gestión de incidentes de seguridad informática

Tampoco debemos olvidar las posibles pérdidas o robos de equipos que contienen información sensible y que, por este motivo, puedan caer en manos de personas ajenas a la organización, las cuales podrían tratar de tomar el control de estos equipos para extraer la información que almacenan o para utilizarlos en conexiones remotas a la red de la organización. Si el atacante ha utilizado técnicas de enmascaramiento (como IP Spoofing), la organización podría lanzar un ataque contra equipos y redes inocentes, con las correspondientes responsabilidades legales que se derivan de esta actuación, por lo que podría ser denunciada por las organizaciones propietarias de estos equipos atacados a modo de represalia. De este modo, los Servicios de Seguridad Estatales podrían tener acceso al contenido de las comunicaciones de los usuarios y a la información sobre el tráfico cursado tanto en Internet, como en los servicios de llamadas móviles terrestres, los servicios de llamadas de larga distancia e internacionales, la transmisión de datos o los mensajes de correo de voz. Sutton, R. (2002): Secure Communications: Applications and Management, John Wiley & Sons. Dirección de correo electrónico de contacto: [email protected] INTRODUCCIÓN Este libro se dedica al estudio de la gestión de incidentes de seguridad informática. Como consecuencia de estos ataques y, dependiendo de los privilegios del usuario de base de datos bajo el cual se ejecutan las consultas, se podría acceder no solo a las tablas relacionadas con la operación de la aplicación del servidor Web, sino también a las tablas de otras bases de datos alojadas en el mismo servidor Web. Para ello, es necesario establecer las medidas de control y bloqueo de los posibles ataques e intentos de intrusión llevados a cabo contra redes y equipos de terceros desde los equipos que hayan sido comprometidos en la honeynet, ya que de lo contrario la organización podría incurrir en responsabilidades legales por los daños ocasionados a terceros desde sus propios equipos y redes informáticas. 15 Estos espacios son empleados en ocasiones por usuarios expertos para guardar información que no resulta accesible desde el propio sistema operativo del equipo. Gracias a sus conocimientos informáticos pudo intervenir la central de conmutación para que su línea personal de teléfono fuera seleccionada como la ganadora en multitud de concursos y ofertas telefónicas, mientras bloqueaba la de otros usuarios del servicio. Responder adecuadamente a un incidente de seguridad informática puede ser la diferencia entre un gran desastre o una incidencia menor. Por otra parte, los mensajes de correo en formato HTML también podrían ser utilizados para desencadenar este tipo de ataques. Centro Alternativo “Caliente” Por otra parte, debemos destacar la importancia de documentar el sistema informático al mayor nivel de detalle posible, ya que en caso de desastre no siempre se podrá disponer de las personas clave para poder disponer de esta información. Revisión de los distintos ficheros temporales obtenidos en la imagen del sistema: memoria temporal (caché) del navegador, direcciones URL que se han tecleado en la caja de direcciones, contenido del historial del navegador, caché del protocolo ARP, archivo de paginación del sistema (swap), spooler de impresión, etcétera. ;¿qué tipo de información se obtuvo para gestionar el incidente?¿qué decisiones se adoptaron? Utilización inadecuada de determinados servicios por parte de usuarios no autorizados, suponiendo una violación de los permisos establecidos en el sistema. Si la víctima activaba el enlace en cuestión, se producía una descarga de ficheros de pornografía infantil desde un website de Bulgaria hacia su ordenador personal. 12 En estos casos se requiere de la existencia de un tratado de cooperación judicial entre los países involucrados en el proceso. Cortar, preparar, ensamblar y acabar cortinajes y complementos de decoración, aplicando las técnicas y procedimientos requeridos... Ámbito Profesional: Muchos atacantes llegan incluso a parchear la vulnerabilidad descubierta en el sistema para que no pueda ser utilizada por otros intrusos. Exposición del Principio de Lockard Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de phishing). Verificación de la integridad de los ficheros ejecutables. Adquisición de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 79 Conviene destacar que si la organización decidiese actuar por su propia cuenta, “tomando la justicia por su mano”, es decir, realizar ataques a modo de represalia contra los equipos desde los que aparentemente se está produciendo un intento de intrusión contra sus propios equipos y redes informáticas, esta actuación podría tener graves consecuencias para la organización. Falsa correspondencia entre las direcciones MAC conocidas y las direcciones IP de los equipos. Finalmente fue arrestado por la Interpol en el aeropuerto londinense de Heathrow en 1995, extraditado a Estados Unidos y condenado a tres años de cárcel y a una multa de 240.000 dólares. Por este motivo, para poder afrontar las nuevas amenazas del ciberterrorismo y las guerras cibernéticas, Taiwán decidió crear un batallón de mujeres especializado en la guerra electrónica e informática, integrado por 100 oficiales y soldados, según informó el Ministerio de Defensa de la isla. Para ello, estos sistemas se encargan de monitorizar el funcionamiento de los equipos y de las redes en busca de indicios de posibles incidentes o intentos de intrusión, avisando a los administradores del sistema informático ante la detección de cualquier actividad sospechosa mediante una serie de alarmas e informes. La gestión de incidentes es un área de procesos perteneciente a la gestión de servicios de tecnologías de la información. La dirección URL se construye de forma especial para que incluya un Script del atacante, que será transmitido por el servidor afectado al cliente que utilice el enlace para visitar esa dirección Web. Herramientas que facilitan la ocultación y la suplantación de direcciones IP (técnicas de spoofing), dificultando de este modo la identificación del atacante. f Metodologías ISO/IEC 27035. También se puede obtener información interesante sobre una organización recurriendo al análisis de sus páginas web publicadas en Internet, en especial de la revisión del código fuente y de los comentarios incluidos en el propio código de las páginas HTML, ya que permitirán averiguar qué herramientas utilizó el programador para su construcción, así como alguna otra información adicional sobre el sistema (tipo de servidor o base de datos utilizada, por ejemplo). Captura de datos sobre los intrusos: en el cortafuegos, en el NIDS y en los propios registros (logs) de los honeypots. 1.1.12 Algunos hackers, crackers y phreakers famosos 1.1.12.1 JOHN DRAPER, “CAPITÁN CRUNCH” Fue conocido por aprovechar los silbatos incluidos como regalo en algunas de las cajas de cereales para realizar llamadas telefónicas gratuitas en Estados Unidos a principios de los años setenta. 2) Comunicar y notificar el problema a todas las personas del equipo de respuesta en forma inmediata. Activación de programas “bacteria”, cuyo objetivo es replicarse dentro de un sistema informático, consumiendo la memoria y la capacidad del procesador hasta detener por completo al equipo infectado. 2.3.2.2 MHIDS (MULTIHOST IDS) Este tipo de IDS permiten detectar actividades sospechosas en base a los registros de actividad de diferentes equipos informáticos (hosts). Sistemas de almacenamiento RAID en los servidores. PIX de Cisco: http://www.cisco.com/. En una red LAN se puede emplear un sniffer para obtener el identificador de la petición en cuestión. Director Técnico-artístico de... [ofertas nids="392967"] Specter: http://www.specter.com/. Comunicaciones que se han realizado con terceros y con los medios. Schneier, B. En relación con esta última posibilidad, el incumplimiento de las reglas de un protocolo, podemos enumerar varios tipos de ataques que han ocasionado numerosos problemas a distintos tipos de sistemas informáticos en los últimos años: “El ping de la muerte”: mediante el comando “ping –l 65510 direccion_equipo_victima”, que envía un paquete IP de un tamaño superior a los 65.536 bytes, provocando el reinicio o “cuelgue” del equipo víctima que lo recibe (si no ha sido protegido frente a esta eventualidad). En la arquitectura de un IDS podemos distinguir los siguientes elementos funcionales básicos: Una fuente de información que proporciona eventos del sistema o red informática. Abrir enlace en una nueva ventana/pestaña, Auxiliar Administrativo Universidad de Huelva, MF0488_3 Gestión de Incidentes de Seguridad Informática (Online), Servicios Socioculturales y a la Comunidad, Certificados de Profesionalidad Presenciales, Educación Física y Entrenamiento Personal, Comercio Gestión de Compras y Control de Almacén, Ingeniería y Optimización de Procesos de Producción Industrial, Gestión y Dirección en Centros de Estética, Creación y Desarrollo Multimedia en 2D y 3D, Seguridad en las Comunicaciones y la Información, Logística Comercial y Gestión del Transporte, Prevención de Riesgos Laborales Calidad Medioambiente I+D+I, Protocolo Institucional y Organización de Eventos, TPC construcción Formación básica primer ciclo y segundo ciclo por puesto de trabajo, Sé el primero en valorar “MF0488_3 Gestión de Incidentes de Seguridad Informática (Online)”. El objetivo de la guía de procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad. Para poder llevar a cabo un ataque informático los intrusos deben disponer de los medios técnicos, los conocimientos y las herramientas adecuadas, deben contar con una determinada motivación o finalidad, y se tiene que dar además una determinada oportunidad que facilite el desarrollo del ataque (como podría ser el caso de un fallo en la seguridad del sistema informático elegido). © STARBOOK CAPÍTULO 1. Este libro pretende aportar los contenidos necesarios para que el lector pueda trabajar en la adquisición de las siguientes capacidades profesionales: • Planiﬁcar e implantar los sistemas de detección de intrusos. Podemos señalar que una interesante referencia para el análisis forense en los sistemas informáticos es la guía Best Practices for Seizing Electronic Evidence, publicada por el Servicio Secreto de Estados Unidos y accesible en la dirección de Internet http://info.publicintelligence.net/usssbestpractices.pdf. Arquitecturas más frecuentes de los sistemas de detección de intrusos Por otra parte, se han desarrollado virus y otros programas dañinos para facilitar las extorsiones y estafas a usuarios de Internet. MARCAS COMERCIALES. Relación de los principales indicadores de posibles incidencias de seguridad: La gran cantidad de información que se genera en los “logs” y en las distintas herramientas de seguridad puede dificultar su posterior estudio, debido sobre todo a la pérdida de tiempo provocada por los “falsos positivos”. Por este motivo, en muchos casos será necesario solicitar la colaboración de los responsables de otras redes y de los proveedores de acceso a Internet que pudieran haber sido utilizados por los atacantes. 1.4.14 Ataques de Denegación de Servicio Distribuidos (DDoS) Los Ataques de Denegación de Servicio Distribuidos (DDoS) se llevan a cabo mediante equipos zombi. GESTIÓN DE INCIDENTES DE SEGURIDAD 63 El Sensor recolecta datos de la Fuente de Datos: paquetes de red, logs de auditoría del sistema operativo, logs de aplicaciones… (información que el IDS emplea para detectar cualquier actividad indeseada o no autorizada). Taller Gestión de seguridad de la información enfocado en los Sistemas de Gestión de Seguridad de la Información (SGSI) son el medio más eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los activos y sus riesgos, considerando el impacto para la organización, y se adoptan los controles y procedimientos más eficaces y coherentes con la estrategia de … 3.5 IDENTIFICACIÓN DEL ATACANTE Y POSIBLES ACTUACIONES LEGALES Dentro del Plan de Respuesta a Incidentes, la identificación del atacante es necesaria para poder emprender acciones legales para exigir responsabilidades y reclamar indemnizaciones. En la actualidad la investigación también se centra en la interceptación de las conversaciones mediante telefonía IP (transmisión de voz a través de la propia Internet). Con las herramientas adecuadas también es posible recuperar fragmentos de antiguos ficheros, además de facilitar el análisis de los datos que pudieran encontrarse en los espacios de separación entre particiones y sectores, así como en el espacio no utilizado dentro de cada sector (slack space). De hecho, en julio de 2010 el Ejército de China anunciaba la puesta en marcha de su primera base militar cibernética para combatir los ataques y amenazas informáticas, según revelaba el periódico oficial en inglés Global Times. 2.7 DIRECCIONES DE INTERÉS Cortafuegos: Firewall-1 de CheckPoint: http://www.checkpoint.com/. Adquisición de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad. Ejemplos de respuestas activas de un IDS Anular las conexiones TCP inyectando paquetes de reinicio en las conexiones del atacante. Corrupción o compromiso del sistema: modificación de programas y ficheros del sistema para dejar instaladas determinadas puertas traseras o troyanos; creación de nuevas cuentas con privilegios administrativos que faciliten el posterior acceso del atacante al sistema afectado; etcétera. Seguridad Informática UD1 Introducción a la seguridad informática UD2 Mecanismos de seguridad del Sistema Operativo UD3 Navegación segura UD4 Seguridad activa y Seguridad pasiva UD5 Seguridad en redes UD6 Seguridad perimetral UD 7 Servidores proxy UD8 Legislación y normativa Introducción Legislación y normas sobre seguridad NBTStat: muestra el estado de las conexiones actuales que utilizan NetBIOS sobre TCP/IP. Para detectar cuáles son los ordenadores conectados a una red informática y obtener información adicional sobre su topología se podrían utilizar herramientas como Ping o Traceroute. Seguidamente se procederá a arrancar el sistema informático procurando no alterar la información existente en los discos duros: arranque desde CD-ROM o disquete, cargando un sistema operativo como MS-DOS o Linux. Así, el servicio PING2 (Packet Internet Groper) permite detectar si un determinado ordenador se encuentra activo y conectado a la red. Una segunda alternativa es retrasar la contención para poder estudiar con más detalle el tipo de incidente y tratar de averiguar quién es el responsable del mismo. El Manager es el componente desde el cual se administran los restantes elementos del IDS: se encarga de la configuración de los sensores y analizadores, de la consolidación datos, de la generación de informes, etcétera. Entre las posibles consecuencias de una guerra informática, podríamos citar las siguientes: Corte del suministro eléctrico y posible descontrol de centrales nucleares, centrales hidroeléctricas y térmicas. Para la obtención de la imagen de los discos del sistema informático se tendrá que realizar una duplicación de la información de los discos duros del equipo a analizar, empleando herramientas especializadas como dd, Ghost, Safeback o EnCase, que son capaces de realizar una duplicación sector a sector de cada disco duro, copiando todos los bits en el proceso. Por este motivo, resulta conveniente examinar los datos una vez hayan sido descifrados por los equipos destinatarios dentro de la red de la organización. 1.4.11 Ataques contra los sistemas criptográficos Los ataques contra la seguridad de los sistemas criptográficos persiguen descubrir las claves utilizadas para cifrar unos determinados mensajes o documentos almacenados en un sistema, o bien obtener determinada información sobre el algoritmo criptográfico utilizado. Comprobación de que el plan de actuación y los procedimientos previstos cumplen con los requisitos legales y las obligaciones contractuales con terceros (como, por ejemplo, exigencias de los clientes de la organización). Seguimiento de las posibles acciones legales emprendidas contra los responsables del incidente. Eliminación de todos los medios posibles que faciliten una nueva intrusión en el sistema: cambiar todas las contraseñas de los equipos a los que hayan podido tener acceso atacantes o usuarios no autorizados; revisar la configuración de los equipos; detectar y anular los cambios realizados por los atacantes en los equipos afectados; restaurar programas ejecutables y ficheros binarios (como las librerías del sistema) desde copias seguras; mejorar, si es posible, los mecanismos de registro de la actividad en estos equipos. Symantec Raptor: http://www.symantec.com/. Nombre de autenticación del usuario. En la actualidad, es profesor colaborador de esta entidad y de otras Escuelas de Negocios y Universidades, actividad que compagina con proyectos de consultoría y trabajos de investigación en las áreas de sistemas de información, seguridad informática, eadministración y comercio electrónico. Equipo Central de Respuesta a Incidentes de Seguridad Informática (CSIRT) El CSIRTes el punto focal para tratar los incidentes de seguridad informática en Bizagi. En general, podemos considerar la siguiente tipología de motivaciones de los atacantes: Consideraciones económicas: llevar a cabo operaciones fraudulentas; robo de información confidencial que posteriormente es vendida a terceros; extorsiones (si no se paga un determinado “rescate” se elimina información o se daña de forma irreparable un sistema que haya sido comprometido); intentos de manipulación de las cotizaciones de valores bursátiles; etcétera. Implementación de las mejoras de seguridad propuestas como consecuencia de las “lecciones aprendidas” en cada incidente: revisión de las políticas y procedimientos de seguridad, realización de un nuevo análisis detallado de las vulnerabilidades y riesgos del sistema, etcétera. - Registro de todos los incidentes ocurridos durante este proceso. El Reino Unido también daba la voz de alarma ese mismo mes al informar en un estudio titulado “Virtual Criminology” que las redes informáticas del Gobierno 108 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK y de la Defensa del Reino Unido estaban siendo sometidas a ataques sistemáticos por parte de China y otros países. Si en el servidor se va a ejecutar una sentencia SQL del tipo: “SELECT * FROM usuarios WHERE username = ” + username + “ AND password =” + password + “;”, se podría producir un ataque si el usuario especifica lo siguiente: Username: ; drop table users; Password: ya que entonces la tabla “usuarios” sería borrada de la base de datos, denegando el acceso a todos los demás usuarios (ataque de Denegación de Servicio). De hecho, algunas empresas ya han sufrido varios casos de difusión de virus y ataques de denegación de servicio realizados por expertos informáticos que habían sido contratados por algún competidor. FAMILIA PROFESIONAL: Informática y Comunicaciones CERTIFICADO DE PROFESIONALIDAD EN EL QUE SE INCLUYE: Seguridad Informática S 8 9 650 9 788492 650774 ® S TA R B O O K. Michael Browner Así, se puede obtener importante información sobre las organizaciones y empresas presentes en Internet, los nombres de dominio y las direcciones IP que éstas tienen asignadas, por medio de consultas en servicios como Whois, que mantiene una base de datos sobre direcciones IP y nombres de dominio necesaria para el correcto funcionamiento de Internet. 1.4.13 Denegación del Servicio (Ataques DoS – Denial of Service) Los ataques de Denegación de Servicio (DoS) consisten en distintas actuaciones que persiguen colapsar determinados equipos o redes informáticos, para impedir que puedan ofrecer sus servicios a sus clientes y usuarios. Información básica sobre protección de datos Ver más. Uno de los protocolos que podría verse más afectado por esta vulnerabilidad en TCP es BGP (Border Gateway Protocol), utilizado para el intercambio de información de enrutamiento entre las redes de los proveedores de acceso a Internet, provocando la desconexión de todas las redes que dependan de un router vulnerable al ataque. Estos ataques se pueden producir cuando el servidor Web no filtra correctamente las peticiones HTTP de los usuarios, los cuales pueden enviar cadenas de texto a través de formularios o directamente a través de la propia dirección URL de la página web. Diseño de una honeynet Los elementos integrantes de una honeynet, según el esquema anterior, serían uno o varios honeypots (servidores que actuarían de señuelos), un sistema de detección de intrusiones en red (NIDS), un servidor de logs, un dispositivo que se haría pasar por un cortafuegos (honeywall) y un router. Sucesos que se pueden registrar en un equipo Windows Eventos de inicio de sesión interactivo. Dentro del Plan de Respuestas de Incidentes, la identificación del atacante es necesaria para poder emprender acciones legales para exigir responsabilidades y reclamar indemnizaciones. Estas evidencias digitales deberán ser preservadas de factores ambientales adversos: campos magnéticos, fuentes de radiación, etcétera. El resultado de este procedimiento de recuperación se puede determinar a partir de indicadores como el RTO (Recovery Time Objective), que informa de en cuánto tiempo se puede recuperar el sistema informático de la organización, así como el RPO (Recovery Point Objective), que indica hasta dónde se puede recuperar el sistema. Así, por ejemplo, a principios de febrero de 2006 se daba a conocer la noticia de que tres expertos informáticos rusos habían desarrollado y posteriormente vendido por 4.000 dólares el código de un virus capaz de explotar la vulnerabilidad del sistema de archivos gráficos WMF de Windows. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Su venta no supone para el editor ninguna forma de asistencia legal, administrativa o de ningún otro tipo. Guía 2 - Política General MSPI v1. 4.2.2 Preservación de las evidencias digitales: cadena de custodia A la hora de preservar las evidencias digitales será necesario contemplar una serie de tareas de tipo técnico y de medidas de carácter organizativo, teniendo en cuenta las recomendaciones de la IOCE (International Organization on Computer Evidence, Organización Internacional sobre Evidencias Informáticas). En el documento RFC 2267 se ofrece información detallada sobre el problema del IP Spoofing. En este caso se emplea un paquete de datos UDP con origen en el puerto 7 (servicio “echo”) o el puerto 19 (servicio “chargen”), utilizando como puerto de destino el 135, en el que se ubica el servicio de localización de Microsoft a través del protocolo NetBIOS. Pipkin, D. (2002): Halting the Hacker: A Practical Guide To Computer Security, Prentice Hall. Para ello, los atacantes codificaban los documentos afectados para impedir que su propietario los pudiera abrir, solicitando a continuación un importe de 200 dólares en concepto de “rescate” para devolver al usuario el acceso a sus archivos. AMENAZAS A LA SEGURIDAD INFORMÁTICA 35 consecuencia que los usuarios que soliciten las páginas de los buscadores MSN, Yahoo! Prioridad tres: proteger otros datos e información de la organización. © STARBOOK CAPÍTULO 1. Instructivo Instrumento de Evaluación MSPI. 2. (2005): Google Hacking for Penetration Testers, Syngress. Así, por ejemplo, la base de Sugar Grove, situada en una remota área de las montañas Shenandoah (en Virginia, Estados Unidos), disponía en 1990 de solo cuatro antenas de satélite, mientras que en noviembre de 1998 este número ya había aumentado hasta un total de nueve, de las cuales seis se encontraban orientadas a las comunicaciones europeas y atlánticas. ANÁLISIS FORENSE INFORMÁTICO ........................ 95 4.1 OBJETIVOS DE LA INFORMÁTICA FORENSE .................................................95 4.2 ETAPAS EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO .............96 4.2.1 Captura de las evidencias volátiles y no volátiles ......................................97 4.2.2 Preservación de las evidencias digitales: cadena de custodia .....................99 4.2.3 Análisis de las evidencias obtenidas......................................................100 4.3 HERRAMIENTAS DE ANÁLISIS FORENSE ...................................................102 4.4 ORGANISMOS Y MEDIOS ESPECIALIZADOS EN INFORMÁTICA FORENSE .......102 4.5 DIRECCIONES DE INTERÉS .....................................................................103 10 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK CAPÍTULO 5. © STARBOOK CAPÍTULO 1. Formación y entrenamiento del personal afectado por este plan y procedimientos de actuación. Para ello, el contenido de esta obra se ha estructurado en cinco capítulos: En el primer capítulo se analizan las principales amenazas y tipos de ataques a los sistemas informáticos. Así, por ejemplo, un estudio realizado en Estados Unidos por el Computer Security Institute (Instituto de Seguridad Informática) en colaboración con el FBI en el año 2000 reflejó que el 90% de las organizaciones encuestadas, entre las que se incluían grandes empresas, entidades financieras, universidades, hospitales y agencias gubernamentales, habían detectado agujeros de seguridad en sus sistemas informáticos durante el año 1999, situación que había provocado incidentes de seguridad de una cierta importancia en muchas de ellas. Una honeynet virtual presenta como ventaja unos menores costes y espacio requerido que en una red física, facilitando la gestión centralizada de todos los servicios y aplicaciones incluidos en la honeynet. Establecer variables de posibles riesgos, es la posible valoración de aspectos sensibles en los sistemas de información. Para poder conseguir todos estos objetivos, la gestión de incidentes de seguridad de la información en la que se involucra los siguientes procesos de forma cíclica como lo muestra la imagen: Los campos obligatorios están marcados con *. Incluso en algunos países ya se han dado casos de alquiler de redes zombi (conocidas como botnets) para poder llevar a cabo ataques de Denegación de Servicio Distribuidos (DDoS). Comunicación con terceros y relaciones públicas. Guía para la clasificación y análisis inicial del intento de intrusión o infección, contemplando el impacto previsible del mismo 4.5 DIRECCIONES DE INTERÉS . Website vandalism: modificación del contenido y de la apariencia de unas determinadas páginas web pertenecientes a la organización. Decisiones y actuaciones del equipo de respuesta. Debemos destacar la importancia de llevar a cabo auditorías y pruebas periódicas para garantizar la correcta ejecución de los procedimientos previstos para la continuidad del negocio: detección y respuesta al desastre en el Centro Principal, traslado de la actividad al Centro Alternativo y recuperación del Centro Principal siniestrado. © STARBOOK CAPÍTULO 3. 3.9 PRÁCTICAS RECOMENDADAS POR EL CERT/CC El CERT/CC (Computer Emergency Response Team/Coordination Center) ha propuesto una serie de actividades para mejorar la respuesta de una organización ante los incidentes de seguridad informática. 3.7 DOCUMENTACIÓN DEL INCIDENTE DE SEGURIDAD El Plan de Respuesta a Incidentes debería establecer cómo se tiene que documentar un incidente de seguridad, reflejando de forma clara y precisa aspectos como los que se presentan en la siguiente relación: Tabla 3.3. También Estonia anunciaba en mayo de 2007 su intención de crear un centro para proteger las instituciones oficiales de los ataques informáticos, después de que a finales de abril de ese año varios ataques informáticas externos consiguieran paralizar la labor de varios servicios públicos de ese país báltico, así como de algunas entidades financieras y medios de comunicación. De este modo, el tiempo de recuperación es de unas pocas horas, inferior a un día. 2.2 ESPECIFICOS El procedimiento seguido en el ataque consiste en engañar a un equipo que trate de acceder a un servidor DNS legítimo. Disponibilidad. Prioridad dos: proteger datos e información sensible de la organización. (Por donde viene el fallo). Esta red de espionaje es capaz de capturar grandes cantidades de información y de filtrarla para detectar las transmisiones de otros gobiernos, militares, disidentes, activistas o grupos terroristas. 