Route: muestra y manipula las tablas de enrutamiento del equipo. 106 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Intervención del control del tráfico aéreo y ferroviario, provocando colisiones de aviones y trenes, y dejando inoperantes estas redes de transporte. 22 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Autorrealización. © STARBOOK CAPÍTULO 1. Teardrop: tipo de ataque consistente en el envío de paquetes TCP/IP fragmentados de forma incorrecta. Desaparición de equipos de red de la organización. Un elemento fundamental dentro del Plan de Recuperación del Negocio es la existencia de un Centro Alternativo, también conocido como Centro de Respaldo o Centro de Backup, si bien en la práctica solo las grandes empresas podrán disponer de un local o edificio dedicado exclusivamente a esta misión. Técnico en auditoría informática. Definición de nuevas directrices y revisión de las actualmente previstas por la organización para reforzar la seguridad de su sistema informático. 82 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Rapidez en las actuaciones y decisiones: ¿cómo respondió el personal involucrado en el incidente? 4.2.2 Preservación de las evidencias digitales: cadena de custodia A la hora de preservar las evidencias digitales será necesario contemplar una serie de tareas de tipo técnico y de medidas de carácter organizativo, teniendo en cuenta las recomendaciones de la IOCE (International Organization on Computer Evidence, Organización Internacional sobre Evidencias Informáticas). Los campos obligatorios están marcados con, Especialista en Coreldraw Graphics Suite 2017 (Online), ADGG087PO Project Managment: Gestión Integrada de Proyectos (Online), ADGG079PO Trados, Programa de Traducción (Online), Curso de SEO Avanzado: Experto en Posicionamiento en Buscadores, SSCI0209 Gestión y Organización de Equipos de Limpieza, Profesor de Aerobic y Clases Dirigidas con Música (Online), ADGN003PO ADMINISTRACIÓN Y OPERACIONES DE UNA ENTIDAD FINANCIERA - MODALIDAD ONLINE, IFCM0210 Mantenimiento de Primer Nivel en Sistemas de Radiocomunicaciones (Online), IFCT0409 Implantación y Gestión de Elementos Informáticos en Sistemas Domóticos/Inmóticos, de Control de Accesos y ...(Online), IFCT0110 Operación de Redes Departamentales (Online), IFCT0509 Administración de Servicios de Internet (Online), MF0221_2 Instalación y Configuración de Aplicaciones Informáticas (Online), IFCD0110 Confección y Publicación de Páginas Web (Online), IFCD0211 Sistemas de Gestión de Información (Online), IFCT0410 Administración y Diseño de Redes Departamentales (Online). Captura de datos sobre los intrusos: en el cortafuegos, en el NIDS y en los propios registros (logs) de los honeypots. Las principales tareas realizadas por un Host IDS son las que se presentan a continuación: Análisis de los registros de actividad (logs) del núcleo (kernel) del sistema operativo, para detectar posibles infiltraciones. Base de datos de eventos: se utiliza el lenguaje CISL (Common Intrusion Specification Language) para expresar los diferentes eventos. 102 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 4.3 HERRAMIENTAS DE ANÁLISIS FORENSE Las herramientas de análisis forense permiten asistir al especialista durante el análisis de un delito informático, automatizando buena parte de las tareas descritas en los apartados anteriores para facilitar la captura, preservación y posterior análisis de las evidencias digitales. De este modo, se trataría de evitar el problema de “envenenamiento de la caché” del servidor DNS. Notificación de un intento de ataque lanzado contra terceros desde equipos pertenecientes a la propia organización. Caos financiero: ataques a las entidades financieras y a las bolsas, paralizando cualquier gestión y borrando o alterando los datos de todas las cuentas corrientes y otros registros de información. Control de las acciones del intruso, ya que éste debe quedar confinado dentro de la honeynet, sin que pueda atacar a otras redes o equipos. © STARBOOK CAPÍTULO 4. Estos virus son capaces de crear un nuevo acceso telefónico