Nslookup: inspecciona los contenidos de los archivos de un servidor DNS. Desde entonces este costoso programa (el proyecto tuvo un coste superior a los 170 millones de dólares) fue utilizado de forma importante a partir de los atentados del 11-S en Estados Unidos. Uno de los sistemas NIDS más conocidos es SNORT. Disponibilidad. 68 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Figura 2.6. En virtud de lo dispuesto en esta Ley, los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes y los prestadores de servicios de alojamiento de datos tienen la obligación de retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información (conexión a Internet, hospedaje de páginas web…), por un período de tiempo de hasta 12 meses. Creación de un archivo de discos de arranque y un conjunto de copias con todas las aplicaciones y servicios necesarios para el funcionamiento de los sistemas informáticos, así como de los parches y actualizaciones correspondientes. No obstante, este mecanismo puede ser empleado por un intruso para ocultar archivos asociados a otros sin que sean detectados por el administrador del sistema. Generación de tráfico extraño en la red: envío de mensajes de correo electrónico hacia el exterior con contenido sospechoso, inusual actividad de transferencia de ficheros, escaneo de otros equipos desde un equipo interno… Notificación de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organización. Entre las distintas situaciones de tráfico anómalo, podríamos citar las siguientes: Enrutamiento anormal de los paquetes de datos. Acceso a la base de datos Whois Por otra parte, se podrían utilizar herramientas que facilitan todos estos tipos de consultas, como podría ser el caso de “DNS Stuff” (www.dnsstuff.com). 96 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK todas las actividades que se realizarán en cada una de las etapas del análisis forense en sistemas informáticos. RA-MA es una marca comercial registrada. De las herramientas de análisis forense disponibles en el mercado podríamos considerar que las más populares serían EnCase, Autopsy, The Forensic Toolkit, The Sleuth Kit o The Coroner’s Toolkit, entre otras. 4.5 DIRECCIONES DE INTERÉS . A mayor números de usuarios mayor número de incidencia. La avería, que se produjo a primera hora de la mañana, afectó al sistema de procesamiento de vuelos del Centro Nacional de Servicios de Tráfico Aéreo (NATS), con sede en West Drayton, en el oeste de Londres. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 87 equipos adecuados para volver a poner en marcha las aplicaciones y servicios informáticos de la organización. - Registro de todos los incidentes ocurridos durante este proceso. También se han llevado a cabo ataques DoS contra sesiones TCP previamente establecidas, aprovechando una vulnerabilidad en el diseño del protocolo TCP dada a conocer por el CERT/CC a finales de abril de 2004, que afecta a aquellos servicios que se basan en la utilización de sesiones TCP permanentes, sin ningún tipo de autenticación entre los dos extremos de la comunicación. Estos tres factores constituyen lo que podríamos denominar como el Triángulo de la Intrusión, concepto que se presenta de forma gráfica en la siguiente figura: © STARBOOK CAPÍTULO 1. Director Técnico-artístico de... [ofertas nids="392967"] Gestión de Incidentes Referente a la ISO 27001, ISO 27002 se podría utilizar una Metodología de Gestión de Incidentes: ¡Este contenido está bloqueado! © STARBOOK CAPÍTULO 5. Relación de los registros de auditoría de las herramientas de protección frente a código maliciosos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad Las arquitecturas de IDS más importantes son CIDF e IDWG. DNS Seguro: http://www.dnssec.net/. UNIDAD DIDÁCTICA 5. A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 75 3.3 ANÁLISIS DE UN INCIDENTE DE SEGURIDAD El Plan de Respuesta a Incidentes debe definir cómo el equipo de respuesta debería proceder al análisis de un posible incidente de seguridad en cuanto éste fuese detectado por la organización, determinando en primer lugar cuál es su alcance: ¿qué equipos, redes, servicios y/o aplicaciones se han podido ver afectados? Seguidamente se procederá a arrancar el sistema informático procurando no alterar la información existente en los discos duros: arranque desde CD-ROM o disquete, cargando un sistema operativo como MS-DOS o Linux. El atacante podría estar usando equipos de terceros, Podrían estar utilizando direcciones de IP dinámicas, El equipo atacante podría estar de un servidor proxy. Por este motivo, es necesario contar con herramientas y filtros que faciliten la detección y clasificación de los incidentes. IP Européens Network Figura 1.7. Así, por ejemplo, en los sistemas UNIX se podría utilizar la herramienta “System log”, mientras que en los sistemas Windows se puede recurrir al registro de eventos (event log). ÍNDICE EL AUTOR ................................................................................... 