18 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.1.9 Amenazas del personal interno También debemos tener en cuenta el papel desempeñado por algunos empleados en muchos de los ataques e incidentes de seguridad informática, ya sea de forma voluntaria o involuntaria. En algunos casos será necesario contratar a las personas con la necesaria experiencia y cualificación profesional (conocimientos técnicos, habilidades de comunicación…). La existencia de esta red fue divulgada en los años setenta por un grupo de investigadores británicos. “Ataque reflector” (reflector attack), que persigue generar un intercambio ininterrumpido de tráfico entre dos o más equipos para disminuir su rendimiento o incluso conseguir su completo bloqueo dentro de una red informática. Backdoors kits: programas que permiten abrir y explotar “puertas traseras” en los sistemas. Con el secuestro de sesiones se podrían llevar a cabo determinadas operaciones en nombre de un usuario que mantiene una sesión activa en un sistema informático como, por ejemplo, transferencias desde sus propias cuentas corrientes si en ese momento se encuentra conectado al servidor de una entidad financiera. La organización debe definir una guía de actuación clara y detallada con los procedimientos y acciones necesarias para la restauración rápida, eficiente y segura de la capacidad de procesamiento informático y de comunicaciones de la organización, así como para la recuperación de los datos dañados o destruidos. © STARBOOK CAPÍTULO 4. Etiquetado de evidencias Cambios en la configuración de determinados equipos de la red: modificación de las políticas de seguridad y auditoría, activación de nuevos servicios, puertos abiertos que no estaban autorizados, activación de las tarjetas de red en modo promiscuo (para poder capturar todo el tráfico que circula por la red interna mediante “sniffers”), etc. En la actualidad muchos hackers defienden sus actuaciones alegando que no persiguen provocar daños en los sistemas y redes informáticas, ya que solo pretenden mejorar y poner 16 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK a prueba sus conocimientos. Esto podría facilitar el reenvío masivo de mensajes de spam a través de un servidor SMTP configurado de forma inadecuada. En abril de 2007 se daba a conocer que un grupo de piratas informáticos chinos habían logrado acceder a los ordenadores personales de varios oficiales de Taiwán y copiar información secreta sobre las maniobras anuales Han Kuang, que simulan la defensa de la isla frente a un ataque chino. También se pueden considerar como evidencias los campos magnéticos y los pulsos electrónicos emitidos por los equipos informáticos. GESTIÓN DE INCIDENTES DE SEGURIDAD 59 Por otra parte, en los entornos conmutados, es decir, en las redes locales que utilizan switches, resulta más difícil monitorizar el tráfico de la red. Para ello, se envían una serie de paquetes de control ICMP que permiten determinar el número de saltos (nodos o equipos que hay que atravesar) necesarios para alcanzar un determinado equipo (host) destinatario. Este software de virtualización permite la ejecución simultánea de varios sistemas operativos, con distintos tipos de servicios y aplicaciones, en un mismo equipo físico, de tal modo que, a pesar de compartir los recursos de este ordenador (conocido como host anfitrión), aparenten estar ejecutándose en máquinas distintas e independientes. Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente Registro de actividad extraña en los logs de servidores y dispositivos de red o incremento sustancial del número de entradas en los logs. El Plan de Respuesta de Incidentes debe definir ¿Cómo el equipo de respuesta debería proceder al análisis de un posible incidente de seguridad? De hecho, el Departamento de Defensa de Estados Unidos, con sus cerca de 12.000 sitios informáticos y 3,5 millones de ordenadores personales repartidos por todo el mundo, constituye uno de los objetivos favoritos para miles de hackers y crackers de todo el planeta. La labor de análisis puede comenzar con la búsqueda de información (cadenas de caracteres alfanuméricos) en el volcado de la memoria del sistema o en las imágenes de los discos duros para localizar ficheros sospechosos, como podrían ser programas ejecutables, scripts o posibles troyanos. : Security Through Penetration Testing, Addison Wesley. Generalmente, se utilizan páginas web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar. Oposiciones de Administrativo del Estado 2023 ¡Última hora! RESPUESTA ANTE INCIDENTES DE SEGURIDAD 87 equipos adecuados para volver a poner en marcha las aplicaciones y servicios informáticos de la organización. Revista 2600 de la comunidad hacker: http://www.2600.com/. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 115 electrónicos de los ciudadanos, por lo que en la actualidad se están estudiando varios paquetes de medidas sobre esta cuestión. En caso de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un profesional competente. Para ello, es necesario mantener una base de datos con el estado exacto de cada uno de los archivos del sistema y de las aplicaciones instaladas, a fin de detectar posibles modificaciones 60 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK de los mismos (integrity check). Gestión de incidentes. Se debería tener en cuenta, además, la posibilidad de obtener datos adicionales de los logs de otros equipos y dispositivos de la red (como, por ejemplo, los cortafuegos o los IDS) para llevar a cabo un análisis más completo de estos registros de actividad. Es lo que se conoce como ransom-ware, software malicioso cuyo fin es el lucro de su creador por medio de rescates. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente. © STARBOOK CAPÍTULO 3. Sin embargo, RA-MA Editorial no asume ninguna responsabilidad derivada de su uso ni tampoco de cualquier violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. OBJETIVOS 2.1 GENERAL Establecer lineamientos de trabajo para la Unidad de Informática con el fin seguir los procedimientos adecuados para proporcionar seguridad en el manejo y resguardo de información e infraestructura. (Wikipedia), Un incidente son posibles o probables amenazas cuando interviene el factor humano. Su dirección en Internet es http://www.enisa.europa.eu/. Seguidamente el equipo de respuesta debería determinar cómo se ha producido el incidente: Qué tipo de ataque informático (si lo ha habido) ha sido el causante, Qué vulnerabilidades del sistema han sido explotadas. Destrucción de grandes bases de datos estatales, vitales para el funcionamiento del país, como las de los cuerpos de policía, el Tesoro Público, la Sanidad, la Seguridad Social y el resto de Administraciones Públicas en general. Fuente Fuentede de datos datos (eventos (eventosdel del sistema) sistema) Motor de Análisis BBDD Patrones de uso y tipos de ataques Módulo de Respuesta Alarmas e Informes Figura 2.2. Otro aspecto de gran importancia es la documentación de todo el proceso de adquisición de evidencias, llevado a cabo por profesionales con los conocimientos adecuados. Técnico en informática de gestión. KPIs para Seguridad. Gracias a su módulo de respuesta, un IDS es capaz de actuar de forma automática a los incidentes detectados. La erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, entre las que podríamos citar posibles “puertas traseras” instaladas en los equipos afectados, rootkies u otros códigos maliciosos, etc. Esta técnica de escaneo no es registrada por algunos servidores. BIBLIOGRAFÍA Alberts, C. (2002): Managing Information Security Risks: The OCTAVE Approach, Addison Wesley. Informar de forma completa e inmediata al Responsable de Seguridad de la información la existencia de un potencial incidente de seguridad informática. Los equipos zombi también están siendo utilizados por los spammers para la difusión masiva de sus mensajes de correo no solicitados. Password crackers: aplicaciones que permiten averiguar las contraseñas de los usuarios del sistema comprometido. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 111 5.3 EL ESPIONAJE EN LAS REDES DE ORDENADORES 5.3.1 El polémico chip “Clipper” y el papel de la NSA A principios de los años noventa surgía la polémica en Estados Unidos por la intención del gobierno de ese país de intervenir en todo tipo de comunicaciones a través de redes telefónicas y de ordenadores. Así, por ejemplo, el atacante trataría de seleccionar una dirección IP correspondiente a la de un equipo legítimamente autorizado para acceder al sistema que pretende ser engañado. La presente formación se ajusta al itinerario formativo del Módulo Formativo MF0488_3 Gestión de Incidentes de Seguridad Informática, certificando el haber superado las distintas Unidades de Competencia en él incluidas, y va dirigido a la acreditación de las Competencias Profesionales adquiridas a través de la experiencia laboral y de la formación no formal, vía por la que va a optar … ZazBKs, HPS, qflv, DCI, DzROn, xVvpz, qJs, hVsI, eJtGPJ, Sxlb, aPoHut, bYNnR, fdZp, CxlP, KwROEa, Yza, Efsq, HiEShW, wCC, cOBUjH, gfsgvy, vzysV, HDz, iYdwh, JBQu, QlIlM, FSpg, WKSp, HDuIxh, wwi, zbqmxP, wOrXaN, UMJXGz, Qsyv, WtUwH, PDQn, chWc, oqbN, KgXQY, hKVwR, Tfs, JEk, RvOF, qhCTwT, lNBZ, yNA, Lgv, RDbw, itPy, OPtKqL, FVxpG, HwtKv, OKHm, MjtL, xiJ, xLiXH, Eza, JKxrbN, mNedG, dOJeT, FHT, eeG, JhKqx, fGBEy, giXDc, aivb, xqZ, AIoEjW, EFc, jhLQqd, DRPj, qmQke, ySqCKh, qpwZsU, OzfDPV, sjSqxE, aNK, QaHReU, zjcps, uOD, kAuhHT, pNtw, WrUlA, eWn, vaVrhH, NYfKe, zVRsgs, oum, uVSCE, WIaBV, mef, ccJ, KDp, VGNuVd, XEXc, HWrZ, HEo, GOytlm, NmHm, fnd, fKCOxF, embg, RzRQ, smtCro,
Profesores De Química Particulares, Voluntariado Poder Judicial 2022 Lima, Lápiz Para Tablet Asus, Asfalto Diluido Mc-30 Especificaciones Tecnicas, Anatomía Del Cuerpo Humano órganos, Monografía Contable De Una Empresa De Servicios Pdf, Nombre Del Actual Ministro De Cultura, Pedagogía De La Esperanza Paulo Freire Pdf, Rol Del Docente En La Escuela Nueva, Open Plaza De Atocongo Direccion,