Download Diapositiva 1

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
Document related concepts
no text concepts found
Transcript 
Mauricio López
Se define como un evento que atente contra
la
Confidencialidad,
Integridad
y
disponibilidad de la información y los
recursos tecnológicos.
Tipos de incidentes de Seguridad Informática
que se pueden presentar
 Los incidentes de Seguridad Informática se
han clasificado en 5 categorías a saber:







Esta categoría comprende todo tipo de ingreso
y operación no autorizado a los sistemas. Son
parte de esta categoría:
Accesos no autorizados exitosos, sin perjuicios
visibles a componentes tecnológicos.
Robo de información
Borrado de información
Alteración de la información
Intentos recurrentes y no recurrentes de acceso
no autorizado
Abuso y/o Mal uso de los servicios
informáticos internos o externos que requieren
autenticación



Esta categoría comprende la introducción de
códigos maliciosos en la infraestructura
tecnológica de la Entidad. Son parte de esta
categoría:
Virus informáticos
Troyanos
Gusanos informáticos



Esta categoría incluye los eventos que
ocasionan pérdida de un servicio en
particular. Los síntomas para detectar un
incidente de esta categoría son:
Tiempos de respuesta muy bajos sin razones
aparentes.
Servicio(s) interno(s) inaccesibles sin razones
aparentes
Servicio(s) Externo(s) inaccesibles sin razones
aparentes


Agrupa los eventos que buscan obtener
información de la infraestructura tecnológica
de la Entidad. Comprende:
Sniffers (software utilizado para capturar
información o paquetes que viaja por la red)
Detección de Vulnerabilidades




Son los eventos que atentan contra los recursos
tecnológicos por el mal uso. Comprende:
Mal uso y/o Abuso de servicios informáticos
internos o externos
Violación de las normas de acceso a Internet
Mal uso y/o Abuso del correo electrónico de la
Entidad
Violación de las Políticas, Normas y
Procedimientos de Seguridad Informática
reglamentadas mediante resolución No. 4912 de
Diciembre 26 de 2000


Por lo general, los servidores almacenan archivos de registro
de sus actividades, y en particular, de cualquier error
encontrado.
Por lo tanto, después de un intento de evasión de políticas de
seguridad a la red o al equipo, es muy fácil detectar que
usuario lo esta haciendo si es interno, si es externo y la
acción es una intrusión al equipo, es muy difícil que el
hacker, en el primer intento, pueda poner en peligro el
sistema con éxito. El hacker trabaja con el método de ensayo
y error, al probar varias solicitudes. Debido a esto, se puede
utilizar la supervisión de registros para detectar actividades
sospechosas. Reviste particular importancia la supervisión de
los registros del software de seguridad. No importa si están
bien configurados, aun así pueden ser un blanco de ataque.



crear eventos y sus parámetros.
Activar y desactivar el almacenamiento de
datos generado por eventos individuales.
Una vez que los datos de evento estén
almacenados en la base de datos, puede
solicitar que se genere un informe en una
aplicación de portal o no de portal.

Un evento normalmente define una acción de
un usuario. Cada evento está compuesto por
varios parámetros de evento, los cuales
definen varios tipos de datos generados por
el evento. De forma predeterminada, cada
evento incluye los parámetros de evento.


La computación forense una perspectiva de
tres roles: el intruso, el administrador y el
investigador.
Para realizar investigaciones sobre delitos
informáticos "se utilizan las técnicas de
cómputo forense, con el objetivo de preservar
y analizar adecuadamente la evidencia digital
que está también ligado a los aspectos
legales que deben considerarse para
presentar adecuadamente los resultados de la
investigación de la evidencia digital".
Tras las huellas de la información

Al igual que en la serie de televisión SCI Investigadores en la Escena del Crimen - los
peritos de computación forense trabajan
con las técnicas más modernas para
recuperar información que permita tener
evidencias sobre quién, cómo, cuándo y
dónde se cometió un ilícito.
La investigación forense en computación es
la aplicación de métodos y técnicas para
obtener, analizar y preservar, evidencia
digital susceptible de ser eliminada o sufrir
alteraciones. Esto permite reunir pruebas
para adelantar una acción penal.
La computación forense es tan importante en
el mundo informático hoy en día como lo es
cualquier persona, aún más por la cantidad
de incidentes que se pueden estar
presentando dados: el posible anonimato que
brinda Internet, la configuración insegura de
determinados sistemas de información o las
fallas inherentes a su funcionamiento” afirma
Oscar Eduardo Ruíz, consultor en seguridad
de Internet Solutions.

