Continuando con este importantísimo tema (si no viste la primera parte podes hacer un clic acá), ahora vamos a ver en esta segunda parte la “Rueda del Tratamiento de Incidentes” que es como la llamo yo. Y esta rueda se compone de los siguientes puntos:
- Preparación / Prevención
- Detección / Notificación
- Contención, Erradicación y Recupero
- Análisis Preliminar
- Investigación
- Actividades Posteriores
Preparación / Prevención
Si hablamos de estar preparados, es importante poder armar una especie de cuadro con una categorización de los tipos de incidentes, para esto podemos usar este criterio en donde sumamos los efectos negativos producidos por el incidente y la criticidad de los recursos afectados y esto nos devuelve la criticidad del incidente.-
Una muy buena práctica dentro de la Preparación es armar un catalogo de categorización de incidentes, podemos categorizar POR TIPO DE INCIDENTE y por LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS al final del post se dejan dos ejemplos de categorización.-
Otras medidas a utilizar pueden ser
- Establecer políticas, normas y procedimientos.-
- Preparar el Grupos de Gestión y tratamiento de Incidentes.-
- Entrenar al personal.-
- Documentar en un mapa la arquitectura de la red.-
- Documentar la configuración de los equipamientos.-
- Crear patrones de redes y sistemas.-
- Comprender el funcionamiento normal.-
- Activar los logs en los sistemas y sus aplicaciones.-
- Utilizar un servidor recolector centralizado de Logs creando una política de almacenamiento de logs.-
- Mantener los relojes de todos los equipos sincronizados.-
- Crear sumas de comprobación criptográficas los archivos más importantes de los sistemas.-
- Definir e implementar esquemas de resguardos de datos.-
Tenemos que considerar el uso de herramientas para:
- Detección de incidentes
- Monitoreo de los sistemas y estaciones de trabajo
- Análisis de incidentes
- Documentación de incidentes
- Análisis periódicos de riesgos
- Mejores prácticas de seguridad
- Auditorías periódicas de los sistemas
- Administración de actualizaciones de ser posible centralizada
- Fortalecimiento de la seguridad de los equipos con Antivirus bien configurados, Firewall, Host IDS, etc.-
- Seguridad en la red
- Concientización y capacitación de usuarios
Detección / Notificación
En este segundo paso es cuando nos encontramos frente a una detección de un incidente y esta puede ser manual o automática ya sea por una advertencia que este indicando un incidentes o puede ser también por una señal de algún sistema que indique que está ocurriendo o en el peor de los casos que ya ocurrió el incidente.-
Las advertencias son el anuncio de una amenaza de ataque web, alerta de IDS o anuncio de Exploit y como indicadores tomamos un aviso sobre buffer overflow por parte de un IDS, una alerta de un antivirus que ha detectado código malicioso, un Firewall que esta alertando sobre repetitivos paquetes ARP o direcciones IP Malformadas, conectividad lenta, o cuentas bloqueadas por excesivos intentos de acceso, rodo de identidad o datos en los propios sistemas (E-Mail, etc).-
En lo que es a la detección contamos también con software que nos ayuda a estar monitoreando, u organismos externos que nos emiten algún tipo de alerta, estos avisos puede ser generados por:
- IDS – Sistemas de detección de intrusiones de red (NIDS) o de host (HIDS)
- Software de antivirus
- Software de control de integridad de archivos
- Análisis de registros de auditoría (logs)
- Información pública
- Usuarios del organismo
Un ejemplo de la ruta de notificación de un incidente puede ser de la siguiente manera
La notificación inicial se puede producir por aviso de un usuario o por alguna herramienta que de una alerta esto es recepcionado por un grupo inicial (Lo podemos llamar Grupo de Gestión de Incidentes), este a su vez realiza una categorización del hecho basándose en su tabla de categorización y realiza la notificación a los dueños de la información afectada, personas afectadas, personal de sistemas, Oficina de Recursos Legales.-
Al realizar esta tarea podemos contar con un formulario con la siguiente información:
Datos del reporte
- Numero de Identificación
- Fecha y hora
- Clasificación
- Breve descripción
- Efectos producidos
- Descripción detallada
- Responsable de atención
Datos del reportante
- Nombre
- Cargo
- Área
- Tel / Interno
Otros datos a incorporar son el Estado, Fecha de cierre y un Detalle con las tareas, tiempos y responsables.-
Análisis Preliminar
Una vez que ya contamos con los indicadores o advertencias tenemos que saber si es verdaderamente un incidente de seguridad o solo se trata de un falso positivo, para poder lograr ver la luz al final del camino, tenemos que realizar la tarea de recolección de Información.-
Recolección de información para analizar
La recolección de información nos sirve para determinar el alcance del incidente, qué redes y que sistemas y aplicaciones fueron afectados, y que fue lo que genero el incidente, como ocurrió o está ocurriendo, también nos permite saber que origino el hecho, como ocurrió y las herramientas utilizadas, que vulnerabilidades fueron explotadas y el impacto negativo que pueda tener sobre la empresa.-
Ahora necesitamos determinar el alcance y para esto nos podemos hacer las siguientes preguntas:
- ¿Cuántos equipos fueron comprometidos?