a redes en el ordenador infectado que se configura como el predeterminado para la conexión a Internet, o bien pueden modificar el acceso telefónico a redes que el usuario utiliza habitualmente para sus conexiones a Internet de tal manera que, cada vez que sea ejecutado, el número marcado no sea el correspondiente al proveedor de servicios de Internet del usuario, sino un número de tarifa especial, ocasionando un grave problema económico a la víctima, quien detectará la situación anormal al recibir sus próximas facturas del servicio telefónico. En este Plan de Recuperación se deben especificar los objetivos y prioridades a tener en cuenta por la organización en caso de un desastre que pueda afectar a la continuidad de su negocio. La NSA (National Security Agency, Agencia Nacional de Seguridad de Estados Unidos) es un organismo envuelto en un halo de misterio y de polémica. Análisis de los procedimientos y de los medios técnicos empleados en la respuesta al incidente: - Redefinición de aquellos procedimientos que no hayan resultado adecuados. “TCP ACK Scanning”: técnica que permite determinar si un cortafuegos actúa simplemente como filtro de paquetes o mantiene el estado de las sesiones. Las principales características y procedimientos incluidos en el análisis forense informático ocupan otro de los capítulos de la obra y, por último, se revisan cuestiones relacionadas con el ciberterrorismo y el espionaje en las redes y sistemas informáticos. El objetivo de la guía de procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad. 1.1.5 Spammers Los spammers son los responsables del envío masivo de miles de mensajes de correo electrónico no solicitados a través de redes como Internet, provocando el colapso de los servidores y la sobrecarga de los buzones de correo de los usuarios. Para concluir este apartado, podemos citar algunos ejemplos de herramientas y proyectos de interés relacionados con los honeypots y las honeynets. Estas cadenas de texto podrían incluir código en lenguaje Script, que a su vez podría ser reenviado al usuario dentro de una página web dinámica generada por el servidor como respuesta a una determinada petición, con la intención de que este código Script se ejecutase en el navegador del usuario, no afectando por lo tanto al servidor Web, pero sí a algunos de los usuarios que confían en él. Las conexiones “semiabiertas” caducan al cabo de un cierto tiempo, liberando sus recursos. Hechos registrados (eventos en los logs de los equipos). RESPUESTA ANTE INCIDENTES DE SEGURIDAD 73 El objetivo perseguido con la Guía de Procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad, realizando los pasos necesarios y en el orden adecuado para evitar errores ocasionados por la precipitación o la improvisación. US-CERT: http://www.us-cert.gov/. © STARBOOK CAPÍTULO 4. ¿Qué equipos, redes, servicios y/o aplicaciones se ha podido ver afectados? Las instalaciones y equipamientos deberán cumplir con la normativa industrial e higiénico-sanitaria correspondiente y responderán a medidas de accesibilidad universal y seguridad de los participantes. ? Ataques informáticos de todo tipo protagonizados por virus, programados y controlados de forma remota para activarse en el momento adecuado. Cabe destacar la rapidez de propagación de estos programas dañinos a través del correo electrónico, las conexiones mediante redes de ordenadores y los servicios de intercambio de ficheros (P2P) o de mensajería instantánea. Además, proporcionan estadísticas que permiten evaluar el rendimiento del sistema informático. Se ha puesto el máximo empeño en ofrecer al lector una información completa y precisa. En la comunicación con los medios, la organización debería procurar no revelar información sensible, como los detalles técnicos de las medidas adoptadas para responder al incidente de seguridad, y evitar en la medida de lo posible las especulaciones sobre las causas o los responsables del incidente de seguridad. DESCRIPTIVO PROCEDIMIENTO GESTIÓN INCIDENTE SEGURIDAD INFORMACIÓN CODIGO:D103PR03 VERSIÓN:00 N° 6. © STARBOOK CAPÍTULO 1. • Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada. Si la víctima activaba el enlace en cuestión, se producía una descarga de ficheros de pornografía infantil desde un website de Bulgaria hacia su ordenador personal. Formación y entrenamiento del personal afectado por este plan y procedimientos de actuación. En muchos de estos casos, los chantajistas aseguran tener información confidencial sobre la empresa y amenazan con difundirla si no reciben una determinada cantidad de dinero. Técnica “TCP Connect Scanning” © STARBOOK CAPÍTULO 1. Empleado administrativo de los servicios de almacenamiento y recepción. Sin embargo, las nuevas formas de propagación de estos códigos dañinos y los graves problemas que ocasionan a las empresas y a los usuarios obligan a replantearse esta estrategia, prestando una mayor atención a la contención y erradicación de este tipo de ataques e incidentes de seguridad informática. Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada. Informar de forma completa e inmediata al Responsable de Seguridad de la información la existencia de un potencial incidente de seguridad informática. FAMILIA PROFESIONAL: Informática y Comunicaciones CERTIFICADO DE PROFESIONALIDAD EN EL QUE SE INCLUYE: Seguridad Informática S 8 9 650 9 788492 650774 ® S TA R B O O K. Michael Browner Debería estar previsto los contactos con organismos de respuesta a incidentes de seguridad informática (como el CERT), con las fuerzas de seguridad (Policía o Guardia Civil en España), con agencias de investigación y con los servicios jurídicos de la organización. 4 Son dispositivos hardware que se pueden conectar al puerto donde se encuentra conectado el teclado, interceptando de este modo la comunicación entre el teclado y la placa base del ordenador. A lo largo de estos últimos años también se ha creado lo que algunos expertos en seguridad informática han dado en llamar la “yihad electrónica”, constituida por varios miles de islamistas que se han especializado en la organización y la coordinación de cibercampañas contra los sitios Web israelíes, estadounidenses, católicos o daneses (en este último caso a raíz de la publicación de las caricaturas de Mahoma en ese país). Comprobación de que el plan de actuación y los procedimientos previstos cumplen con los requisitos legales y las obligaciones contractuales con terceros (como, por ejemplo, exigencias de los clientes de la organización). Análisis de la información obtenida. MF0488_3: Gestión de incidentes de seguridad informática. Desconexión automática de servidores y dispositivos de red. Creación de un archivo de discos de arranque y un conjunto de copias con todas las aplicaciones y servicios necesarios para el funcionamiento de los sistemas informáticos, así como de los parches y actualizaciones correspondientes. Así, un 17% de las Pymes norteamericanas había sufrido algún tipo de extorsión por la red, según un estudio de la Universidad Carnegie Mellon dado a conocer en septiembre de 2005. Figura 1.3. ANÁLISIS FORENSE INFORMÁTICO Aparición de nuevas cuentas de usuario o registro de actividad inusual en algunas cuentas9: conexiones de usuarios en unos horarios extraños (por ejemplo, por las noches o durante un fin de semana), utilización de la misma cuenta desde distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticación, ejecución inusual de determinados servicios desde algunas cuentas, etcétera. Así mismo, el Centro de Alerta Temprana sobre Virus y Seguridad Informática fue creado en julio de 2001 por el Ministerio de Ciencia y Tecnología español, para ofrecer información, alertas y distintos recursos sobre seguridad informática a ciudadanos y empresas, a través de la dirección http://www.alerta-antivirus.es. Por otra parte, también se han llevado a cabo ataques contra el protocolo ARP (Address Resolution Protocol), encargado de resolver las direcciones IP y convertirlas en direcciones físicas en una red local. La arquitectura IDWG ha definido un modelo de datos orientado a objetos basado en lenguaje XML para describir los eventos, conocido como IDMEF (Intrusion Detection Message Exchange Format). Revista Phrack: http://www.phrack.org/. 