Scribd Logo
Carica

Benvenuto in Scribd!

  • Preparación, detección y contención de ataques

    Caricato da

    gabymena06
    58 visualizzazioni2 pagine
    Este documento proporciona lineamientos para el manejo de incidentes de Denegación Distribuida de Servicio (DDoS) en 5 etapas: 1) Preparación, 2) Identificación, 3) Contención, 4) Remedio, y 5) Recuperación. La preparación incluye establecer contactos y definir procedimientos. La identificación implica detectar la infección y evaluar el perímetro. La contención significa aislar el área infectada y neutralizar los vectores de propagación. El remedio se refiere a identificar her

    Descrizione originale:

    cyber seguridad

    Titolo originale

    2Metodología de Respuesta a Incidentes (IRMs) IRM4-RptaIncidentesDDoS-OEA

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Este documento proporciona lineamientos para el manejo de incidentes de Denegación Distribuida de Servicio (DDoS) en 5 etapas: 1) Preparación, 2) Identificación, 3) Contención, 4) Remedio, y 5) Recuperación. La preparación incluye establecer contactos y definir procedimientos. La identificación implica detectar la infección y evaluar el perímetro. La contención significa aislar el área infectada y neutralizar los vectores de propagación. El remedio se refiere a identificar her

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    58 visualizzazioni2 pagine

    Preparación, detección y contención de ataques

    Caricato da

    gabymena06
    Este documento proporciona lineamientos para el manejo de incidentes de Denegación Distribuida de Servicio (DDoS) en 5 etapas: 1) Preparación, 2) Identificación, 3) Contención, 4) Remedio, y 5) Recuperación. La preparación incluye establecer contactos y definir procedimientos. La identificación implica detectar la infección y evaluar el perímetro. La contención significa aislar el área infectada y neutralizar los vectores de propagación. El remedio se refiere a identificar her

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 2

    Preparación 1 Identificación 2 Contención 3

    Objetivo: Establecer contactos, definir Detecte la infección La célula de crisis deberá de realizar y monitorear las
    procedimientos y recolectar información para Se debe recopilar y analizar la información proveniente siguientes acciones:
    ahorrar tiempo durante un ataque. de diferentes fuentes:
    1. Desconecte el área infectada de Internet
    Apoyo del Proveedor de Servicio de Int ernet (ISP) • Bitácoras de antivirus,
    • Contacte con su ISP para entender cuáles son los • Sistemas de Detección de Intrusión (IDS), 2. Aísle el área infectada. Desconéctela de
    servicios de mitigación para DDoS que ofrece (pagados y • Intentos sospechosos de conexión a servidores, cualquier red
    gratuitos) que qué procesos debe usted seguir.
    • Gran cantidad de cuentas bloqueadas,
    • Tráfico de red sospechoso, 3. Si no se puede desconectar del tráfico crítico,
    • De ser posible, suscriba una conexión redundante a permítalo después de asegurarse que no es un
    Internet. • Intentos sospechosos de conexión a los
    vector de infección o después de aplicar
    firewalls,
    técnicas validadas de elusión.
    • Establezca contactos con su ISP y entidades de • Gran incremento en llamadas a Soporte,
    cumplimiento de la Ley. Asegúrese que usted tiene la • Cargas altas o sistemas “colgados”,
    posibilidad de emplear una vía de comunicación 2fuera de 4. Neutralice los vectores de propagación. Un
    • Grandes volúmenes de email enviados, vector de propagación puede ser cualquier cosa
    banda”, como una línea telefónica o una ADSL.
    desde el tráfico de red hasta una falla en el
    Invent ario Si se observan uno o mas de estos síntomas, deberán software. Se aplicarán contramedidas
    • Prepare una lista blanca de las direcciones IP y protocolos de contactarse a los actores definidos en la etapa relevantes (parches, bloqueo de tráfico,
    que usted debe de permitir si prioriza el tráfico durante un “Preparación” y si es necesario, crear una célula de deshabilitar dispositivos, etc.) Por ejemplo, se
    ataque. No olvide incluir a sus clientes críticos, socios crisis. pueden emplear las siguientes:
    clave, etc. • Herramientas de despliegue de parches
    Identifique la infección (WSUS),
    • Documente los detalles de su infraestructura de TI, Analice los síntomas para identificar el gusano, sus
    incluyendo los dueños de los negocios, direcciones IP e • Windows GPO,
    vectores de propagación y contramedidas.
    IDs de circuito, ajustes de ruteo (AS, etc.). Prepare un • Reglas de firewall,
    diagrama de topología de red y un inventario de activos.
    Se pueden hallar pistas en: • Procedimientos operacionales.
    Boletines de CERTs, 5. Repita los pasos 2 al 4 en cada sub-área del
    Infraestructura de red área infectada hasta que el gusano deje de
    Diseñe una buena infraestructura de red sin puntos únicos de Contactos externos de soporte (casas de antivirus, etc.),
    Sitios de Seguridad (Secunia, SecurityFocus, etc.) propagarse. Si es posible, monitoree la infección
    falla o cuellos de botella.
    empleando herramientas de análisis (consola
    Distribuya sus servidores DNS así como otros servicios Notifique al Jefe de Seguridad de la Información. del antivirus, bitácoras de servidor, llamadas a
    críticos en diferentes Contacte a su CSIRT si es necesario. Soporte)

