Incidentes de Seguridad Informática en las Empresas

1. Incidentes de Seguridad Informática en las Empresas CSIRT: un modelo de respuesta Dr. Ing. Gustavo Betarte gbetarte@tilsor.com.uy CIGRAS 2012 CIGRAS 2012

2. Plan de la Presentación • Motivación y Contexto • Creación y operación de un equipo de respuesta a incidentes de SI • CSIRT Tilsor • Conclusiones CIGRAS 2012 CIGRAS 2012

3. Motivación • Nuevas tecnologías han revolucionado la forma de proveer servicios y hacer negocios pero también han introducido nuevos riesgos • Es necesario reconocer y asumir que la seguridad totalno existe • Incidentes de seguridad informática son un dato de la realidad y es necesario desarrollar mecanismos para gestionarlos • La complejidad para realizar un ataque sofisticado ha disminuido significativamente y la motivación se ha diversificado e incrementado • Velocidad con la que las empresas y organizaciones puedan reconocer, analizar y responder a un incidente limitará los daños y disminuirá los costos de recuperación CIGRAS 2012 CIGRAS 2012

4. Contexto CIGRAS 2012 CIGRAS 2012

5. Tendencias • Convergencia • Interconexión de sistemas internos • Interdependencia con sistemas externos • Consolidación hacia estándares abiertos (IP) • Consecuencias • Exposición de los sistemas (de infraestructuras críticas) a potenciales ataques de Internet • Nuevos riesgos: conexiones wireless, mantenimiento remoto por terceros • Ataques pueden tener consecuencias que superen el valor de la organización o compañía, con consecuencias significativas CIGRAS 2012 CIGRAS 2012

6. Desafíos de la Seguridad de la Información • La Seguridad se ha convertido en un área crítica de los Sistemas de Información • Cómo encarar este desafío? • Gestión de la Seguridad de la Información • Sensibilización y Capacitación • Evaluación proactiva del nivel de aseguramiento de las plataformas informáticas y de comunicación • Gestión de incidentes (quénivel de criticidad?) CIGRAS 2012 CIGRAS 2012

7. Incidentes: Impacto • Reporte Norton Cyber Crime 2011 • Daños del orden de los 338.000 M USD • LATAM: Brasil y México son los más afectados • Reporte ARBOR Networks 2011 Infrastructure Security • Uruguay: Top 2 en BPS y PPS promedio de Misuse DDoS attacks en LATAM • El 70% de los encuestados nunca intentaron efectuar una respuesta a un ataque DDoS • Ataques a gran empresa y gobiernos en aumento • Denegación de servicios (DDoS) • Botnets • Phishing • Defacement CIGRAS 2012 CIGRAS 2012

8. Incidentes: Soluciones Los expertos piden Centrarse en la detección y no únicamente en la protección Monitorear y gestionar incidentes Enfocar los esfuerzos de protección en los activos críticos y no sólo en el perímetro Apoyo en CERTs/CSIRTs 40% de encuestados tienen CERT o CSIRT 66% colaboran con un CERT nacional CIGRAS 2012 CIGRAS 2012

9. CERT/CC: Origen • 1988, Internet Worm afecta a un alto porcentaje de sistemas, dejándolos fuera de servicio • Se define estrategia para mejorar respuesta a incidentes de seguridad informática • La agencia DARPA crea el CERT/CC en el SEI de la Carnegie Mellon University CIGRAS 2012 CIGRAS 2012

10. CERT/CC: Misión • Responder a incidentes de seguridad en Internet • Servir como modelo de operaciones para otros equipos de respuesta • Facilitar la creación de otros grupos (CSIRTs) que sirvan a otras comunidades objetivo (constituencies) • Facilitar la comunicación/divulgación de incidentes informáticos y coordinar acciones a nivel nacional o regional CIGRAS 2012 CIGRAS 2012

11. Un enfoque organizacional para la gestión de incidentes de seguridad CIGRAS 2012 CIGRAS 2012

12. CSIRT: Qué es? “A Computer Security Incident Response Team (CSIRT) is a service organization that is responsible for receiving, reviewing, and responding to computer security incident reports and activity. The services are usually performed for a defined constituency” (CERT/CC) CIGRAS 2012 CIGRAS 2012

