Acciones empresariales en la prevención

de criminalidad virtual para mitigar

riesgos
Manuel Humberto Santander Peláez
Arquitecto Seguridad de la Información
Agenda

• Introducción
• Riesgos Seguridad de la Información
• Procedimiento Respuesta a Incidentes
• Metodología investigación forense
• Conclusiones
Introducción
Historia

• Los viejos días …

– Windows 3.1
– DOS era usado para la gran mayoría de los
programas
– Internet Incipiente
– Modems!!!
– Computación Centralizada
– Mainframes
Historia (2)

• Manejo de dinero en efectivo

– Las redes de cajeros eran incipientes
– Tarjetas débito o crédito manejadas mediante
voucher o autorización telefónica
• La información de la compañía residía en
libros
– Consultas manuales en archivos físicos de las
compañías
– Aseguramiento físico de la información
Los viejos fraudes …

• Los mensajes anónimos se realizaban

manualmente
– Se cortaban letras de revistas
– Había que evitar los reconocimientos grafológicos
– El correo público, ideal para camuflar el emisor de
la comunicación
• Las suplantaciones igualmente existían
– ¿Qué tan fácil se puede suplantar una firma?
– ¿Cuántas personas cayeron en conversaciones
telefónicas con una persona ficticia?
Los viejos fraudes … (2)

• Los virus de aquel entonces no hacían

mayores estragos
– Se desplegaban por diskettes
– Pocas aplicaciones en red
– Internet inexistente
• Cuando ocurrían estragos, los procesos de
contingencia se activaban
– Tecnología no era una variable crítica en la
empresa
– El tiempo de restauración no era relevante
Pero …

• La tecnología evolucionó
• Internet hizo su aparición en el país
• Gopher, sólo para sistemas UNIX, empezó ser
desplazado gradualmente por Navegadores
Web
• Windows eliminó del mapa al viejo DOS
• Los negocios empezaron a requerir
intercambio de archivos dinámico
• La información ya no estaba sólo en servidores
centrales …
Los nuevos fraudes

• Suplantación de usuarios
– Robo cuentas MSN
– Robo cuentas Facebook
– ¿Qué pasa si se roban las cuentas con privilegios
de pagos en el ERP?
• Envío de correos electrónicos anónimos
– Hotmail, GMAIL, yahoo, …
– ¿Qué pasa si el correo anónimo es interno?
• Robo información estratégica de las
compañías
Los nuevos fraudes (2)

• Negación de servicio en la infraestructura de la

compañía
– ¿Recuerdan el denial of service en twitter?
(http://status.twitter.com/post/157191978/ongoing-
denial-of-service-attack)
– ¿Qué pasa si eso lo hacen al portal web de Banco?
• Falsificación información en las bases de datos
– La infraestructura tiene vulnerabilidades
– ¿Qué pasa si alguien las aprovecha?
Los nuevos fraudes (3)

• Exploits al alcance de cualquier persona

– http://www.packetstormsecurity.org
– http://www.securityfocus.org
– http://inj3ct0r.com/
• Herramientas para análisis de vulnerabilidades
– http://www.nessus.org
– http://www.openvas.org
Los nuevos fraudes (4)

• Frameworks para penetration testing

– http://www.metasploit.org
• Distribuciones LiveCD para seguridad
– http://www.remote-exploit.org/backtrack.html
• Todos estos sitios actualizan su contenido
periódicamente
• Aunque el Sistema de Gestión de Seguridad
de la Información define controles, ¿Cubren
ampliamente estos controles los riesgos?
Retos

• No existe seguridad garantizada 100%

– Los controles que minimizan los riesgos siempre
dejan un riesgo residual
– Riesgo residual, aunque bajo, implica que puede
materializarse
• Sabemos como controlar los riesgos para que
permanezcan mínimos
• ¿Qué hacer cuando los riesgos de seguridad
de la información se materializan?
Riesgos Seguridad de la
Información
Controles ISO27001
Políticas de
Seguridad
Gestión de
Organización de la
Incidentes de
Seguridad
Seguridad

Clasificación y
Cumplimiento
Control de Activos

ISO27001
Sistema de Gestión de
Administración de
la Continuidad del
Seguridad de la Control de
Accesos
Negocio Información

Gestión de
Seguridad del
Comunicaciones y
Personal
Operaciones

Desarrollo y
Mantenimiento de Seguridad Física
Sistemas
Controles técnicos de seguridad

• Firewalls
– Aplicación
– Red
• Sistemas de Detección de Intrusos
– Red (NIDS)
– Host (HIPS)
• Controles de navegación URL
Controles técnicos de seguridad (2)

• Control antimalware
– Servidores
– PC
– Internet (http, ftp, smtp)
• Data loss prevention
– Servidores
– PC
– Internet
• NAC
Controles técnicos de seguridad (2)

