gestión de incidentes de seguridad informática

Con estos dos ejemplos se pone de manifiesto cómo una pequeña interrupción o determinadas anomalías en el servicio informático de una empresa puede provocar daños muy importantes a la organización, por lo que nos podríamos imaginar cuáles serían las consecuencias si el servicio informático se viera interrumpido durante varios días debido a un ataque o sabotaje a gran escala. También es conveniente obtener la imagen fotográfica de todas las pantallas que muestra el sistema informático durante el proceso de captura de las evidencias digitales. Ideología: ataques realizados contra determinadas organizaciones, empresas y websites gubernamentales, con un contenido claramente político. Alarmas generadas en los Sistemas de Detección de Intrusos (IDS), en los cortafuegos o en las herramientas antivirus. También Estonia anunciaba en mayo de 2007 su intención de crear un centro para proteger las instituciones oficiales de los ataques informáticos, después de que a finales de abril de ese año varios ataques informáticas externos consiguieran paralizar la labor de varios servicios públicos de ese país báltico, así como de algunas entidades financieras y medios de comunicación. Con este curso … Gracias a la aprobación de protocolos de comunicación específicos, es posible lograr el intercambio de datos entre elementos de distintos fabricantes que pueden formar parte de un IDS. RFC 2350 - Expectations for Computer Security Incident Response: http://www.ietf.org/rfc/rfc2350.txt. Análisis de la información obtenida. Se debe reportar el posible incidente de seguridad de la información a la herramienta mesa de servicios ver procedimiento de Gestión de Registro del Sistema: incluye los errores, advertencias y sucesos generados por el propio sistema operativo y sus servicios esenciales. Por otra parte, suele ser muy recomendable realizar un estudio previo del tráfico en la red para facilitar la posterior detección de situaciones anómalas: consumo de ancho de banda por usuarios y departamentos, patrones horarios del tráfico, servicios y protocolos utilizados… El protocolo de gestión de red SNMP se podría utilizar para recabar parte de esta información de los dispositivos de red. Versión: 1 INCIDENTES DE SEGURIDAD DE LA Rige a partir de su publicación en el SIG GUÍA - POLÍTICA DE GESTIÓN DE INFORMACIÓN 5. CIBERTERRORISMO Y ESPIONAJE EN LAS REDES DE ORDENADORES 113 espionaje industrial y comercial por parte de Estados Unidos, con la colaboración del Reino Unido. Eliminación de todos los medios posibles que faciliten una nueva intrusión en el sistema: cambiar todas las contraseñas de los equipos a los que hayan podido tener acceso atacantes o usuarios no autorizados; revisar la configuración de los equipos; detectar y anular los cambios realizados por los atacantes en los equipos afectados; restaurar programas ejecutables y ficheros binarios (como las librerías del sistema) desde copias seguras; mejorar, si es posible, los mecanismos de registro de la actividad en estos equipos. De este modo, se trataría de evitar el problema de “envenenamiento de la caché” del servidor DNS. Establecimiento de los niveles requeridos de actualización, monitorización y pruebas del IDS/IPS Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (insiders) como con los usuarios externos del sistema informático (outsiders). Warren, H. (2002): Hacker's Delight, Addison Wesley. ocultos en otros ficheros mediante técnicas El equipo de análisis forense deberá tener especial cuidado a la hora de localizar aquellos ficheros marcados como borrados en el disco pero que todavía no habían desaparecido de éste, es decir, los sectores que todavía no habían sido asignados a otros ficheros, por lo que formaban parte del free space (espacio libre del disco). - Verificación del nivel de servicio recuperado. Para ello, basta con modificar el registro MX (Mail Exchanger) de la tabla de datos del servidor DNS atacado. Chaos Computer Club, mayor comunidad de hackers de europa: http://www.ccc.de/. El equipo del atacante podría estar situado detrás de un servidor proxy con el servicio NAT activo (traducción de direcciones internas a una dirección externa), compartiendo una dirección IP pública con otros equipos de la misma red. Mf0488_3 gestión de incidentes de seguridad informática. Invasión de paquetes ICMP o UDP de eco (típicos de ataques como Smurf y Fraggle). Sin embargo, hay que tener en cuenta que pueden tener acceso a información confidencial, por lo que su actividad está siendo considerada como un delito en bastantes países de nuestro entorno. Exploits: herramientas que buscan y explotan vulnerabilidades conocidas. Traslado de la actividad al Centro Alternativo: - Traslado del personal necesario al Centro Alternativo. Fue creada en 1952 por el presidente Harry Truman, como una agencia integrada en el Departamento de Defensa y durante muchos años su existencia se mantuvo en secreto (de ahí los apodos de No Such Agency o Never Say Anything). • Coordinar la gestión de incidentes informáticos gubernamentales con entidades de similar función a nivel internacional. Una primera opción sería llevar a cabo una rápida actuación para evitar que el incidente pueda tener mayores consecuencias para la organización: apagar todos los equipos afectados, desconexión de estos equipos de la red informática, desactivación de ciertos servicios, etcétera. AMENAZAS A LA SEGURIDAD INFORMÁTICA .......... 15 1.1 CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES ......................................15 1.1.1 Hackers ..............................................................................................15 1.1.2 Crackers (blackhats) ............................................................................16 1.1.3 Sniffers ..............................................................................................16 1.1.4 Phreakers ...........................................................................................16 1.1.5 Spammers ..........................................................................................16 1.1.6 Piratas informáticos..............................................................................17 1.1.7 Creadores de virus y programas dañinos .................................................17 1.1.8 Lamers (wannabes): Script-kiddies o Click-kiddies ...................................17 1.1.9 Amenazas del personal interno ..............................................................18 1.1.10 Ex empleados......................................................................................18 1.1.11 Intrusos remunerados ..........................................................................18 1.1.12 Algunos hackers, crackers y phreakers famosos .......................................18 1.2 MOTIVACIONES DE LOS ATACANTES..........................................................21 1.3 FASES DE UN ATAQUE INFORMÁTICO.........................................................22 1.4 TIPOS DE ATAQUES INFORMÁTICOS ..........................................................24 1.4.1 Actividades de reconocimiento de sistemas .............................................24 1.4.2 Detección de vulnerabilidades en los sistemas .........................................30 1.4.3 Robo de información mediante la interceptación de mensajes ....................30 8 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 1.4.4 Modificación del contenido y secuencia de los mensajes transmitidos ..........31 1.4.5 Análisis del tráfico ................................................................................31 1.4.6 Ataques de suplantación de la identidad..................................................32 1.4.7 Modificaciones del tráfico y de las tablas de enrutamiento .........................37 1.4.8 Conexión no autorizada a equipos y servidores ........................................38 1.4.9 Consecuencias de las conexiones no autorizadas a los sistemas informáticos ........................................................................................38 1.4.10 Introducción en el sistema de malware (código malicioso) .........................39 1.4.11 Ataques contra los sistemas criptográficos...............................................43 1.4.12 Fraudes, engaños y extorsiones .............................................................43 1.4.13 Denegación del Servicio (Ataques DoS – Denial of Service) .......................45 1.4.14 Ataques de Denegación de Servicio Distribuidos (DDoS)............................48 1.4.15 Marcadores telefónicos (dialers).............................................................49 1.5 DIRECCIONES DE INTERÉS .......................................................................50 CAPÍTULO 2. No obstante, el tiempo de recuperación puede ser alto, posiblemente superior a una semana, ya que no se dispone de un Centro Alternativo con © STARBOOK CAPÍTULO 3. Información sobre el programa Carnivore del FBI ofrecida por el EPIC (Electronic Privacy Information Center): http://www.epic.org/privacy/carnivore/. © STARBOOK CAPÍTULO 2. A pesar de ser intangibles, las evidencias digitales o electrónicas pueden ser admitidas como prueba en un juicio, si se ofrecen unas determinadas garantías en las distintas etapas del análisis forense, mediante el aislamiento de la escena del crimen para evitar la corrupción de ésta y de las posibles evidencias que en ella puedan hallarse. 