13. CSIRT: Aspectos fundamentales • Visión/Misión • Objetivos de alto nivel y sus prioridades • Comunidad Objetivo (Constituency) • Destinatarios a los que el CSIRT dará servicios • Servicios • Qué servicios le ofrece el CSIRT a su comunidad objetivo • Forma de relacionamiento • Forma de cooperación, coordinación (o cualquier interacción) con otros CSIRTs CIGRAS 2012 CIGRAS 2012

14. CSIRT: Comunidad Objetivo • Entidad específica a la cual el CSIRT sirve • Puede ser acotada o no • Generalmente refleja la fuente de financiamiento • Relacionamiento con la comunidad objetivo: • Full: el CSIRT tiene autoridad total • Shared: el CSIRT comparte las decisiones • None: El CSIRT no tiene autoridad CIGRAS 2012 CIGRAS 2012

15. CSIRT: Tipos de Comunidad Objetivo • Nacionales (CERTuy, ArCERT, CERT.br,…) • Organizacionales: Banco, Telco (CSIRT ANTEL), Empresa TI (CSIRT Tilsor) • Network Service Provider: ISP (CSIRT ANTEL) • Técnicas: el uso de un determinado S.O. • Contractual: quienes adquieren un servicio CIGRAS 2012 CIGRAS 2012

16. CSIRT: Servicios Ref: CSIRT Services, CERT/CC CIGRAS 2012 CIGRAS 2012

17. CSIRT Tilsor CIGRAS 2012 CIGRAS 2012

18. TILSOR Hoy TILSOR +13 mil casos de Soporte Técnico resueltos +250 clientes entre Organismos Públicos y Empresas Privadas +40 mil horas de entrenamiento certificado +350 mil horas de consultoría en Tecnologías de la Información CIGRAS 2012 CIGRAS 2012

19. Por qué un CSIRT? • Estrategia de la empresa en Seguridad Informática: • Requerimiento interno • Desarrollo de un área de servicios • Desafíos • Consolidar masa crítica experta • Identificar necesidades del mercado • Posicionarse como un referente CIGRAS 2012 CIGRAS 2012

20. Comunidad Objetivo • Interna • SGSI de Tilsor • Infraestructura Tecnológica y Sistemas de Información de Tilsor SA • Serviciosreactivos, proactivos y calidad de seguridad • Externa • Socios y clientes de Tilsor SA • Serviciosproactivos y calidad de seguridad CIGRAS 2012 CIGRAS 2012

21. Servicios • Reactivos • Gestión de incidentes • Alarmas • Gestión de vulnerabilidades y artefactos • Proactivos • Observatorio tecnológico • Desarrollo de herramientas • Calidad de seguridad • Sensibilización y capacitación • Evaluación de seguridad de infraestructuras y aplicaciones CIGRAS 2012 CIGRAS 2012

22. Valor adicional • A la comunidad interna • Apoyo en el proceso de desarrollo de aplicaciones • Mitigación de riesgos en los ambientes de producción y soporte • A nuestros clientes y socios • Referente a quien acudir • Grupo profesional experto en seguridad • Servicios de consultoría con valor agregado CIGRAS 2012 CIGRAS 2012

23. Algunos Ejemplos de Incidentes Resueltos Intento de enrolar servidores de Tilsor en un ataque DDoS a una empresa extranjera Estafa: intento de venta forzada de dominio Internet Problemas de envío de correos debido a inclusión del ISP de Tilsor en una lista negra Detección proactiva de vulnerabilidades en paquetes de software utilizados por Tilsor Análisis y procesamiento de alertas por infección con Malware reportadas por antivirus CIGRAS 2012 CIGRAS 2012

24. Colaboración y Coordinación • A nivel nacional • CERTuy (contacto) • CSIRT ANTEL (contacto y colaboración) • A nivel LATAM • Proyecto AMPARO - LACNIC: Taller de Gestión de Incidentes itinerante • Reunión CSIRTs LATAm – LACNIC • Inicio de relaciones con TBSecurity CERT (España) CIGRAS 2012 CIGRAS 2012

25. Algunas conclusiones CIGRAS 2012 CIGRAS 2012

26. Una herramienta eficaz y útil • Masa crítica adecuada: dificultad de montar un equipo de esta característica • Canales de confianza: importancia de la coordinación y colaboración • Con la comunidad objetivo • Entre pares • Interacción y relacionamiento con el medio académico CIGRAS 2012 CIGRAS 2012

27. Preguntas CIGRAS 2012 CIGRAS 2012

28. Preguntas Muchas gracias CIGRAS 2012 CIGRAS 2012