- ¿Cuántas redes se vieron envueltas?
- ¿Cuán dentro de la red logró penetrar el atacante?
- ¿Qué nivel de privilegio logró el atacante?
- ¿Qué es lo que está en riesgo? ¿Cómo impacta en las actividades del organismo el compromiso de los equipos? ¿Se encuentran en riesgo aplicaciones críticas?
- ¿Quién sabe acerca del incidente y cómo puede afectar esto el impacto del mismo?
- ¿Cuán conocida es la vulnerabilidad explotada por el atacante? ¿Hay otros equipos con la misma vulnerabilidad?
Para responder estas preguntas podemos tomar las siguientes medias:
tomar contacto con los administradores de sistemas nos permite obtener datos sobre sucesos anormales en los sistemas, hablar con el personal nos brinda información sobre sucesos anormales en las actividades cotidianas, realizar una revisión de reportes de herramientas de detección de intrusiones nos dará detalles del incidente, también una revisión de logs de comunicaciones, plataformas y sistemas nos permite Detectar actividades anormales y por último conocer la topología de red y listas de acceso nos permite Detectar posibles cambios no autorizados.-
Contención, respuesta y recupero
Ya en esta instancia nos avocamos a la tarea de volver los sistemas a la normalidad para ello contamos con tres acciones.-
CONTENCIÓN Evitar que el incidente siga produciendo daños. ERRADICACIÓN Eliminar la causa del incidente y todo rastro de los daños y RECUPERO Volver el entorno afectado a su estado original.-
Para llevar a cabo estas acciones tenemos que contar con una estrategia que nos permita realizar las operaciones de manera organizada, rápida y efectiva sino puede que el remedio sea peor que la enfermedad, para contar con una buena estrategia tengamos en cuenta estos agentes:
- Daño potencial de recursos a causa del incidente
- Necesidad de preservación de evidencia
- Tiempo y recursos necesarios para poner en práctica la estrategia
- Efectividad de la estrategia total o parcialmente
- Duración de las medidas a tomar
- Criticidad de los sistemas afectados
- Características de los posibles atacantes
- Si el incidente es de conocimiento público
- Pérdida económica
- Posibles implicancias legales
- Relación costo-beneficio de la estrategia
- Experiencias anteriores
Investigación
No hay nada mejor que aprender de los hechos desfavorables, es por eso que la investigación nos nutre de una base de Conocimiento que nos permite entender lo que paso, como subsanarlo y como evitarlo nuevamente. Nunca está de más tomar todas las medidas necesarias en la investigación, realizando una correcta adquisición de evidencia aplicando en todo momento el control de la cadena de custodia y utilizando elementos de validación.-
Para la recolección de datos podemos obtenerla con adquisición en vivo siendo esta la Fecha y hora del sistema, aplicaciones corriendo, conexiones de red establecidas, puertos abiertos, aplicaciones escuchando en dichos puertos, estado de la placa de red.-
También podemos contar con la información de Backups, archivos copiados recientemente, información de la red (Logs de IDSs, logs de monitoreo, información recolectada mediante sniffers, logs de routers, logs de firewalls, información de servidores de autenticación (Dominio Windows, Samba Linux, Email, FTP, VPN, etc); podemos sumar información testimonial por parte del personal.-
En conclusión toda la Recolección de Información debe respetar estos tres puntos
- AUTENTICIDAD: Quien haya recolectado la evidencia debe poder probar que es auténtica.-
- CADENA DE CUSTODIA: Registro detallado del tratamiento de la evidencia, incluyendo quienes, cómo y cuando la transportaron, almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma.
- VALIDACION: Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.-
Esto nos lleva a realizar un correcto proceso de recolección de evidencia
Actividades Posteriores
Es un hecho que al finalizar la gestión y tratamiento de incidentes debemos
- Organizar reuniones
- Mantener la documentación
- Crear bases de conocimiento
- Integrar la gestión de incidentes al análisis de riesgos
- Implementar controles preventivos
- Elaborar Tableros de Control
Siendo esta información la que estaremos utilizando para generar los cuadros que hablamos en el primer punto.-
Anexo Imágenes de Modelo de Tableros
Cristian Amicelli Rivero