40 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Hasta ahora algunos técnicos y administradores de redes se centraban en otros problemas de mayor nivel de complejidad, como los ataques contra servidores por parte de crackers o el análisis de agujeros de seguridad, relegando la protección contra los virus y códigos dañinos a un segundo plano, ya que se consideraba como una tarea que realizan de forma automática los programas antivirus. Para ello, será necesario contemplar tareas como la reinstalación del sistema operativo y de las aplicaciones partiendo de una copia segura, la configuración adecuada de los servicios e instalación de los últimos parches y actualizaciones de seguridad, el cambio de contraseñas que puedan haber sido comprometidas, la desactivación de las cuentas que hayan sido utilizadas en el incidente, la revisión de las medidas de seguridad para prevenir incidentes similares y la prueba del sistema para comprobar su correcto funcionamiento. 2) Comunicar y notificar el problema a todas las personas del equipo de respuesta en forma inmediata. Hay que tener en cuenta la fecha y hora del sistema en el momento de obtener las evidencias. Revisión de los distintos ficheros temporales obtenidos en la imagen del sistema: memoria temporal (caché) del navegador, direcciones URL que se han tecleado en la caja de direcciones, contenido del historial del navegador, caché del protocolo ARP, archivo de paginación del sistema (swap), spooler de impresión, etcétera. Criterios de seguridad para la configuración de las herramientas de protección frente a código malicioso NetScan Tools (para Windows): http://www.nwpsw.com/. Realización de un nuevo análisis detallado de las vulnerabilidades y riesgos del sistema informático. Identificación y caracterización de los datos de funcionamiento del sistema 4.4 ORGANISMOS Y MEDIOS ESPECIALIZADOS EN INFORMÁTICA FORENSE Entre los principales organismos internacionales especializados en la Informática Forense destacan la IACIS (International Association of Computer Investigative Specialists) y la IOCE (International Organization on Computer Evidence). AntiOnline: http://www.antionline.com/. Documentación del plan de actuación y de los procedimientos para responder a los incidentes. De hecho, en julio de 2010 el Ejército de China anunciaba la puesta en marcha de su primera base militar cibernética para combatir los ataques y amenazas informáticas, según revelaba el periódico oficial en inglés Global Times. En sus conclusiones los autores del estudio definían la actual situación como “al borde de la pérdida de control” en varias de estas instalaciones y sistemas vulnerables. Para ello, se suelen utilizar protocolos no orientados a conexión, como UDP o ICMP, o bien el protocolo TCP sin llegar a establecer una conexión completa con el equipo atacado. Se trata, por tanto, de otro ataque del tipo reflector attack. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas. De las herramientas de análisis forense disponibles en el mercado podríamos considerar que las más populares serían EnCase, Autopsy, The Forensic Toolkit, The Sleuth Kit o The Coroner’s Toolkit, entre otras. 3 También conocida como dirección MAC (Medium Access Control). 1.1.2 Crackers (blackhats) Los crackers son individuos con interés en atacar un sistema informático para obtener beneficios de forma ilegal o, simplemente, para provocar algún daño a la organización propietaria del sistema, motivados por intereses económicos, políticos, religiosos, etcétera. De hecho, la ejecución de determinados comandos en el sistema podría alterar la información registrada en el disco: así, por ejemplo, un simple listado del contenido de un directorio va a modificar la fecha de último acceso a cada fichero. La interceptación y escucha de transmisiones de Greenpeace por parte de Estados Unidos durante su campaña de protesta contra las pruebas nucleares francesas en el Atolón de Mururoa en 1995. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 75 3.3 ANÁLISIS DE UN INCIDENTE DE SEGURIDAD El Plan de Respuesta a Incidentes debe definir cómo el equipo de respuesta debería proceder al análisis de un posible incidente de seguridad en cuanto éste fuese detectado por la organización, determinando en primer lugar cuál es su alcance: ¿qué equipos, redes, servicios y/o aplicaciones se han podido ver afectados? RA-MA es una marca comercial registrada. Sin embargo, el problema surgió con la proliferación en Internet de páginas web preparadas para descargar, instalar y ejecutar dialers de conexión a números de tarifas especiales de forma automática y sin informar al usuario afectado. (2005): Rootkits: Subverting the Windows Kernel, Addison Wesley. Obligación Legal de Notificación de Ataques e Incidencias. En cuanto éste fuese detectado por la organización, determinando en primer lugar ¿Cuál es su Alcance? También pueden propiciar la ejecución de comandos arbitrarios del sistema operativo del equipo del servidor Web. TFN2K permite programar distintos tipos de ataques (flooding, smurf...) y cambia de forma frecuente las cabeceras de los paquetes que envía a los equipos zombi para dificultar su detección por los Sistemas de Detección de Intrusiones (IDS). Consulta de la ficha de información sobre un determinado nombre de dominio, perteneciente en este caso a un operador de telecomunicaciones 26 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK En las consultas a servicios como Whois también se puede obtener información relevante sobre las personas que figuran como contactos técnicos y administrativos en representación de una organización (podría facilitar diversos ataques basados en la “Ingeniería Social”); datos para la facturación (billing address); direcciones de los servidores DNS de una organización; fechas en que se han producido cambios en los registros; etcétera. Figura 1.4. RESPUESTA ANTE INCIDENTES DE SEGURIDAD 73 El objetivo perseguido con la Guía de Procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad, realizando los pasos necesarios y en el orden adecuado para evitar errores ocasionados por la precipitación o la improvisación. Esta alerta informativa se tendrá que enviar tanto en caso de robo de información como cuando hayan sido descubiertas brechas de seguridad en el website de la empresa. Así mismo, mediante una consulta al servicio de nombres de dominio se pueden localizar los servidores de correo de una organización (los cuales figuran como registros MX en una base de datos DNS). Russell, R. (2003): Stealing the Network: How to Own the Box, Syngress. No obstante, se corre el riesgo de que el incidente pueda tener peores consecuencias para la organización o para terceros (y en este último caso la organización podría ser considerada culpable por no haber actuado a tiempo). Para poder realizar este trabajo resultará fundamental contar con los medios y el material especializado para las distintas técnicas del análisis forense, así como disponer de un manual detallado de los procedimientos de actuación, definiendo de forma clara y precisa 13 Formulado por Edmond Locard, francés fundador del Instituto de Criminalística de la Universidad de Lyon, considerado como uno de los padres de la Ciencia Forense. DNS Seguro: http://www.dnssec.net/. Generación de tráfico extraño en la red: envío de mensajes de correo electrónico hacia el exterior con contenido sospechoso, inusual actividad de transferencia de ficheros, escaneo de otros equipos desde un equipo interno… Notificación de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organización. © STARBOOK CAPÍTULO 3. © STARBOOK CAPÍTULO 3. Podemos señalar que una interesante referencia para el análisis forense en los sistemas informáticos es la guía Best Practices for Seizing Electronic Evidence, publicada por el Servicio Secreto de Estados Unidos y accesible en la dirección de Internet http://info.publicintelligence.net/usssbestpractices.pdf. Herramientas para llevar a cabo una replicación de los documentos y las bases de datos, que puede ser síncrona, asíncrona o periódica. ; ¿qué decisiones se adoptaron? Visor de Sucesos en un equipo Windows El Registro de Seguridad en Windows permite auditar varias clases de actividades o sucesos: Tabla 2.2. Skoudis, E.; Zeltser, L. (2003): Malware: Fighting Malicious Code, Prentice Hall. Oposiciones Administrativo del Estado ¡Consigue tu plaza. Figura 3.3. 9 Para ello, se pueden utilizar aplicaciones como finger y who en sistemas UNIX/LINUX, que muestran los usuarios que se encuentran conectados al sistema, desde qué terminal o equipo están conectados y en qué momento iniciaron su sesión. Sucesos que se pueden registrar en un equipo Windows Eventos de inicio de sesión interactivo. PIX de Cisco: http://www.cisco.com/. 