incidentes - analisis

2009 IBM Corporation

Gestin de Incidentes - Anlisis Forense

Ing. Joaqun Louzao - CISSP, ISO 27001 LAGerardo Geis - LPIC1 y 2, CCNA, CCNA-Sec, JNCIA-SSLGabriel Silva CCNA, CCNA Wireless, pSeries System Adm.

IBM Networking 12 - Agosto 2011

2009 IBM Corporation2

Agenda

Objetivo de la presentacin:

Ciclo de Vida de la Gestin de Incidentes Integracin de Gestin de Incidentes con Anlisis Forense Procesos para el Anlisis Forense Demo


Integracin de Gestin de Incidentes con Anlisis Forense

Ciclo de Vida para la Gestin de Incidentes

Ciclo de Vida para Anlisis Forense


Gestin de Incidentes



PreparacinPreparacin

IdentificacinIdentificacin

ContencinContencin

ErradicacinErradicacin

RecuperacinRecuperacin

Lecciones AprendidasLecciones Aprendidas

Declarar Incidente

Estado de Equilibrio

Comenzar Limpieza

Finalizar Limpieza

Volver a Produccin

En algunos casos, es necesario volver a comenzar

Estado de Equilibrio


Gestin de Incidentes Fase Preparacin

Organizacin / Gerencia: Establecer una capacidad de respuesta a incidentes para que la organizacin est preparada para responder a los incidentes.

Marco: Establecer Polticas, Guas y Procedimientos de Gestin de Incidentes.

Grupo de Trabajo: conocimiento profundo, tcnicos especializados y una amplia experiencia son necesarias para un anlisis adecuado y eficiente de los datos relacionados con el incidente.

Tiempo / SLA: Establecer una lnea base para el tiempo de respuesta

Notificacin: establecer cmo se informa un incidente.

Contacto: Establecer un punto de contacto principal

Indicadores/Mtricas: Publicar una lista de indicadores de un incidente.

Comunicacin: relaciones con los administradores de sistemas, administradores de red y otras reas.

Arquitectura de Seguridad: aseguran que los sistemas, redes y aplicaciones son lo suficientemente seguro.

Herramientas: adquirir herramientas y recursos que pueden ser de valor en el manejo de incidentes.


Gestin de Incidentes: Fase Identicacin (Deteccin y Anlisis) Objetivo de la Fase de Identificacin : consiste en recopilar hechos, analizarlos y determinar si se trata de un incidente. Detectar desviaciones e intentos de ataque.

Preguntarse: o Cunto dao podra ser causado?o Cul es el impacto si se explota la vulnerabilidad,? o Cul es el valor de los sistemas afectados? o Cul es el valor de los datos en esos sistemas? o Puede ser explota la vulnerabilidad en forma remota? o Qu nivel de habilidad y requisitos previos son necesarios por un atacante para explotar la vulnerabilidad? o Existe una solucin para esta vulnerabilidad?o Cul es la fuente de informacin que podemos utilizar para el anlisis?

Responder: Quin?, Qu?, Cundo?, Dnde?, Por qu?, Cmo?


Gestin de Incidentes: Fase Identicacin (Deteccin y Anlisis)

Fuente de Informacin: eventos y logs generados por distintas fuentes (HIPS, NIPS, SIEM, antivirus, antispyware, chequeo de Integridad, firewalls, aplicaciones y SO), personal, terceros, anuncio vulnerabilidades, etc.

Correlacin de Eventos: la recopilacin de toda la informacin disponible de un incidente y validar si el incidente ocurri.

Relojes Sincronizados: importante para la correlacin de eventos, anlisis forense, troubleshooting.

Poltica de Retencin de Logs: implementar consolas centralizadas de eventos /logs y establecer el tiempo de retencin de logs.

Comportamiento normal de las redes, sistemas y aplicaciones : ayuda a detectar desviaciones de los niveles de actividad esperada.

Base de Conocimiento : acceso rpido a la informacin pertinente para el anlisis del incidente, como procedimientos, contactos, informacin histrica, instructivos de trabajo, etc.

Matriz de diagnstico: ayudar al personal en la determinacin de qu tipo de incidente puede estar ocurriendo. Se enumeran las categoras de incidentes y los sntomas asociados con cada categora.


