Post on 07-Mar-2015
www.antel.com.uy
Centro de Respuesta a Incidentes de Seguridad Informática y de Telecomunicaciones
Desafío 2007
Agenda
• Incidentes de seguridad: un dato de la realidad
• Cómo enfrentarlos• Situación actual del CSIRT y próximos
hitos
Incidentes de seguridad
• Internet y las TIC, han revolucionado la forma de hacer negocios pero, también han introducido nuevos riesgos
• No es una opción dejar de brindar servicios por Internet
• Debemos en consecuencia reconocer y asumir que la seguridad total no existe
• El impacto de los incidentes es cada vez más significativo, en ocasiones pone en riesgo la continuidad del negocio de las organizaciones
• Debemos a su vez aprender a tomar los incidentes de seguridad como un dato de la realidad y a tratar con ellos
Difusión de herramientas, complejidad e impacto de su uso
19
90
19
90
19
95
19
95
20
00
20
00
20
05
20
05
DDoSGusanos, troyanos, virus
Phishing,PharmingPocas personas
accediendo a herramientas complejas y de impacto limitado
Muchas personas accediendo a herramientas de fácil uso y de impacto importante
ScanningSniffers
Incidentes de seguridad
• Cuando ocurren incidentes de seguridad entonces, es crítico que nuestra comunidad tenga un modo efectivo y coordinado de responder
• La velocidad con la cual las organizaciones de nuestra comunidad puedan reconocer, analizar y responder a un incidente de seguridad limitará los daños y disminuirá los costos de recuperación
Estrategias posibles
• La óptica de las O&M
– Su premisa básica es la disponibilidad del
servicio
– En dicho contexto, se busca minimizar el
tiempo medio de “reparación”
• La óptica del “equipo de seguridad”
– Su premisa es entender que está pasando, de
manera de minimizar su impacto, cuantificar
los daños que el incidente ha provocado y
eliminar la posibilidad de re-ocurrencia
Enfrentando un incidente de seguridad
• Es cada vez más frecuente que los incidentes de seguridad involucren a varios sectores de una empresa
• Los sistemas son cada vez más especializados, lo que provoca problemas de comunicación y coordinación entre especialistas
Enfrentando un incidente de seguridad
• No necesariamente la suma de los mejores esfuerzos de cada una de las partes involucradas en un incidente de seguridad redunda en el mejor resultado en cuanto a analizarlo y combatirlo
• Porque,
– pueden haber intereses distintos
• Por ejemplo: restablecer el servicio vs. analizar
qué está pasando
– se puede duplicar, triplicar, ... el esfuerzo
– se pierde tiempo tratando de coordinar o por no
coordinar
La propuesta
• Un equipo de personas que se dedica a gestionar los Incidentes de Seguridad de la Comunidad Objetivo.
• Alejados de la “línea de fuego” de O&M y sin interferir en ella
• Comunidad Objetivo:
– Organizaciones del Estado, Grandes Clientes,
Antel, Anteldata, Ancel y subsidiarias.
Servicios brindados• Reactivos
– Alertas
– Manejo de incidentes
• Proactivos– Anuncios
– Detección proactiva
de incidentes
– Elaboración de políticas y
“best practices”
• Valor agregado
– Capacitación y
entrenamiento
– Análisis de riesgo
– Consultoría en
seguridad
– Concientización de la
comunidad en temas
de seguridad
El equipo CSIRT
• Computer Security Incident Response Team
• En nuestro caso se trata de un Equipo de Respuesta a Incidentes de Seguridad Informática y de Telecomunicaciones
• Es un estrategia innovadora en América Latina, pero está ampliamente difundida en los países desarrollados
• CERT/CC®, FIRST, TERENA
Equipos de respuesta a incidentesFuente: FIRST – 11/06
184 Equipos en 36 184 Equipos en 36 paísespaíses
Estados Estados UnidosUnidos
7171
CanadCanadáá
1010
América América LatinaLatina
66
Asia y Asia y OceaníaOceanía
2222
EuropaEuropa
7575
ÁfricÁfricaa 00
Beneficios esperados
• La Comunidad Objetivo obtiene un lugar para reportar incidentes de seguridad informáticos y de telecomunicaciones los que se tratarán con el compromiso profesional, la confidencialidad y la celeridad necesarias
• La existencia de coordinación en la respuesta:
– Disminuye los tiempos de reacción de todos los
actores
– Disminuye el impacto y el costo de recuperación
en las organizaciones integrantes de la comunidad
– Aumenta la resiliencia de las empresas a las crisis
en sus sistemas de información
Situación actual
• El CSIRT de ANTEL se encuentra operativo
• Ha resuelto más de 40 incidentes de seguridad
informática en el presente año
• Algunos de ellos de gran significancia, obteniendo
reducciones en las resoluciones de los incidentes
de hasta dos días de disponibilidad promedio
• Se ha realizado informática forense para otros
organismos del Estado
Qué estamos haciendo• Gestionando incidentes de seguridad informática
y de telecomunicaciones• Aprendiendo (de los errores y de los aciertos) y
documentando las resoluciones de los incidentes• Difundiendo técnicas y metodologías de
seguridad• Siguiendo la metodología del CERT/CC®• Preparándonos para aplicar al FIRST (Forum
Incident Response Security Teams), en mayo 2007.
• Promoviendo la existencia de un CERT para Uruguay
• Para contactarnos,
email: csirt@antel.com.uy; tel: +598.2.928.2838
FUENTE: EL OBSERVADOR
¡Muchas gracias por su atención!
Ing. Eduardo CarozoIng. Leonardo Vidal
www.antel.com.uy