11 INTRODUCCIÓN.......................................................................... 13 CAPÍTULO 1. AusCERT: http://www.auscert.org.au/. De este modo, el gobierno podría interceptar todas las comunicaciones de sus ciudadanos, al estilo de un “Gran Hermano” Orwelliano. Arquitectura de un Sistema de Detección de Intrusiones (IDS) 58 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Por otra parte, un IDS puede utilizar dos modelos de detección: Detección de un mal uso (misuse): tipos ilegales de tráfico, secuencias utilizadas para realizar ataques contra los equipos (exploits), escaneo de puertos, etcétera. Almacenamiento de contenidos ilegales en los equipos: muchos atacantes aprovechan los equipos comprometidos de una organización para guardar y distribuir copias piratas de software, canciones o vídeos, pornografía infantil… Modificación o destrucción de archivos y documentos guardados en un servidor. Lanzamiento de bombas electromagnéticas para neutralizar todos los equipos electrónicos militares no protegidos y silenciar a las principales emisoras de radio y televisión. - Recuperación de ficheros borrados. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 107 Más recientemente, la publicación de decenas de miles de documentos secretos e información confidencial por parte de la organización Wikileaks a finales del año 2010 ha venido a poner de manifiesto las deficientes medidas de seguridad informática en distintos Departamentos del Gobierno de Estados Unidos. Taller Gestión de seguridad de la información enfocado en los Sistemas de Gestión de Seguridad de la Información (SGSI) son el medio más eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los activos y sus riesgos, considerando el impacto para la organización, y se adoptan los controles y procedimientos más eficaces y coherentes con la estrategia de … De hecho, en ese momento ya era obligatorio en el Reino Unido que las grandes empresas de telecomunicaciones, como BT, Orange u O2 mantuvieran un registro del tráfico de las llamadas de cada ciudadano desde teléfonos fijos y móviles. La experiencia es un factor determinante para poder actuar de forma correcta evitando errores a la hora de responder de forma rápida y eficaz ante los incidentes de seguridad. Gestión de Incidentes Etiquetado con ISO 27000. Whois: relaciona nombres de dominio con direcciones IP. © STARBOOK CAPÍTULO 4. CERT - INTECO: http://cert.inteco.es/. En el tercer capítulo se presentan los principales aspectos a tener en cuenta en la respuesta ante incidentes de seguridad y en la definición de planes de continuidad del negocio. 1.4.3 Robo de información mediante la interceptación de mensajes Ataques que tratan de interceptar los mensajes de correo o los documentos que se envían a través de redes de ordenadores como Internet, vulnerando de este modo la confidencialidad del sistema informático y la privacidad de sus usuarios. Para ello, se podrían consultar las siguientes fuentes de información sobre nombres de dominio y asignación de direcciones IP en Internet: Base de datos Whois de InterNIC (Internet Network Information Center): www.internic.net/whois.html. Auditoría periódica de los permisos asignados a los recursos del sistema. El primer objetivo de la gestión de incidentes … Unidades de respuesta: se encargan de cerrar las conexiones, terminar procesos, bloquear el acceso a los servidores, etcétera. Por otra parte, en octubre de 2005 se daba a conocer la existencia de un nuevo código malicioso, denominado PremiumSearch, capaz de engañar a los usuarios de los populares buscadores Google, Yahoo! [email protected] Hechos registrados (eventos en los logs de los equipos). IFCT0109 for your reference list or bibliography: select your referencing style from the list below and hit 'copy' to generate a citation. De este modo, se persigue “inyectar” información falsa en el base de datos del servidor de nombres, procedimiento conocido como “envenenamiento de la caché del servidor DNS”, ocasionando con ello serios problemas de seguridad, como los que se describen de forma más detallada a continuación: Redirección de los usuarios del servidor DNS atacado a websites erróneos en Internet, que simulan ser los websites reales. Como parte del plan de recuperación que se estipule, ESED, Ciber Security & IT Solutions propone una serie de pasos