Desafortunadamente, muchos de los delitos
informáticos no son denunciados por las
empresas por miedo a ver afectada su
reputación, poca confianza en las entidades
de
control
o
sencillamente
por
el
desconocimiento de la existencia de unidades
de control con grupos especializados.

Es importante para una empresa poder
identificar las amenazas a las que está
expuesta y adoptar las medidas pertinentes.
La computación forense no sólo permite
reconstruir el proceso de un ilícito, también
permite hacer auditorías de sistemas
detallados y una limpieza segura de los
equipos.

En cuanto a los procesos ilícitos, no hay crimen
perfecto. Una persona pudo haber navegado,
entrado por ejemplo a un sitio indebido, borrado
el caché, haber hecho lo que en el nivel de
conocimiento técnico puede ser haber borrado la
evidencia, pero generalmente las personas no
tienen conocimiento que ese no es un borrado
físico sino es un borrado lógico. Dependiendo del
valor de la información que se quiera recuperar y
del tipo de caso se puede llegar a recuperaciones
de tipo lógico e incluso de tipo físico


Ese tipo de información queda indexada en alguna
parte y permite determinar si el sistema alguna vez
tuvo un archivo aunque ahora no lo tenga; pero
estuvo ahí, el sistema guarda como un registro de su
vida, es inherente al funcionamiento, igual sucede en
un PC normal aunque ningún usuario lo pueda ver.
En la actualidad existen varios programas de
software, uno de ellos es EnCase, que son usados por
las autoridades policiales para buscar evidencias
digitales, recuperar datos borrados y archivos
ocultos.


Existen herramientas de computación forense que
permiten hacer correlación de eventos. Estos son
usados por organismos de seguridad en el mundo
para hacer triangulación e inteligencia y determinar
con quien estuvo en contacto una persona.
Igualmente, hay entidades de control y recaudo de
impuestos que tienen entidades de organismos de
fiscalización que emplean la técnica forense en
investigaciones especiales para casos de doble
contabilidad; de esta forma verifican si la
contabilidad que esta en un PC es única o si es que
habían dos contabilidades y borraron una o buscar en
otra PC que no sea de contabilidad si hubo un archivo
contable.

Es un procedimiento del Modelo de Seguridad
Informática
que
tiene
como
objetivo
Administrar
y
Controlar
los
cambios
realizados a los Sistemas de Información y/o
Aplicativos, manteniendo los niveles de
autorización y documentación pertinentes.





Todos los Líderes Funcionales, Administradores de
Seguridad de los Sistemas de Información y/o
Aplicativos.
Los Jefes de Oficina, Directores de Área y Jefes de
Grupo responsables de la Información almacenada
por los Sistemas de Información.
Director de Informática.
Jefe Grupo Sistemas de Información y Jefe Grupo
Seguridad Informática.
Líderes Técnicos de los Sistemas de Información y/o
Aplicativos y Administrador de la Base de Datos

El valor de la información en nuestra
sociedad, y sobre todo en las empresas, es
cada vez más importante para el desarrollo
de negocio de cualquier organización.
Derivado de este aspecto, la importancia de
la Informática forense, sus usos y objetivos
adquiere cada vez mayor trascendencia.

La Informática forense permite la solución de
conflictos tecnológicos relacionados con seguridad
informática y protección de datos. Gracias a ella, las
empresas obtienen una respuesta a problemas de
privacidad, competencia desleal, fraude, robo de
información confidencial y/o espionaje industrial
surgidos a través de uso indebido de las tecnologías
de la información. Mediante sus procedimientos se
identifican, aseguran, extraen, analizan y presentan
pruebas generadas y guardadas electrónicamente
para que puedan ser aceptadas en un proceso legal.


- ¿Para qué sirve? Para garantizar la
efectividad de las políticas de seguridad y la
protección tanto de la información como de
las tecnologías que facilitan la gestión de esa
información.
- ¿En qué consiste? Consiste en la
investigación de los sistemas de información
con el fin de detectar evidencias de la
vulneración de los sistemas.