• Mitigan el riesgo de seguridad de la

información
– No lo eliminan
– Sí, puede materializarse el riesgo aún teniendo
controles
• Pueden proveer evidencia en caso de la
ocurrencia de un incidente de seguridad
• ¿Qué hacer empresarialmente?
Procedimiento respuesta
a incidentes
Ciclo de vida respuesta a incidentes

Contención,
Detección y Erradicación Actividades
Preparación
Análisis y Post-Incidente
Recuperación
Preparación de incidentes

• Debe establecerse una capacidad de respuesta

a incidentes en la organización
• Deben instalarse controles para que los equipos
de cómputo, la red y las aplicaciones son
suficientemente seguros
• Comunicaciones de los administradores de
incidentes
• Hardware y software para respuesta a
incidentes

21
Prevención de incidentes

• El riesgo debe ser mínimo

– Los controles necesarios deben ser implementados
– Si no están los controles necesarios implementados,
el número de incidentes aumenta
• Proceso de gestión del riesgo
– Parte del Sistema de Gestión de Seguridad de la
Información
– El entorno cambia continuamente
– Debe realizarse periódicamente

22
Prevención de incidentes (2)

• Controles de seguridad para prevención de

incidentes
– Administración de parches
– Línea base para servidores y PC
– Seguridad en Red
– Prevención de código malicioso
– Entrenamiento para usuarios

23
Detección y análisis

• Los incidentes deben agruparse en categorías

– Definición de procedimientos por cada categoría de
incidente
– Permite mayor rapidez para atender los incidentes
• Tipos de incidente
– Denial of Service
– Código malicioso
– Acceso no autorizado
– Uso inapropiado

24
Detección y análisis (2)

• Análisis de incidentes
– Las señales de incidentes no corresponden
necesariamente a incidentes que hayan ocurrido o
estén ocurriendo
– Deben descartarse problemas en la infraestructura o
en el software antes de determinar que fue un
incidente de seguridad
– ¿Cómo determinar si ocurrió un incidente?
o Determine patrones en los equipos y las redes de
datos
o Determine los comportamientos normales
25 o Use logs centralizados y cree una política de
retención de logs
Contención, erradicación y recuperación

• Escogencia de una estrategia de contención

• Captura y manejo de evidencia
– Debe aplicarse la normatividad legal para la captura
de la evidencia
• Erradicación y recuperación
– El servicio debe recuperarse
– ¿Qué es primero? ¿Evidencia o servicio?

26
Actividades Post-incidente

• Lecciones aprendidas
– ¿Qué pasó exactamente y en qué tiempos?
– ¿Cómo manejó la gerencia y el personal el incidente?
¿Se siguieron los procedimientos? ¿Fueron
adecuados?
• Métricas del proceso de respuesta a incidentes
– Número de incidentes atendidos
– Tiempo por incidente
– Auditoría del proceso de respuesta a incidentes

27
 Metodología
Investigación Forense
Metodología Investigación Forense

Recolección
Reporte
de
Final
Evidencia

Procesamiento
Análisis de la
de la
Evidencia
Evidencia

29
Metodología Investigación Forense (2)

• Recolección de Evidencia
– Identificar, etiquetar, grabar y adquirir evidencia
desde fuentes relevantes de datos para el caso
– El procedimiento de cadena de custodia es
fundamental en esta etapa
– Deben utilizarse procedimientos que garanticen la
integridad de las porciones de evidencia extraídas
– Siempre y cuando usted sea cuidadoso y siga la
metodología en el procedimiento de extracción de
evidencia, ésta será válida dentro de un proceso

30
Metodología Investigación Forense (3)

• Procesamiento de la Evidencia
– Procesar la evidencia mediante la combinación de
procedimientos automáticos y manuales para realizar
la valoración y la extracción de datos particulares de
interés para el investigador
– La integridad de la evidencia debe garantizarse
– Involucra el análisis del sistema de archivos, el
sistema operativo y los programas instalados en el
equipo
– Diversas herramientas para la realización de estas
tareas
31
Metodología Investigación Forense (4)

• Análisis de la Evidencia
– Analizar los datos arrojados como resultado del
procesamiento de la evidencia
– Construcción del caso: Quién, qué, cuándo, dónde y
cómo
• Reporte Final
– Detalle completo de los pasos, herramientas y
procedimientos utilizados en toda la investigación
– Incluye recomendación de acciones para evitar la
materialización de riesgos como mejoras la las
políticas, guías, procedimientos, herramientas
32
Preguntas
 ¡Muchas Gracias!

Manuel Humberto Santander Peláez

Unidad Arquitectura y Estrategia

Subdirección Tecnología de Información
Empresas Públicas de Medellín E.S.P.
E-mail: manuel.santander@epm.com.co
http://manuel.santander.name