2.3.2.2 MHIDS (MULTIHOST IDS) Este tipo de IDS permiten detectar actividades sospechosas en base a los registros de actividad de diferentes equipos informáticos (hosts). Los técnicos tardaron unos veinte minutos en subsanar el fallo, pero cuando lo lograron, la avería ya había trastocado los planes de cientos de aviones en todo el país. Guía para el análisis de las evidencias electrónicas recogidas, incluyendo el estudio de ficheros y directorios ocultos, información oculta del sistema y la recuperación de ficheros borrados © STARBOOK CAPÍTULO 1. En marzo de 2006 se anunciaba la propagación de un nuevo tipo de virus a través de Internet, capaz de bloquear el equipo informático de sus víctimas, solicitando un “rescate” de 300 dólares para revelar la clave para liberar el equipo en cuestión. 3.8 ANÁLISIS Y REVISIÓN A POSTERIORI DEL INCIDENTE: VERIFICACIÓN DE LA INTRUSIÓN Dentro del Plan de Respuesta a Incidentes se tiene que contemplar una etapa para el análisis y revisión a posteriori de cada incidente de seguridad, a fin de determinar qué ha podido aprender la organización como consecuencia del mismo. “TCP Fragmentation Scanning”: fragmentación de paquetes TCP. Hechos registrados (eventos en los logs de los equipos). AMENAZAS A LA SEGURIDAD INFORMÁTICA 21 En los años ochenta y principios de los noventa Kevin Mitnick se hizo famoso por realizar continuas incursiones en ordenadores de universidades, empresas de informática y telecomunicaciones, la NASA o el mismísimo Departamento de Defensa de Estados Unidos, consiguiendo acceder a valiosa información confidencial. De hecho, los 3 elementos tienen expresiva relevancia para la protección de datos posicionándose así, como piezas clave en … “TPC RPC Scanning”: en los sistemas UNIX esta técnica permite obtener información sobre puertos abiertos en los que se ejecutan servicios de llamada a procedimientos remotos (RPC). Algunos medios de comunicación revelaron entonces CIA y el Departamento de Comercio norteamericano habían Office of Intelligence Liaison, que enviaba automáticamente Estados Unidos toda información que pudiera resultar norteamericanas activas en el extranjero, como ayuda internacionales. Administración y Diseño de Redes Departamentales, Seguimiento, monitorización y registro de las operaciones de sistema, Clasificación de los intrusos en las redes, Constitución de un equipo de Respuesta de Incidentes, Comunicación con terceros y relaciones públicas, Análisis y revisión “a posteriori” del incidente. Specter: http://www.specter.com/. En los honeypots se suelen instalar versiones modificadas del intérprete de comandos (shell en un sistema Unix/Linux o “cmd.exe” en un sistema Windows), como “ComLog”, un troyano que reemplaza al “cmd.exe” para registrar y reenviar los comandos tecleados por el usuario, así como otras herramientas que permitan registrar las actuaciones de los intrusos (SpyBuddy, KeyLogger, etcétera). 8 En Windows se pueden ejecutar desde el intérprete de comandos. MF0488_3: Gestión de incidentes de seguridad informática. También será conveniente llevar a cabo una revisión de otros sistemas que se pudieran ver comprometidos a través de las relaciones de confianza con el sistema afectado. - Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención - Identificación y caracterización de los datos de funcionamiento del sistema - Arquitecturas más … © STARBOOK CAPÍTULO 3. Figura 2.4. Para ello, es necesario mantener una base de datos con el estado exacto de cada uno de los archivos del sistema y de las aplicaciones instaladas, a fin de detectar posibles modificaciones 60 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK de los mismos (integrity check). Así mismo, es necesario tener en cuenta la imposibilidad de analizar las comunicaciones cifradas (conexiones que empleen protocolos como SSH, SSL, IPSec…). El espionaje de las comunicaciones de la delegación francesa durante las reuniones para alcanzar los acuerdos de liberalización comercial de la Ronda de Uruguay, las negociaciones del consorcio europeo Panavia para vender el avión de combate Tornado a los países de Oriente Medio, o la Conferencia Económica AsiaPacífico de 1997. La unidad típica de ejecución de SQL es la consulta (query), conjunto de instrucciones que permiten modificar la estructura de la base de datos (mediante instrucciones del tipo Data Definition Language, DDL) o manipular el contenido de la base de datos (mediante instrucciones del tipo Data Manipulation Language, MDL). Colapso del tráfico aéreo en Estados Unidos por un fallo informático En marzo de 2009 una investigación llevada a cabo por la Universidad de Toronto revelaba que una red de espionaje informático había logrado penetrar en ordenadores de