- ¿Cuál es su finalidad? Cuando una empresa
contrata servicios de Informática forense
puede perseguir objetivos preventivos,
anticipándose al posible problema u objetivos
correctivos, para una solución favorable una
vez que la vulneración y las infracciones ya se
han producido.

- ¿Qué metodologías utiliza la Informática
forense? Las distintas metodologías forenses
incluyen la recogida segura de datos de
diferentes medios digitales y evidencias digitales,
sin alterar los datos de origen. Cada fuente de
información se cataloga preparándola para su
posterior análisis y se documenta cada prueba
aportada. Las evidencias digitales recabadas
permiten elaborar un dictamen claro, conciso,
fundamentado y con justificación de las hipótesis
que en él se barajan a partir de las pruebas
recogidas.

- ¿Cuál es la forma correcta de proceder? Y,
¿por qué? Todo el procedimiento debe
hacerse tenido en cuenta los requerimientos
legales para no vulnerar en ningún momento
los derechos de terceros que puedan verse
afectados. Ello para que, llegado el caso, las
evidencias sean aceptadas por los tribunales
y puedan constituir un elemento de prueba
fundamental, si se plantea un litigio, para
alcanzar un resultado favorable.

En conclusión, estamos hablando de la utilización de
la informática forense con una finalidad preventiva,
en primer término. Como medida preventiva sirve a
las empresas para auditar, mediante la práctica de
diversas pruebas técnicas, que los mecanismos de
protección instalados y las condiciones de seguridad
aplicadas a los sistemas de información son
suficientes.
Asimismo,
permite
detectar
las
vulnerabilidades de seguridad con el fin de
corregirlas. Cuestión que pasa por redactar y elaborar
las oportunas políticas sobre uso de los sistemas de
información facilitados a los empleados para no
atentar contra el derecho a la intimidad de esas
personas.

Por otro lado, cuando la seguridad de la empresa
ya ha sido vulnerada, la informática forense
permite recoger rastros probatorios para
averiguar, siguiendo las evidencias electrónicas,
el origen del ataque (si es una vulneración
externa de la seguridad) o las posibles
alteraciones, manipulaciones, fugas o
destrucciones de datos a nivel interno de la
empresa para determinar las actividades
realizadas desde uno o varios equipos concretos.

Para realizar un adecuado análisis de
Informática forense se requiere un equipo
multidisciplinar que incluya profesionales
expertos en derecho de las TI y expertos
técnicos en metodología forense. Esto es así
porque se trata de garantizar el cumplimiento
tanto de los requerimientos jurídicos como
los requerimientos técnicos derivados de la
metodología forense.

Sleuth Kit -Forensics Kit, Py-Flag - Forensics Browser,
Autopsy - Forensics Browser for Sleuth Kit, dcfldd DD Imaging Tool command line tool and also works
with AIR, foremost - Data Carver command line tool,
Air - Forensics Imaging GUI, md5deep - MD5
Hashing Program, netcat - Command Line, cryptcat Command Line, NTFS-Tools, qtparted - GUI
Partitioning Tool, regviewer - Windows Registry,
Viewer, X-Ways WinTrace, X-Ways WinHex, X-Ways
Forensics, R-Studio Emergency (Bootable Recovery
media Maker), R-Studio Network Edtion, R-Studio RS
Agent, Net resident, Faces 3 Full, Encase 4.20, Snort,
Helix, entre otras.


Un sistema de detección de intrusos (o IDS de sus
siglas en inglés Intrusion Detection System) es un
programa usado para detectar accesos
no
autorizados a un computador o a una red. Estos
accesos pueden ser ataques de habilidosos hackers,
o de Script Kiddies que usan herramientas
automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un
sniffer de red) con los que el núcleo del IDS puede
obtener datos externos (generalmente sobre el tráfico
de red). El IDS detecta, gracias a dichos sensores,
anomalías que pueden ser indicio de la presencia de
ataques o falsas alarmas.