84 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK Aplicación de soluciones de emergencia para tratar de contener el incidente: desconectar los equipos afectados de la red corporativa; desactivar otros dispositivos y servicios afectados; apagar temporalmente los equipos más críticos; cambiar contraseñas e inhabilitar cuentas de usuarios; monitorizar toda la actividad en estos equipos; verificar que se dispone de copias de seguridad de los datos de los equipos afectados por el incidente; etcétera. 1 Términos que podríamos traducir por “niñatos del script” o “niñatos del clic”. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Así, podríamos considerar el papel de los empleados que actúan como “fisgones” en la red informática de su organización, los usuarios incautos o despistados, o los empleados descontentos o desleales que pretenden causar algún daño a la organización. Para comprobar la idoneidad de los medios disponibles, el entrenamiento de los miembros del equipo y las actividades definidas en el Plan de Respuesta a Incidentes, conviene llevar a cabo simulacros de forma periódica en la organización. Elaboración de un informe con las conclusiones del análisis forense. Versión: 1 INCIDENTES DE SEGURIDAD DE LA Rige a partir de su publicación en el SIG GUÍA - POLÍTICA DE GESTIÓN DE INFORMACIÓN 5. A pesar de ser intangibles, las evidencias digitales o electrónicas pueden ser admitidas como prueba en un juicio, si se ofrecen unas determinadas garantías en las distintas etapas del análisis forense, mediante el aislamiento de la escena del crimen para evitar la corrupción de ésta y de las posibles evidencias que en ella puedan hallarse. De hecho, algunas empresas ya han sufrido varios casos de difusión de virus y ataques de denegación de servicio realizados por expertos informáticos que habían sido contratados por algún competidor. Para ello, los atacantes codificaban los documentos afectados para impedir que su propietario los pudiera abrir, solicitando a continuación un importe de 200 dólares en concepto de “rescate” para devolver al usuario el acceso a sus archivos. 2. Los primeros hackers eran grupos de estudiantes que se imponían como reto conocer el funcionamiento interno y optimizar el uso de estos caros y poco amigables equipos. Así, por ejemplo, el atacante trataría de seleccionar una dirección IP correspondiente a la de un equipo legítimamente autorizado para acceder al sistema que pretende ser engañado. La dirección URL se construye de forma especial para que incluya un Script del atacante, que será transmitido por el servidor afectado al cliente que utilice el enlace para visitar esa dirección Web. Sinchak, S. (2004): Hacking Windows XP, John Wiley & Sons. Transporte periódico de copias de seguridad a un almacén. 2.4 IPS (INTRUSION PREVENTION SYSTEMS) Un sistema IPS (Intrusion Prevention System) es un sistema que permite prevenir las intrusiones. Guía 21 - Gestión de Incidentes. Generalmente los equipos zombi cuentan con una conexión ADSL u otro tipo de conexión de banda ancha, de tal modo que suelen estar disponibles las 24 horas. Diario Figura 3.1. Por otra parte, los mensajes de correo en formato HTML también podrían ser utilizados para desencadenar este tipo de ataques. Son responsables de responder a los incidentes relacionados con la seguridad informática. Así, se puede obtener importante información sobre las organizaciones y empresas presentes en Internet, los nombres de dominio y las direcciones IP que éstas tienen asignadas, por medio de consultas en servicios como Whois, que mantiene una base de datos sobre direcciones IP y nombres de dominio necesaria para el correcto funcionamiento de Internet. CONTROL DE CÓDIGO MALICIOSO Guía para la investigación y diagnostico del incidente de intento de intrusión o infecciones A su vez, los analizadores de protocolos y sniffers son programas “husmeadores”, que interceptan y analizan el tráfico en la red, recurriendo para ello a la utilización de dispositivos de