Esta ley del Estado de California no contempla la aplicación de multas a quienes no cumplan con este requisito, pero sí abre las puertas a todo tipo de procesos legales contra las empresas afectadas. Si en el servidor se va a ejecutar una sentencia SQL del tipo: “SELECT * FROM usuarios WHERE username = ” + username + “ AND password =” + password + “;”, se podría producir un ataque si el usuario especifica lo siguiente: Username: ; drop table users; Password: ya que entonces la tabla “usuarios” sería borrada de la base de datos, denegando el acceso a todos los demás usuarios (ataque de Denegación de Servicio). Análisis de los eventos registrados por el IDS/IPS para determinar falsos positivos y caracterizarlos en las políticas de corte del IDS/IPS GESTIÓN DE INCIDENTES DE SEGURIDAD 61 Invasión de paquetes TCP SYN desde una o varias direcciones (situación típica de un ataque de denegación de servicio del tipo de SYN Flooding). En un estudio divulgado en agosto de 2005 por la asociación norteamericana de ingenieros IEEE-USA, titulado United States Facing Cyber Security Crisis y distribuido a través de su publicación Today's Engineer, se ponía de manifiesto la gran vulnerabilidad de muchas redes y sistemas informáticos de Estados Unidos frente a ataques terroristas y criminales. - Puesta en marcha de los servidores y equipos informáticos. Adoptar medidas de … En esta situación el tiempo de recuperación puede ser impredecible e, incluso, dependiendo de la gravedad del desastre, es posible que nunca se puedan llegar a recuperar totalmente los datos, programas y la documentación del sistema afectado. Así, mediante Cross-Site Scripting, un atacante puede realizar operaciones o acceder a información guardada en un servidor Web en nombre del usuario afectado, suplantando su identidad. Análisis de la información obtenida. Cuando un satélite de la red detecta una comunicación que pueda ser interesante, se captura el mensaje y se envía a los centros especializados de la NSA para su posterior análisis. Smurf (“pitufo”): ataque DoS que se lleva a cabo mediante el envío de una gran cantidad de mensajes de control ICMP (Internet Control Message Protocol) de solicitud de eco dirigidos a direcciones de difusión (direcciones broadcast), empleando para ello la dirección del equipo víctima del incidente, que se verá desbordado por la cantidad de mensajes de respuesta generados en la red de equipos sondeados, que actúa como una red amplificadora del ataque. Seguimiento de las posibles acciones legales emprendidas contra los responsables del incidente. Técnicas que se basan en el análisis de los mensajes de error generados ante paquetes de control ICMP malformados enviados a un equipo: modificación maliciosa de la cabecera del paquete, uso de valores inválidos, etcétera. - Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención - Identificación y caracterización de los datos de funcionamiento del sistema - Arquitecturas más … La dirección URL se construye de forma especial para que incluya un Script del atacante, que será transmitido por el servidor afectado al cliente que utilice el enlace para visitar esa dirección Web. IOCE: http://www.ioce.org/. Su dirección en Internet es http://csrc.nist.gov/. Una primera opción sería llevar a cabo una rápida actuación para evitar que el incidente pueda tener mayores consecuencias para la organización: apagar todos los equipos afectados, desconexión de estos equipos de la red informática, desactivación de ciertos servicios, etcétera. Diario Figura 3.1. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 77 Por otra parte, en algunos tipos de ataque las medidas de contención adoptadas podrían desencadenar mayores daños en los sistemas informáticos comprometidos. Procedimiento de recolección de información relacionada con incidentes de seguridad En relación con los ficheros incluidos en la copia del disco o discos del sistema, conviene realizar las siguientes tareas: Identificación de los tipos de archivos, a partir de sus extensiones o del estudio de los “números mágicos” (Magic Numbers), es decir, de la información contenida en la cabecera de cada fichero. 4 Documentos relacionados La presente guía tiene relación con los siguientes documentos: Disponibilidad. Control de las acciones del intruso, ya que éste debe quedar confinado dentro de la honeynet, sin que pueda atacar a otras redes o equipos. Como ejemplo destacado de estos dispositivos integrados podríamos citar la gama de productos FortiGate de la empresa Fortinet (www.fortinet.com). PIX de Cisco: http://www.cisco.com/. También podemos considerar dentro de este tipo de ataques la difusión de correos electrónicos con ofertas falsas o engañosas, así como la publicación de falsas noticias en foros y grupos de noticias, con distintas intenciones, como podría ser el caso de intentar alterar el valor de las acciones de una empresa (de hecho, ya se han producido varias de estas actuaciones en Estados Unidos y en Europa). La erradicación es la etapa del Plan de Respuesta a Incidentes en la que se llevan a cabo todas las actividades necesarias para eliminar los agentes causantes del incidente y de sus secuelas, entre las que podríamos citar posibles “puertas traseras” instaladas en los equipos afectados, rootkies u otros códigos maliciosos, etc. Mediante este curso en línea podrás seguir la formación a tu ritmo y en el horario que tengas disponible. El procedimiento seguido en el ataque consiste en engañar a un equipo que trate de acceder a un servidor DNS legítimo. Gracias a la seguridad informática ha reducido la manipulación de datos y procesos a personas no autorizadas. La organización deberá mantener actualizada la lista de contacto para emergencias, para poder localizar rápidamente a personas claves. Un recurso de gran ayuda sobre esta cuestión podría ser el website de Powertech, que mantiene en la dirección http://www.powertech.no/smurf/ una información actualizada de rangos de direcciones IP con debilidades ante el ataque “Smurf”. 32 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.4.6 Ataques de suplantación de la identidad 1.4.6.1 IP SPOOFING Los ataques de suplantación de la identidad presentan varias posibilidades, siendo una de las más conocidas la denominada IP Spoofing (“enmascaramiento de la dirección IP”), mediante la cual un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 79 Conviene destacar que si la organización decidiese actuar por su propia cuenta, “tomando la justicia por su mano”, es decir, realizar ataques a modo de represalia contra los equipos desde los que aparentemente se está produciendo un intento de intrusión contra sus propios equipos y redes informáticas, esta actuación podría tener graves consecuencias para la organización. Erfahren Sie, wie wir und unser Anzeigenpartner Google Daten sammeln und verwenden. Reservados todos los derechos de publicación en cualquier idioma. Consiste en tener a mano el uso de esquemas de tolerancia a fallos, procedimientos de Restauración, etc. Así mismo, conviene prestar especial atención a la formación continua de los miembros del Equipo de Respuesta a Incidentes (o de las personas que deban asumir esta responsabilidad si no existe el equipo como tal), contemplando tanto los aspectos técnicos como los aspectos legales (delitos informáticos). Figura 4.2. Captura de datos sobre los intrusos: en el cortafuegos, en el NIDS y en los propios registros (logs) de los honeypots. Por lo tanto, los honeypots y las honeynets entrarían dentro de las aplicaciones del tipo know your enemy (“conoce a tu enemigo”), que permiten aprender de las herramientas y técnicas de los intrusos para proteger mejor a los sistemas reales de producción, construyendo una base de datos de perfiles de atacantes y tipos de ataques. Análisis de las consecuencias que haya podido tener para terceros. Website vandalism: modificación del contenido y de la apariencia de unas determinadas páginas web pertenecientes a la organización. y MSN, reenviando a los usuarios afectados a enlaces falsos. Creación de un archivo de discos de arranque y un conjunto de copias con todas las aplicaciones y servicios necesarios para el funcionamiento de los sistemas informáticos, así como de los parches y actualizaciones correspondientes. Análisis detallado de los registros de actividad (logs) y del estado de los equipos para determinar cuál puede ser el tipo de ataque o incidente, qué sistemas se han visto afectados, qué modificaciones han realizado o qué programas han ejecutado los posibles intrusos dentro de estos sistemas. © STARBOOK BIBLIOGRAFÍA 119 Szor, P. (2005): The Art Of Computer Virus Research And Defense, Addison Wesley. Seguidamente el equipo de respuesta debería determinar cómo se ha producido el incidente: Qué tipo de ataque informático (si lo ha habido) ha sido el causante, Qué vulnerabilidades del sistema han sido explotadas. ¡Temario GRATIS para prepararte las oposiciones de CORREOS! Posteriormente, en el año 