2009 IBM Corporation
Gestin de Incidentes - Anlisis Forense
Ing. Joaqun Louzao - CISSP, ISO 27001 LAGerardo Geis - LPIC1 y 2, CCNA, CCNA-Sec, JNCIA-SSLGabriel Silva CCNA, CCNA Wireless, pSeries System Adm.
IBM Networking 12 - Agosto 2011
2009 IBM Corporation2
Agenda
Objetivo de la presentacin:
Ciclo de Vida de la Gestin de Incidentes Integracin de Gestin de Incidentes con Anlisis Forense Procesos para el Anlisis Forense Demo
2009 IBM Corporation3
Integracin de Gestin de Incidentes con Anlisis Forense
Ciclo de Vida para la Gestin de Incidentes
Ciclo de Vida para Anlisis Forense
2009 IBM Corporation
Gestin de Incidentes
2009 IBM Corporation5
Ciclo de Vida para la Gestin de Incidentes
PreparacinPreparacin
IdentificacinIdentificacin
ContencinContencin
ErradicacinErradicacin
RecuperacinRecuperacin
Lecciones AprendidasLecciones Aprendidas
Declarar Incidente
Estado de Equilibrio
Comenzar Limpieza
Finalizar Limpieza
Volver a Produccin
En algunos casos, es necesario volver a comenzar
Estado de Equilibrio
2009 IBM Corporation6
Gestin de Incidentes Fase Preparacin
Organizacin / Gerencia: Establecer una capacidad de respuesta a incidentes para que la organizacin est preparada para responder a los incidentes.
Marco: Establecer Polticas, Guas y Procedimientos de Gestin de Incidentes.
Grupo de Trabajo: conocimiento profundo, tcnicos especializados y una amplia experiencia son necesarias para un anlisis adecuado y eficiente de los datos relacionados con el incidente.
Tiempo / SLA: Establecer una lnea base para el tiempo de respuesta
Notificacin: establecer cmo se informa un incidente.
Contacto: Establecer un punto de contacto principal
Indicadores/Mtricas: Publicar una lista de indicadores de un incidente.
Comunicacin: relaciones con los administradores de sistemas, administradores de red y otras reas.
Arquitectura de Seguridad: aseguran que los sistemas, redes y aplicaciones son lo suficientemente seguro.
Herramientas: adquirir herramientas y recursos que pueden ser de valor en el manejo de incidentes.
2009 IBM Corporation7
Gestin de Incidentes: Fase Identicacin (Deteccin y Anlisis) Objetivo de la Fase de Identificacin : consiste en recopilar hechos, analizarlos y determinar si se trata de un incidente. Detectar desviaciones e intentos de ataque.
Preguntarse: o Cunto dao podra ser causado?o Cul es el impacto si se explota la vulnerabilidad,? o Cul es el valor de los sistemas afectados? o Cul es el valor de los datos en esos sistemas? o Puede ser explota la vulnerabilidad en forma remota? o Qu nivel de habilidad y requisitos previos son necesarios por un atacante para explotar la vulnerabilidad? o Existe una solucin para esta vulnerabilidad?o Cul es la fuente de informacin que podemos utilizar para el anlisis?
Responder: Quin?, Qu?, Cundo?, Dnde?, Por qu?, Cmo?
2009 IBM Corporation8
Gestin de Incidentes: Fase Identicacin (Deteccin y Anlisis)
Fuente de Informacin: eventos y logs generados por distintas fuentes (HIPS, NIPS, SIEM, antivirus, antispyware, chequeo de Integridad, firewalls, aplicaciones y SO), personal, terceros, anuncio vulnerabilidades, etc.
Correlacin de Eventos: la recopilacin de toda la informacin disponible de un incidente y validar si el incidente ocurri.
Relojes Sincronizados: importante para la correlacin de eventos, anlisis forense, troubleshooting.
Poltica de Retencin de Logs: implementar consolas centralizadas de eventos /logs y establecer el tiempo de retencin de logs.
