Tal y como escribe Lorna Hutcheson en su post en el ISC de SANS, muchas veces el problema a la hora de comenzar un proceso de Incident Handling es que los afectados ni siquiera se dan cuenta de que han sufrido un incidente de seguridad.
Según el SANS Institute, el proceso de Incident Handling tiene unas etapas definidas, de las cuales las dos primeras (Preparación y Detección) son de especial importancia en el día día de las empresas, ya que en caso de no cumplirse dificulta mucho el análisis forense posterior, y por lo tanto aumenta las posibilidades de que el mismo incidente o similar pueda volver a ocurrir.
Por ello, y partiendo de la base que no se ha realizado una fase de preparación muy adecuada (IDS, capturas de tráfico de red, logs almacenados remotamente en las máquinas, etc), este artículo de SANS nos da 10 indicadores/síntomas de que podemos estar sufriendo una intrusión. Evidentemente esto no es la panacea, pero si no hemos realizado una fase de preparación pueden resultar útiles para saber cuando debemos acudir a un especialista en seguridad.
Este es el decálogo, mis comentarios van en cursiva:
Según el SANS Institute, el proceso de Incident Handling tiene unas etapas definidas, de las cuales las dos primeras (Preparación y Detección) son de especial importancia en el día día de las empresas, ya que en caso de no cumplirse dificulta mucho el análisis forense posterior, y por lo tanto aumenta las posibilidades de que el mismo incidente o similar pueda volver a ocurrir.
Por ello, y partiendo de la base que no se ha realizado una fase de preparación muy adecuada (IDS, capturas de tráfico de red, logs almacenados remotamente en las máquinas, etc), este artículo de SANS nos da 10 indicadores/síntomas de que podemos estar sufriendo una intrusión. Evidentemente esto no es la panacea, pero si no hemos realizado una fase de preparación pueden resultar útiles para saber cuando debemos acudir a un especialista en seguridad.
Este es el decálogo, mis comentarios van en cursiva:
- Tu servidor de logging no registra nada o no has recibido alertas en las últimas 12 horas <- Generalmente hay actividad, si no recibes nada no quiere decir que tus sistemas se han vuelto más perfectos por si solos o que los atacantes han reconocido tu superioridad y han dejado de atacarte, probablemente ya los tienes en casa y simplemente están impidiendo que te lleguen las alertas
- Los discos de tu servidores FTP o de tus usuarios de repente se han llenado o quizá los logs han crecido a un tamaño no habitual
- Los productos de la competencia se parecen a los tuyos, con pequeños cambios <- o están ofreciendo servicios similares a los tuyos por precios ligeramente inferiores a tus mismos clientes, cuando el precio de tus servicios no es algo público
- Tus compradores empiezan a recibir Spam en la cuenta que solo usaban para tus servicios <- cuidado con las contraseñas de clientes, la mayoría de personas utilizan las mismas contraseñas para clientes/proveedores que para la propia empresa, así que si sufres una intrusión puede que gran parte de tus clientes se puedan ver afectados
- Los usuarios reportan cosas como ventanas cerrandose por si mismo, página de inicio del navegador cambiada, etc -> En general, cualquier comportamiento anómalo puede ser señal de una intrusión o virus
- Alguien necesita ayuda para conectarse a la Wifi de la compañía y la compañía no tiene ninguna Wifi <- casi todas las empresas tienen hoy en día Wifi, pero es una técnica habitual abrir un Rogue AP para intentar hacer un MitM a los usuarios
- Te das cuenta de que el software da errores o se cuelga de repente (software de pagos, navegadores, etc) <- en ocasiones es lo normal, pero si empieza a dar errores de forma más seguida hay que confirmar si se trata de algún parche reciente del fabricante que ha producido inestabilidad (esto es bastante habitual) o si puede haber otras razones (binario cambiado, librerías cambiadas, etc)
- Te notifican los usuarios que su contraseña no funciona <- una cantidad de usuarios bloqueados o que se han olvidado la contraseña es normal, pero si este número aumenta mucho puede que nos estemos viendo afectados por un ataque de fuerza bruta que está bloqueando a los usuarios de los que intentan obtener contraseña. Quizá en el momento que nos damos cuenta ya ha obtenido una clave y está dentro de nuestros sistemas
- Los sistemas funcionan de forma inusualmente lenta <- medirlo con medios objetivos, recordad que para los usuarios los sistemas SIEMPRE funcionan de manera inusualmente lenta. Si por contra el administrador verifica la lentitud es conveniente verificar el sistema y las comunicaciones, y si aún así no encontramos el motivo no es conveniente dejarlo pasar, quizá no veamos el proceso que provoca la carga porque está oculto mediante algún tipo de rootkit o similar
- Los visitantes a tu web corporativa notifican que son redirigidos a otra o que simplemente no tiene el mismo aspecto de siempre <- esta es evidente, demasiado evidente, un defacement de la web puede ser un objetivo en si mismo, en cuyo caso no tienen que haber llegado al resto de sistemas o puede ser una medida de distracción para centrar los esfuerzos de los técnicos y que no nos demos cuenta de que otras actividades anómalas están teniendo lugar en nuestra red
Evidentemente lo mejor es montar detectores de intrusos basados en red y en host, análisis (automático si es posible) de logs y generación de alertas en caso de producirse anomalías, etc, pero al menos con este decálogo de SANS tenéis la opción de salir airosos de un incidente y, quizá para la próxima vez, implantar medidas de Preparación y Detección para que si vuelve a ocurrir seamos capaces de detectarlo tempranamente y de disponer de la máxima cantidad de información posible
Finalizo el post con una gran frase que me dijo un profesor cuando estudiaba en la universidad: "Todo administrador de sistemas sufre alguna vez alguna intrusión en su vida, no importa lo experto que sea, pero sabe enfrentarse a ella y hacer una correcta gestión del incidente. El administrador que os diga que NUNCA ha sufrido una intrusión en sus sistemas es que sencillamente nunca se dio cuenta de ello".
Una gran frase, sin duda, y un buen decálogo, gracias SANS.
.png "English"){kind=small}
Entradas
No hay comentarios :
Publicar un comentario