Archive for 18:19 hrs.

Matias Katz | 18:19 hrs.
2 comments

Facebook o SET ?

El título hace referencia a SET (Social Engineering Toolkit), ya que en reiteradas y comprobadas ocasiones, facebook actúa como plataforma de propagación de phishing.

Una vez más, hemos detectado un modesto y permisivo error de diseño por parte de Facebook que permitiría a un atacante, generar un vector de propagación de phishing. Nuevamente, no hay reportes hasta el momento sobre el mal uso de dicha funcionalidad.
Anteriormente publicamos 1 artículo que se relaciona directamente con este ataque: Ingenieria Social A traves Del boton “Me Gusta” , si no lo leyeron todavía, los invitamos a hacer una revisión rápida para una mejor comprensión de las posibles combinaciones.

Como se detalla en el artículo anterior, un atacante puede hacerse del fallo de diseño para aumentar la confiabilidad y reputación de una nota, para luego modificarla y publicar links con contenido malicioso en ella. En este caso particular sumamos la posibilidad de generar 2 nuevos aditivos que hacen más “Llamativa” la nota a la hora de hacer click sobre un supuesto link inofensivo.

En primer lugar, podemos insertar fotos en la nota, algo conocido ya hace mucho tiempo. En nuestro caso fuimos capaces de insertar la imagen desde una URL externa utilizando sobre la nota código HTML.

Ejemplo:

<img SRC=”http://www.mkit.com.ar/imagen.jpg” alt=”imagen”></img>

En segundo lugar, a base de prueba y error, logramos insertar un “a href” con la posibilidad de moficar el nombre del hipervinculo.

Ejemplo:

<a href=”http://www.dominiomalicioso.com/malware.exe”>http://www.mkit.com.ar/blog</a>

Nuevamente, un atacante puede “Esconder” gracias a estas funcionalidades, su redirección a un sitio contaminado o bien con algún engaño elaborado para hacer que el usuario caiga en su trampa.

En las pruebas de rutina del funcionamiento del “Posible” ataque, logramos comprobar cierto comportamiento:

  1. Si se comparte la nota sobre el muro y, si se agrego como nombre de hipervínculo la expresión “http://”, y se intenta hacer click EN el link de la nota EN el muro, el usuario va a ser redirigido hacia el sitio que dice el NOMBRE del hipervínculo sin importar cual sea el “a href”. En el caso del ejemplo de arriba, se redirecciona hacia “http://www.mkit.com.ar/blog” en vez de “http://www.dominiomalicioso.com/malware.exe”.
    Redireccion EN muro
  2. Si se comparte la nota sobre el muro y, si NO se agrego como nombre de hipervínculo ninguna expresión del tipo “http://”, el mismo aparece en la publicación del muro como texto plano, si es que llegara a entrar en el preview de la nota.
    Redireccion EN muro SIN “http”
  3. Si se intenta hacer click sobre el hipervínculo DENTRO de la nota, entonces de cualquier forma vamos a ser dirigidos hacia el lugar donde apunte nuestro “a href”.
    Redireccion DESDE la nota

También podríamos utilizar Short URLs para ofuscar un poco más la lectura de la barra de estado para evitar a aquellos usuarios que prestan un poco más de atención.

En este caso particular, seleccione un tema de interés del momento para comprobar la curiosidad del usuario. La redirección se hace hacia un script dentro de este mismo dominio que lleva la cuenta de los visitantes para medir el impacto que tendría si publicáramos contenido malicioso.

En un conjunto aproximado de 300 nodos, un día lunes 1:30 de la madrugada, a tan solo 40 minutos de la publicación, este es el resultado Parcial:

Contador de Victimas

Actualizacion Lunes 10:25 A.M:

Contador de Victimas

Ya este numero implica aproximadamente el 15% de mis contactos.