Gobiernos, embajadas, organizaciones de defensa de los derechos humanos y medios de comunicación, entre otras instituciones, en 103 países. En mayo de 2005 se informaba de varios casos de crackers que habían conseguido “secuestrar” archivos o páginas web de otros usuarios, solicitando un rescate para proceder a su “liberación”. Participación en las medidas de investigación y de persecución legal de los responsables del incidente. Con el secuestro de sesiones se podrían llevar a cabo determinadas operaciones en nombre de un usuario que mantiene una sesión activa en un sistema informático como, por ejemplo, transferencias desde sus propias cuentas corrientes si en ese momento se encuentra conectado al servidor de una entidad financiera. Seguridad Informática UD1 Introducción a la seguridad informática UD2 Mecanismos de seguridad del Sistema Operativo UD3 Navegación segura UD4 Seguridad activa y Seguridad pasiva UD5 Seguridad en redes UD6 Seguridad perimetral UD 7 Servidores proxy UD8 Legislación y normativa Introducción Legislación y normas sobre seguridad Informar de forma completa e inmediata al Responsable de Seguridad de la información la existencia de un potencial incidente de seguridad informática. Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Análisis y revisión a posteriori del incidente. Klevinsky, T. J.; Laliberte, S.; Gupta, A. 34 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Por otra parte, un servidor DNS afectado por este tipo de ataque podría provocar falsas respuestas en los restantes servidores DNS que confíen en él para resolver un nombre de dominio, siguiendo el modelo jerárquico del servicio DNS, extendiendo de este modo el alcance del ataque de DNS Spoofing. Así, estas herramientas especializadas en la duplicación de discos duros pueden copiar los bits pertenecientes a ficheros válidos, aunque hayan sido registrados como ocultos por el sistema operativo, bits que determinan el used space (espacio utilizado) del disco; los bits de los ficheros marcados como eliminados y que forman parte del free space (espacio libre o disponible); e incluso los bits que se encuentran en las zonas marcadas como no utilizadas © STARBOOK CAPÍTULO 4. Este enlace malicioso podría estar presente en otra página web, en un mensaje de correo electrónico, en un grupo de noticias, etcétera. Así, dentro de esta definición estarían incluidos los virus, troyanos, gusanos, bombas lógicas, etcétera. Por otra parte, debemos tener en cuenta otras consideraciones acerca del uso de estas herramientas, ya que se trata de proyectos de elevado riesgo, debido a las amenazas y tipos de ataques que se van a producir contra los equipos y redes de la organización. Figura 5.1. Internet Health Monitoring: http://www.internetpulse.net/. Figura 1.8. Además, el sondeo de seguridad complementa al análisis de vulnerabilidades con tareas como la detección y la revisión de la instalación y configuración de los equipos de seguridad (cortafuegos, antivirus, IDS, etcétera). No obstante, los servidores de correo también podrían ser configurados para no aceptar envíos de mensajes desde equipos externos a la red local. Notificación de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organización. RA-MA ha intentado a lo largo de este libro distinguir las marcas comerciales de los términos descriptivos, siguiendo el estilo que utiliza el fabricante, sin intención de infringir la marca y solo en beneficio del propietario de la misma. 88 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK En una empresa de pequeño o mediano tamaño se podría plantear la posibilidad de subcontratar este Centro Alternativo a una empresa especializada, por ejemplo, un Data Center de un operador de telecomunicaciones, formalizando la relación mediante un contrato en el que se contemple las condiciones y el nivel de servicio (Service Level Agreement). En la comunicación con los medios, la organización debería procurar no revelar información sensible, como los detalles técnicos de las medidas adoptadas para responder al incidente de seguridad, y evitar en la medida de lo posible las especulaciones sobre las causas o los responsables del incidente de seguridad. Mediante este curso en línea podrás … MARCAS COMERCIALES. Se trata, por tanto, de un tipo de sistema que pretende ir un paso más allá de los IDS, ya que puede bloquear determinados tipos de ataques antes de que estos tengan éxito. Todas las Websites de comercio electrónico están obligados por ley a informar a sus clientes cuando se haya producido una violación de la seguridad de sus sistema de informático. Activación