que deben ser cumplimentados luego de sufrirse ataques a la seguridad informática: 1) Identificar la amenaza y su nivel de gravedad. - Real Decreto 628/2013, de 2 de agosto, por el que se establecen cuatro certificados de profesionalidad de la familia profesional Informática y comunicaciones que se incluyen en el Repertorio Nacional de certificados de profesionalidad y se actualizan los certificados de profesionalidad establecidos como anexos I, II, III, IV, V, VI, VII, VIII, IX, X, XI y XII del Real Decreto 1531/2011, de 31 de octubre y como anexos I, II, III, IV, V y VI del Real Decreto 686/2011, de 13 de mayo (BOE 19-09-2013). Determinación de los requerimientos y técnicas de actualización de las herramientas de protección frente a código malicioso 2.5 LOS HONEYPOTS Y LAS HONEYNETS (SEÑUELOS) Un honeypot es un servidor configurado y conectado a una red para que pueda ser sondeado, atacado e incluso comprometido por intrusos. Arquitecturas más frecuentes de los sistemas de detección de intrusos Al modificar las rutas, el tráfico atravesará otros equipos y redes antes de alcanzar su destinatario final, facilitando de este modo el sniffing. En este caso podemos considerar que ya existe un Plan de Recuperación del Negocio, gracias a la existencia de copias de seguridad más o menos actualizadas en otra ubicación física. Todos estos empleados se verían imposibilitados para trabajar con normalidad si se viera interrumpido el funcionamiento de la red y los servicios informáticos de su empresa. Así, el servicio PING2 (Packet Internet Groper) permite detectar si un determinado ordenador se encuentra activo y conectado a la red. De este modo, los atacantes podrían provocar que los usuarios descargasen de Internet software modificado en lugar del legítimo (descarga de código dañino, como virus o troyanos, desde websites maliciosos). Route: muestra y manipula las tablas de enrutamiento del equipo. UNIDAD DIDÁCTICA 1. John Draper 1.1.12.2 VLADIMIR LEVIN Matemático ruso que en 1995 consiguió acceder a través de Internet desde San Petersburgo al sistema informático central de Citybank en Nueva York, para realizar transferencias por valor de 10 millones de dólares desde cuentas corporativas de esta entidad financiera a otras abiertas por él en entidades de otros países como Rusia, Finlandia, Alemania, Holanda o Suiza. Aunque un incidente también podría ser la consecuencia de un error o trasgresión (accidental o deliberada) de las políticas y procedimientos de seguridad, o de un desastre natural o del entorno (inundación, incendio, tormenta, fallo eléctrico...). 40 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Hasta ahora algunos técnicos y administradores de redes se centraban en otros problemas de mayor nivel de complejidad, como los ataques contra servidores por parte de crackers o el análisis de agujeros de seguridad, relegando la protección contra los virus y códigos dañinos a un segundo plano, ya que se consideraba como una tarea que realizan de forma automática los programas antivirus. Como consecuencia de esta acción se lleva a cabo la instalación de una barra de herramientas de Google modificada por terceros (no se trata de la legítima de Google) y se modifica el fichero HOSTS del equipo. técnica de escaneo que recurre a la Los atacantes pueden utilizar numerosas herramientas disponibles en Internet que facilitan el escaneo de puertos, como podrían ser NMAP para UNIX (www.insecure.org/nmap/) o NetScan Tools para Windows (www.nwpsw.com). Proceso para la comunicación del incidente a terceros, si procede Este proyecto fue finalmente concedido a la empresa norteamericana Raytheon. 15 Estos espacios son empleados en ocasiones por usuarios expertos para guardar información que no resulta accesible desde el propio sistema operativo del equipo. Aplicaciones informáticas específicas de diseño. Gracias a su módulo de respuesta, un IDS es capaz de actuar de forma automática a los incidentes detectados. Así, se puede obtener importante información sobre las organizaciones y empresas presentes en Internet, los nombres de dominio y las direcciones IP que éstas tienen asignadas, por medio de consultas en servicios como Whois, que mantiene una base de datos sobre direcciones IP y nombres de dominio necesaria para el correcto funcionamiento de Internet. Sin embargo, RA-MA Editorial no asume ninguna responsabilidad derivada de su uso ni tampoco de cualquier violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. En los honeypots se suelen instalar versiones modificadas del intérprete de comandos (shell en un sistema Unix/Linux o “cmd.exe” en un sistema Windows), como “ComLog”, un troyano que reemplaza al “cmd.exe” para registrar y reenviar los comandos tecleados por el usuario, así como otras herramientas que permitan registrar las actuaciones de los intrusos (SpyBuddy, KeyLogger, etcétera). Las conexiones “semiabiertas” caducan al cabo de un cierto tiempo, liberando sus recursos. Contención, erradicación y recuperación. Security Focus: http://www.securityfocus.com/. El CERT- MX está muy involucrado en la protección de la Infraestructura Crítica Nacional (ICN). Los KPI (indicadores de rendimiento clave) son métricas con las que las empresas pueden determinar si cumplen objetivos concretos. Durante los meses: octubre, noviembre y diciembre del 2022 se gestionaron 390 casos de incidentes y vulnerabilidades informáticas, que corresponden a reportes nuevos y abiertos de períodos anteriores. Estado HTTP devuelto por el servidor al cliente. Documentación del incidente de seguridad. Además, también en palabras de este famoso estratega, “la mejor forma de protegerse es saber cómo me van a atacar”. Herramientas como Tripwire (www.tripwire.org) facilitan esta función. 1.4.15 Marcadores telefónicos (dialers) Los dialers o marcadores telefónicos son pequeños programas que se encargan de marcar números telefónicos que dan acceso a algún tipo de servicio, con una tarifa telefónica muy superior a la normal. Internet Storm Center: http://isc.sans.org/. Esta estrategia de contención es la más adecuada cuando se puedan ver afectados servicios críticos para la organización, se pueda poner en peligro determinada información confidencial, se estén aprovechando los recursos de la organización para lanzar ataques contra terceros o cuando las pérdidas económicas puedan ser considerables. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas. Un elemento fundamental dentro del Plan de Recuperación del Negocio es la existencia de un Centro Alternativo, también conocido como Centro de Respaldo o Centro de Backup, si bien en la práctica solo las grandes empresas podrán disponer de un local o edificio dedicado exclusivamente a esta misión. Su dirección en Internet es http://csrc.nist.gov/. 3.4 CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN Dentro del Plan de Respuesta a Incidentes, el equipo de respuesta debe elegir una determinada estrategia de contención del incidente de seguridad. Gestión de Incidentes La institución llevará adelante la respuesta a incidentes a través de sus instancias técnicas y se coordinará con el [Comité de Riesgos y Seguridad de la Información] en la medida que el impacto de los incidentes afecte a los procesos críticos de la institución. Para ello, existen varias posibilidades de conseguirlo: Ejecutar algunas actividades que produzcan un elevado consumo de los recursos de las máquinas afectadas: procesador, memoria y/o disco duro, provocando una caída en su rendimiento. Daños producidos en el sistema informático, Decisiones y actuaciones del equipo de respuesta, Comunicaciones que se han realizado con terceros y con los medios, Lista de evidencias obtenidas durante el análisis y la investigación, Comentarios e impresiones del personal involucrado. Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente ANÁLISIS FORENSE INFORMÁTICO 103 Figura 4.3. Las respuestas pasivas se limitan a registrar las posibles intrusiones o usos anómalos, así como a generar informes y alertas dirigidas a los administradores de la red (correos electrónicos, mensajes SMS…). En los servidores Web se emplea el formato CLF (Common Log Format) o el ELF (Extended Log Format), registrando los siguientes datos de cada petición realizada por un cliente remoto: © STARBOOK CAPÍTULO 2. Un Host IDS requiere de la instalación de un dispositivo sensor, conocido como “agente”, en el equipo informático objeto de monitorización. Así, un 17% de las Pymes norteamericanas había sufrido algún tipo de extorsión por la red, según un estudio de la Universidad Carnegie Mellon dado a conocer en septiembre de 2005. RFC 2350 - Expectations for Computer Security Incident Response: http://www.ietf.org/rfc/rfc2350.txt. También se han 50 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK desarrollado otro tipo de servicios de pago a través de dialers, relacionados en su gran mayoría con la descarga de contenidos pornográficos. Los incidentes manuales son aquellos incidentes en los que de manera intencional se ataca un sistema utilizando, por ejemplo, escaneo de vulnerabilidades, inyección SQL o ingeniería social, aunque bajo ciertas circunstancias, también se pueden realizar de forma automática. Internet Health Monitoring: http://www.internetpulse.net/. El impacto y la probabilidad de sufrir un incidente de seguridad