Comportamiento normal de las redes, sistemas y aplicaciones : ayuda a detectar desviaciones de los niveles de actividad esperada.
Base de Conocimiento : acceso rpido a la informacin pertinente para el anlisis del incidente, como procedimientos, contactos, informacin histrica, instructivos de trabajo, etc.
Matriz de diagnstico: ayudar al personal en la determinacin de qu tipo de incidente puede estar ocurriendo. Se enumeran las categoras de incidentes y los sntomas asociados con cada categora.
2009 IBM Corporation
Nivel de Prioridad
Gestin de Incidentes: Fase Identicacin (Deteccin y Anlisis)
CRITICIDAD: Recursos Afectados
IMPACTO: determina la importancia del incidente dependiendo de cmo ste afecta a los procesos de negocio y/o del nmero de usuarios afectados.
URGENCIA: depende del tiempo mximo de demora aceptado por el negocio para la resolucin del incidente.
Clasificacin del Incidente
Priorizacin de incidentes: Dar prioridad a los incidentes por el impacto en el negocio, tomando como base la criticidad de los recursos afectados y el efecto tcnico del incidente.
2009 IBM Corporation10
Gestin de Incidentes: Fase Identicacin (Deteccin y Anlisis)
Declarar el Incidente: se deben establecer guas y procesos que describen la rapidez con que el equipo debe responder a los incidentes y las acciones que debern llevarse a cabo, en funcin del impacto del incidente para el negocio.
Tipo de Incidente: Dado que hemos declarado un incidente, es necesario dejar constancia de su categora y criticidad (en base a los conocimientos actuales).
Notificacin de Incidentes: las organizaciones deben especificar los qu incidentes deben ser informados, cundo y quin.
Notificacin vertical y horizontal: cuando se declara un incidente, notificar a la direccin y obtener apoyo para ayudar en el proceso de manejo de incidentes. Notificar las unidades de negocio afectadas.
Documentacin: registrar toda la informacin tan pronto como el equipo sospecha que ha ocurrido un incidente. Cada paso, desde el momento en que se detect el incidente a su resolucin final, deben ser documentados , especificando el tiempo.
Proteger los Datos de Incidente: el equipo debe asegurar que el acceso a los datos de los incidentes se restringe adecuadamente, tanto lgica como fsicamente.
2009 IBM Corporation11
Gestin de Incidentes Fase Contencin
Elegir una estrategia de contencin: actuar rpido y con eficacia para limitar su impacto en el negocio. Las organizaciones deben definir un riesgo aceptable en la contencin de los incidentes y desarrollar estrategias y procedimientos.
IdentificacinIdentificacin
Imagen ForenseImagen Forense
Declarar Incidente
Comenzar Limpieza
ErradicacinErradicacin
Contencin de Largo Plazo
Contencin de Largo Plazo
Contencin de Corto Plazo
Contencin de Corto Plazo
Contencin a Corto Plazo: tratar de impedir que un atacante cause ms dao, sin realizar ningn cambio en el sistema afectado .
o cambiar el equipo a otra vlan o uso de herramientas de gestin de red, (sniffers)o filtros en router o firewalls, o cambiar la configuracin de DNS Notificar dueos de sistemas.
Integracin con Anlisis Forense / Creacin de Imgenes: crear 2 imgenes Bit a Bit , crear hashes criptogrficos de la imagen original y las 2 copias (SHA-1, MD5).
En la Fase CONTENCION se cruza un umbral en el que empezamos a MODIFICAR el sistema.
2009 IBM Corporation12
Gestin de Incidentes Fase Contencin
IdentificacinIdentificacin
Imagen ForenseImagen Forense
Declarar Incidente
Comenzar Limpieza
ErradicacinErradicacin
Contencin de Largo Plazo
Contencin de Largo Plazo
Contencin de Corto Plazo
Contencin de Corto Plazo
Contencin de Largo Plazo: una vez que tenemos la copia de seguridad para el anlisis forense, podemos empezar a hacer cambios en el sistema.