de programas “bacteria”, cuyo objetivo es replicarse dentro de un sistema informático, consumiendo la memoria y la capacidad del procesador hasta detener por completo al equipo infectado. El número de unidades que se deben disponer de los utensilios, máquinas y herramientas que se especifican en el equipamiento de los espacios formativos, será el suficiente para un mínimo de 15 alumnos y deberá incrementarse, en su caso, para atender a número superior. Recuperación del Centro Principal siniestrado. De hecho, expertos militares llevan años estudiando la posible aplicación de los ataques informáticos en los conflictos bélicos del futuro, y distintos gobiernos han decidido crear unidades especiales en sus ejércitos para responder ante posibles ataques informáticos. Informes de los propios usuarios del sistema alertando de algún comportamiento extraño o de su imposibilidad de acceder a ciertos servicios. Técnico en seguridad informática. A principios de los años setenta comienzan a producirse los primeros casos de delitos informáticos, provocados por empleados que conseguían acceder a los ordenadores de sus empresas para modificar sus datos: registros de ventas, nóminas… 1.1.3 Sniffers Los sniffers son individuos que se dedican a rastrear y tratar de recomponer y descifrar los mensajes que circulan por redes de ordenadores como Internet. En esta situación el tiempo de recuperación puede ser impredecible e, incluso, dependiendo de la gravedad del desastre, es posible que nunca se puedan llegar a recuperar totalmente los datos, programas y la documentación del sistema afectado. Así, dentro de este Plan de Respuesta deberían estar previstos los contactos con organismos de respuesta a incidentes de seguridad informática (como el CERT), con las fuerzas de seguridad (Policía o Guardia Civil en España), con agencias de investigación y con los servicios jurídicos de la organización. Por lo tanto, los honeypots y las honeynets entrarían dentro de las aplicaciones del tipo know your enemy (“conoce a tu enemigo”), que permiten aprender de las herramientas y técnicas de los intrusos para proteger mejor a los sistemas reales de producción, construyendo una base de datos de perfiles de atacantes y tipos de ataques. Así mismo, es posible generar distintas copias de las evidencias digitales para facilitar su conservación y posterior análisis. Técnica “TCP SYN Scanning” Técnica “TCP FIN Scanning”: También conocida como Stealth Port Scanning (Escaneo Oculto de Puertos), ha sido propuesta como una técnica de escaneo que trata de evitar ser registrada por los cortafuegos y servidores de una organización. En el quinto capítulo se abordan distintos aspectos relacionados con el ciberterrorismo y el espionaje en las redes y sistemas informáticos. No obstante, los sistemas IDS también presentan una serie de problemas y limitaciones, como podrían ser la generación de falsas alarmas, ya sean éstas falsos negativos, que se producen cuando el IDS no es capaz de detectar algunas actividades relacionadas con incidentes de seguridad que están teniendo lugar en la red o en los equipos informáticos, o bien falsos positivos, que se producen cuando el IDS registra y genera alertas sobre determinadas actividades que no resultan problemáticas, ya que forman parte del funcionamiento normal del sistema o red informático. Una tarea que también podría contribuir a la identificación del atacante es el análisis de las actividades de exploración (escaneos de puertos y de vulnerabilidades en el sistema) que suelen anteceder a un ataque, sobre todo si éstas han podido ser registradas por los logs de los equipos afectados o por el Sistema de Detección de Intrusiones (IDS). Además, los empleados que se tienen que desplazar con frecuencia (por ejemplo, los comerciales que constituyen la fuerza de ventas de una empresa) también dependen hoy en día de las conexiones a los recursos informáticos centrales de su organización para poder realizar su trabajo. El primer objetivo de la gestión de incidentes es recuperar el … Land Attack: debido a un error en la implementación del protocolo TCP/IP en algunos sistemas Windows, se consigue “colgar” un equipo vulnerable mediante el envío de una serie de paquetes maliciosamente construidos, en los que la dirección y el puerto de origen son idénticos a la dirección y el puerto de destino.
Soluciones Para La Deforestación, Alimentos Saludables En Inglés Y Español, Actividades Para Aprender Los Huesos Del Cuerpo Humano, Multas Laborales En Soles 2022, Diversidad Cultural De Puno, Importancia De Un Estilo De Vida Saludable,