son factores que se deben minimizar al máximo. © STARBOOK CAPÍTULO 3. Para ello, se envía un paquete de control ICMP (paquete “ECHO”) a la dirección IP del equipo y se espera la respuesta por parte de éste (paquete “REPLY”). Las distintas técnicas de criptoanálisis: criptoanálisis lineal, diferencial, técnicas de análisis estadístico de frecuencias, etcétera. Ping: envía un ping al equipo especificado para comprobar si se encuentra activo en la red. Un equipo de análisis forense estará constituido por expertos con los conocimientos y experiencia necesarios en el desarrollo de estas actividades. De hecho, expertos militares llevan años estudiando la posible aplicación de los ataques informáticos en los conflictos bélicos del futuro, y distintos gobiernos han decidido crear unidades especiales en sus ejércitos para responder ante posibles ataques informáticos. KeyGhost Se conoce como snooping a la técnica que permite observar la actividad de un usuario en su ordenador para obtener determinada información de interés, como podrían ser sus contraseñas. ZoneAlarm: http://www.zonealarm.com/. (2002): Hack I.T. Para qué te prepara. Para garantizar la adecuada protección de los logs, será necesario almacenarlos de forma segura en un entorno distinto al del sistema protegido, para evitar que los intrusos los puedan modificar o eliminar: grabación de los registros en discos WORM (Write Once Read More), generación de una copia en papel, etcétera. Transporte de copias de seguridad a un almacén Centro Alternativo “Frío”: Se trata de un Centro Alternativo que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización. seguridad, alineada a la política de seguridad de la información y de análisis de riesgos, además. 1 Capítulo 1 AMENAZAS A LA SEGURIDAD INFORMÁTICA 1.1 CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES 1.1.1 Hackers Los hackers son intrusos que se dedican a estas tareas como pasatiempo y como reto técnico: entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia y conocimientos de los entresijos de Internet, pero no pretenden provocar daños en estos sistemas. ; ¿cómo pudo suceder? Unsere Partner sammeln Daten und verwenden Cookies zur Personalisierung und Messung von Anzeigen. Tendrás tutorización personalizada y un grupo de usuarios con tus mismas inquietudes. Revista 2600 de la comunidad hacker: http://www.2600.com/. Precisamente uno de los casos más conocidos de un “ciberataque” contra el Pentágono fue protagonizado por el británico Gary McKinnon, quien justo después de los atentados del 11-S de 2001 logró acceder a una red de 300 ordenadores en la base de armamento naval de Earle, en Colt Necks (Nueva Jersey) y robó 950 contraseñas. Análisis de la información obtenida. 90 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 3.12.3 Agencia Europea de Seguridad de las Redes y de la Información Agencia europea creada por decisión del Consejo y del Parlamento (EC 460/2004) con la finalidad de alcanzar un alto nivel de seguridad en las redes y en el tratamiento de la información dentro de la Unión Europea. Este sensor software trabaja a bajo nivel, interceptando las llamadas a las funciones básicas del sistema operativo. NBTStat: muestra el estado de las conexiones actuales que utilizan NetBIOS sobre TCP/IP. De este modo, el tiempo de recuperación es de unas pocas horas, inferior a un día. Procedimiento de recolección de información relacionada con incidentes de seguridad Mantenimiento actualizado de una base de datos de contactos (personas y organizaciones). En la actualidad se encuentra integrado dentro del INTECO, en la dirección http://www.inteco.es/Seguridad. Con todo ello se pretenden aportar los contenidos necesarios para que el lector pueda trabajar en la adquisición de las siguientes capacidades profesionales: Planificar e implantar los sistemas de detección de intrusos según las normas de seguridad. IRIS-CERT: http://www.rediris.es/cert/. La tarea de análisis de los ficheros se puede ver dificultada por el hecho de que algunos de estos ficheros se encuentren comprimidos y/o cifrados (en este último caso resultará mucho más difícil el análisis si se ha utilizado un algoritmo de cifrado robusto). Analizador de eventos: incorpora los algoritmos de detección de ataques. FTP: permite enviar y descargar ficheros de otro servidor, a través del protocolo FTP. Para ello, en INAFE, trabajamos de forma continua en desarrollar acciones formativas y servicios destinados al fomento de empleo y a la inserción laboral actuando en varias vías principales como agencia de colocación autorizada por el SEPE con Nº de autorización 0100000113. Dentro del Plan de Respuestas de