Situacin Ideal: si el sistema se puede mantener Fuera de Lnea
Fase Erradicacin
Contencin de Largo Plazo (Solucin Temporal)
2009 IBM Corporation13
Gestin de Incidentes Fases Erradicacin y Recuperacin
Erradicacin : Limpiar y Remover artefactos del Atacanteo Determinar la causa del incidente, encontrar el vector de la infeccin para prevenir una nueva ocurrencia.o Remover cdigo malicioso, cuentas del atacante, etc.o Limpiar/Wiping/Zeroingo Localizar la copia de seguridad limpia ms reciente antes del incidente.o Mejora de las defensaso Anlisis de Vulnerabilidad (sistema de red).
Recuperacin : Retornar a Produccino Administradores restauran los sistemas o Fortalecen medidas de seguridad / Hardeningo Restauracin de los sistemas con backups limpios o Reconstruir los sistemas desde ceroo Sustitucin de los archivos comprometidos con versiones limpias o Instalacin de parches.o Cambio de contraseaso Testing de servidoro Decisin del dueo para vuelta a Produccino Monitorear el sistema (logs, NIPS, HIPS, integridad de archivos, cuentas utilizadas, cambios en configuracin, buscar procesos no autorizados, artefacto del atacante, etc)
2009 IBM Corporation14
Gestin de Incidentes: Post-Incidente
Lecciones Aprendidas : documentar y mejora continuaPreguntas a ser respondidas:
o Exactamente lo que sucedi, y en qu momento?o Qu tan bien se realiz la gestin del incidente? Se siguieron los procedimientos
documentados? o Se tomaron las medidas o acciones adecuadas? o Qu se podra realizar diferente?o Qu medidas correctivas pueden evitar incidentes similares en el futuro? o Qu herramientas o recursos adicionales son necesarios para detectar, analizar y mitigar los
incidentes en el futuro?
Actualizar : polticas, procedimientos, guas, instructivos de trabajo.
Mtricas:
o Medir el xito del grupo de respuesta a incidenteso Nmero de incidentes atendidoso Tiempo dedicado por Incidente
2009 IBM Corporation15
Integracin de Gestin de Incidentes con Anlisis Forense
Ciclo de Vida para la Gestin de Incidentes
Ciclo de Vida para Anlisis Forense
2009 IBM Corporation
Anlisis Forense
2009 IBM Corporation17
Informtica, Cmputo o Anlisis Forense
Aplicabilidad :- Operaciones / Troubleshooting
- Monitoreo de Logs- Recuperacin de Datos- Borrado de Informacin- Cumplimiento Regulatorio- Gestin de Incidentes
Conocimiento Tcnico: Especializacin y conocimientos avanzados en materia de informtica y sistemas para poder detectar dentro de cualquier dispositivo electrnico lo que ha sucedido.
Objetivo: Identificar, asegurar, extraer, analizar y presentar pruebas generadas y guardadas electrnicamente para que puedan ser aceptadas en un proceso legal.
Tareas: Identificacin de una actividad ilegal, obtencin de evidencia, mantener cadena de custodia, preservacin de la evidencia, investigacin de la evidencia, presentacin de resultados.