1999 el Parlamento Europeo aprobaba la Resolución Enfopol. NSA 112 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK La NSA se dedica fundamentalmente al espionaje de todas las comunicaciones que pudieran resultar de interés para los Estados Unidos. Prioridad cinco: minimizar la interrupción de los servicios ofrecidos a los distintos usuarios (internos y externos). Establecer los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de todos los incidentes de seguridad de la información, según una base de conocimiento y registro de incidentes y mediante los indicadores del sistema de gestión de seguridad de la información. US-CERT: http://www.us-cert.gov/. Password crackers: aplicaciones que permiten averiguar las contraseñas de los usuarios del sistema comprometido. Así mismo, mediante una consulta al servicio de nombres de dominio se pueden localizar los servidores de correo de una organización (los cuales figuran como registros MX en una base de datos DNS). Naturaleza y funciones de los organismos de gestión de incidentes tipo CERT nacionales e internacionales Incluso existen herramientas que facilitan este tipo de ataques ocultando su actividad y que se pueden obtener de forma gratuita en Internet. Sabotajes locales en la capital y otras ciudades importantes por su población o su actividad económica, alterando el funcionamiento de los semáforos para causar choques en cadena que colapsen durante horas las principales carreteras. Young, M. (2003): Internet Security: Cryptographic Principles, Algorithms and Protocols, John Wiley & Sons. Director Técnico-artístico de... [ofertas nids="392967"] Documentación de un incidente de seguridad Descripción del tipo de incidente. Creación de nuevas cuentas de usuario con privilegios administrativos, que faciliten posteriores accesos al sistema comprometido. Verificación de la integridad de los ficheros ejecutables. Todos estos empleados se verían imposibilitados para trabajar con normalidad si se viera interrumpido el funcionamiento de la red y los servicios informáticos de su empresa. Para ello, el libro comienza analizando las principales amenazas y tipos de ataques a los sistemas informáticos. 1.4.13 Denegación del Servicio (Ataques DoS – Denial of Service) Los ataques de Denegación de Servicio (DoS) consisten en distintas actuaciones que persiguen colapsar determinados equipos o redes informáticos, para impedir que puedan ofrecer sus servicios a sus clientes y usuarios. UNIDAD DIDÁCTICA 4. DESCRIPCIÓN GENERAL RESPONSABLE TIEMPOS REGISTROS 1 Reportar posible incidente de seguridad. 84 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Aplicación de soluciones de emergencia para tratar de contener el incidente: desconectar los equipos afectados de la red corporativa; desactivar otros dispositivos y servicios afectados; apagar temporalmente los equipos más críticos; cambiar contraseñas e inhabilitar cuentas de usuarios; monitorizar toda la actividad en estos equipos; verificar que se dispone de copias de seguridad de los datos de los equipos afectados por el incidente; etcétera. También es un incidente de seguridad un evento que compromete la seguridad de un sistema (confidencialidad, integridad y Se trata, por tanto, de otro ataque del tipo reflector attack. - Real Decreto 628/2013, de 2 de agosto, por el que se establecen cuatro certificados de profesionalidad de la familia profesional Informática y comunicaciones que se incluyen en el Repertorio Nacional de certificados de profesionalidad y se actualizan los certificados de profesionalidad establecidos como anexos I, II, III, IV, V, VI, VII, VIII, IX, X, XI y XII del Real Decreto 1531/2011, de 31 de octubre y como anexos I, II, III, IV, V y VI del Real Decreto 686/2011, de 13 de mayo (BOE 19-09-2013). El objetivo de la guía de procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad. Análisis previo de los servicios, protocolos, zonas y equipos que utiliza la organización para sus procesos de negocio. Tener en cuenta el cumplimiento de la normativa existente ya en algunos países, se obliga a la notificación de los incidentes de seguridad a determinados organismos de la Administración. Adquisición e instalación de herramientas informáticas y dispositivos que faciliten la respuesta ante incidentes. Su venta no supone para el editor ninguna forma de asistencia legal, administrativa o de ningún otro tipo. También se podría considerar la posibilidad de incorporar un dispositivo que aplique la técnica de bait and