de
financiamiento• Relacionamiento con la comunidad
objetivo:– Full: el CSIRT tiene autoridad total– Shared: el CSIRT comparte las decisiones– None: El CSIRT no tiene autoridad
CIGRAS 2012
CIGRAS 2012
CSIRT: Tipos de Comunidad Objetivo
• Nacionales (CERTuy, ArCERT, CERT.br,…)
• Organizacionales: Banco, Telco (CSIRT ANTEL), Empresa TI (CSIRT Tilsor)
• Network Service Provider: ISP (CSIRT ANTEL)
• Técnicas: el uso de un determinado S.O.
• Contractual: quienes adquieren un servicio
CIGRAS 2012
CIGRAS 2012
CSIRT: Servicios
Ref: CSIRT Services, CERT/CC
CIGRAS 2012
CIGRAS 2012
CSIRT Tilsor
CIGRAS 2012
CIGRAS 2012CIGRAS 2012
TILSOR
TILSOR Hoy
+250 clientes entre
Organismos Públicos y Empresas Privadas
+350 mil horas de consultoría en Tecnologías
de la Información
+40 mil horas de
entrenamiento certificado
+13 mil casos de Soporte
Técnico resueltos
CIGRAS 2012
Por qué un CSIRT?
• Estrategia de la empresa en Seguridad Informática:– Requerimiento interno– Desarrollo de un área de servicios
• Desafíos– Consolidar masa crítica experta– Identificar necesidades del mercado– Posicionarse como un referente
CIGRAS 2012
CIGRAS 2012
Comunidad Objetivo
• Interna– SGSI de Tilsor– Infraestructura Tecnológica y Sistemas
de Información de Tilsor SA– Servicios reactivos, proactivos y calidad de
seguridad
CIGRAS 2012
• Externa– Socios y clientes de Tilsor SA– Servicios proactivos y calidad de seguridad
CIGRAS 2012
Servicios• Reactivos
– Gestión de incidentes– Alarmas– Gestión de vulnerabilidades y artefactos
• Proactivos– Observatorio tecnológico– Desarrollo de herramientas
• Calidad de seguridad– Sensibilización y capacitación– Evaluación de seguridad de infraestructuras y
aplicaciones
CIGRAS 2012
CIGRAS 2012
Valor adicional
• A la comunidad interna– Apoyo en el proceso de desarrollo de
aplicaciones– Mitigación de riesgos en los ambientes
de producción y soporte• A nuestros clientes y socios
– Referente a quien acudir – Grupo profesional experto en seguridad– Servicios de consultoría con valor
agregadoCIGRAS 2012
CIGRAS 2012
Algunos Ejemplos de Incidentes Resueltos
• Intento de enrolar servidores de Tilsor en un ataque DDoS a una empresa extranjera
• Estafa: intento de venta forzada de dominio Internet
• Problemas de envío de correos debido a inclusión del ISP de Tilsor en una lista negra
• Detección proactiva de vulnerabilidades en paquetes de software utilizados por Tilsor
• Análisis y procesamiento de alertas por infección con Malware reportadas por antivirus
CIGRAS 2012
CIGRAS 2012
Colaboración y Coordinación
• A nivel nacional– CERTuy (contacto)– CSIRT ANTEL (contacto y colaboración)
• A nivel LATAM– Proyecto AMPARO - LACNIC: Taller de
Gestión de Incidentes itinerante– Reunión CSIRTs LATAm – LACNIC
• Inicio de relaciones con TBSecurity CERT (España)
CIGRAS 2012
CIGRAS 2012
Algunas conclusiones
CIGRAS 2012
CIGRAS 2012
• Una herramienta eficaz y útil• Masa crítica adecuada: dificultad de
montar un equipo de esta característica
• Canales de confianza: importancia de la coordinación y colaboración– Con la comunidad objetivo – Entre pares
• Interacción y relacionamiento con el medio académico
CIGRAS 2012
CIGRAS 2012
Preguntas
CIGRAS 2012
CIGRAS 2012
Preguntas
Muchas gracias
CIGRAS 2012