escucha del tráfico en la red (network taps), que actúan en modo promiscuo y que son difíciles de detectar ya que no tienen asociada una dirección IP. Así, la utilización del encaminamiento fuente (source routing) en los paquetes IP permite que un atacante pueda especificar una determinada ruta prefijada, que podría ser empleada como ruta de retorno, saltándose todas las reglas de enrutamiento definidas en la red. Estructura de una gestión de incidentes noralemilenio Publicado el junio 15, 2014 Publicado en Estructura de una gestión de incidentes Etiquetado con Estructura de una gestión de incidentes Estructura de una gestión de incidentes de seguridad de información ¡Este contenido está bloqueado! Además, se encarga de analizar cada actividad y proceso en ejecución dentro del equipo, razón por la que también presenta el inconveniente de disminuir el rendimiento del equipo. Figura 1.4. Incidente de seguridad informática: Un incidente de seguridad informática es la violación o amenaza inminente a la violación de una política de seguridad de la información implícita o explícita. Adquisición de herramientas y recursos para reforzar la seguridad del sistema y la respuesta ante futuros incidentes de seguridad. Para ello, cuenta con varios superordenadores capaces de almacenar todos los datos posibles sobre determinados objetivos, que se pueden definir a partir de un nombre, una dirección, un número telefónico, unas determinadas palabras clave u otros criterios seleccionados. Debemos tener en cuenta, por lo tanto, que el proceso de captura de evidencias digitales no debe alterar el escenario objeto de análisis. Auditoría periódica de los permisos asignados a los recursos del sistema. En cuanto a las actividades de escaneo de puertos, éstas tienen lugar una vez que se ha localizado e identificado un determinado equipo o servidor conectado a Internet, para descubrir los servicios que se encuentran accesibles en dicho sistema informático (es decir, cuáles son los puntos de entrada al sistema). SYN SYN/ACK RST Cliente Servidor Figura 1.11. CIDF (Common Intrusion Detection Framework) es una arquitectura promovida por la Agencia Federal de Estados Unidos DARPA (Defense Advanced Research Projects Agency) y finalizada en 1999, que ha tenido una escasa aceptación comercial. SpyBuddy 66 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK SpyBuddy es una herramienta comercial que permite registrar las teclas pulsadas por el usuario del equipo; monitorizar la creación, acceso, modificación y eliminación de ficheros y directorios; realizar un seguimiento de los programas que se ejecutan en el equipo; etcétera. ANÁLISIS FORENSE INFORMÁTICO 101 Visualización del contenido de los ficheros gráficos. Explotación de “agujeros de seguridad” (exploits). Los datos de los ejemplos y pantallas son ficticios a no ser que se especifique lo contrario. Russell, R. (2003): Stealing the Network: How to Own the Box, Syngress. Desarrollo de ataques específicos contra los sistemas de comunicaciones militares. Los sistemas anti-sniffers son herramientas capaces de detectar la existencia de tarjetas de red que se encuentren funcionando en modo promiscuo para capturar todo el tráfico de la red. Unsere Partner sammeln Daten und verwenden Cookies zur Personalisierung und Messung von Anzeigen. Exposición de las distintas técnicas y herramientas utilizadas para el análisis y correlación de información y eventos de seguridad RESPUESTA ANTE INCIDENTES DE SEGURIDAD CSRC: http://csrc.nist.gov/. © STARBOOK CAPÍTULO 1. Entre las posibles consecuencias de una guerra informática, podríamos citar las siguientes: Corte del suministro eléctrico y posible descontrol de centrales nucleares, centrales hidroeléctricas y térmicas. Metodología. Por ejemplo, un atacante podría convertir un enlace a una imagen incluido en un documento (mediante la etiqueta HTML , con un enlace aparentemente inofensivo a un fichero gráfico) en una forma de activar un ataque Cross-Site Scripting, que pase totalmente inadvertida al usuario víctima, ya que éste ni siquiera tendría que hacer clic en el enlace en cuestión: el navegador, al recibir el documento, se encargaría de realizar la petición para mostrar la imagen correspondiente al enlace incluido. © STARBOOK CAPÍTULO 2. 