Día de la seguridad 8va edición.
• Casos basados en hechos reales
• Por confidencialidad los hechos y datos han sido alterados
• Se asumen conocimientos técnicos de la audiencia
PIAR v 015. 2024 Plan Individual de ajustes razonables
Incidentes en Seguridad de la Información por Francisco Villegas Landin
1.
2. Incidentes en Seguridad de la Información
¿Qué hemos aprendido?
Lic. Francisco Villegas Landin,
Jefe de Oficina de Seguridad de la Información (CSO)
Director Servicios de Seguridad, redIT (Metro Net)
CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE
3. Agenda
• Casos basados en hechos reales
• Por confidencialidad los hechos y datos han sido alterados
• Se asumen conocimientos técnicos de la audiencia
5. Ataque de Anonymous
• Dia 3, notificación en el
Underground #Operacion del
ataque
• A marchas forzadas, el día 5 del
mes se arranca una operación de
contención y erradicación con el
cliente
• Un fenómeno natural detiene el
ataque
• Anonymous ataco en 4 ocasiones
• El incidente DDoS a las 12:00 por
3 horas, el segundo por 2 horas y
los otros dos siguientes por una
hora
• Se declaro por terminado el
incidente el tercer día a las 12:00
horas
6. Estrategia de la Operación
Obtener la mayor cantidad de información posible sobre
la naturaleza del incidente.
En la medida de lo posible, contener o prevenir la
propagación del daño causado por el incidente.
Reparar o coordinar la reparación del daño causado por el
incidente.
Restaurar los servicios tan pronto sea posible.
Preservar la evidencia del incidente.
Asegurar que el incidente fuera apropiadamente
reportado y escalado.
Tomar las medidas proactivas necesarias para mitigar
incidentes futuros.
7. Oportunidades en la preparación…
• No conocíamos a todos los involucrados (no había directorio)
• No contamos con el inventario de infraestructura de TI
• No contamos con el análisis de vulnerabilidades de toda la infraestructura
de Internet
• No pudimos hacer un cruce de infraestructura contra vulnerabilidades –
estuvimos prácticamente a “ciegas”
• En prácticamente 12 horas se estableció un “war room”
8. Factores Críticos de Exito…
•
Establecimos un pequeño laboratorio y probamos los vectores de
ataque
•
Nuestro equipo de especialistas mediante “spoof” en el
“underground” encontramos los patrones de los principales
vectores de ataque
•
Tomamos la decisión de pedir al carrier que bloquearan las redes
de países con los que el cliente no tiene negocio y que eran
posibles fuentes de ataque
•
Bajamos el umbral de peticiones aceptadas por el firewall.
•
En línea estuvimos bloqueando fuentes de ataque con el IPS
9. ¿que aprendimos?
Liderazgo / Coordinación / Colaboración y Trabajo en equipo
Involucrar y que participen de todas las áreas de la Organización
Conocer la infraestructura de IT (Inventario Actualizado)
No responder, ni lanzar ataques
Establecer un equipo y proceso de respuesta a incidentes
Establecer un proceso de administración de la seguridad (vulnerabilidades)
Monitoreo Continuo de la operación 7x24
10. Caso – Robo de Identidad
• Origen: Crimen Organizado y personal interno
• Destino: Javier, empresario
• Incidente: Robo de 200 mil pesos por clonación de tarjeta
de crédito
• Impacto: Banco X determino que el incidente fue en la
empresa de Javier, el perdió su dinero, no denuncio a las
autoridades, despidió a las personas relacionadas.