Nivel de Prioridad


CRITICIDAD: Recursos Afectados

IMPACTO: determina la importancia del incidente dependiendo de cmo ste afecta a los procesos de negocio y/o del nmero de usuarios afectados.

URGENCIA: depende del tiempo mximo de demora aceptado por el negocio para la resolucin del incidente.

Clasificacin del Incidente

Priorizacin de incidentes: Dar prioridad a los incidentes por el impacto en el negocio, tomando como base la criticidad de los recursos afectados y el efecto tcnico del incidente.



Declarar el Incidente: se deben establecer guas y procesos que describen la rapidez con que el equipo debe responder a los incidentes y las acciones que debern llevarse a cabo, en funcin del impacto del incidente para el negocio.

Tipo de Incidente: Dado que hemos declarado un incidente, es necesario dejar constancia de su categora y criticidad (en base a los conocimientos actuales).

Notificacin de Incidentes: las organizaciones deben especificar los qu incidentes deben ser informados, cundo y quin.

Notificacin vertical y horizontal: cuando se declara un incidente, notificar a la direccin y obtener apoyo para ayudar en el proceso de manejo de incidentes. Notificar las unidades de negocio afectadas.

Documentacin: registrar toda la informacin tan pronto como el equipo sospecha que ha ocurrido un incidente. Cada paso, desde el momento en que se detect el incidente a su resolucin final, deben ser documentados , especificando el tiempo.

Proteger los Datos de Incidente: el equipo debe asegurar que el acceso a los datos de los incidentes se restringe adecuadamente, tanto lgica como fsicamente.


Gestin de Incidentes Fase Contencin

Elegir una estrategia de contencin: actuar rpido y con eficacia para limitar su impacto en el negocio. Las organizaciones deben definir un riesgo aceptable en la contencin de los incidentes y desarrollar estrategias y procedimientos.


Imagen ForenseImagen Forense

Declarar Incidente

Comenzar Limpieza


Contencin de Largo Plazo


Contencin de Corto Plazo


Contencin a Corto Plazo: tratar de impedir que un atacante cause ms dao, sin realizar ningn cambio en el sistema afectado .

o cambiar el equipo a otra vlan o uso de herramientas de gestin de red, (sniffers)o filtros en router o firewalls, o cambiar la configuracin de DNS Notificar dueos de sistemas.

Integracin con Anlisis Forense / Creacin de Imgenes: crear 2 imgenes Bit a Bit , crear hashes criptogrficos de la imagen original y las 2 copias (SHA-1, MD5).

En la Fase CONTENCION se cruza un umbral en el que empezamos a MODIFICAR el sistema.


Gestin de Incidentes Fase Contencin


Imagen ForenseImagen Forense

Declarar Incidente

Comenzar Limpieza






Contencin de Largo Plazo: una vez que tenemos la copia de seguridad para el anlisis forense, podemos empezar a hacer cambios en el sistema.

Situacin Ideal: si el sistema se puede mantener Fuera de Lnea

Fase Erradicacin

Contencin de Largo Plazo (Solucin Temporal)


Gestin de Incidentes Fases Erradicacin y Recuperacin

Erradicacin : Limpiar y Remover artefactos del Atacanteo Determinar la causa del incidente, encontrar el vector de la infeccin para prevenir una nueva ocurrencia.o Remover cdigo malicioso, cuentas del atacante, etc.o Limpiar/Wiping/Zeroingo Localizar la copia de seguridad limpia ms reciente antes del incidente.o Mejora de las defensaso Anlisis de Vulnerabilidad (sistema de red).

Recuperacin : Retornar a Produccino Administradores restauran los sistemas o Fortalecen medidas de seguridad / Hardeningo Restauracin de los sistemas con backups limpios o Reconstruir los sistemas desde ceroo Sustitucin de los archivos comprometidos con versiones limpias o Instalacin de parches.o Cambio de contraseaso Testing de servidoro Decisin del dueo para vuelta a Produccino Monitorear el sistema (logs, NIPS, HIPS, integridad de archivos, cuentas utilizadas, cambios en configuracin, buscar procesos no autorizados, artefacto del atacante, etc)


Gestin de Incidentes: Post-Incidente

Lecciones Aprendidas : documentar y mejora continuaPreguntas a ser respondidas:

o Exactamente lo que sucedi, y en qu momento?o Qu tan bien se realiz la gestin del incidente? Se siguieron los procedimientos

documentados? o Se tomaron las medidas o acciones adecuadas? o Qu se podra realizar diferente?o Qu medidas correctivas pueden evitar incidentes similares en el futuro? o Qu herramientas o recursos adicionales son necesarios para detectar, analizar y mitigar los

incidentes en el futuro?

Actualizar : polticas, procedimientos, guas, instructivos de trabajo.

Mtricas:

o Medir el xito del grupo de respuesta a incidenteso Nmero de incidentes atendidoso Tiempo dedicado por Incidente


Integracin de Gestin de Incidentes con Anlisis Forense


Ciclo de Vida para Anlisis Forense


Anlisis Forense


Informtica, Cmputo o Anlisis Forense

Aplicabilidad :- Operaciones / Troubleshooting

- Monitoreo de Logs- Recuperacin de Datos- Borrado de Informacin- Cumplimiento Regulatorio- Gestin de Incidentes

Conocimiento Tcnico: Especializacin y conocimientos avanzados en materia de informtica y sistemas para poder detectar dentro de cualquier dispositivo electrnico lo que ha sucedido.

Objetivo: Identificar, asegurar, extraer, analizar y presentar pruebas generadas y guardadas electrnicamente para que puedan ser aceptadas en un proceso legal.

Tareas: Identificacin de una actividad ilegal, obtencin de evidencia, mantener cadena de custodia, preservacin de la evidencia, investigacin de la evidencia, presentacin de resultados.

Comunicacin con otras reas:- Administradores y Operadores de Sistemas- Departamento Legal- Departamento de Recursos Humanos- Auditores- Personal de seguridad fsica


Anlisis Forense

Recoleccin de Evidencia


Anlisis de Lnea de Tiempo


VerificacinVerificacin

Descripcin del Sistema


Anlisis de los Medios


Bsqueda de String o Bytes

Bsqueda de String o Bytes

Recuperacin de Datos


ReporteReporte

Investigacin y AnlisisInvestigacin y AnlisisAdquirir EvidenciaAdquirir Evidencia


Anlisis Forense Adquirir Evidencia






Adquirir EvidenciaAdquirir Evidencia

Verificacin: o Gestin de Incidentes: Fase Identificacino Entrevistas con quienes trabajaron en etapas iniciales.o Estudio y revisin de informacin

o Verificar la ocurrencia de un incidente

Descripcin del Sistema:o Describir el sistema que se est analizando

o Tipo de Sistema Operativoo Configuracin del Sistemao Rol del sistema en la red

Recoleccin de Evidencia:o Gestin de Incidentes: Fases Identificacin / Contencin.o Bsqueda de la Evidenciao Descubrir los Datos Pertinenteso Preparar un Orden de la Volatilidad de la Informacin.o Erradicar vas exteriores que la altereno Obtener 2 imgenes forenseso Mantener la Integridad de la Evidenciao Preparar la cadena de custodia

NO apagar el Equipo para evitar NO apagar el Equipo para evitar pprfida de la evidencia volrfida de la evidencia voltil.til.


Las medidas adoptadas por el administrador del sistema despus del descubrimiento de un potencial ataque al sistema, jugar un papel vital en la investigacin.

Una vez que un incidente ha sido descubierto por un administrador del sistema, deben informar de ello de acuerdo a los procedimientos establecidos de notificacin de incidentes de la organizacin.

Evitar trabajar en el equipo afectado, para no cambiar los datos (evidencia).

Primera de Actuacin: Operador, Administrador de Sistemas y HelpDesk

Tomar notas sobre la escena y documentar las acciones realizardas para luego ser entregados al Equipo Forense que atienda el caso.



Integridad de la Evidenciao Asegurar que la evidencia no fue alterada o Crear 2 copias/imgenes bit a bito Guardar 1 copia en lugar seguro

o Utilizar hashes criptogrficos (SHA-1) para asegurar la integridad de la evidencia original y las copias.

Orden de la volatilidad: Cuando se colecta la evidencia, se debe proceder comenzando con la ms voltil a la menos voltil. La siguiente lista es el orden de volatilidad de un sistema tpico:o Memoria

o Conexiones y Status de Redo Procesos Activos

o Discos Duros

o Medios removibles






Adquirir EvidenciaAdquirir Evidencia

EL ANEL ANLISIS LISIS NO NO DEBE SER DEBE SER CONDUCIDO SOBRE LA CONDUCIDO SOBRE LA EVIDENCIA ORIGINAL.EVIDENCIA ORIGINAL.

Voltil: se pierde al apagar el sistema

No Voltil


Se debe seguir una cadena de custodia claramente definida para evitar acusaciones de mal manejo o manipulacin de pruebas.

Mantener un registro de cada persona que ha participado en la custodia de la evidencia.

Documentar las acciones que se realizan en las pruebas y en qumomento

Almacenar la evidencia en un lugar seguro cuando no se estutilizando,


Cadena de Custodia


Procesar gran cantidad de datos colectados para extraer datos relevantes y pertinentes.

Utilizacin de tcnicas y herramientas forenses.

Analizar los resultados obtenidos de la extraccin de datos.

Los datos se transforman en informacin a travs de anlisis.

Incluir la identificacin de las personas, lugares, objetos, eventos, y la determinacin de cmo estos elementos se relacionan de manera de llegar a una conclusin.

Correlacionar datos de distintas fuentes (HIPS, NIPS, Antivirus, logs aplicaciones, sistemas operativos, base de datos, etc). Chequear fidelidad de la fuente.

Comparar caractersticas de sistemas con su baseline.

Anlisis Forense Examinar y Analizar


Anlisis Forense Examinar y Analizar Anlisis de lnea de Tiempo

o Archivos: modificacin, creacin, accesoo Cundo ha sido instalado el Sistema Operativo?o Cundo fueron realizadas las actualizaciones?o Cundo fue utilizado el sistema por ltima vez?

Anlisis de los Medioso Examinar la imagen con herramientas forenseso Describir el anlisis y las herramientas utilizadaso Mostrar que no se modifica la evidencia

o Examinar el File System por modificaciones en OS o la configuracin del sistema.

o Buscar artefactos del atacante: rootkits, backdoors, sniffers, etc.

o Examinar registros y/o procesos, archivos de inicio.

Bsqueda de String o Bytes Qu palabras/expresiones podra buscar? Por qu buscamos estas palabras/expresiones?





Bsqueda de String o Bytes Bsqueda de String o Bytes



Examinar y AnalizarExaminar y Analizar

Recuperacin de Datoso Recuperar archivos, datos

borrados , artefactos del atacanteo Identificar cando fueron

borrados los archivoso Recuperar archivos pertinenteso Documentar mtodo utilizado.


Anlisis Forense Fase Reportes Explicar claramente los resultados y la evidencia encontrada.

Detallar hallazgos y conclusiones: archivos especficos relacionados con la solicitud y archivos borrados , cadena de bsquedas, bsquedas de palabras clave y bsquedas de cadenas de texto que apoyan las conclusiones.

Informe bsico incluye: quin?, qu?, cundo?, dnde? y cmo?

Incluir en las notas: fechas, tiempos, las descripciones y resultados de las medidas adoptadas.

Explicar las tcnicas utilizadas y los detalles tcnicos.

Documentar irregularidades encontradas y las acciones adoptadas en relacin con las irregularidades durante el anlisis.

Documentar los cambios realizados en el sistema o la red.

Los analistas forenses deben utilizar un enfoque metdico para tratar de probar o refutar cada posible explicacin que se propone.

.Tener el cuenta el pblico objetivoo Legal: nivel alto de detalle. Copia de Evidenciao Administrador de Sistemas: anlisis de informacin del sistema y

de trfico de red.o Direccin: alto nivel de lo sucedido.

Medidas Correctivas: Identificar vulnerabilidades que deben ser corregidas.

ReporteReporte








Examinar y AnalizarExaminar y Analizar


Ciclo de Vida para la Gestin de Incidentes y Anlisis Forense

PreparacinPreparacin


ContencinContencin


RecuperacinRecuperacin

Lecciones AprendidasLecciones

Aprendidas

Declarar Incidente








Anlisis de los MediosAnlisis de los Medios




ReporteReporte

Investigacin y AnlisisInvestigacin y AnlisisAdquirir EvidenciaAdquirir Evidencia

Gestin de IncidentesGestin de Incidentes

Integracin

AnlisisForense

incidentes - analisis

Documents

manejo de incidentes

anlisis adecuado

anlisis objetivo

anlisis forenseing

anlisis forenseciclo

anlisis fuente de informacin

ibm corporation2agendaobjetivo

anlisis forense demo