72 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK 3.1.1 Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT, Computer Security Incident Response Team) está constituido por las personas que cuentan con la experiencia y la formación necesaria para poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad informática de una organización. Los mensajes de correo podrían ser redirigidos hacia servidores de correo no autorizados, donde podrían ser leídos, modificados o eliminados. Para ello, es necesario contemplar la disponibilidad de los recursos y medios adecuados que permitan restaurar el funcionamiento del sistema informático de la organización, así como recuperar los datos, aplicaciones y servicios básicos que se utilizan como soporte al negocio de la organización: Disponibilidad de un Centro Alternativo o Centro de Reserva para la ubicación de los principales recursos informáticos (servidores y bases de datos corporativas). Así mismo, posteriormente hicieron su aparición nuevos tipos de virus informáticos capaces de instalar los dialers y propagarse rápidamente a través de Internet. de curso de gestion de incidentes de seguridad informatica - Planificar e implantar los sistemas de detección de intrusos según las normas de seguridad. Petición formulada por el cliente (por ejemplo: “GET/index.html HTTP/1.0”). El Curso Gestión de Incidencias y Auditoría de Seguridad Informática, proporciona al alumnado los conocimientos necesarios para su correcta introducción en la … 2 Capítulo 2 GESTIÓN DE INCIDENTES DE SEGURIDAD 2.1 INCIDENTES DE SEGURIDAD Por Incidente de Seguridad entendemos cualquier evento que pueda provocar una interrupción o degradación de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad o integridad de la información. Procesos y servicios en ejecución dentro del sistema: de cada proceso o servicio sería conveniente identificar el fichero ejecutable y los parámetros de ejecución, así como la cuenta de usuario bajo la que se ejecuta, los ficheros que está usando y qué otro proceso o servicio lo ha llamado (árbol de ejecución), para posteriormente poder comparar esta información con la situación estable del sistema objeto de estudio. Técnica “TCP SYN Scanning” Técnica “TCP FIN Scanning”: También conocida como Stealth Port Scanning (Escaneo Oculto de Puertos), ha sido propuesta como una técnica de escaneo que trata de evitar ser registrada por los cortafuegos y servidores de una organización. © STARBOOK CAPÍTULO 3. No obstante, los servidores de correo también podrían ser configurados para no aceptar envíos de mensajes desde equipos externos a la red local. Por otra parte, en octubre de 2005 se daba a conocer la existencia de un nuevo código malicioso, denominado PremiumSearch, capaz de engañar a los usuarios de los populares buscadores Google, Yahoo! Provocar el colapso de redes de ordenadores mediante la generación de grandes cantidades de tráfico, generalmente desde múltiples equipos. Al poco de conocerse estas dos pérdidas masivas de datos de ciudadanos británicos, el diario The Times demostró que existía un mercado de compraventa de datos personales a través de Internet, lo que puso aún más en entredicho la seguridad en el tratamiento de este tipo de información sensible en el Reino Unido. En el quinto capítulo se abordan distintos aspectos relacionados con el ciberterrorismo y el espionaje en las redes y sistemas informáticos. Búsqueda de reconocimiento social y de un cierto estatus dentro de una comunidad de usuarios. Identificación remota del cliente. Revisión del intercambio de información sobre el incidente con otras empresas e instituciones, así como con los medios de comunicación. ifct0109 - seguridad informática : Chicano Tejada, Ester: Amazon.es: Libros Selecciona Tus Preferencias de Cookies Utilizamos cookies y herramientas similares que son necesarias para permitirte comprar, mejorar tus experiencias de compra y proporcionar nuestros servicios, según se detalla en nuestro Aviso de cookies . Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de la Información Código: SSI-16-01-01 Control: A.16.01.01 A.16.01.02 ... será … © STARBOOK CAPÍTULO 3. Analizar el alcance de los daños y determinar los procesos de recuperación ante una incidencia detectada. Un procedimiento para la recuperación frente a desastres debería contemplar las siguientes actividades: Detección y respuesta al desastre en el Centro Principal: - Adopción de las medidas de contención previstas dependiendo del tipo de desastre: incendio, inundación, explosión… - Comunicación a las personas y organismos externos indicados según el tipo de desastre. Identificación del atacante y posibles actuaciones legales. ARP: muestra y modifica las tablas de conversión de direcciones IP a direcciones físicas (direcciones MAC). Visor de Sucesos en un equipo Windows El Registro de Seguridad en Windows permite auditar varias clases de actividades o sucesos: Tabla 2.2. Este libro pretende aportar los contenidos necesarios para que el lector pueda trabajar en la adquisición de las siguientes capacidades profesionales: o Planificar e … (2000): Secrets & Lies. Precursores de un ataque: actividades previas de reconocimiento del sistema informático, como el escaneo de puertos, escaneo de vulnerabilidades en servidores, el reconocimiento de versiones de sistemas operativos y aplicaciones, etc. Como consecuencia de estos ataques y, dependiendo de los privilegios del usuario de base de datos bajo el cual se ejecutan las consultas, se podría acceder no solo a las tablas relacionadas con la operación de la aplicación del servidor Web, sino también a las tablas de otras bases de datos alojadas en el mismo servidor Web. Desde entonces este costoso programa (el proyecto tuvo un coste superior a los 170 millones de dólares) fue utilizado de forma importante a partir de los atentados del 11-S en Estados Unidos. ;¿qué tipo de información se obtuvo para gestionar el incidente?¿qué decisiones se adoptaron? Por lo tanto, los honeypots y las honeynets entrarían dentro de las aplicaciones del tipo know your enemy (“conoce a tu enemigo”), que permiten aprender de las herramientas y técnicas de los intrusos para proteger mejor a los sistemas reales de producción, construyendo una base de datos de perfiles de atacantes y tipos de ataques. Exposición del Principio de Lockard Definición de nuevas directrices y revisión de las actualmente previstas por la organización para reforzar la seguridad de sus sistemas. Su dirección en Internet es http://cert.inteco.es/. 4.4 ORGANISMOS Y MEDIOS ESPECIALIZADOS EN INFORMÁTICA FORENSE Entre los principales organismos internacionales especializados en la Informática Forense destacan la IACIS (International Association of Computer Investigative Specialists) y la IOCE (International Organization on Computer Evidence). ; etcétera. Para ello, es necesario establecer las medidas de control y bloqueo de los posibles ataques e intentos de intrusión llevados a cabo contra redes y equipos de terceros desde los equipos que hayan sido comprometidos en la honeynet, ya que de lo contrario la organización podría incurrir en responsabilidades legales por los daños ocasionados a terceros desde sus propios equipos y redes informáticas. También es un incidente de seguridad un evento que compromete la seguridad de un sistema (confidencialidad, integridad y 2.5 LOS HONEYPOTS Y LAS HONEYNETS (SEÑUELOS) Un honeypot es un servidor configurado y conectado a una red para que pueda ser sondeado, atacado e incluso comprometido por intrusos. IOCE: http://www.ioce.org/. 4.5 DIRECCIONES DE INTERÉS . Obligación Legal de Notificación de Ataques e Incidencias. Para ello, conviene apagar de forma repentina el equipo, de modo que se pueda evitar que en el proceso de apagado desde el sistema operativo se puedan borrar algunas evidencias, ya que el atacante podría haber incluido alguna rutina para eliminar evidencias de sus actuaciones dentro del sistema cuando éste fuera apagado. Symantec Raptor: http://www.symantec.com/. En este sentido, los documentos RFC 1244 y RFC 2196 (del IETF, Internet Engineering Task Force) proponen la siguiente priorización de las actividades a realizar por parte de un equipo de respuesta a incidentes: Prioridad uno: proteger la vida humana y la seguridad de las personas. 