Professional Documents
Culture Documents
06.RespuestaAnteIncidentes Tecnico
06.RespuestaAnteIncidentes Tecnico
Definiciones
▪ Evento: ocurrencia observable en un sistema o red.
Alcance de la IR - CPNI
Framework
Misión
Procedimientos
• Comunicaciones
• Vigilancia Tecnológica
Servicios • Evaluaciones y Auditorias
• Puesta a punto de Infraestructura
Proactivos • Herramientas de Seguridad
• Servicios de Detección de Intrusos
• Sensibilización
Ejemplo de Servicios
Ciclo de Vida
Manejo de
Triage (Clasificar)
Vulnerabilidades
Otros Respuesta
Fase I: Preparación
Tipología Recursos
HW y Software para • Laptops y backups (para análisis forense, para
Análisis crear imágenes, restaurar, analizar tráfico,
consultar información, manuales)
Instalaciones y • Sistema de registro, escalonado y gestión de
comunicaciones incidentes e información relacionada
• Teléfonos móviles (con la batería cargada)
• Laptop forenses y dispositivos de backup
• Sala de crisis
Análisis de Incidentes • Mapa de Sistemas, topología de red, listado de
activos y zonas críticas
• Documentación
• Estadísticas, informes de tráfico y actividad de
aplicaciones
Priorización de Incidentes -
Severidad del ataque (I)
Criticidad Tipologías
Very High Phishing, Denegación de Servicios
High Alteración de información no autorizada,
troyanos
Normal Spam
Priorización de Incidentes -
Severidad del ataque (II)
Información de un Incidente
Información Descripción
Identificativo Número para identificación y seguimiento
Palabras clave Información para caracterizar y relacionar
Asignado a Grupo y datos de contacto del equipo encargado de analizarlo
Estado de un Incidente
Recuperació
Ocurrencia Detección Diagnóstico Reparación Restauración Cierre
n
▪ Erradicar
▪ Eliminar componentes del ataque, limpiar y mitigar las vulnerabilidades
explotadas
▪ Recuperar
▪ Restaurar sistemas
▪ Aprender y mejorar
▪ ¿Cómo podemos prevenir, detectar e impedir incidentes similares?
▪ Personas
▪ Herramientas
▪ Información
Métricas
▪ Número de incidentes gestionados
▪ Número de incidentes por categoría
▪ Tiempo dedicado por incidente
▪ Total en el incidente
▪ Para cada fase (comienzo, descubrimiento, impacto, …, recuperación)
▪ Para informar al órgano de decisión
▪ Evaluación objetiva del incidente
▪ Valoración del impacto vs impacto ocurrido
▪ Daño económico
▪ Servicios afectados
▪ Nueva ocurrencia de un Incidente
▪ Evaluación Subjetiva
▪ Preguntar al propietario del servicio, activo atacado
Recomendaciones
▪ Prepararse para dar respuesta a Incidentes
▪ Identificar el propósito (política y el área de acción) del IRT.
▪ Identificar las zonas más importantes para el negocio.
▪ Estudiar, investigar, analizar el comportamiento del área de
acción, disponer herramientas y recursos.
▪ Prevenir la ocurrencia de incidentes mediante evolución y
testing de la securización.
▪ Identificar precursores e indicadores mediante alertas.
▪ Establecer relaciones con IRTs externos y entidades de
información y colaboración.
ACTUAR OBSERVAR
DECIDIR ORIENTAR
• Análisis de Decisiones
Formal • Investigación de Seguridad
• Comité de Crisis • Inteligencia de Amenazas
• Políticas de Seguridad • Clasificación de Incidentes
El IRT en la organización
Grupo
IRT
de IT
Estructura de IRTs
IRT
Internacional
IRT Región
Andina
IRT Colombia IRT Perú IRT Ecuador IRT España IRT Italia
Atributos Descripción
Jefe de Equipo de RI Coordina y controla el rendimiento del equipo y
dirige las mejoras del grupo.
Responsable de Triage También llamado investigador líder es el
encargado de asignar y clasificar los incidentes y
convocar el comité de crisis.
▪ Recoger
▪ y registrar los datos relacionados con un incidente
▪ Examinar
▪ generar la información relevante
▪ Analizar
▪ estar en disposición de responder las preguntas
▪ Informar
▪ sobre las conclusiones y medidas
Algunas consideraciones
▪ Sistemas de Ficheros
▪ FAT12, FAT16, FAT32, NTFS, HPFS, ext2fs, ext3fs, HFS, UFS, CDFS, UDF,…
▪ Ficheros borrados – slack space
▪ Backup Lógico vs Imagen
▪ Ficheros y timestamps (creación, modificación, acceso)
▪ Datos OS
▪ Volátiles
▪ Contenido de memoria, configuración de red, conexión de red, procesos, ficheros abiertos,
login,…
▪ No Volátiles
▪ Usuarios y grupos, passwords, comparticiones, logs, …
▪ Datos de Red
▪ TCP/IP: Capas de Aplicación, Transporte, IP, HW
▪ Fuentes: Firewalls y routers, sniffers y analizadores de protocolos, IDS, NFAT = SEM +
sniffer + analizador de protocolos, DHCP, software monitorización de red, ISP,
aplicaciones cliente/servidor.
