Upload
others
View
18
Download
0
Embed Size (px)
Citation preview
Open Source Toolsfor Practical Response to Incidents
Mateo Martínez Giovanni Cruz ForeroCEO KOD LATAM SECURITY
www.kod.uy CEO CSIETE
www.csiete.org
Temario1. INTRODUCCIÓN
2. PREPARACIÓN
3. DETECCIÓN Y ANÁLISIS
4. CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN
5. ACTIVIDADES POST-INCIDENTE
Respuesta a Incidentes después del Simposio
Oficialmente eres el encargado de IR...
Hay un incidente…
¿Porqué Respuesta a Incidentes?
Software Libre + Respuesta a Incidentes
¿Cómo sentimos que estamos?
¿Cómo nos hemos preparado?
Así estamos...
Así nos ven los atacantes...
Así son los atacantes
Y así...
Y así también...
Y aún así...
O incluso así...
También se ven ...
Fuente: NIST Computer Security Incident Handling Guide
NIST SP 800-61
Preparación
Preparación● Crear un plan de respuesta ante incidentes
● Priorizar activos
● Sistemas de reporte de incidentes
● Analizadores de tráfico de red
● Herramientas de análisis forense digital
● Conocer configuración de sistemas
● Imágenes de Sistemas Operativos Limpias
● Hashes de archivos críticos
Preparación
https://www.owasp.org/index.php/OWASP_Incident_Response_Project
Preparación
https://www.owasp.org/index.php/OWASP_Open_Cyber_Security_Framework_Project
Preparación
https://www.sans.org/reading-room/whitepapers/incident/incident-response-capabilities-2016-2016-incident-response-survey-37047
Preparación
http://www.haka-security.org/
Preparación
http://molo.ch/
Preparación
https://github.com/volatilityfoundation/volatility
Preparación
https://www.cuckoosandbox.org/
Preparación
https://www.alienvault.com/products/ossim
Preparación
https://github.com/CERTUNLP
Prevención● Gestión de riesgos
● Hardening
● Seguridad y monitoreo de redes
● Prevención de malware
● Capacitación a usuarios
Prevención
http://ossec.github.io/
Prevención
https://oisf.net/suricata/
Prevención
http://www.openvas.org/
Prevención
https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project
Detección y Análisis
Vectores de AtaqueSignos de un Incidentes
Fuentes de Precursores e IndicadoresAnálisis de Incidentes
Documentación del IncidentePriorización del IncidenteNotificación del Incidente
Contención, Erradicación y Recuperación
Elección de la Estrategia de ContenciónRecolección y Manejo de Evidencia
Identificación de los Equipos AtacadosErradicación y Recuperación
F.I.D.O.
Fuentes de Precursores e Indicadore
https://github.com/Netflix/Fido
Signos de un Incidente
F.I.D.O.
F.I.D.O.
ELK
osquery
Análisis del Incidentehttps://osquery.io/
REDLINE
MIG: Mozilla InvestiGator
Linux + OS X
VERIS - Vocabulary for Event Recording and Incident Sharing
Documentación del Incidente
STIX - Structured Threat Information eXpression Documentación del Incidente
TAXII
HAIL A TAXII
THREATCONNECT
OTX - Open Threat Exchange
Soluciones Internas
MISP
MISP
MOZDEF
Manera Tradicional de Documentación
FIR
RTIR
THREAT NOTE
Actividades Post-Incidente● Lecciones Aprendidas● Análisis de datos recolectados● Retención de Evidencias
Conclusiones● No hemos cubierto ni el 30% de herramientas open source disponibles para
hacer la respuesta a incidentes de manera práctica, cubrimos solamente algunas de las más relevantes
● El uso de este tipo de herramientas puede permitir una fácil operación de un grupo de respuesta a incidentes sin la necesidad de una inversión alta ni la necesidad de muchos recursos
● Se debe tener un espíritu hacker para poder tener una infraestructura de un grupo de Respuesta a Incidentes con herramientas open source, no será un click and install, pero el resultado podrá permitir tener una infraestructura realmente personalizada.
Muchas gracias
CEO KOD LATAM SECURITYwww.kod.uy
CEO CSIETEwww.csiete.org