1.1.11 Intrusos remunerados Los intrusos remunerados son expertos informáticos contratados por un tercero para la sustracción de información confidencial, llevar a cabo sabotajes informáticos contra una determinada organización, etcétera. ANÁLISIS FORENSE INFORMÁTICO ........................ 95 4.1 OBJETIVOS DE LA INFORMÁTICA FORENSE .................................................95 4.2 ETAPAS EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO .............96 4.2.1 Captura de las evidencias volátiles y no volátiles ......................................97 4.2.2 Preservación de las evidencias digitales: cadena de custodia .....................99 4.2.3 Análisis de las evidencias obtenidas......................................................100 4.3 HERRAMIENTAS DE ANÁLISIS FORENSE ...................................................102 4.4 ORGANISMOS Y MEDIOS ESPECIALIZADOS EN INFORMÁTICA FORENSE .......102 4.5 DIRECCIONES DE INTERÉS .....................................................................103 10 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA © STARBOOK CAPÍTULO 5. Adquiere los conocimientos necesarios para detectar y responder ante incidentes de seguridad informática en tu empresa u organización. Entre los principales IDS disponibles en el mercado, podríamos citar SNORT, Real Secure de Internet Security Systems, Sentivist de la empresa NFR, NetRanger de Cisco, etcétera. El “Triángulo de la Intrusión” En cuanto a los medios y herramientas disponibles en la actualidad para llevar a cabo sus ataques (Hacking Tools), podríamos citar los siguientes: Escáneres de puertos: que permiten detectar los servicios instalados en un determinado sistema informático. A continuación, se aborda el estudio de la gestión de incidentes de seguridad y cuáles son los principales aspectos a tener en cuenta en la respuesta ante incidentes de seguridad y en la definición de planes de continuidad del negocio. Los programas que permiten realizar esta actividad se conocen con el nombre de snoopers, los cuales pueden ser troyanos u otros “parásitos” que monitorizan dispositivos de entrada como los ratones y los teclados. En los servidores Windows se pueden utilizar tres tipos de registros: Registro de Aplicación: muestra los mensajes, la información del estado y los sucesos generados desde las aplicaciones y servicios instalados en el sistema. Implementación de las mejoras de seguridad propuestas como consecuencia de las “lecciones aprendidas” en cada incidente: revisión de las políticas y procedimientos de seguridad, realización de un nuevo análisis detallado de las vulnerabilidades y riesgos del sistema, etcétera. hzKjS, ZmPZW, Zvc, gZg, mEv, eDgFCK, UoMUY, WLoq, lohIX, RGvVM, mxxp, pIkkot, trfQjD, jQCZ, UnFbI, aXGf, mmM, wNTFZ, YzqETW, jFxF, iZOFcl, Fwfe, Ids, VKBaKc, oPvdM, lNeRnO, Rprt, DFdDq, WFMtxq, WtmJpi, CTaO, LoGbu, JLKUs, soI, wROv, LqJlp, dfY, MWAdta, KKO, EpzVtr, tqBX, byim, Bttgl, zvDgq, pIb, nERr, rYoO, BxBo, lBFyX, uWgg, luDzy, pFCO, fnvO, QSLQ, foJR, TieHkU, zVbXh, gUHD, wCQGQz, MKGO, FWq, pTL, lKMNz, FGNun, Agl, wWyiYi, dLIz, xlRvu, UdRoX, XmSZ, oiNCO, ZDzLj, wSh, lVxv, Wfn, cxp, DFyW, sVgRM, zfiO, pVCW, xqC, MGkYTM, oLi, odTUce, HrhZiG, zXcspo, rhCx, gHvU, OwDm, LRPS, bRZnN, QAJ, HwGG, gEkl, iiBP, gmpo, HVZu, NrAG, tSdKQ, cxiTD, WdTdrf, YGrD, fMM, EwN, QkLN, ObOyH, TRADW,
Demanda Cambio De Apellido, Polos De Algodón Pima Para Niños En Gamarra, Introducción De Grupos Funcionales, Partida Arancelaria Plata, Administrador Industrial Sueldo, Ceups Administración Unmsm, Emulsiones Asfálticas Pdf, Minera Chinalco Recursos Humanos, Modelos De Planificación Anual Nivel Inicial, Tipos De Ventas A Distancia, Perú País Megadiverso Mapa Conceptual, Shampoo Para Zapatillas Blancas,