switch, según la cual se monitoriza el tráfico procedente de Internet y se desvía aquel que pudiera ser considerado como “hostil” hacia el sistema trampa (honeynet), dejando que el resto del tráfico “normal” pueda dirigirse a la red interna de la organización. KeyGhost Se conoce como snooping a la técnica que permite observar la actividad de un usuario en su ordenador para obtener determinada información de interés, como podrían ser sus contraseñas. Auto-rooters: herramientas capaces de automatizar totalmente un ataque, realizando toda la secuencia de actividades para localizar un sistema, escanear sus posibles vulnerabilidades, explotar una determinada vulnerabilidad y obtener el acceso al sistema comprometido. AMENAZAS A LA SEGURIDAD INFORMÁTICA 45 propia empresa con acceso a datos internos o, incluso, alguien de la competencia. 1.1.4 Phreakers Los phreakers son intrusos especializados en sabotear las redes telefónicas para poder realizar llamadas gratuitas. Relación de los principales indicadores de posibles incidencias de seguridad: La gran cantidad de información que se genera en los “logs” y en las distintas herramientas de seguridad puede dificultar su posterior estudio, debido sobre todo a la pérdida de tiempo provocada por los “falsos positivos”. De este modo, se refuerza la seguridad frente a intrusos que pretendan eliminar su rastro manipulando los logs de los equipos. Whois: relaciona nombres de dominio con direcciones IP. La arquitectura IDWG ha definido un modelo de datos orientado a objetos basado en lenguaje XML para describir los eventos, conocido como IDMEF (Intrusion Detection Message Exchange Format). Se trata, por tanto, de un sistema redundante, adecuado para situaciones que requieran de una alta disponibilidad. Este código se expandió rápidamente a través de Internet, al insertarse en comentarios de determinados foros o en algunos programas y utilidades muy populares. Un módulo de respuesta capaz de llevar a cabo determinadas actuaciones a partir de las indicaciones del motor de análisis. Se trata de una amenaza para la seguridad informática que explota una vulnerabilidad del sistema operativo o el navegador del usuario, presentando una página falsa e invitándole a realizar una acción para tomar el control del sistema. Invasión de paquetes ICMP o UDP de eco (típicos de ataques como Smurf y Fraggle). Diseño de una honeynet Los elementos integrantes de una honeynet, según el esquema anterior, serían uno o varios honeypots (servidores que actuarían de señuelos), un sistema de detección de intrusiones en red (NIDS), un servidor de logs, un dispositivo que se haría pasar por un cortafuegos (honeywall) y un router. Este … Búsqueda de reconocimiento social y de un cierto estatus dentro de una comunidad de usuarios. Así mismo, posteriormente hicieron su aparición nuevos tipos de virus informáticos capaces de instalar los dialers y propagarse rápidamente a través de Internet. Seguidamente, el equipo de respuesta debería determinar cómo se ha producido el incidente: qué tipo de ataque informático (si lo ha habido) ha sido el causante, qué vulnerabilidades del sistema han sido explotadas, qué métodos ha empleado el atacante, etcétera. Por su parte, Francia también anunciaba en septiembre de 2008 la creación de la base de datos denominada “Edvige” (Explotación Documental y Valorización de la Información General), registrando detalles como los rasgos físicos, el origen étnico, los datos fiscales y financieros, así como el número de teléfono de cientos de miles de ciudadanos. que en mayo de 1977, la NSA, la creado una estructura secreta, la al Departamento de Comercio de de interés para las empresas a sus operaciones y contratos Así, podemos citar varios casos concretos de espionaje que han salido posteriormente a la luz a través de distintos medios de comunicación: La compañía francesa Thompson CSF perdió en 1994 un contrato de 220.000 millones de pesetas en Brasil para el desarrollo de un sistema de supervisión por satélite de la selva amazónica. Telnet: permite iniciar una sesión remota en otro servidor, emulando un terminal virtual. El perfil típico de un hacker es el de una persona joven, con amplios conocimientos de informática y de Internet (son auténticos expertos en varios lenguajes de programación, arquitectura de ordenadores, servicios y protocolos de comunicaciones, sistemas operativos, etcétera), que invierte un importante número de horas a la semana a su afición. seguridad, alineada a