Академический Документы
Профессиональный Документы
Культура Документы
Análisis de incidentes
SIETE ELEMENTOS: ATACANTE, HERRAMIENTA, VULNERABILIDAD, ACCIÓN, BLANCO,
RESULTADO NO AUTORIZADO Y OBJETIVO, DEFINEN LA TAXONOMÍA DE LOS INCIDENTES
A
unque a lo largo de los años ataques que se diferencia de otros un plan de emergencia que pare y
se han propuesto diversas ataques basándose en características limite el incidente y después con un
taxonomías de incidentes, como el atacante, el tipo de ataque, plan de continuidad y recuperación
ninguna de ellas ha logrado el los objetivos, el origen y la hora. que reestablezca la situación normal
consenso de la comunidad. En 1998 el de operación.
Department of Energy de los EE. UU. Para muchas organizaciones el
Presentó, dentro del proyecto Prevención y solución mayor desafío en el proceso de la
“Common Language Project”, una respuesta ante un incidente es una
taxonomía de los incidentes de Así esta relación entre eventos, detección y evaluación certera a la
seguridad en las TIC. Este esquema ataques e incidentes sugiere que para hora de determinar si un incidente
de clasificación define cada una de las prevenir que un atacante pueda está ocurriendo y si es así, el tipo,
piezas que intervienen en un incidente alcanzar sus objetivos se debe evitar extensión y magnitud del problema.
y las relaciones existentes entre ellas. que pueda consumar la conexión Las razones fundamentales de esta
entre los siete elementos definidos. dificultad son una combinación de tres
(Atacante, herramienta, factores. Heterogeneidad de las
Definiciones vulnerabilidad, acción, blanco, fuentes, motivada por los múltiples
resultado no autorizado y objetivo). formatos que pueden seguir las
Así evento es cualquier cambio en Prevenir incidentes es sin duda la fuentes de origen y por las diferencias
el estado de un sistema o dispositivo, solución más inteligente y mantener ‘semánticas’ entre detectores de
desde el punto de vista de la el número de incidentes distinta naturaleza. Extensión, la
seguridad dichos cambios son la razonablemente bajo es un factor enormidad del volumen de eventos
consecuencia de “acciones” dirigidas clave del éxito de la gestión de la registrados por la capa de detección
directamente contra un “blanco”. seguridad de nuestra organización. en origen. Especialización, el alto
Acciones que pueden dirigirse a los Las prácticas recomendadas para grado de formación técnica y
datos (ej. leer, copiar, modificar, robar, asegurar sistemas, redes y experiencia requeridos en el equipo de
etc.); a los procesos (ej. autenticar, aplicaciones son la Gestión de incidencias.
desbordar, evitar, etc.) y a los Actualizaciones, el bastionaje de las La detección y el análisis de un
componentes del sistema (ej. robar, máquinas, el blindaje del perímetro, incidente deberían ser tareas sencillas
espiar, etc.). la prevención del código maligno y la si pudiésemos tener certeza de la
Un ataque es la serie de pasos concienciación y formación de los fiabilidad, (veracidad y exactitud) de
intencionados que realizados por un usuarios. los avisos recibidos.
nº 10 mayo 2007
60
Perspectiva de las AA.PP.
Desgraciadamente esto no es así, los que un incidente puede ocurrir en el tener un sólido conocimiento de que
IDS son conocidos por la gran futuro e indicios, señales de que un es lo “habitual” el definir qué es
cantidad de falsas alarmas que incidente puede haber ocurrido o está “extraño” resulta prácticamente
generan, e incluso las indicaciones ocurriendo en este momento. imposible. Uso de sistemas
provenientes de los usuarios de que Muchos de los ataques no pueden centralizados de log, que faciliten un
un servicio no está disponible son ser detectados a través de los formato común, realicen una
frecuentemente incorrectas. Para precursores, ya que en algunos casos consolidación de las entradas y
complicar todavía más las cosas el estos precursores simplemente no apliquen una política de conservación
número de indicaciones recibidas de existen y en otros las organizaciones única. Correlación de Eventos,
los sensores desplegados puede ser no consiguen reconocerlos. No acceder, analizar, agrupar y relacionar
de miles o incluso de millones cada obstante, si los precursores son los diferentes atributos de eventos
día. Discernir de entre esa maraña detectados las organizaciones tendrán originados en diferentes fuentes.
cuáles de ellos son incidentes reales la oportunidad de prevenir el incidente Sondas de recolección, que recojan
de seguridad puede ser una tarea modificando su postura de seguridad información detallada de los eventos
absolutamente desalentadora. de forma automatizada; como un IPS que ocurren en el sistema. Así como
que detecta un comportamiento el Filtrado de la información recibida,
anormal y bloquea las actividades el disponer de una base de
Recursos posteriores, o de forma manual como conocimiento y mantener todos los
la creación de una regla en el relojes sincronizados.
A pesar de la enorme diversidad de cortafuegos.
herramientas de seguridad existentes, Para facilitar esta tarea de análisis
las alertas, avisos de cualquier cambio y validación se pueden hacer algunas Acciones a tomar
involuntario o malintencionado y las cosas: Normalización de redes y
alarmas, indicadores de que algo sistemas, creación de perfiles que Una vez detectado, evaluado y
anormal está ocurriendo son las permita una rápida validación de la notificado como incidente de seguridad
únicas señales de un incidente. Estas integridad de los sistemas. la respuesta debe de ser rápida; como
señales caen en una de estas dos Conocimiento del comportamiento primera medida se debe tratar de
categorías: precursores, señales de normal de nuestros sistemas, sin contenerlo y evitar que se extienda e
nº 10 mayo 2007
61
Perspectiva de las AA.PP.
nº 10 mayo 2007