El funcionamiento de estas herramientas se basa en el análisis
pormenorizado del tráfico de red, el cual al entrar al analizador
es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de
puertos, paquetes malformados, etc. El IDS no sólo analiza qué
tipo de tráfico es, sino que también revisa el contenido y su
comportamiento.
Normalmente esta herramienta se integra con un firewall. El
detector de intrusos es incapaz de detener los ataques por sí
solo, excepto los que trabajan conjuntamente en un dispositivo
de puerta de enlace con funcionalidad de firewall, convirtiéndose
en una herramienta muy poderosa ya que se une la inteligencia
del IDS y el poder de bloqueo del firewall, al ser el punto donde
forzosamente deben pasar los paquetes y pueden ser
bloqueados antes de penetrar en la red.


Los IDS suelen disponer de una base de datos
de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre
el uso normal del PC y el uso fraudulento, y/o
entre el tráfico normal de la red y el tráfico
que puede ser resultado de un ataque o
intento del mismo.
Existen tres tipos de sistemas de detección de
intrusos:
 HIDS (HostIDS): el principio de funcionamiento de
un HIDS, depende del éxito de intrusos, que
generalmente dejaran rastros de sus actividades
en el equipo atacado, cuando intentan adueñarse
del mismo, con propósito de llevar a cabo otras
actividades. El HIDS intenta detectar tales
modificaciones en el equipo afectado, y hacer un
reporte de sus conclusiones.


NIDS (NetworkIDS): un IDS basado en red, detectando
ataques a todo el segmento de la red. Su interfaz
debe funcionar en modo promiscuo capturando así
todo el tráfico de la red.
DIDS (DistributedIDS): sistema basado en la
arquitectura cliente-servidor compuesto por una
serie de NIDS (IDS de redes) que actúan como
sensores centralizando la información de posibles
ataques en una unidad central que puede almacenar
o recuperar los datos de una base de datos
centralizada. La ventaja es que en cada NIDS se
puede fijar unas reglas de control especializándose
para cada segmento de red. Es la estructura habitual
en redes privadas virtuales (VPN).

En un sistema pasivo, el sensor detecta una
posible intrusión, almacena la información y
manda una señal de alerta que se almacena
en una base de datos. En un sistema reactivo,
el IDS responde a la actividad sospechosa
reprogramando el cortafuegos para que
bloquee tráfico que proviene de la red del
atacante.


Para poner en funcionamiento un sistema de detección de
intrusos se debe tener en cuenta que es posible optar por una
solución hardware, software o incluso una combinación de estos
dos. La posibilidad de introducir un elemento hardware es
debido al alto requerimiento de procesador en redes con mucho
tráfico. A su vez los registros de firmas y las bases de datos con
los posibles ataques necesitan gran cantidad de memoria,
aspecto a tener en cuenta.
En redes es necesario considerar el lugar de colocación del IDS.
Si la red está segmentada con hub (capa 1 del modelo OSI) no
hay problema en analizar todo el tráfico de la red realizando una
conexión a cualquier puerto. En cambio, si se utiliza un switch
(capa 2 del modelo OSI), es necesario conectar el IDS a un puerto
SPAN (Switch Port Analiser) para poder analizar todo el tráfico de
esta red.
Related documents
2.4. Tipos de Sistemas de detección de intrusos
2.4. Tipos de Sistemas de detección de intrusos
Informática forense
Informática forense
INFORMATICA FORENSE
INFORMATICA FORENSE
Recolección de Evidencia en Ambientes de Red
Recolección de Evidencia en Ambientes de Red
informática forense
informática forense
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Cómputo forense: Protección contra hackers.
Cómputo forense: Protección contra hackers.
ELIMINACIÓN DE LAS BRECHAS DE SEGURIDAD
ELIMINACIÓN DE LAS BRECHAS DE SEGURIDAD
Herramientas de Cómputo Forense
Herramientas de Cómputo Forense
Objetivos de la Informática forense
Objetivos de la Informática forense
La necesidad de la Informática Forense SAFE Consulting Group
La necesidad de la Informática Forense SAFE Consulting Group
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
ISP_Capitulo3
ISP_Capitulo3
La Fuga de Información - La amenaza y sus contramedidas
La Fuga de Información - La amenaza y sus contramedidas
HONEY POT
HONEY POT
Contenidos Ataques y software malicioso
Contenidos Ataques y software malicioso
(GPI)”
(GPI)”
Solución de gestión de amenazas de seguridad
Solución de gestión de amenazas de seguridad
SECURITY LOG MANAGEMENT Identifying Patterns in the Chaos
SECURITY LOG MANAGEMENT Identifying Patterns in the Chaos