Comunicacin con otras reas:- Administradores y Operadores de Sistemas- Departamento Legal- Departamento de Recursos Humanos- Auditores- Personal de seguridad fsica
2009 IBM Corporation18
Anlisis Forense
Recoleccin de Evidencia
Recoleccin de Evidencia
Anlisis de Lnea de Tiempo
Anlisis de Lnea de Tiempo
VerificacinVerificacin
Descripcin del Sistema
Descripcin del Sistema
Anlisis de los Medios
Anlisis de los Medios
Bsqueda de String o Bytes
Bsqueda de String o Bytes
Recuperacin de Datos
Recuperacin de Datos
ReporteReporte
Investigacin y AnlisisInvestigacin y AnlisisAdquirir EvidenciaAdquirir Evidencia
2009 IBM Corporation19
Anlisis Forense Adquirir Evidencia
Recoleccin de Evidencia
Recoleccin de Evidencia
VerificacinVerificacin
Descripcin del Sistema
Descripcin del Sistema
Adquirir EvidenciaAdquirir Evidencia
Verificacin: o Gestin de Incidentes: Fase Identificacino Entrevistas con quienes trabajaron en etapas iniciales.o Estudio y revisin de informacin
o Verificar la ocurrencia de un incidente
Descripcin del Sistema:o Describir el sistema que se est analizando
o Tipo de Sistema Operativoo Configuracin del Sistemao Rol del sistema en la red
Recoleccin de Evidencia:o Gestin de Incidentes: Fases Identificacin / Contencin.o Bsqueda de la Evidenciao Descubrir los Datos Pertinenteso Preparar un Orden de la Volatilidad de la Informacin.o Erradicar vas exteriores que la altereno Obtener 2 imgenes forenseso Mantener la Integridad de la Evidenciao Preparar la cadena de custodia
NO apagar el Equipo para evitar NO apagar el Equipo para evitar pprfida de la evidencia volrfida de la evidencia voltil.til.
2009 IBM Corporation20
Las medidas adoptadas por el administrador del sistema despus del descubrimiento de un potencial ataque al sistema, jugar un papel vital en la investigacin.
Una vez que un incidente ha sido descubierto por un administrador del sistema, deben informar de ello de acuerdo a los procedimientos establecidos de notificacin de incidentes de la organizacin.
Evitar trabajar en el equipo afectado, para no cambiar los datos (evidencia).
Primera de Actuacin: Operador, Administrador de Sistemas y HelpDesk
Tomar notas sobre la escena y documentar las acciones realizardas para luego ser entregados al Equipo Forense que atienda el caso.
2009 IBM Corporation21
Anlisis Forense Adquirir Evidencia
Integridad de la Evidenciao Asegurar que la evidencia no fue alterada o Crear 2 copias/imgenes bit a bito Guardar 1 copia en lugar seguro
o Utilizar hashes criptogrficos (SHA-1) para asegurar la integridad de la evidencia original y las copias.
Orden de la volatilidad: Cuando se colecta la evidencia, se debe proceder comenzando con la ms voltil a la menos voltil. La siguiente lista es el orden de volatilidad de un sistema tpico:o Memoria
o Conexiones y Status de Redo Procesos Activos
o Discos Duros
o Medios removibles
Recoleccin de Evidencia
Recoleccin de Evidencia
VerificacinVerificacin
Descripcin del Sistema
Descripcin del Sistema
Adquirir EvidenciaAdquirir Evidencia
EL ANEL ANLISIS LISIS NO NO DEBE SER DEBE SER CONDUCIDO SOBRE LA CONDUCIDO SOBRE LA EVIDENCIA ORIGINAL.EVIDENCIA ORIGINAL.
Voltil: se pierde al apagar el sistema
No Voltil
2009 IBM Corporation22
Se debe seguir una cadena de custodia claramente definida para evitar acusaciones de mal manejo o manipulacin de pruebas.
Mantener un registro de cada persona que ha participado en la custodia de la evidencia.
Documentar las acciones que se realizan en las pruebas y en qumomento
Almacenar la evidencia en un lugar seguro cuando no se estutilizando,
Anlisis Forense Adquirir Evidencia
Cadena de Custodia
2009 IBM Corporation23
Procesar gran cantidad de datos colectados para extraer datos relevantes y pertinentes.
Utilizacin de tcnicas y herramientas forenses.
Analizar los resultados obtenidos de la extraccin de datos.
Los datos se transforman en informacin a travs de anlisis.
Incluir la identificacin de las personas, lugares, objetos, eventos, y la determinacin de cmo estos elementos se relacionan de manera de llegar a una conclusin.
Correlacionar datos de distintas fuentes (HIPS, NIPS, Antivirus, logs aplicaciones, sistemas operativos, base de datos, etc). Chequear fidelidad de la fuente.