Por más que mis contactos confíen en mi y sé que por esa misma razón entran sin preocuparse (espero al menos..), hay que crear un habito en el usuario para suplir las falencias a nivel de diseño por parte de las aplicaciones de hoy en día.

En este caso, es una cuenta personal, con pocos nodos. Imaginemos si la cuenta de alguien con más de 1000 contactos fuese robada! En cuestión de minutos un atacante seria capas de robar cientos y cientos de datos o bien comprometer esa cantidad de equipos.

Posible solución:

No permitir al usuario utilizar HTML tags en la creación de notas: Ciertamente, es poco “estético” dejar la URL cruda sin cambiar su nombre. Sin embargo, podría hacerse una diferenciación entre usuarios “Corporativos” y “Regulares” y dar permisos extras a los primeros que muy probablemente hagan buen uso de dicha funcionalidad.

Concientizar al usuario: Visto el “Avance” de los vectores de phishing anteriormente denunciados, creemos que en este y en la mayoría de los casos, la forma más eficiente y eficaz de evitar un ataque, es disciplinar al usuario e inculcar poco a poco las practicas seguras a la hora de navegar tanto en las redes sociales como en cualquier red. La lectura de la barra de estados sigue siendo de extrema importancia ANTES de hacer click sobre CUALQUIER HIPERVÍNCULO.

Fuente:  Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 14:01 hrs.
No comments

Facebook Simplifica Ataques De Phishing

Una vez más, vamos a presentar un 0-day en técnicas de phishing de facebook. Afortunadamente todavía no hemos visto la técnica en funcionamiento. Mediante una continua investigación de la plataforma, logramos deducir ciertos vectores de ataque para prevenir a los especialistas en seguridad y desarrolladores, antes de que los vectores sean explotados de forma masiva, reduciendo de esta forma su futura efectividad.

Cada vez que publicamos un Link, ya sea en nuestro muro o en el muro de alguien más, se genera un contenido al cual Facebook llama “Vista Previa”.

Una vez copiado el link en el sector para hacer la publicación, la vista previa se genera sola y da información sobre la pagina a la cual redirecciona el link, léase Nombre de link + Dominio De Redirección.

Si quisiésemos, podríamos borrar el link del sector de publicación y que se vea solamente la vista previa. De esta forma solo bastaría con hacer un click en la Imagen o Link de vista previa para ser redirigidos.

Post Sin Link En Comments

De esta misma forma, podríamos publicar contenido Malicioso ya que Facebook nos permite “Linkear” más de 1 contenido por post, pero solo permite 1 vista previa.

2 Links en 1 Post

Como vemos en la imagen, aparece tanto el link + vista previa de Hotmail, y ademas aparece en el Comment el link para acceder al sitio de Gmail.

Ahora, aprovechando dichas facilidades otorgadas por la aplicación y haciéndose de los acortadores de URL, un atacante sería capaz de aumentar su probabilidad de infección mediante una UNICA publicación que contenga 3 direcciones:

  1. Link Malicioso
  2. Nombre del supuesto link al que se va a redirigir
  3. Link Original

Si observamos con detalle la imagen con redirección verdadera podemos distinguir lo siguiente:

  1. Texto de Comment de FB.
  2. Nombre de hipervinculo (Sign In)
  3. Link en texto plano (login.live.com)
  4. Comentario de la página

Si observamos con detalle la imagen con redirección falsa dennotamos:

  1. Texto de Comment FB + Short URL (A modo de PoC, redirige a gmail.com) —> Se incita al usuario a iniciar sesión desde el link
  2. Nombre de Hipervínculo (Sign UP) —> Si se apretara Sign Up, la redirección sería hacia el sitio Origianal , por eso su modificación para EVITAR de alguna forma que el usuario haga Click.
  3. Comentario de la página :

Si desea iniciar sesion, siga el LINK DE ARRIBA o el siguiente LINK: http://goo.gl/93aP6 . Para Crear una cuenta, aprete SIGN UP

Otro Ejemplo:

Redireccion Maliciosa

Si utilizamos algun servicio para “Descomprimir” el link recortado nos arroja el siguiente resultado:

Expand

Sitio Utilizado: http://longurl.org/

Como vemos en el resultado, la redirección se hace hacia http://login.liveS.com/ que no es lo mismo quehttps://login.live.com/, dando lugar a un ataque de Phishing.