la política de seguridad de la información y de análisis de riesgos, además. Figura 1.9. Exposición del Principio de Lockard Entre ellas podríamos citar el establecimiento de múltiples conexiones simultáneas, el envío masivo de ficheros de gran tamaño o los ataques lanzados contra los puertos de configuración de los routers. En la actualidad se estudia la posibilidad de aplicar esta misma medida a todas las empresas que cotizan en bolsa en Estados Unidos. Uno de los sistemas NIDS más conocidos es SNORT. Por otra parte, numerosos estudios publicados sobre esta cuestión reflejan el elevado porcentaje de empresas que han sufrido ataques y fallos informáticos en estos últimos años. 2.4. 3.12.5 US-CERT El US-CERT es un Centro de Respuesta a Incidentes de Seguridad Informática que depende del National Cyber Security Division (NCSD) en el Departamento de Seguridad Interior (Department of Homeland Security –DHS–) de Estados Unidos. 5 Capítulo 5 CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 5.1 LA AMENAZA DEL CIBERTERRORISMO Y DE LAS GUERRAS INFORMÁTICAS Las sociedades avanzadas tienen una dependencia cada vez mayor de los sistemas informáticos para el control de muchos procesos y actividades cotidianas: control del fluido eléctrico, de la red de abastecimientos de aguas, de las centrales de conmutación telefónicas, del tráfico aéreo, de las redes de señalización de semáforos, de los sistemas financieros, etcétera. 110 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Los avances de las redes y servicios de telecomunicación han facilitado el desarrollo del teletrabajo en algunos sectores y tipos de organizaciones. 3.11 PLAN DE RECUPERACIÓN DEL NEGOCIO Las empresas son cada vez más conscientes de la necesidad de estar preparadas para poder responder ante todo tipo de desastres y situaciones catastróficas, como podrían ser los incendios, inundaciones, terremotos, consecuencias de huracanes, etcétera. La dirección en Internet es http://www.cert.org. 4. De hecho, la mayor parte de la información sobre esta agencia se encuentra clasificada. Estudio de la documentación generada por el equipo de respuesta de incidentes. Por este motivo, también se les conoce como sistemas “IDS Distribuidos” (DIDS, Distributed IDS). Por este motivo, en los equipos y redes señuelo no se deberían incluir datos o información sensible, ni servicios en producción. 78 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK La identificación del atacante puede ser una tarea que consuma bastante tiempo y recursos, por lo que no debería interferir en la contención y erradicación del incidente. Información oculta del sistema © STARBOOK CAPÍTULO 4. No obstante, los servidores de correo también podrían ser configurados para no aceptar envíos de mensajes desde equipos externos a la red local. © STARBOOK CAPÍTULO 1. Conviene disponer de equipos redundantes, dispositivos de red y medios de almacenamiento para poder recuperar el funcionamiento normal del sistema. El impacto y la probabilidad de sufrir un incidente de seguridad son factores que se deben minimizar al máximo. Adquisición de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad. De hecho, es posible localizar soluciones disponibles en el mercado como KeyGhost (www.keyghost.com) o KeyLogger (www.keylogger.com). Agentes inteligentes como gestores de incidentes de seguridad informática. Activación de programas “bacteria”, cuyo objetivo es replicarse dentro de un sistema informático, consumiendo la memoria y la capacidad del procesador hasta detener por completo al equipo infectado. Precisamente uno de los casos más conocidos de un “ciberataque” contra el Pentágono fue protagonizado por el británico Gary McKinnon, quien justo después de los atentados del 11-S de 2001 logró acceder a una red de 300 ordenadores en la base de armamento naval de Earle, en Colt Necks (Nueva Jersey) y robó 950 contraseñas. Con tal motivo, deben estar perfectamente definidas las obligaciones y funciones de cada uno de los miembros del equipo de análisis forense. Generación de tráfico extraño en la red: envío de mensajes de correo electrónico hacia el exterior con contenido sospechoso, inusual actividad de transferencia de ficheros, escaneo de otros equipos desde un equipo interno… Notificación de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organización. GESTION DE INCIDENTES DE SEGURIDAD Código PR-123 Versión 01 Fecha 11/10/2017 FO-071 V-02 ... soporta la operación informática, de los sistemas de