Comparar caractersticas de sistemas con su baseline.
Anlisis Forense Examinar y Analizar
2009 IBM Corporation24
Anlisis Forense Examinar y Analizar Anlisis de lnea de Tiempo
o Archivos: modificacin, creacin, accesoo Cundo ha sido instalado el Sistema Operativo?o Cundo fueron realizadas las actualizaciones?o Cundo fue utilizado el sistema por ltima vez?
Anlisis de los Medioso Examinar la imagen con herramientas forenseso Describir el anlisis y las herramientas utilizadaso Mostrar que no se modifica la evidencia
o Examinar el File System por modificaciones en OS o la configuracin del sistema.
o Buscar artefactos del atacante: rootkits, backdoors, sniffers, etc.
o Examinar registros y/o procesos, archivos de inicio.
Bsqueda de String o Bytes Qu palabras/expresiones podra buscar? Por qu buscamos estas palabras/expresiones?
Anlisis de Lnea de Tiempo
Anlisis de Lnea de Tiempo
Anlisis de los Medios
Anlisis de los Medios
Bsqueda de String o Bytes Bsqueda de String o Bytes
Recuperacin de Datos
Recuperacin de Datos
Examinar y AnalizarExaminar y Analizar
Recuperacin de Datoso Recuperar archivos, datos
borrados , artefactos del atacanteo Identificar cando fueron
borrados los archivoso Recuperar archivos pertinenteso Documentar mtodo utilizado.
2009 IBM Corporation25
Anlisis Forense Fase Reportes Explicar claramente los resultados y la evidencia encontrada.
Detallar hallazgos y conclusiones: archivos especficos relacionados con la solicitud y archivos borrados , cadena de bsquedas, bsquedas de palabras clave y bsquedas de cadenas de texto que apoyan las conclusiones.
Informe bsico incluye: quin?, qu?, cundo?, dnde? y cmo?
Incluir en las notas: fechas, tiempos, las descripciones y resultados de las medidas adoptadas.
Explicar las tcnicas utilizadas y los detalles tcnicos.
Documentar irregularidades encontradas y las acciones adoptadas en relacin con las irregularidades durante el anlisis.
Documentar los cambios realizados en el sistema o la red.
Los analistas forenses deben utilizar un enfoque metdico para tratar de probar o refutar cada posible explicacin que se propone.
.Tener el cuenta el pblico objetivoo Legal: nivel alto de detalle. Copia de Evidenciao Administrador de Sistemas: anlisis de informacin del sistema y
de trfico de red.o Direccin: alto nivel de lo sucedido.
Medidas Correctivas: Identificar vulnerabilidades que deben ser corregidas.
ReporteReporte
Anlisis de Lnea de Tiempo
Anlisis de Lnea de Tiempo
Anlisis de los Medios
Anlisis de los Medios
Bsqueda de String o Bytes Bsqueda de String o Bytes
Recuperacin de Datos
Recuperacin de Datos
Examinar y AnalizarExaminar y Analizar
2009 IBM Corporation26
Ciclo de Vida para la Gestin de Incidentes y Anlisis Forense
PreparacinPreparacin
IdentificacinIdentificacin
ContencinContencin
ErradicacinErradicacin
RecuperacinRecuperacin
Lecciones AprendidasLecciones
Aprendidas
Declarar Incidente
Recoleccin de Evidencia
Recoleccin de Evidencia
Anlisis de Lnea de Tiempo
Anlisis de Lnea de Tiempo
VerificacinVerificacin
Descripcin del Sistema
Descripcin del Sistema
Anlisis de los MediosAnlisis de los Medios
Bsqueda de String o Bytes Bsqueda de String o Bytes
Recuperacin de Datos
Recuperacin de Datos
ReporteReporte
Investigacin y AnlisisInvestigacin y AnlisisAdquirir EvidenciaAdquirir Evidencia
Gestin de IncidentesGestin de Incidentes
Integracin
AnlisisForense