Hay 4 factores clave en el ataque:

  1. Facebook nos permite escribir mas de 1 hipervínculo por publicación
  2. Facebook crea una “Vista previa” de la página
  3. Facebook dentro de la vista previa, hace un detalle del “Nombre de link” (Manipulable)
  4. Facebook nos permite la modificación del contenido de la publicación.

Hay 1 factor negativo en el ataque:

  1. El Hipervínculo de redirección original en vista previa, NO SE PUEDE MODIFICAR. Ergo, por más que el atacante cambie el nombre del link de redirección, si el usuario presiona sobre ese link va a ser redireccionado al original de todas formas.

Del factor negativo, deducimos (Muy fácilmente), que las probabilidades de efectividad, se reducen al 50%, ya que de 2 link con redirección 1 nos guía hacia un Sitio Atacante, y 1 nos guía a el Sitio Autentico. Sin embargo, como demostramos en el caso de Sign In/Sign Up, lograríamos una desviación “Semántica” de dicha redirección.

De los factores clave del ataque, podemos deducir:

  • Facilmente un usuario caería en la trampa por ser un phishing 0-day.
  • La Vista Previa aumenta la confiabilidad de la redirección
  • Facebook mismo aumenta la confiabilidad de la publicación
  • El “Nombre de Link” es la segunda clave del phishing ya que podemos modificarlo a nuestro antojo, aumentando así la confiabilidad por parte del usuario dispuesto a hacer Click.

Para evitar ser víctima de un phishing de esta índole, recomendamos un uso consciente de las redes sociales. No hay que confiar de todo lo que aparenta ser.

- Leer atentamente la barra de estado posando el mouse sobre el hipervínculo para ver la dirección a la que apunta.

- Si es una “Short URL” ingresar a algun sitio de expansión de links para ver la redirección original.

Fuente: Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , ,
Matias Katz | 13:22 hrs.
2 comments

Gestión y Tratamiento de Incidentes de Seguridad de la Información – Segunda Parte

Continuando con este importantísimo tema (si no viste la primera parte podes hacer un clic acá), ahora vamos a ver en esta segunda parte la “Rueda del Tratamiento de Incidentes” que es como la llamo yo. Y esta rueda se compone de los siguientes puntos:

  • Preparación / Prevención
  • Detección / Notificación
  • Contención, Erradicación y Recupero
  • Análisis Preliminar
  • Investigación
  • Actividades Posteriores

Preparación / Prevención

Si hablamos de estar preparados, es importante poder armar una especie de cuadro con una categorización de los tipos de incidentes, para esto podemos usar este criterio en donde sumamos los efectos negativos producidos por el incidente y  la criticidad de los recursos afectados y esto nos devuelve  la criticidad del incidente.-

Una muy buena práctica dentro de la Preparación es armar un catalogo de categorización de incidentes, podemos categorizar POR TIPO DE INCIDENTE y por LA ENVERGADURA DE LOS DAÑOS PRODUCIDOS al final del post se dejan dos ejemplos de categorización.-

Otras medidas a utilizar pueden ser

  • Establecer políticas, normas y procedimientos.-
  • Preparar el Grupos de Gestión y tratamiento de Incidentes.-
  • Entrenar al personal.-
  • Documentar en un mapa la arquitectura de la red.-
  • Documentar la configuración de los equipamientos.-
  • Crear patrones de redes y sistemas.-
  • Comprender el funcionamiento normal.-
  • Activar los logs en los sistemas y sus aplicaciones.-
  • Utilizar un servidor recolector centralizado de Logs creando una política de almacenamiento de logs.-
  • Mantener los relojes de todos los equipos sincronizados.-
  • Crear sumas de comprobación criptográficas los archivos más importantes de los sistemas.-
  • Definir e implementar esquemas de resguardos de datos.-