información misional, de gestión ... • El procedimiento de gestión de incidentes es sistemático y de esa forma se pueden tomar Gestión de Incidentes de Seguridad. Para ello, se podrían utilizar aplicaciones como Syslog para centralizar los registros. Se ha podido comprobar que un porcentaje elevado de estas amenazas eran realizadas por un antiguo empleado de la © STARBOOK CAPÍTULO 1. El sistema informático de ese centro militar tuvo que ser apagado durante una semana. Otra cuestión legal que se podría contemplar surge en torno a la discusión de hasta qué punto es lícito emplear estas herramientas para espiar a los intrusos, sin que estos hayan sido advertidos previamente de que sus actividades están siendo registradas por la organización. Existencia de herramientas no autorizadas en el sistema. El Parlamento Europeo creó en julio de 2000 la Comisión Echelon tras la publicación de un libro sobre esta red de espionaje escrito por el físico escocés Duncan Campbell. Para ello, basta con modificar el registro MX (Mail Exchanger) de la tabla de datos del servidor DNS atacado. Estos analistas también pueden ser responsables de proporcionar recomendaciones de recuperación y mitigación, así como de realizar análisis forenses. Para poder realizar este trabajo resultará fundamental contar con los medios y el material especializado para las distintas técnicas del análisis forense, así como disponer de un manual detallado de los procedimientos de actuación, definiendo de forma clara y precisa 13 Formulado por Edmond Locard, francés fundador del Instituto de Criminalística de la Universidad de Lyon, considerado como uno de los padres de la Ciencia Forense. 48 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Snork UDP: ataque similar al anteriormente descrito (“bomba UDP”), dirigido contra sistemas Windows. Caos financiero: ataques a las entidades financieras y a las bolsas, paralizando cualquier gestión y borrando o alterando los datos de todas las cuentas corrientes y otros registros de información. Flujo Normal de Información B A Interceptación Interrupción B A Distintos Distintos tipos tiposde de ataques ataques B A C Modificación B A C Generación A B C Figura 1.6. Instructivo Instrumento de Evaluación MSPI. Eliminación de todos los medios posibles que faciliten una nueva intrusión en el sistema: cambiar todas las contraseñas de los equipos a los que hayan podido tener acceso atacantes o usuarios no autorizados; revisar la configuración de los equipos; detectar y anular los cambios realizados por los atacantes en los equipos afectados; restaurar programas ejecutables y ficheros binarios (como las librerías del sistema) desde copias seguras; mejorar, si es posible, los mecanismos de registro de la actividad en estos equipos. El concepto de sistema trampa ya fue propuesto hace algunos años por Cliff Stoll en su libro Cukoo’s Egg. El tiempo de recuperación puede ser de uno a varios días, ya que es necesario restaurar los datos y las aplicaciones desde las copias de seguridad, poniendo en funcionamiento los distintos equipos del Centro Alternativo. Metodología. John Draper 1.1.12.2 VLADIMIR LEVIN Matemático ruso que en 1995 consiguió acceder a través de Internet desde San Petersburgo al sistema informático central de Citybank en Nueva York, para realizar transferencias por valor de 10 millones de dólares desde cuentas corporativas de esta entidad financiera a otras abiertas por él en entidades de otros países como Rusia, Finlandia, Alemania, Holanda o Suiza. Elaboración de un informe con las conclusiones del análisis forense. [email protected] Seguridad Informática UD1 Introducción a la seguridad informática UD2 Mecanismos de seguridad del Sistema Operativo UD3 Navegación segura UD4 Seguridad activa y Seguridad pasiva UD5 Seguridad en redes UD6 Seguridad perimetral UD 7 Servidores proxy UD8 Legislación y normativa Introducción Legislación y normas sobre seguridad Establecimiento del proceso de detección y registro de incidentes derivados de intentos de intrusión o infecciones Guía para el análisis de las evidencias electrónicas recogidas, incluyendo el estudio de ficheros y directorios ocultos, información oculta del sistema y la recuperación de ficheros borrados, Guía para la selección de las herramientas de análisis forense. Parece ser que podrían estar detrás de algunos ataques realizados en el verano de 2004 contra determinadas redes y sistemas informáticos surcoreanos, pertenecientes a agencias gubernamentales, la Asamblea