    Evalúe el perímetro de la infección Debe de monitorearse la dispersión del gusano.


    Defina la extensión de la infección (p.e: infección global,
    limitada a una oficina, etc.) Dispositivos móviles
    De ser posible, identifique el impacto de la infección en Asegúrese que el gusano no pueda utilizar ninguna
    las operaciones. laptop, smartphone, PDA o dispositivo removible de
    almacenamiento como vector de propagación. De ser
    posible, bloquee las conexiones.

    Pida a los usuarios finales que sigan estas


    instrucciones.
    Remedio 4 Recuperación 5
    Identifique Verifique que todos los pasos previos se hayan realizado
    Identifique herramientas y métodos de remedio. correctamente y obtenga una aprobación de la jefatura
    Deben de considerarse los siguientes recursos: antes de proceder con los siguientes pasos.
    • Arreglos (fixes) del proveedor (Microsoft, Oracle,
    etc.) 1. Reabra el tráfico de red que fue utilizado como
    método de propagación por el gusano. IRM #4
    • Base de datos de firmas del antivirus
    • Contactos externos de Soporte Respuesta a Incidentes de DDoS
    • Sitios web de Seguridad 2. Reconecte las sub-áreas entre sí. Lineamientos para el manejo de incidentes de
    Denegación Distribuída de Servicio
    Defina un proceso de desinfección. El proceso debe de 3. Reconecte las laptops y móviles al área
    Autor IRM: CERT SG / Vincent Ferran-Lacome
    ser validado por un órgano externo, como su CSIRT. Versión IRM: 1.3
    4. Reconecte el área a su red local.
    email: cert.sg@socgen.com
    Pruebe web: http://cert.societegenerale.com
    Pruebe el proceso de desinfección y asegúrese que 5. Reconecte el área a Internet.
    Traducción: Francisco Neira
    funciona adecuadamente sin dañar algún servicio. email: neira.francisco@gmail.com
    Todos estos pasos deben de realizarse en una manera
    Twitter: @neirafrancisco
    Despliegue “paso a paso” y se debe de realizar un monitoreo técnico
    Despliegue las herramientas de desinfección. Se puesto en vigor por el equipo de crisis.
    pueden usar varias opciones:
    • Windows WSUS Extracto
    • GPO Repercusiones 6 Esta “Metodología de Respuesta a Incidentes” (IRM, por sus siglas
    • Despliegue de firmas de antivirus en inglés) es una hoja resumen dedicada a los manejadores de
    • Desinfección manual incidentes que investigan un asunto de seguridad específico. Quién
    Informe debe de usar estas hojas IRM?
    Deberá de redactarse un informe de crisis que será • Administradores
    Advertencia: Algunos gusanos podrían bloquear alguno distribuído entre todos los actores de la célula de • Centro de Operaciones de Seguridad (SOC)
    de los métodos de despliegue de remedios. Si esto manejo de crisis. • CISOs y sus delegados
    sucede, deberá de de aplicarse algún artificio. • CSIRT (equipos de respuesta a incidentes informáticos)
    Recuerde: Si usted afronta un incidente, siga el IRM, tome
    Deben de describirse los siguientes temas: notas y no pierda el control. Contacte su CSIRT
    El progreso del remedio debe de ser monitoreado por la Causa inicial de la infección inmediamente si es necesario.
    célula de crisis. Acciones y líneas de tiempo de cada evento importante
    Qué salió bien
    Qué salió mal Pasos del manejo de incidentes
    Costo del incidente Se definen 6 pasos para manejar los incidentes de seguridad:
    • Preparación: Alistarse para manejar el incidente
    Capitalice • Identificación: Detectar el incidente
    Deberán de definirse las acciones para mejorar los • Contención: Limitar el impacto del incidente
    procesos de manejo de infecciones de gusanos para • Remedio: Remover la amenaza
    • Recuperación: Recobrar a una etapa normal
    capitalizar esta experiencia. • Repercusiones: Delinear y mejorar el proceso

    Potrebbero piacerti anche