Tenemos que considerar el uso de herramientas para:

  • Detección de incidentes
  • Monitoreo de los sistemas y estaciones de trabajo
  • Análisis de incidentes
  • Documentación de incidentes
  • Análisis periódicos de riesgos
  • Mejores prácticas de seguridad
  • Auditorías periódicas de los sistemas
  • Administración de actualizaciones de ser posible centralizada
  • Fortalecimiento de la seguridad de los equipos con Antivirus bien configurados, Firewall, Host IDS, etc.-
  • Seguridad en la red
  • Concientización y capacitación de usuarios

Detección / Notificación

En este segundo paso es cuando nos encontramos frente a una detección de un incidente y esta puede ser manual o automática ya sea por una advertencia que este indicando un incidentes o puede ser también por una señal de algún sistema que indique que está ocurriendo o en el peor de los casos que ya ocurrió el incidente.-

Las advertencias son el anuncio de una amenaza de ataque web, alerta de IDS o anuncio de Exploit y como indicadores tomamos un aviso sobre buffer overflow por parte de un IDS, una alerta de un antivirus que ha detectado código malicioso, un Firewall que esta alertando sobre repetitivos paquetes ARP o direcciones IP Malformadas, conectividad lenta, o cuentas bloqueadas por  excesivos intentos de acceso, rodo de identidad o datos en los propios sistemas (E-Mail, etc).-

En lo que es a la detección contamos también con software que nos ayuda a estar monitoreando, u organismos externos que nos emiten algún tipo de alerta, estos avisos puede ser generados por:

  • IDS – Sistemas de detección de intrusiones de red (NIDS) o de host (HIDS)
  • Software de antivirus
  • Software de control de integridad de archivos
  • Análisis de registros de auditoría (logs)
  • Información pública
  • Usuarios del organismo

Un ejemplo de la ruta de notificación de un incidente puede ser de la siguiente manera

La notificación inicial se puede producir por aviso de un usuario o por alguna herramienta que de una alerta esto es recepcionado por un grupo inicial (Lo podemos llamar Grupo de Gestión de Incidentes), este a su vez realiza una categorización del hecho basándose en su tabla de categorización y realiza la notificación a los dueños de la información afectada, personas afectadas, personal de sistemas, Oficina de Recursos Legales.-

Al realizar esta tarea podemos contar con un formulario con la siguiente información:

Datos del reporte

  • Numero de Identificación
  • Fecha y hora
  • Clasificación
  • Breve descripción
  • Efectos producidos
  • Descripción detallada
  • Responsable de atención

Datos del reportante

  • Nombre
  • Cargo
  • Área
  • Tel / Interno
  • Mail

Otros datos a incorporar son el Estado, Fecha de cierre y un Detalle con las tareas, tiempos y responsables.-

Análisis Preliminar

Una vez que ya contamos con los indicadores o advertencias tenemos que saber si es verdaderamente un incidente de seguridad o solo se trata de un falso positivo, para poder lograr ver la luz al final del camino, tenemos que realizar la tarea de recolección de Información.-

Recolección de información para analizar

La recolección de información nos sirve para determinar el alcance del incidente,  qué redes y que sistemas y aplicaciones  fueron afectados, y que fue lo que genero el incidente, como ocurrió o está ocurriendo, también nos permite saber que origino el hecho, como ocurrió y las herramientas utilizadas, que vulnerabilidades fueron explotadas y el impacto negativo que pueda tener sobre la empresa.-

Ahora necesitamos determinar el alcance y para esto nos podemos hacer las siguientes preguntas:

  • ¿Cuántos equipos fueron comprometidos?
  • ¿Cuántas redes se vieron envueltas?
  • ¿Cuán dentro de la red logró penetrar el atacante?
  • ¿Qué nivel de privilegio logró el atacante?
  • ¿Qué es lo que está en riesgo? ¿Cómo impacta en las actividades del organismo el compromiso de los  equipos? ¿Se encuentran en riesgo aplicaciones críticas?
  • ¿Quién sabe acerca del incidente y cómo puede afectar  esto el impacto del mismo?
  • ¿Cuán conocida es la vulnerabilidad explotada por el atacante? ¿Hay otros equipos con la misma vulnerabilidad?

Para responder estas preguntas  podemos tomar las siguientes medias:

tomar contacto con los administradores de sistemas nos permite obtener datos sobre sucesos anormales en los sistemas, hablar con el personal nos brinda información sobre sucesos anormales en las actividades cotidianas, realizar una revisión de reportes de herramientas de detección de intrusiones nos dará detalles del incidente, también una revisión de logs de comunicaciones, plataformas y sistemas nos permite Detectar actividades anormales y por último conocer la topología de red y listas de acceso nos permite Detectar posibles cambios no autorizados.-

Contención, respuesta y recupero

Ya en esta instancia nos avocamos a la tarea de volver los sistemas a la normalidad para ello contamos con tres acciones.-

CONTENCIÓN Evitar que el incidente siga produciendo daños. ERRADICACIÓN Eliminar la causa del incidente y todo rastro de los daños y RECUPERO Volver el entorno afectado a su estado  original.-

Para llevar a cabo estas acciones tenemos que contar con una estrategia que nos permita realizar las operaciones de manera organizada, rápida y efectiva sino puede que el remedio sea peor que la enfermedad, para contar con una buena estrategia tengamos en cuenta estos agentes:

  • Daño potencial de recursos a causa del incidente
  • Necesidad de preservación de evidencia
  • Tiempo y recursos necesarios para poner en práctica la estrategia
  • Efectividad de la estrategia total o parcialmente
  • Duración de las medidas a tomar
  • Criticidad de los sistemas afectados
  • Características de los posibles atacantes
  • Si el incidente es de conocimiento público
  • Pérdida económica
  • Posibles implicancias legales
  • Relación costo-beneficio de la estrategia
  • Experiencias anteriores

Investigación

No hay nada mejor que aprender de los hechos desfavorables, es por eso que la investigación nos nutre de una base de Conocimiento que nos permite entender lo que paso, como subsanarlo y como evitarlo nuevamente. Nunca está de más tomar todas las medidas necesarias en la investigación, realizando una correcta adquisición de evidencia aplicando en todo momento el control de la cadena de custodia y utilizando elementos de validación.-

Para la recolección de datos podemos obtenerla con adquisición en vivo siendo esta la Fecha y hora del sistema, aplicaciones corriendo, conexiones de red establecidas, puertos abiertos, aplicaciones escuchando en dichos puertos, estado de la placa de red.-

También podemos contar con la información de Backups, archivos copiados recientemente, información de la red (Logs de IDSs, logs de monitoreo, información recolectada mediante sniffers, logs  de routers, logs de firewalls, información de servidores de autenticación (Dominio Windows, Samba Linux, Email, FTP, VPN, etc); podemos sumar información testimonial por parte del personal.-

En conclusión toda la Recolección de Información debe respetar estos tres puntos

  1. AUTENTICIDADQuien haya recolectado la evidencia debe poder  probar que es auténtica.-
  2. CADENA DE CUSTODIARegistro detallado del tratamiento de la evidencia,  incluyendo quienes, cómo y cuando la transportaron, almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma.
  3. VALIDACIONGarantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.-