Incidentes, la identificación del atacante es necesaria para poder emprender acciones legales para exigir responsabilidades y reclamar indemnizaciones. UNIDAD DIDÁCTICA 2. Rootkits: programas utilizados por los atacantes para ocultar “puertas traseras” en los propios ficheros ejecutables y servicios del sistema, que son modificados para facilitar el acceso y posterior control del sistema. Mirkovic, J.; Dietrich, S.; Dittrich, D.; Reiher, P. (2004): Internet Denial of Service: Attack and Defense Mechanisms, Prentice Hall. Aparición de dispositivos extraños conectados directamente a la red o a algunos equipos de la organización (en este últimos caso podrías ser por ejemplo, dispositivos para la captura de pulsaciones de teclado en los equipos). En este sentido, se debería considerar el problema de que el exceso de información registrada en el sistema pueda llegar a desbordar a sus administradores, provocando una situación bastante habitual en muchas organizaciones: que los datos de los registros de actividad no sean analizados de forma adecuada. - Adopción de las medidas correctivas que se consideren necesarias para mejorar la respuesta ante futuros incidentes de seguridad. Internet SNORT Sensor Preprocesador Snort snort ruleset Motor de deteccion accion FlexResp Modulos de salida database alert xml log Base de Datos SNMPtrap SYSADMIN alert log packet log CERT alert DB Figura 2.3. De hecho, el Departamento de Defensa de Estados Unidos, con sus cerca de 12.000 sitios informáticos y 3,5 millones de ordenadores personales repartidos por todo el mundo, constituye uno de los objetivos favoritos para miles de hackers y crackers de todo el planeta. En caso de precisarse asesoría legal u otra forma de ayuda experta, deben buscarse los servicios de un profesional competente. 3.9.2 Gestión del incidente de seguridad Aislamiento de los equipos afectados por el incidente, realizando además una copia de seguridad completa de sus discos duros. Computer Forensic: http://www.computer-forensic.com/. 3.6 COMUNICACIÓN CON TERCEROS Y RELACIONES PÚBLICAS El Plan de Respuesta a Incidentes tiene que contemplar cómo la organización debería comunicar a terceros la causa y las posibles consecuencias de un incidente de seguridad informática. Invasión de paquetes ICMP o UDP de eco (típicos de ataques como Smurf y Fraggle). IFCT0109 How to cite Gestión de incidentes de seguridad informática. Criterios de seguridad para la configuración de las herramientas de protección frente a código malicioso A estas alturas a nadie le sorprenderá ver un ciclo parecido al de Demming (Plan-Do-Check-Act) como eje central de las tareas. Formación y nivel de desempeño de los miembros. El Curso Gestión de Incidencias y Auditoría de Seguridad Informática, proporciona al alumnado los conocimientos necesarios para su correcta introducción en la … Definir los eventos de seguridad de la información en los que detectar y tratar con eficacia los incidentes de seguridad informática. Identificar los incidentes de seguridad de la información para que sean evaluados y ofrezcan respuesta de forma mucho más eficaz y adecuada. Registro de actividad extraña en los logs de servidores y dispositivos de red o incremento sustancial del número de entradas en los logs. 1.4.2 Detección de vulnerabilidades en los sistemas Este tipo de ataques tratan de detectar y documentar las posibles vulnerabilidades de un sistema informático, para a continuación desarrollar alguna herramienta que permita explotarlas fácilmente (herramientas conocidas popularmente como exploits). Cambios de política de seguridad. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Está definido como una función formal de reporte y respuesta ante los incidentes que pueden impactar forma negativa las operaciones, activos, reputación, posición en el Sector Justicia, propiedad intelectual o información confidencial del Ministerio. Para ello, los intrusos se encargan de monitorizar los bits de estado y de control de los paquetes IP, los números de secuencia generados, la gestión de la fragmentación de paquetes por parte del servidor, el tratamiento de las opciones del protocolo TCP (RFC 793 y 1323), etcétera. En dicha documentación se debe reflejar de forma clara y precisa la identificación de las personas que intervienen en el proceso, así como el momento y lugar en que se captura cada una de las evidencias. Así mismo, es posible generar distintas copias de las evidencias digitales para facilitar su conservación y posterior análisis. En la actualidad se estudia la posibilidad de aplicar esta misma medida a todas las empresas que cotizan en bolsa en Estados Unidos. © STARBOOK CAPÍTULO 1. 