Manual de Procedimiento para el Tratamiento de Incidentes SALCERT
“Entre más callado estés más es tu capacidad de escuchar”
Procedimiento de Manejo de Incidentes SALCERT
Definiciones:
CSIRT: (Compu (Computer ter System System Incident Incident Respons Response e Team) Team)
CERT: CERT: (Compute (Computer r
Emergency Emergency Repons Reponse e Team) Es una organiza organización ción o un
equipo equipo que provee provee
servicio o soporte en las areas de prevención, manejo y respuestas de ante incidentes de computo.
TI: TI: Tecnologías de información.
Manejo de Incidentes: La habilidad de proveer administración de eventos e incidentes que se general al interior de las instituciones que afectan uno más los componentes de la plataforma tecnológica de la institución y no es solo la la aplicación de tecnología para resolver los problemas de l os eventos generados.
Sistema Comprometido Es aquel equipo de procesamiento, almacenamiento, de comunicaciones o de seguridad que se encuentra bajo la influencia anormal de un tercero en alguna de sus capas y/o funciones.
Advisory Documento que provee a mediano y largo plazo información sobre los problemas y las soluciones para la minimización o desaparición del i mpacto ante ocurrencia de un evento, generalmente haciendo referencia a una vulnerabilidad. (Ver ejemplos en anexo 3)
3
Procedimiento de Manejo de Incidentes SALCERT
Introducción El prese presente nte docum document ento o genera genera las direct directric rices es estánd estándar ar para para el adecu adecuado ado manejo y respuesta ante incidentes de computo, un CSIRT o CERT no es lo mismo que un equipo de ciberseguridad, es decir su responsabilidad no es brindar seguridad a cualquiera de las capas que componen las plataformas de TI, si no que el manejo y respuesta ante incidentes de computo; si bien es cierto, su misión puede incluir la prevención, no es su rol primario. . Objetivo General Establecer una normativa básica estandarizada para la clasificación, manejo y el adecu adecuado ado tratam tratamien iento to de incide incidente ntes s de comput computo, o, cuales cualesqu quiera iera sea sus orígenes, causas y efectos, y sean o no considerados en el conocimiento actual de los mismos.
Objetivos Específicos •
Establecer parámetros para la adecuada clasificación de incidentes
•
Generar los insumos básicos a recolectar en el tratamiento de incidentes.
•
Establecer los procedimientos para el manejo de de incidentes.
•
Establecer un estándar en el tratamiento de incidentes.
4
Procedimiento de Manejo de Incidentes SALCERT
Procedimiento general del manejo de Incidentes. El procedimiento general para el adecuado manejo de incidentes esta dividido en los siguientes pasos:
1-Detectar y reportar 2-Jerarquerizar 3-Analizar 4-Responder al incidente.
Detectar y Reportar.
Consiste Habilidad de recibir y revisar informaciones de eventos, reportes de incidentes y alertas.
Este paso del proceso consiste en obtener información detallada del incidente entre las cuales se pueden citar:
-¿Quién está Involucrado?
-¿Cuál es la institución? -¿Cuál es su rol? -¿Dónde se encuentra geográficamente? -¿Quiénes son los administradores de la RED y de los Sistemas?
-¿Cuál es la naturaleza del incidente?
-¿Cuál es el alcance del incidente?
-¿Cuál es la linea de tiempo? -Fecha y hora ocurrido. -Fecha y hora descubierto
5
Procedimiento de Manejo de Incidentes SALCERT
-Fecha y hora reportado
¿Cuáles son los detalles de la infraestructura comprometida?
Función y criticidad Versión del OS Nivel de Actualización Aplicaciones que corren sobre Defensas de seguridad Relaciones con otros sistemas Puertos y servicios Formatos de archivos logs
Para tal efecto, se debe utilizar el formulario definido en el anexo 1.
Inmediatamente se recibe, se debe estar seguro de contar con la mayor información posible para poder comprender el incidente; si es necesario se puede realizar una visita o una llamada telefónica con el objeto de obtener mayor información.
Nota: Cuando se sospecha que el servicio de mensajeria por correo electrónico se encuentra comprometido, no se utilizará dicho servicio, sino que uno alterno tal como la red pública de telecomunicaciones y las visitas presénciales.
Jerarquerizar:
Realizar acciones para ordenar , categorizar, priorizar y asignar recursos a la atención de los incidentes, para comprender mejor esto, tomemos de modelo un Hospital que jerarquiza y atiende a los pacientes por su grado de estado critico.
Es un elemento importante para la optimización del manejo de incidentes.
6
Procedimiento de Manejo de Incidentes SALCERT
Analisis: Es la habilidad de determinar qué paso, cuál fue el impacto, robo o daño, así como que acciones de recuperación o mitigación fueron adoptadas
Respuesta al Incidente:
Consiste en las acciones acciones tomadas tomadas para resolver o mitigar un incidente, coordinar y diseminar información, y la implementación de estrategias que eviten la repetición del incidente i ncidente en mención.
Servicios Los servicios que serán ofrecidos por el SALCERT serán los siguientes:
Servicios Reactivos:
Alertas y advertencias
Manejo de incidentes
Análisis
Soporte en sitio
Soporte para la respuesta
Coordinación en la respuesta de incidentes
Manejo de Vulnerabilidades
Análisis de vulnerabilidades
Respuesta de vulnerabilidades
Coordinación de respuesta de vulnerabilidades
7
Procedimiento de Manejo de Incidentes SALCERT
Servicios Proactivos.
Anuncios
Vigilancia Tecnológica
Auditoria de seguridad
Desarrollo de herramientas de seguridad
Servicios de detección de intrusión
Diseminación de información relacionada con la seguridad informática.
Requerimientos para el manejo de incidentes.
Aunque el rol principal del CSIRT es reactivo, no se debe dejar de lado que los esfuerzos que se puedan realizar en otro campo, benefician de manera directa la función principal, buscando como mínimo lo siguiente:
Prevenir incidentes y ataques
Entrenamiento a personal técnico y usuarios finales
Monitoreo y evaluación de infraestructura detectando vulnerabilidades.
Compartiendo información con otros CSIRT.
Esquema de funcionamiento de proceso “Manejo de Incidentes”
8
Procedimiento de Manejo de Incidentes SALCERT
9