▪ Datos de Aplicación
▪ Configuraciones (ficheros, runtime), datos, autenticación, logs
Plan de recuperación
▪ Niveles de Acuerdo de Servicio
▪ Procedimientos de recuperación de componentes y Plan B
▪ Equipo de Recuperación
▪ Plan de Comunicaciones y Decisiones
▪ Infraestructuras
▪…
Métricas
▪ Impacto de Incidentes
▪ Costes por inactividad de servicios
▪ Costes por pérdida de imagen y costes de oportunidad
▪ Costes por servicios de recuperación
▪ Calidad de la Recuperación
▪ Tiempo de Servicios parados por incidentes
▪ Incumplimiento de ANS de Servicios de Recuperación
▪ Porcentaje de recuperaciones de acuerdo a objetivo de tiempo
Referencias
▪ Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities,
http://csrc.nist.gov/publications/PubsSPs.html#800-84
▪ Standards for Security Categorization of Federal Information and Information
Systems, at http://csrc.nist.gov/publications/PubsFIPS.html
▪ Information Security Continuous Monitoring for Federal Information Systems
and Organizations (http://csrc.nist.gov/publications/PubsSPs.html#800-137)
▪ Guide to Adopting and Using the Security Content Automation Protocol (SCAP)
Version 1.2 (http://csrc.nist.gov/publications/PubsSPs.html#800-117)
▪ Guide to Malware Incident Prevention and Handling for Desktops and Laptops
(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf)
▪ Guide to Integrating Forensic Techniques into Incident Response,
http://csrc.nist.gov/publications/PubsSPs.html#800-86
▪ Contingency Planning Guide for Federal Information Systems,
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-34r1.pdf
2. Frameworks de actuación
ante incidencias
46 © Tecnalia, 2022; D.R. © BID, 2022
Frameworks de actuación
ante incidencias
Agenda
▪ Frameworks de actuación ante
incidentes
▪ ENISA
▪ Smart Grid Task Force
▪ Energy cybersecurity capability
maturity framework
▪ Referencias
ENISA
ENISA
La ENISA, Agencia de la Unión Europea para la
Ciberseguridad, es un centro de conocimientos
especializados para la seguridad cibernética en
Europa. La ENISA ayuda a la UE y los países que
la integran a estar mejor equipados y preparados
para prevenir, detectar y dar respuesta a los
problemas de seguridad de la información.
Fuente: https://europa.eu/european-union/about-eu/agencies/enisa_es
Objetivos ENISA
▪ Alcanzar resiliencia en ciberseguridad.
▪ Reducir el cibercrimen.
Beneficia a
El principal destinatario de la ENISA son las organizaciones del sector
público, concretamente:
▪ Gobiernos de los países de la UE
▪ Instituciones de la UE
Pero también:
▪ Industria de las TIC
▪ Comunidad empresarial
▪ Especialistas en seguridad
▪ Instituciones académicas
▪ Ciudadanos
Ciclo de Resolución de
Incidentes - ENISA
Erradicar y Análisis de
Recuperar Datos
Investigación
Ejecución de
de la
Solución
Solución
Propuesta de
Solución
Smart Grid
Task Force
Junio, 2019
Smart Grids
Task Force
Creación de grupos de
trabajo dentro del
sector de las Smart Grid
Mejora la eficiencia
Smart Grids
Task Force Estudiar la aplicabilidad de las DLTs al
sector energético
Blockchain
Identificar obstáculos tecnológicos,
financieros y regulatorios de los casos de
uso anteriores
Smart Grids
Task Force
Alcance
Energy
cybersecurity
capability
maturity
framework
CERTs
Un CERT estudia problemas que tienen implicaciones
generalizadas de ciberseguridad y desarrolla métodos y
herramientas avanzados
Equipo de respuesta (o preparación) para emergencias
informáticas
Fuente ENISA
CSIRTS
Un CSIRT es una entidad organizativa concreta que tiene
la responsabilidad de coordinar y respaldar la respuesta a
un evento o incidente de seguridad informática
Equipo de respuesta a incidentes de seguridad
informática
CERTs y CSIRTs
▪ En la práctica suelen emplearse indistintamente
SOCs
Un SOC abarca muchos aspectos de las operaciones de
seguridad, mientras que los CSIRTs y CERTs se enfocan en
la respuesta a incidentes
CNPIC
Organismo dependiente del Ministerio de
Interior de España responsable del impulso,
coordinación y supervisión de todas las políticas
y actividades relacionadas con la protección de
infraestructuras críticas.
Referencias
▪ https://www.enisa.europa.eu/publications/an-evaluation-
framework-for-cyber-security-strategies
▪ https://www.energy.gov/sites/prod/files/2015/01/f19/Energy%20
Sector%20Cybersecurity%20Framework%20Implementation%20G
uidance_FINAL_01-05-15.pdf
▪ https://www.energy.gov/sites/prod/files/2014/02/f7/Use-of-NIST-
Cybersecurity-Framework-DOE-C2M2.pdf
▪ https://www.csirt.es/index.php/es/miembros/cnpicv
4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
75 © Tecnalia, 2022; D.R. © BID, 2022
Gestión amenazas/incidentes IC en LATAM
Enunciado
Se considera una empresa de fabricación de material industrial de alta
tecnología. A las 3:00 de la mañana, el sistema IDS de la sala de
vigilancia de la empresa detecta tráfico inusual fluyendo en la red
interna, en particular peticiones ICMP hacia las cámaras de
videovigilancia. A las 4:30, una cámara de seguridad localizada en la
puerta del edificio detecta a una persona accediendo a la sala de
servidores donde se encuentran diversos planos de materiales. La
misma cámara vuelve a grabar a esa persona a las 5:30 saliendo de la
sala. A las 8:00 de la mañana, cuando la empresa abre, el equipo de
respuesta ante incidentes descubre la intrusión.
Acciones
Investigador
Descripción