Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Santiago Cavanna.
CA Argentina, ISSA Argentina.
CISSP – ISC2
GSEC – SANS
Santiago.cavanna@gmail.com
Agenda
Hackers-firewalls?
Virus-antivirus?
Spyware-antispyware?
Phishing?
Spam-antispam?
Control de contenidos/parental?
Encripcion, certificados y firmas digitales?
Backup, ServicePacks, Hotfix?
Test de intrucion y analisis de
vulnerabilidades?
Autenticacion y control de accesos?
VPN, Wireless, Routers, DNS, IP, FQDN?
Integridad, Privacidad?
Definiciones mínimas
Sistemas de información
Personas, Procesos, Tecnologías.
Procesamiento, Transporte,
Almacenamiento.
Dueños, Custodios, Usuarios.
Integridad
Disponibilidad
Confidencialidad
Principios complementarios
Autenticación
Autorización
Auditoria
No repudio
Análisis y gestión de riesgo
Análisis de riesgo
Identificación y clasificación de activos
Análisis de vulnerabilidades sobre los activos
informáticos
Análisis de amenazas (impacto y probabilidad)
Análisis de tratamiento del riesgo (actual y futuro
deseado en función de niveles de aceptación de riesgo)
Características de los sistemas de información
Vulnerabilidades
Técnicas, administrativas o de procedimiento.
Amenazas
Declaradas o no declaradas.
Incidentes de seguridad.
Ataques dirigidos
Ataques no dirigidos
Tratamiento del riesgo.
Mitigacion del riesgo.
Transferencia del riesgo
Aceptación del riesgo
Ejemplos de amenazas y su impacto.
No Dirigidos
Virus - Integridad, Disponibilidad
Spyware – Confidencialidad
Spam – Disponibilidad
Dirigidos:
Intrusiones – Disponibilidad, Integridad,
Confidencialidad.
Abuso de privilegios – Integridad,
Confidencialidad.
Robo de equipos, repositorios o sistemas de
información completos.
Incidentes de seguridad informática
Daño directo
Perdida de información.
Perdida de la capacidad de procesar,
comunicar o almacenar información.
Impacto sobre la imagen interna o externa
sobre confiabilidad.
Daño indirecto
Consecuencias legales
Penales
Civiles
Comerciales
Costos (regeneración, recuperación y carga,
resarcimiento a terceros por daños)
Tratamiento del riesgo: Mitigacion
Contramedidas
Administrativas
Políticas de seguridad de la información.
De procedimiento
Normas, estándares, procedimientos.
Tecnológicas.
Gestión de identidades y control de acceso
Gestión de amenazas
Gestión de información de seguridad.
Mitigacion de riesgo: Tecnológicas
organizaciones
Amenazas contra la integridad.
Controles de acceso basado en perfiles con privilegios limitados, antivirus,
IDS, IPS, Firewalls (local y perímetro), sistemas de control de cambios,
actualizaciones del fabricante y configuraciones basadas en mejores
practicas.
Amenazas contra la Disponibilidad.
Redundancia, Respaldo (backup), análisis de integridad (base de datos),
capacidad para recuperación de servicios en modo contingente (BCP, DRP).
Amenazas contra la confidencialidad.
Controles de acceso basado en perfiles, segregación de funciones, auditoria
y análisis de información de seguridad (quien accedió a que y por que?)
Antivirus, antispyware, control de contenido (trafico saliente de datos).
Firewalls (locales y de perímetro), VPN.
IDS, IPS + Análisis e inventario de software presente en los sistemas.
Encripcion de la informacion en puestos de trabajo y servidores.
Control sobre dispositivos de almacenamiento y respaldo
Caja fuerte para los respaldos
Control sobre uso de dispositivos y medios de grabación (Discos USB, CDs, DVD, Palms,
Tel, Impresoras, etc)
Amenazas mixtas
Control de acceso físico a equipos de procesamiento, almacenamiento o
comunicaciones.
Control sobre la capacidad de inferencia a partir de documentos
intercambiados, impresos, desechados, etc
Mitigacion riesgo para usuarios
hogareños.
Amenazas contra la integridad.
Elección de un sistema operativo que exija autenticación de
usuarios y acepte múltiples perfiles ( si el equipo es compartido)
Antivirus, antispyware y Firewalls (local, configurado para no
exponer información a Internet), actualizaciones del fabricante
del SO y las aplicaciones.
Amenazas contra la Disponibilidad.
Respaldos periódicos (semanales o mensuales)
Redundancia, Respaldo (backup), análisis de integridad (base de
datos), capacidad para recuperación de servicios en modo
contingente (BCP, DRP).
Amenazas contra la confidencialidad.
Controles de acceso basado en perfiles, segregación de funciones
(usuarios sin privilegio de acceso a información sensible, por
ejemplo, familiares, colegas, empleados, etc)
Antivirus, antispyware.
Firewalls (locales), VPN (si se requiere el acceso a redes
confiables sobre las que habra intercambio de información y
acceso a sistemas cliente-servidor o aplicaciones web de intranet.
Encripcion de información en puesto de trabajo.
Control sobre los respaldos (caja fuerte) y los medios de
almacenamiento de informacion (CDs, DVDs, Discos USB,
Teléfonos, etc.)
Control sobre documentos impresos, documentos desechados.
Recomendaciones
Pregunte
Cuales son los activos de valor?
Para quien tienen valor?
Que grado de responsabilidad tiene usted sobre ese
activo/valor?
Cuales son las consecuencias de un incidente
de perdida de confidencialidad, integridad o
disponibilidad?
Que tipo de daño directo o indirecto podría derivar de
ese incidente.
Cual es el resultado del análisis de riesgo
sobre esos activos?
Recomendaciones (cont)
Analice:
El riesgo es aceptable?
quien es responsable por esa
decisión?
Si el riesgo no es aceptable.
¿Cuales son los planes para dar
tratamiento a esos riesgos?
En que tiempo se implementaran
esos planes?
Que pasara mientras tanto?
Recomendaciones (final)
Aspectos legales.
No serán tratados en esta presentación.
Capacidad tecnológica.
Control de contenido
Sobre el intercambio de información.
Sobre repositorios de datos.
Análisis “forense”
Reconstrucción de una transacción
Tratamiento de evidencias.
Control de Acceso
Sistemas y repositorios
Control de Identidades
Autorización y No repudio.
Control de contenido
Local
Empresas
Acceso a redes
Acceso a sistemas (Operativos y Aplicaciones)
Hogareños
Acceso a sistemas (Operativo y Aplicaciones)
De perímetro
Empresas
Zonas de seguridad (perímetro externo y perímetros
departamentales)
Hogareños
Perímetro externo.
Análisis Forense
Evidencia
Cualquier información de valor probatorio.
Cualquier tipo de dato digital que pueda ayudar a demostrar que se ha
cometido un ilícito, o bien que permita establecer un vínculo entre el ilícito,
la víctima y el criminal (Frágil / Volátil)
Cadena de Custodia
Seguimiento a dar a la evidencia, con el objeto que esta no vaya a ser
alterada, cambiada o extraviada. (A tal efecto, los indicios deben ser
etiquetados y la persona que lo recibe deberá entregar a cambio una
constancia o cargo). Adicionalmente, la cadena de custodia supone que la
evidencia se mantiene en un lugar seguro al cual solo tiene acceso personal
facultado para ello.
Bitácora / Archivo de Hallazgos
Documento utilizado a efectos de llevar un historial de todas y cada una de
las actividades realizadas durante el proceso de Análisis Forense. (Objetivo:
Caso Reproducible)
Línea de Tiempo
Método de representación gráfica, respecto de los diferentes hechos y
eventos relevantes, asociados con la investigación-Reconstrucción de los
hechos a partir de los atributos de tiempo de los archivos, de forma tal que
los mismos puedan ser correlacionarlos con el objeto de enriquecer la
evidencia.
Imágenes
Imagen o replica exacta de todos los objetos de datos contenidos en los
elementos físicos originales. A menudo referida como copia
bit a bit.
Comprobación de Integridad
Proceso por el cual es posible verificar en cualquier momento, la validez de
la evidencia digital recogida. (Sumas de Control: MD5/SHA)
Mitos, Prejuicios y suposiciones.
Expectativa de confidencialidad y
anonimato
Eliminación de archivos
Control de contenido
En transporte
En repositorios
Trazabilidad y análisis de causa raíz.
Logs de transacción, cache, archivos
temporales y repositorios secundarios
Hackers y herramientas disponibles en
internet.
Política de disponibilidad publica.
Control de acceso e identidades
Dec. Adm. 669/04Política de Seguridad de la Información. Los organismos del Sector Público
Nacional comprendidos en los incisos a) y c) del art.8 de la ley N° 24.156 y sus modificatorias
deberan dictar o adecuar sus politicas de seguridad. Conformacion de Comités de Seguridad de la
Informacion.
Disp. 6/05 - ONTI Política de Seguridad de la Información Modelo. Aprobación.
Res. 45/05 - SGPPolítica de Seguridad de la Información. Facúltase al Director Nacional
de la ONTI a aprobar la Política de Seguridad de la Información Modelo y dictar las
normas aclaratorias y complementarias que requiera la aplicación de la Dec. Adm. Nº
669/2004.
Notas y Referencias.
La sección de análisis forense, esta basada en la presentación de Hernán Marcelo Racciatti de la 5ta Jornada ISSA
Argentina de seguridad de la información. http://www.hernanracciatti.com.ar
http://www.segu-info.com.ar/legislacion/
http://infoleg.mecon.gov.ar/basehome/areas_informaticas.htm
http://www.alfa-redi.org/privacidad/legislacion.shtml