1.4.9 Consecuencias de las conexiones no autorizadas a los sistemas informáticos Las conexiones no autorizadas a los sistemas informáticos pueden acarrear graves consecuencias para la organización afectada por este tipo de ataques e incidentes, entre las que podríamos destacar las siguientes: © STARBOOK CAPÍTULO 1. A raíz de los atentados de Madrid (11 de marzo de 2004) y, especialmente, de Londres (7 de julio de 2005) distintos gobiernos europeos liderados por el británico se han mostrado partidarios de facilitar el acceso de la Policía a las llamadas telefónicas y los correos © STARBOOK CAPÍTULO 5. También han aumentado los casos de extorsión a particulares a través de Internet, consistentes en la publicación o amenaza de publicación de alguna información difamatoria sobre la víctima, utilizando algún medio de la Red (páginas web, foros, grupos de noticias…). Ataque man-in-the-middle: el intruso C intercepta la información que el usuario A envía a través de la red, reenviándola posteriormente al usuario B 1.4.6.2 DNS SPOOFING Los ataques de falsificación de DNS pretenden provocar un direccionamiento erróneo en los equipos afectados, debido a una traducción errónea de los nombres de dominio a direcciones IP, facilitando de este modo la redirección de los usuarios de los sistemas afectados hacia páginas web falsas o bien la interceptación de sus mensajes de correo electrónico. Land Attack: debido a un error en la implementación del protocolo TCP/IP en algunos sistemas Windows, se consigue “colgar” un equipo vulnerable mediante el envío de una serie de paquetes maliciosamente construidos, en los que la dirección y el puerto de origen son idénticos a la dirección y el puerto de destino. Gestión de Incidentes ISO 27000. Técnico en informática de gestión. Seguridad Informática UD1 Introducción a la seguridad informática UD2 Mecanismos de seguridad del Sistema Operativo UD3 Navegación segura UD4 Seguridad activa y Seguridad pasiva UD5 Seguridad en redes UD6 Seguridad perimetral UD 7 Servidores proxy UD8 Legislación y normativa Introducción Legislación y normas sobre seguridad Conocido también por sus apodos “El Cóndor” y “El Chacal de la Red”, inició su carrera en 1980, cuando con apenas 16 años consiguió romper la seguridad del sistema informático de su colegio. Colapso total de las redes telefónicas y los sistemas de comunicaciones. En general, podemos considerar la siguiente tipología de motivaciones de los atacantes: Consideraciones económicas: llevar a cabo operaciones fraudulentas; robo de información confidencial que posteriormente es vendida a terceros; extorsiones (si no se paga un determinado “rescate” se elimina información o se daña de forma irreparable un sistema que haya sido comprometido); intentos de manipulación de las cotizaciones de valores bursátiles; etcétera. Podemos considerar la siguiente relación de evidencias digitales volátiles: 98 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Volcado de la memoria global del sistema y de cada proceso: ante la dificultad de realizar un análisis en profundidad, se podrá utilizar el volcado de memoria para buscar determinadas cadenas de caracteres que puedan dar pistas sobre el incidente que ha afectado al equipo. RESPUESTA ANTE INCIDENTES DE SEGURIDAD CSRC: http://csrc.nist.gov/. Detección de un incidente de seguridad. Así, por ejemplo, un equipo controlado por un cracker podría estar ejecutando un servicio que se encargaría de realizar pings periódicos a determinados servidores o comprobar el estado de las conexiones de red, de tal modo que si se detectase una desconexión del equipo del resto de la red, se desencadenaría otro proceso encargado de eliminar todas las pruebas del disco duro del equipo. Una configuración más segura del servicio DNS se podría alcanzar mediante la separación en dos servidores DNS: un servidor interno para responder a las consultas de los equipos pertenecientes a la red local de la organización, mientras que otro servidor DNS externo se encargaría de la información pública del servicio DNS. Las instalaciones afectadas y comprendidas en el estudio van desde los sistemas de control de tráfico aéreo, redes de suministro energético, sistemas financieros, así como redes de inteligencia y militares. Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario interno o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o recursos de forma no autorizada. ¿Se ha podido comprometer información confidencial de la organización o de sus usuarios y clientes?