Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar Riesgos (07302010)
1. Acciones empresariales en la prevención
de criminalidad virtual para mitigar
riesgos
Manuel Humberto Santander Peláez
Arquitecto Seguridad de la Información
2. Agenda
• Introducción
• Riesgos Seguridad de la Información
• Procedimiento Respuesta a Incidentes
• Metodología investigación forense
• Conclusiones
4. Historia
• Los viejos días …
– Windows 3.1
– DOS era usado para la gran mayoría de los
programas
– Internet Incipiente
– Modems!!!
– Computación Centralizada
– Mainframes
5. Historia (2)
• Manejo de dinero en efectivo
– Las redes de cajeros eran incipientes
– Tarjetas débito o crédito manejadas mediante
voucher o autorización telefónica
• La información de la compañía residía en
libros
– Consultas manuales en archivos físicos de las
compañías
– Aseguramiento físico de la información
6. Los viejos fraudes …
• Los mensajes anónimos se realizaban
manualmente
– Se cortaban letras de revistas
– Había que evitar los reconocimientos grafológicos
– El correo público, ideal para camuflar el emisor de
la comunicación
• Las suplantaciones igualmente existían
– ¿Qué tan fácil se puede suplantar una firma?
– ¿Cuántas personas cayeron en conversaciones
telefónicas con una persona ficticia?
7. Los viejos fraudes … (2)
• Los virus de aquel entonces no hacían
mayores estragos
– Se desplegaban por diskettes
– Pocas aplicaciones en red
– Internet inexistente
• Cuando ocurrían estragos, los procesos de
contingencia se activaban
– Tecnología no era una variable crítica en la
empresa
– El tiempo de restauración no era relevante
8. Pero …
• La tecnología evolucionó
• Internet hizo su aparición en el país
• Gopher, sólo para sistemas UNIX, empezó ser
desplazado gradualmente por Navegadores
Web
• Windows eliminó del mapa al viejo DOS
• Los negocios empezaron a requerir
intercambio de archivos dinámico
• La información ya no estaba sólo en servidores
centrales …
9. Los nuevos fraudes
• Suplantación de usuarios
– Robo cuentas MSN
– Robo cuentas Facebook
– ¿Qué pasa si se roban las cuentas con privilegios
de pagos en el ERP?
• Envío de correos electrónicos anónimos
– Hotmail, GMAIL, yahoo, …
– ¿Qué pasa si el correo anónimo es interno?
• Robo información estratégica de las
compañías
10. Los nuevos fraudes (2)
• Negación de servicio en la infraestructura de la
compañía
– ¿Recuerdan el denial of service en twitter?
(http://status.twitter.com/post/157191978/ongoing-
denial-of-service-attack)
– ¿Qué pasa si eso lo hacen al portal web de Banco?
• Falsificación información en las bases de datos
– La infraestructura tiene vulnerabilidades
– ¿Qué pasa si alguien las aprovecha?
11. Los nuevos fraudes (3)
• Exploits al alcance de cualquier persona
– http://www.packetstormsecurity.org
– http://www.securityfocus.org
– http://inj3ct0r.com/
• Herramientas para análisis de vulnerabilidades
– http://www.nessus.org
– http://www.openvas.org
12. Los nuevos fraudes (4)
• Frameworks para penetration testing
– http://www.metasploit.org
• Distribuciones LiveCD para seguridad
– http://www.remote-exploit.org/backtrack.html
• Todos estos sitios actualizan su contenido
periódicamente
• Aunque el Sistema de Gestión de Seguridad
de la Información define controles, ¿Cubren
ampliamente estos controles los riesgos?
13. Retos
• No existe seguridad garantizada 100%
– Los controles que minimizan los riesgos siempre
dejan un riesgo residual
– Riesgo residual, aunque bajo, implica que puede
materializarse
• Sabemos como controlar los riesgos para que
permanezcan mínimos
• ¿Qué hacer cuando los riesgos de seguridad
de la información se materializan?
15. Controles ISO27001
Políticas de
Seguridad
Gestión de
Organización de la
Incidentes de
Seguridad
Seguridad
Clasificación y
Cumplimiento
Control de Activos
ISO27001
Sistema de Gestión de
Administración de
la Continuidad del
Seguridad de la Control de
Accesos
Negocio Información
Gestión de
Seguridad del
Comunicaciones y
Personal
Operaciones
Desarrollo y
Mantenimiento de Seguridad Física
Sistemas
16. Controles técnicos de seguridad
• Firewalls
– Aplicación
– Red
• Sistemas de Detección de Intrusos
– Red (NIDS)
– Host (HIPS)
• Controles de navegación URL
17. Controles técnicos de seguridad (2)
• Control antimalware
– Servidores
– PC
– Internet (http, ftp, smtp)
• Data loss prevention
– Servidores
– PC
– Internet
• NAC
18. Controles técnicos de seguridad (2)
• Mitigan el riesgo de seguridad de la
información
– No lo eliminan
– Sí, puede materializarse el riesgo aún teniendo
controles
• Pueden proveer evidencia en caso de la
ocurrencia de un incidente de seguridad
• ¿Qué hacer empresarialmente?