Esto nos lleva a realizar un correcto proceso de recolección de evidencia

Actividades Posteriores

Es un hecho que al finalizar la gestión y tratamiento de incidentes debemos

  • Organizar reuniones
  • Mantener la documentación
  • Crear bases de conocimiento
  • Integrar la gestión de incidentes al análisis de riesgos
  • Implementar controles preventivos
  • Elaborar Tableros de Control

Siendo esta información la que estaremos utilizando para generar los cuadros que hablamos en el primer punto.-

Anexo Imágenes de Modelo de Tableros

Cristian Amicelli Rivero

Category: Seguridad | Tags: , , ,
Matias Katz | 16:20 hrs.
No comments

DNS Spoofing

Para aquellos que no conocen el termino, DNS (Domain Name Server) 0 (Servidor de Nombres De Dominio). Dicho servidor es el encargado de resolver, por nosotros, un nombre de dominio en una dirección de IP. La tarea del DNS es alivianar la memoria del usuario por decirlo de una forma burda. No sería nada sencillo recordar cada número de IP de cada sitio que visitamos frecuentemente. Así, cada vez que queramos visitar “www.mkit.com.ar”, estaremos consultando a un DNS cual es la dirección de IP asociada al nombre de dominio en cuestión.

Funcionamiento DNS
Funcionamiento DNS

Generalmente los ISP (Internet Service Provider) son los encargados de otorgar las direcciones de IP de los DNS para nuestro servicio. En la mayoría de los Access Point, la configuración por defecto del DNS queda seteada en “Automática” por lo cual tomara dinámicamente la IP que nuestro proveedor de internet nos provea y la retransmitirá hacia todos los clientes conectados.

El ataque de DNS Spoofing se divide en 2 partes para mayor efectividad:

  • Hacerse pasar por el Access Point : Esto se logra haciendo un ARP Spoofing. Ataque ya mencionado en un articulo anterior. Véase ARP Spoof.
  • Hacerse pasar por el DNS mediante la utilización de la herramienta dnsspoof del paquete Dsniff.

Toda petición hecha por el usuario para los dominios que el atacante desee reemplazar, van a ser redirigidas hacia donde el usuario malintencionado desee. Así por ejemplo si el atacante tuviese un servidor web corriendo en su maquina con un login de Gmail, cada vez que cualquier usuario pidiera la resolucion del nombre de dominio “www.gmail.com”, este sera redirigido hacia la IP del servidor del atacante. Probablemente la pagina sera igual que la original y hasta quizás, pueda entrar en su mail.. Pero algo es seguro.. La credenciales fueron robadas.

La fortaleza de este ataque, reside en que es completamente transparente, el usuario no puede determinar la diferencia entre la pagina de gmail original y la falsa, ya que son idénticas y hasta el nombre de dominio, léase dirección de url si se quiere, es EXACTAMENTE la misma.

DNS Spoof
DNS Spoof – ARP Spoof

Alternativas para aquellos usuarios que navegan frecuentemente en redes publicas?

Si se quisiera saber si están siendo victimas de un ataque de Dnsspoof, deberían abrir un CMD en caso de Windows, un Konsole/Terminal en linux, y hacer un ping hacia el dominio al que se quiere acceder :

ping www.dominio.com

Si la IP del dominio a la que son dirigidos los paquetes ICMP es del tipo 192.168.x.x , o  en su defecto 10.x.x.x , significa que estamos siendo redirigidos hacia un servidor local dentro de nuestra misma red, ergo, hay un atacante haciendo la resolución de nombres de dominio.

En artículos posteriores vamos a ver otros tipos de ataques que se pueden llevar a cabo mediante estas técnica combinadas “Arpspoof+DnsSpoof”. En principio la idea de esta publicación, es demostrar lo facil que es para un atacante conseguir credenciales en redes de acceso público, y cuan transparente es para el usuario. No es el usuario en este caso el que esta siendo engañado, sino que el engaño se da a niveles tecnológicos.