¿Ha podido afectar a terceros? Por otra parte, los mensajes de correo en formato HTML también podrían ser utilizados para desencadenar este tipo de ataques. Se podría utilizar una Matriz de Diagnóstico para facilitar la actuación del equipo en momentos de máximo estrés, evitando que se puedan tomar decisiones precipitadas que conduzcan a errores, constituyendo además de un valioso apoyo para el personal con menos experiencia en la actuación frente a incidentes de seguridad. Revisión de los permisos de acceso y ejecución de los ficheros, así como de la información sobre quiénes son sus propietarios. AMENAZAS A LA SEGURIDAD INFORMÁTICA 17 1.1.6 Piratas informáticos Los piratas informáticos son los individuos especializados en el pirateo de programas y contenidos digitales, infringiendo la legislación sobre propiedad intelectual. Se debe reflejar en forma clara y precisa aspectos como los que se presentan en la siguiente relación: Análisis y revisión a posteriori del incidente. Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en el futuro. Para ello, se suelen utilizar protocolos no orientados a conexión, como UDP o ICMP, o bien el protocolo TCP sin llegar a establecer una conexión completa con el equipo atacado. 32 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.4.6 Ataques de suplantación de la identidad 1.4.6.1 IP SPOOFING Los ataques de suplantación de la identidad presentan varias posibilidades, siendo una de las más conocidas la denominada IP Spoofing (“enmascaramiento de la dirección IP”), mediante la cual un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado. Estos virus son capaces de crear un nuevo acceso telefónico a redes en el ordenador infectado que se configura como el predeterminado para la conexión a Internet, o bien pueden modificar el acceso telefónico a redes que el usuario utiliza habitualmente para sus conexiones a Internet de tal manera que, cada vez que sea ejecutado, el número marcado no sea el correspondiente al proveedor de servicios de Internet del usuario, sino un número de tarifa especial, ocasionando un grave problema económico a la víctima, quien detectará la situación anormal al recibir sus próximas facturas del servicio telefónico. Aparición de nuevas cuentas de usuarios o registros de actividad inusual en algunas cuentas: conexiones de usuarios en unos horarios extraños (por ejemplo, por la noche o durante un fin de semana), utilización de la misma cuenta desde distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticación, ejecución inusual de determinados servicios desde algunas cuentas, etc. Preservación de las evidencias. Así, por ejemplo, el Reino Unido anunciaba en agosto de 2008 una propuesta para controlar los mensajes de correo electrónico, el uso de Internet, los mensajes de móvil SMS y las llamadas telefónicas de los ciudadanos británicos. Llegado a este punto, conviene destacar un problema adicional de los servidores DNS, y es que se suelen dedicar a esta función equipos antiguos y con un mantenimiento deficiente, ejecutando versiones obsoletas de sistemas operativos, sin los parches y actualizaciones recomendadas por los fabricantes. Metodología. Las principales características y procedimientos incluidos en el análisis forense informático ocupan otro de los capítulos de la obra y, por último, se revisan cuestiones relacionadas con el ciberterrorismo y el espionaje en las redes y sistemas informáticos. También se puede prever la posibilidad de realizar una grabación en vídeo por parte del equipo encargado de la captura de evidencias digitales. La Ciencia Forense recurre a la aplicación de un método científico para analizar las evidencias disponibles y formular hipótesis sobre lo ocurrido. Incidente de seguridad informática: Un incidente de seguridad informática es la violación o amenaza inminente a la violación de una política de seguridad de la información implícita o explícita. Establecer variables de posibles riesgos, es la posible valoración de aspectos sensibles en los sistemas de información. Para poder conseguir todos estos objetivos, la gestión de incidentes de seguridad de la información en la que se involucra los siguientes procesos de forma cíclica como lo muestra la imagen: 1.5 DIRECCIONES DE INTERÉS Información sobre nombres de dominio, páginas web y direcciones IP: Base de datos Whois de InterNIC (Internet Network Information Center): http://www.internic.net/whois.html.
Rottweiler Bebes Precio, Alimentos Para Aumentar Masa Muscular Rápidamente, Feliciano Del Campo Romero, Museo De Arte De Lima Obras De Arte, Circo De La Tía Gloria Entradas 2022, Estimulación Temprana Oms, Ejercicios Para Leer Partituras Pdf, Federación Peruana De Jiu Jitsu, Unidades Didácticas Educación Física Primaria Pdf, Segundo Gobierno De Fujimori Pdf, Histiocitoma Maligno En Perros Pdf,