20. Ciclo de vida respuesta a incidentes
Contención,
Detección y Erradicación Actividades
Preparación
Análisis y Post-Incidente
Recuperación
21. Preparación de incidentes
• Debe establecerse una capacidad de respuesta
a incidentes en la organización
• Deben instalarse controles para que los equipos
de cómputo, la red y las aplicaciones son
suficientemente seguros
• Comunicaciones de los administradores de
incidentes
• Hardware y software para respuesta a
incidentes
21
22. Prevención de incidentes
• El riesgo debe ser mínimo
– Los controles necesarios deben ser implementados
– Si no están los controles necesarios implementados,
el número de incidentes aumenta
• Proceso de gestión del riesgo
– Parte del Sistema de Gestión de Seguridad de la
Información
– El entorno cambia continuamente
– Debe realizarse periódicamente
22
23. Prevención de incidentes (2)
• Controles de seguridad para prevención de
incidentes
– Administración de parches
– Línea base para servidores y PC
– Seguridad en Red
– Prevención de código malicioso
– Entrenamiento para usuarios
23
24. Detección y análisis
• Los incidentes deben agruparse en categorías
– Definición de procedimientos por cada categoría de
incidente
– Permite mayor rapidez para atender los incidentes
• Tipos de incidente
– Denial of Service
– Código malicioso
– Acceso no autorizado
– Uso inapropiado
24
25. Detección y análisis (2)
• Análisis de incidentes
– Las señales de incidentes no corresponden
necesariamente a incidentes que hayan ocurrido o
estén ocurriendo
– Deben descartarse problemas en la infraestructura o
en el software antes de determinar que fue un
incidente de seguridad
– ¿Cómo determinar si ocurrió un incidente?
o Determine patrones en los equipos y las redes de
datos
o Determine los comportamientos normales
25 o Use logs centralizados y cree una política de
retención de logs
26. Contención, erradicación y recuperación
• Escogencia de una estrategia de contención
• Captura y manejo de evidencia
– Debe aplicarse la normatividad legal para la captura
de la evidencia
• Erradicación y recuperación
– El servicio debe recuperarse
– ¿Qué es primero? ¿Evidencia o servicio?
26
27. Actividades Post-incidente
• Lecciones aprendidas
– ¿Qué pasó exactamente y en qué tiempos?
– ¿Cómo manejó la gerencia y el personal el incidente?
¿Se siguieron los procedimientos? ¿Fueron
adecuados?
• Métricas del proceso de respuesta a incidentes
– Número de incidentes atendidos
– Tiempo por incidente
– Auditoría del proceso de respuesta a incidentes
27
30. Metodología Investigación Forense (2)
• Recolección de Evidencia
– Identificar, etiquetar, grabar y adquirir evidencia
desde fuentes relevantes de datos para el caso
– El procedimiento de cadena de custodia es
fundamental en esta etapa
– Deben utilizarse procedimientos que garanticen la
integridad de las porciones de evidencia extraídas
– Siempre y cuando usted sea cuidadoso y siga la
metodología en el procedimiento de extracción de
evidencia, ésta será válida dentro de un proceso
30
31. Metodología Investigación Forense (3)
• Procesamiento de la Evidencia
– Procesar la evidencia mediante la combinación de
procedimientos automáticos y manuales para realizar
la valoración y la extracción de datos particulares de
interés para el investigador
– La integridad de la evidencia debe garantizarse
– Involucra el análisis del sistema de archivos, el
sistema operativo y los programas instalados en el
equipo
– Diversas herramientas para la realización de estas
tareas
31
32. Metodología Investigación Forense (4)
• Análisis de la Evidencia
– Analizar los datos arrojados como resultado del
procesamiento de la evidencia
– Construcción del caso: Quién, qué, cuándo, dónde y
cómo
• Reporte Final
– Detalle completo de los pasos, herramientas y
procedimientos utilizados en toda la investigación
– Incluye recomendación de acciones para evitar la
materialización de riesgos como mejoras la las
políticas, guías, procedimientos, herramientas
32