| |
|
|
| |
-
Seguridad Informática - Análisis forense - Incedent Response
-
Los conocimientos sobre los métodos de ataque brindan la base para el trabajo forense. De la misma forma, resulta muy importante
la organización para garantizar resultados exitosos.
El tratamiento de un incidente de seguridad requiere de medidas organizativas, de un grupo "Response-Team" cuya composición
debe corresponder con las necesidades del caso, de la definición de líneas de comportamiento generales y la selección
de una estrategia de respuesta.
Proceso de respuesta
Lo primero a dilucidar en un proceso de respuesta es si un suceso es producto de un ataque (intrusión) o se trata de una avería
o mal funcionamiento. Esto se realiza con la recolección y evaluación de informaciones.
De confirmarse una intrusión, tienen que determinarse los daños, los métodos de ataque y los efectos que produce en la
organización en un lapso de tiempo muy corto. A continuación deberán adoptarse medidas para asegurar las evidencias,
cuyas medidas deberán entorpecer lo menos posible los procesos productivos o la actividad empresarial.
Deben preverse las medidas y los medios personales y financieros necesarios para garantizar el restablecimiento rápido de los sistemas
de procesamiento de datos.
Preparación organizativa
Las organizaciones deben ser concientes de los peligros que enfrentan. Todos los sistemas pueden ser victimas de agresiones.
Por esta razón, deben tenerse en cuenta los siguientes puntos antes que se produzca un incidente:
- debe crearse tempranamente un "Incedent Awareness", donde todos los
trabajadores involucrados deben tener claro que un incidente puede ocasionarse en cualquier momento y lugar.
- debe concebirse un plan de acción ante incidentes de seguridad. Este plan
debe prever regulaciones relativas al sistema de alarma
y las competencias de cada uno.
- debe concebirse un concepto de monitoreo de seguridad y alarma. Este concepto
regulará las condiciones bajo las cuales datos serán protocolizados y valorados.
- administradores de sistema y de seguridad deben ser debidamente capacitados en
cuestiones relacionadas con "Incident-Detection" e "Incident Response". Esto incluye el dominio de herramientas forense (tools).
- deben establecerse contactos con los organismos de seguridad pública para saber a quien
y como acudir en caso de producirse un incidente de seguridad.
- regularmente deben efectuase Backups del sistema y comprobar la posibilidad de restablecer el sistema
- los "patches de seguridad" deben ser aplicados a todos los componentes del sistema
(y no solo a los críticos)
- parte de un buen inventario del sistema es un cuadro sinóptico con la suma de comprobación
de los programas del sistema, para
poder reconocer si fueron modificados. De la misma forma es importante confeccionar una lista con archivos con derechos de accesos
particularmente riesgosos (por ejemplo SUID -Set User ID-/GUID -Globally Unique Identifier-).
Conformación del "Response-Teams"
El éxito de una investigación depende, en gran medida, del investigador. Es recomendable analizar internamente en la
organización cuales personas pueden integrarse en el grupo de respuesta, personas que contribuyan a la investigación. Estas
personas deben poseer suficientes conocimientos técnicos, sobre el sistema, la infraestructura, el software y hardware, así como contar con la necesaria integridad
y fiabilidad.
Las personas en cuestión deben contar con los siguientes requisitos:
- deben demostrar un sentido común saludable y poseer la capacidad de tomar decisiones eficientes,
aún cuando no existan directivas internas establecidas
- poseer las capacidades necesarias para comunicarse en forma oral o escrita con los factores involucrados
(internos o externos) –preferentemente ingles.
- mantener un comportamiento sensato respecto a las personas afectadas, sospechosos o los medios de
comunicación
- la capacidad de seguir las reglas y procedimientos establecidos
- comprender que lo más importante para hacerle frente a un incidente es la formación
profesional continuada
- debe soportar situaciones de estrés y trabajar en equipo, así como mostrar una
visión racional (económica) respecto a los resultados
- fortalecer el prestigio interno o externos del Team
El "Response-Team" debe mantenerse lo más pequeño posible.
 |
|
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
|
|
|
|