Fuente: Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , ,
Matias Katz | 13:56 hrs.
No comments

Gestión y Tratamiento de Incidentes de Seguridad de la Información – Primera Parte

Dentro del marco de la seguridad de la información encontramos un punto más que importante y extenso que es la gestión y el tratamiento de los incidentes de seguridad, para ello lo vamos a dividir en 3 partes para que se puede leer e interpretar este tema.

En la primera parte nos vamos a encontrar los conceptos de la Gestión y tratamiento y sus ventajas, en una segunda partes vamos a ver los pasos en el tratamiento y por último vamos a ver algunos ejemplos.

Como ya sabemos existe la norma ISO 27001 publicada en el año 2005 que indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI). y es en esta norma en la que me voy a basar.-

Es significativo contar con un plan de respuestas a incidentes. Un buen plan de respuesta a estos incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa de una organización.

Si lo vemos desde el punto de vista del equipo de seguridad, nos interesa saber si ocurre una violación y lo más importante es saber cuándo ocurrió. Entender que cualquier sistema es factible de una violación de seguridad permite al equipo de seguridad contar un curso de acciones para minimizar los daños potenciales. por algo Gene Spafford dijo

El único sistema seguro es aquél que esté apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados y así y todo no es seguro del todo

Una vez que tenemos en cuenta esto definamos que es un incidente de seguridad.-

¿QUÉ ES UN INCIDENTE DE SEGURIDAD?

Es un hecho o amenaza que atenta contra la Confidencialidad , Integridad y Disponibilidad de un sistema informático.-

Podemos Decir que es:

Un evento es toda ocurrencia observable en un entorno informático.-

Un evento adverso es un evento con consecuencias negativas.-

Entonces como decíamos anteriormente un INCIDENTE DE SEGURIDAD es un evento adverso, que puede comprometer o compromete la disponibilidad de la información.-

También es una violación o inminente amenaza de violación de una política de seguridad de la información.-

¿QUÉ MEDIDAS TOMAR?

Medidas Preventivas son aquellas que se implementan el uso de contraseñas, Firewall, Procedimientos de Backup, Planes de continuidad, cifrado, etc.-

Con esto nos referimos a toda acción que tenga como principal medida salvaguardar nuestros activos.-

Medidas de Detección son las que tienen a controlar es decir, Registros de Auditoria, Revisiones de Seguridad, etc.-

y por último podemos hablar de las Medidas Correctivas tenientes al uso de esquemas de tolerancia a fallos, procedimientos de Restauración, etc.-

Como podemos ver estas medidas son básicas y en general la primera es la que siempre o casi siempre aplicamos, pero las otras dos también son importantes y hay que aplicarlas ya que nos permiten controlar y corregir y este conjunto que permite realizar la gestión de Incidentes.-

La Gestión de Incidentes persigue como objetivo el uso de recursos necesarios y su uso adecuado, con el afán de Realizar prevención, detección y corrección de ser necesarios al momento de atender un incidente de seguridad de la información.-

Para este fin se utilizan las siguientes pautas:

a. Prevención de incidentes

b. Detección y el reporte del incidente

c. Clasificación del incidente

d. Análisis del incidente

e. Respuesta al incidente

f. Registro de incidentes

g. Aprendizaje

Si nos basamos en este modelo nos ofrece algunos beneficios:

• Responder a los incidentes de manera sistemática, eficiente y rápida.

• Facilitar una recuperación en poco tiempo, perdiendo muy poca información.

• Realizar continuamente mejoras en la gestión y tratamiento de incidentes.

• Generar un Base de conocimientos sobre Incidentes.

• Evitar incidentes repetitivos.

• La posibilidad de apegar los incidentes acorde a legislación vigente.

Hasta este punto tenemos la teoría y concepto de gestión y tratamiento de Incidentes en la próxima parte vamos a ver la “Rueda del Tratamiento de Incidentes” como la llamo yo, que consta de 6 pasos.-

Fuente: Cristian Amicelli Rivero, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , ,
« Older Entries