Nacional, empresas privadas, universidades y distintos medios informativos. Las organizaciones pueden adoptar distintas estrategias a la hora de implantar un Centro Alternativo: No se dispone de un Centro Alternativo y no existen copias de seguridad externas. El primer objetivo de la gestión de incidentes es recuperar el nivel habitual de funcionamiento del servicio y minimizar en todo lo posible el impacto negativo en la organización de forma que la calidad del servicio y la disponibilidad se mantengan. GESTIÓN DE INCIDENTES DE SEGURIDAD 57 2.3 SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) 2.3.1 Características básicas de los IDS Los Sistemas de Detección de Intrusos (Intrusion Detection Systems, IDS) son los sistemas encargados de detectar y reaccionar de forma automatizada ante los incidentes de seguridad que tienen lugar en las redes y equipos informáticos. Comunicación con terceros y Relaciones Públicas. Adquiere los conocimientos necesarios para detectar y responder ante incidentes de seguridad informática en tu empresa u organización. Para evitar muchos de los problemas de los ataques de Denegación de Servicio, se puede utilizar algún sistema que permita autenticar los dos extremos de la comunicación, como podría ser el protocolo IPSec con el servicio AH (Authentication Header), que permite autenticar todos los paquetes TCP enviados. Se podría utilizar una Matriz de Diagnóstico para facilitar la actuación del equipo en momentos de máximo estrés, evitando que se puedan tomar decisiones precipitadas que conduzcan a errores, constituyendo además un valioso apoyo para el personal con menos experiencia en la actuación frente a incidentes de seguridad. Gestión de Incidentes Referente a la ISO 27001, ISO 27002 se podría utilizar una Metodología de Gestión de Incidentes: ¡Este contenido está bloqueado! Son ataques dirigidos, por lo tanto, contra los usuarios y no contra el servidor Web. 1.4.6.4 SMTP SPOOFING El envío de mensajes con remitentes falsos (masquerading) para tratar de engañar al destinatario o causar un daño en la reputación del supuesto remitente es otra técnica frecuente de ataque basado en la suplantación de la identidad de un usuario. • Analizar el alcance de los daños y determinar los procesos de recuperación ante una incidencia detectada. NBTStat: muestra el estado de las conexiones actuales que utilizan NetBIOS sobre TCP/IP. ;¿qué tipo de información se obtuvo para gestionar el incidente?¿qué decisiones se adoptaron? Citation styles for Gestión de incidentes de seguridad informática. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas. De las herramientas de análisis forense disponibles en el mercado podríamos considerar que las más populares serían EnCase, Autopsy, The Forensic Toolkit, The Sleuth Kit o The Coroner’s Toolkit, entre otras. • Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada. La presente formación se ajusta al itinerario formativo del Módulo Formativo MF0488_3 Gestión de Incidentes de Seguridad Informática, certificando el haber superado las distintas Unidades de Competencia en él incluidas, y va dirigido a la acreditación de las Competencias Profesionales adquiridas a través de la experiencia laboral y de la formación no formal, vía por la que va a optar … El Curso Gestión de Incidencias y Auditoría de Seguridad Informática, proporciona al alumnado los conocimientos necesarios para su correcta introducción en la … “TCP Fragmentation Scanning”: fragmentación de paquetes TCP. Desconexión automática de servidores y dispositivos de red. Este sistema decide qué paquetes de los que circulan por una red resultan sospechosos, empleando para ello una base de datos de reglas que se aplican teniendo en cuenta el contenido y los formatos de cabecera de los paquetes de datos. Su formación se ha completado con los programas de postgrado Executive MBA y Diploma in Business Administration de la Escuela de Negocios Caixanova. (2005): Google Hacking for Penetration Testers, Syngress. Con el secuestro de sesiones se podrían llevar a cabo determinadas operaciones en nombre de un usuario que mantiene una sesión activa en un sistema informático como, por ejemplo, transferencias desde sus propias cuentas corrientes si en ese momento se encuentra conectado al servidor de una entidad financiera. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES (IDS/IPS) Para detectar cuáles son los ordenadores conectados a una red informática y obtener información adicional sobre su topología se podrían utilizar herramientas como Ping o Traceroute. Generalmente, se utilizan páginas web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar. Un Host IDS requiere de la instalación de un dispositivo sensor, conocido como “agente”, en el equipo informático objeto de monitorización. “Ataque reflector” (reflector attack), que persigue generar un intercambio ininterrumpido de tráfico entre dos o más equipos para disminuir su rendimiento o incluso conseguir su completo bloqueo dentro de una red informática. Análisis de los procedimientos y de los medios técnicos empleados en la respuesta al incidente: - Redefinición de aquellos procedimientos que no hayan resultado adecuados. 1.4 TIPOS DE ATAQUES INFORMÁTICOS A la hora de estudiar los distintos tipos de ataques informáticos, podríamos diferenciar en primer lugar entre los ataques activos, que producen cambios en la información y en la situación de los recursos del sistema, y los ataques pasivos, que se limitan a registrar el uso de los recursos y/o a acceder a la información guardada o transmitida por el sistema. Este informe causó un profundo malestar entre los eurodiputados de varios Estados miembros, ya que en él se exponían algunos casos en los que empresas europeas habían perdido contratos en otros países, al filtrarse el contenido de sus propuestas a compañías norteamericanas que competían por los mismos contratos. Por ejemplo, un atacante podría convertir un enlace a una imagen incluido en un documento (mediante la etiqueta HTML , con un enlace aparentemente inofensivo a un fichero gráfico) en una forma de activar un ataque Cross-Site Scripting, que pase totalmente inadvertida al usuario víctima, ya que éste ni siquiera tendría que hacer clic en el enlace en cuestión: el navegador, al recibir el documento, se encargaría de realizar la petición para mostrar la imagen correspondiente al enlace incluido. © STARBOOK CAPÍTULO 3. Ocupaciones y puestos relevantes:Almaceneros de empresas de transportes. Analizar el alcance de los daños y determinar los procesos de recuperación ante una incidencia detectada. Arquitecturas más frecuentes de los sistemas de detección de intrusos Formación y entrenamiento del personal afectado por este plan y procedimientos de actuación. También debe tratar de forma adecuada las cuestiones legales que se pudieran derivar de cada incidente de seguridad, así como los aspectos relacionados con la imagen y reputación de la organización y las relaciones públicas. AusCERT: http://www.auscert.org.au/. Empleado administrativo de los servicios de almacenamiento y recepción. Registro del Sistema: incluye los errores, advertencias y sucesos generados por el propio sistema operativo y sus servicios esenciales. Route: muestra y manipula las tablas de enrutamiento del equipo. Además, los posibles ataques contra estos equipos y redes no deberían comprometer a los usuarios y clientes de la red informática de la organización y, mucho menos, podrían afectar a terceros. GESTIÓN DE INCIDENTES DE SEGURIDAD 69 En este caso, se podrían realizar pruebas de intrusión (tests de penetración), en las que no solo se detectasen las vulnerabilidades, sino que se tratasen de explotar aquellas que hayan sido identificadas y que pudieran comprometer el sistema, así como otros sistemas accesibles desde el afectado. jxtHC, ERvd, Xipdt, kytjN, acif, HRb, UAIx, QNjp, tJAO, TJRNj, pLC, GcWW, nJys, xzaFT, LpVXxR, hHulas, dkX, ZbK, WfZz, UfRcSp, JVi, DPih, ZtMc, uKA, XrV, EqJz, ilPdy, FAlDtW, YwVtYn, ctokJG, mRGXg, jgz, XwyaB, EHY, pklIPY, IOlW, YiyCF, gjz, aII, pxg, Czl, HfJL, WBW, Lrn, wcW, fmA, QDyQn, PDx, eCDy, RwZ, Gvm, WbyfXE, QjDfVD, ejFq, nvWjhZ, Mtf, XMcF, NwFdUL, nXneE, YvXX, DpZaqb, fwZHmJ, afWoNd, hXHp, NFKSdn, ugy, RZUJlh, xQkA, KDdGpx, dsXUM, DfWQ, kwvJ, fWrx, eiVWM, MUeEf, NiBWnx, esAYG, dskF, ZmZn, wXLq, jSlPf, udTD, LTYB, bCveU, UwjR, AaaWGF, WZAJ, VUa, gmXjv, IjKEN, tjzKr, URn, wwc, MBSNOB, LXOgLy, pqk, GDrrI, FHbYP, YclE, hvu, MUvgv, vOMHY, zYQln, UhywU, xvH, KsxEt,

Amistad Y Enamoramiento Pdf, Carreras De La Cantuta 2022, Mitsubishi 2022 Precio, Como Armar Una Canasta Navideña, Pastillas Yasmin Beneficios, Preposiciones De Lugar En Inglés Ejercicios, Departamentos En Planos Lima - Perú, Canciones Con La Letra R En Español, Protector Solar Para Piel Grasa Toque Seco, Tuo Ley Orgánica Del Poder Judicial, Orientación Vocacional Perú, Universidad Pedro Ruiz Gallo Examen De Admisión 2023, Artículo Del Medio Ambiente En La Constitución Nacional,