• El Banco lanzo una investigación interna sobre el proceso
de impresión de tarjetas de crédito
11. Caso – Robo de Identidad (2)
•
•
•
•
Marzo 2012 - Denuncia del Banco y solicitud de apoyo
Análisis en computadoras del usuario (3 Laptops)
GSI Encase Forensics (Imagen Forense)
Búsqueda
–
–
–
–
–
–
Análisis de Bitácoras de Windows
Código Malicioso
Archivos Ocultos
Usuarios, Correo, Navegación Web, Chat
Revisión de los sistemas perimetrales (Firewall, Router)
Revisión del servicio de correo electrónico «hosteado»
12. Caso – Robo de Identidad (3)
• Hallazgos del Caso - Evidencia
– Correos Electrónicos de personal interno con comunicación
relacionada hacia cuentas de correo externo
– Cache del Explorador con URL’s de Google y Hotmail con
direcciones de correo
– Conversaciones de MSN relacionadas
– Direcciones IP de Origen y Destino
– Imágenes de Credencial de Elector de la victima
– Archivos PDF con comprobantes de domicilio
13. Caso – Robo de Identidad (4)
• Lección aprendida
– En un proceso de cómputo forense debe buscarse por evidencia
electrónica contundente e irrefutable que indique al menos que y
como sucedió, cuando sucedió y quién lo hizo
14. Caso – Acceso no autorizado
• Origen: Personal Interno
• Destino: Miguel, Director General de área
• Incidente: Acceso no autorizado a 5 equipos de colaboradores e
inclusive a su máquina y extracción de documento crítico
• Impacto: Acceso a documentos confidenciales y a información
personal para toma de decisiones sobre compra de empresas
• La organización despidió a la persona involucrada que ejecuto el
incidente, y también a los autores intelectuales (otro Director)
15. Caso – Acceso no autorizado (2)
•
•
•
•
Agosto 2012 - Denuncia del Cliente y solicitud de apoyo
Análisis en computadoras del usuario (5 Laptops)
GSI Encase Forensics (Imagen Forense)
Búsqueda
–
–
–
–
–
–
–
Análisis de Bitácoras de Windows
Código Malicioso
Archivos Ocultos
Usuarios, Correo, Navegación Web, Chat
Revisión de los sistemas perimetrales (Firewall, Router)
Revisión del servicio de correo electrónico «hosteado»
Revisión del Filtrado Web
16. Caso – Acceso no autorizado (2)
•
Hallazgos del Caso - Evidencia
– Windows no deja evidencia de copias
– Evidencia de logons Exitosos «Anonymous Logon»
– Dirección IP de Origen y «Hostname» que realizo los accesos
– No se encontró nada más en la computadora
•
No había forma de relacionar los «anonymous logon» con la evidencia en el equipo ni con la
copia del archivo.
•
Pensé en buscar por evidencia en el sistema de Filtrado URL
– Se encontró evidencia de navegación del «Hostname» en el filtrado con direcciones IP y se
– Se relaciono los horarios de acceso con el log del Sistema de filtrado, donde el proxy
requería autenticación.
– La persona que lo ejecuto dio su user y su password para salir a internet.
17. Caso – Acceso no autorizado (3)
• Lección aprendida
– No necesariamente la evidencia hallada en un sistema de computo
nos llevará a la resolución de un caso, habrá que buscar en el
«Ecosistema» en su totalidad
18. Caso – Robo de Efectivo
•
•
•
•
•
Origen: Personal Interno y Hacker
Destino: Banco Y, Sucursal Z
Incidente: Robo de dinero
Impacto: Pérdida de 500,000 mil pesos
La organización despidió a la persona involucrada y
demando penalmente a los involucrados (el hacker y el ex
empleado), a la fecha el proceso sigue, uno esta en la
cárcel sin sentencia y el otro esta en proceso pero en su
casa, no se logro identificar al tercero.
19. Caso – Robo de Efectivo (2)
• Oct 2010 – Llamada del Cliente y solicitud de apoyo
• Alerta del Sistema Antifraudes del Banco por extracción de
efectivo
• Se asistió al sitio
• Revisión en vivo (GSI Encase Portable)
• Búsqueda
–
–
–
–
Análisis de Bitácoras de Windows
Código Malicioso
Ejecución de Procesos
Revisión de Memoria
20. Caso – Robo de Efectivo (3)
•
Hallazgos del Caso - Evidencia
– Archivos Abiertos y ejecutados
– Montaje de USB y Lectura de DVD
– Horarios Ejecución de Programas
•
Observe el «ambiente» había una cámara de videograbación
•
Solicite revisar videos (de las 14:00 a las 14:30)
– En el video aparecía el Gerente de la Sucursal, hablando por teléfono celular,
fumando y montando el CD-ROM en el dispensador
– Con la evidencia electrónica y el video se «presiono» al ex-empleado
– Se observa como saca el dinero y lo guarda
– Se observa a un tercero que recoge el dinero (no se logra identificar)
21. Caso – Robo de Efectivo (4)
• Lección aprendida
– Hay que relacionar hechos del entorno «físico» con los del entorno
«digital» como son horarios y controles de seguridad física,
ejemplo, controles de acceso «tarjetas, registros bitácoras
manuales, cámaras de vídeo»
– En este caso la evidencia contundente fue la videograbación y el
sustento fue la actividad de la persona en la computadora.
22. ¿PREGUNTAS?
Lic. Francisco Villegas Landin,
Jefe de Oficina de Seguridad de la Información (CSO)
Director Servicios de Seguridad, redIT (Metro Net)
CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE