Ciberterrorismo: La nueva realidad de la Seguridad...
Transcript of Ciberterrorismo: La nueva realidad de la Seguridad...
![Page 1: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/1.jpg)
Ciberterrorismo:
La nueva realidad de la Seguridad de la Información
Manuel Humberto Santander Peláez Arquitecto Seguridad de la Información
![Page 2: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/2.jpg)
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
![Page 3: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/3.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Historia
• Los viejos días …
– Windows 3.1
– DOS era usado para la gran mayoría de los
programas
– Internet Incipiente
– Modems!!!
– Computación Centralizada
– Mainframes
![Page 4: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/4.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Historia (2)
• La información de la compañía residía
en libros
– Consultas manuales en archivos físicos de
las compañías
– Aseguramiento físico de la información
• La operación de infraestructura crítica
se hacía en sitio
– Protocolos y maquinas propietarios
![Page 5: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/5.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes
• Los mensajes anónimos se realizaban
manualmente
– Se cortaban letras de revistas
– Había que evitar los reconocimientos
grafológicos
– El correo público, ideal para camuflar el
emisor de la comunicación
![Page 6: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/6.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (2)
• Las suplantaciones igualmente existían
– ¿Qué tan fácil se puede suplantar una firma?
– ¿Cuántas personas cayeron en conversaciones
telefónicas con una persona ficticia?
• Los atentados terroristas también existían
– Bombas
– Tomas guerrilleras
– Ningún sistema crítico se conecta a TI
![Page 7: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/7.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (3)
• Los virus de aquel entonces no hacían
mayores estragos
– Se desplegaban por diskettes
– Pocas aplicaciones en red
– Internet inexistente
• Los sistemas críticos tenían redes de datos
incipientes y aisladas
– Tecnología no era una variable crítica en la
empresa
![Page 8: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/8.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Los viejos fraudes (4)
• Los sistemas críticos tenían redes de datos
incipientes y aisladas
– Las contingencias en los sistemas críticos se
hacían análogamente configurando y moviendo
físicamente dispositivos
– Los sistemas de gestión eran análogos
– Poca comunicación con el mundo real
![Page 9: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/9.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Pero …
• La tecnología evolucionó
• Internet hizo su aparición en el país
• Los negocios empezaron a requerir
intercambio de archivos dinámico,
incluyendo a los sistemas industriales
• La información ya no estaba sólo en
servidores centrales …
![Page 10: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/10.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos
• Suplantación de usuarios
– Robo cuentas MSN
– Robo cuentas Facebook
– ¿Qué pasa si se roban las cuentas con
privilegios de escritura en el sistema SCADA?
• Envío de correos electrónicos anónimos
– Hotmail, GMAIL, yahoo, …
– ¿Qué pasa si el correo anónimo es interno?
• Robo información estratégica de las
compañías
![Page 11: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/11.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (2)
• Robo información estratégica de las
compañías
• Modificación de sitios web de las
compañías
• Ataques distribuidos de negación de
servicio
– Muy comunes en anonymous
– Busquen “webhive” en twitter ;)
![Page 12: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/12.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (3)
![Page 13: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/13.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (4)
![Page 14: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/14.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Nuevos riesgos (5)
![Page 15: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/15.jpg)
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
![Page 16: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/16.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo?
• Es la combinación de ataques a las redes
de cómputo y técnicas especiales de
operación y defensa
• Tiene 8 principios
– Ausencia de limitaciones físicas
– Debe tener efectos físicos: agua, energía,
telecomunicaciones
– Invisibilidad
![Page 17: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/17.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo? (2)
• Tiene 8 principios
– Mutabilidad e inconsistencia
– Identidad y privilegios
– Uso dual de herramientas para ataque y
defensa
– Control de infraestructura
– Información como ambiente operacional
![Page 18: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/18.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Qué es ciberterrorismo? (3)
• Temas a considerar:
– Actividad maliciosa: crimen, espionaje,
terrorismo, ataques
– La clasificación se realiza dependiendo de las
intenciones del perpetrador y el efecto del
acto
– Todos estos actos comienzan como incidente
de seguridad
![Page 19: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/19.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país
• Sistema Bancario
– Los bancos controlan el flujo de efectivo en el
país
– Si se afecta la operación de los tres mas
grandes se crea un impacto lo suficientemente
grande como para interrumpir la normal vía
diaria de la población
– Se paraliza la economía
![Page 20: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/20.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (2)
• Sistema Bancario
– Múltiples canales para el manejo de
información
– Múltiples vectores de vulnerabilidades
– Grandes infraestructuras con buena inversión
en seguridad
– Regulados por la circular 052
– Foco principal de ciberdelincuentes
![Page 21: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/21.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (3)
• Sistema eléctrico
– Controlado por sistemas SCADA para la
generación, transmisión y distribución de
energía eléctrica
– Infraestructura obsoleta tecnológicamente
• Windows NT Server
• Windows XP sin parches
• Máquinas SOLARIS sin parches
• Todas las anteriores con configuraciones por
defecto
![Page 22: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/22.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Servicios críticos para el país (4)
• Sistema eléctrico
– Conectado a las redes de datos para el
intercambio de información del negocio
– Posibilidad de materialización de múltiples
riesgos en la infraestructura
– Si se materializa, puede dejar el país a oscuras
completamente
![Page 23: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/23.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Cómo se realiza ciberterrorismo?
• Utilización de herramientas para
penetration testing pero con fines
terroristas
– Causar un apagón
– Inutilizar el sistema bancario
– Deshabilitar los servicios de comunicaciones
del país
– Cualquier cosa que pueda causar caos
![Page 24: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/24.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional
![Page 25: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/25.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional (2)
![Page 26: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/26.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Sistema Interconectado Nacional (3)
![Page 27: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/27.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Red SCADA Sistema Eléctrico
![Page 28: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/28.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
¿Cómo se realiza ciberterrorismo? (2)
• Exploits al alcance de cualquier persona
– http://www.packetstormsecurity.org
– http://www.securityfocus.org
– http://www.exploit-db.com
• Herramientas para análisis de
vulnerabilidades
– http://www.nessus.org
– http://www.openvas.org
– http://www.metasploit.com
![Page 29: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/29.jpg)
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
![Page 30: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/30.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Ciclo de vida respuesta a incidentes
Preparación Detección y
Análisis
Contención, Erradicación
y Recuperación
Actividades Post-
Incidente
![Page 31: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/31.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Preparación de incidentes
• Debe establecerse una capacidad de
respuesta a incidentes en la organización
• Deben instalarse controles para que los
equipos de cómputo, la red y las
aplicaciones son suficientemente seguros
• Comunicaciones de los administradores de
incidentes
• Hardware y software para respuesta a
incidentes
![Page 32: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/32.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad
• Firewalls
– Aplicación
– Red
• Sistemas de Detección de Intrusos
– Red (NIDS)
– Host (HIPS)
• Controles de navegación URL
![Page 33: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/33.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad (2)
• Control antimalware
– Servidores y PC
– Internet (http, ftp, smtp)
• Data loss prevention
– Servidores
– PC
– Internet
• NAC
![Page 34: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/34.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Controles Técnicos de Seguridad (3)
• Mitigan el riesgo de seguridad de la
información
– No lo eliminan
– Sí, puede materializarse el riesgo aún teniendo
controles
• Pueden proveer evidencia en caso de la
ocurrencia de un incidente de seguridad
• ¿Qué hacer empresarialmente?
![Page 35: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/35.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Modelo Seguridad SCADA
![Page 36: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/36.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Prevención de incidentes
• El riesgo debe ser mínimo
– Los controles necesarios deben ser
implementados
– Si no están implementados, el número de
incidentes aumenta
• Proceso de gestión del riesgo
– Parte del Sistema de Gestión de Seguridad de
la Información
– El entorno cambia continuamente
![Page 37: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/37.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Prevención de incidentes (2)
• Controles de seguridad para prevención de
incidentes
– Administración de parches
– Línea base para servidores y PC
– Seguridad en Red
– Prevención de código malicioso
– Entrenamiento para usuarios
![Page 38: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/38.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis
• Los incidentes deben agruparse en
categorías
– Definición de procedimientos por cada
categoría de incidente
– Permite mayor rapidez para atender los
incidentes
![Page 39: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/39.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (2)
• Tipos de incidente
– Denial of Service
– Código malicioso
– Acceso no autorizado
– Uso inapropiado
![Page 40: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/40.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (3)
• Análisis de incidentes
– Las señales de incidentes no corresponden
necesariamente a incidentes que hayan
ocurrido o estén ocurriendo
– Deben descartarse problemas en la
infraestructura o en el software antes de
determinar que fue un incidente de seguridad
![Page 41: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/41.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Detección y análisis (4)
• Análisis de incidentes
– ¿Cómo determinar si ocurrió un incidente?
• Determine patrones en los equipos y las redes de
datos
• Determine los comportamientos normales
• Use logs centralizados y cree una política de
retención de logs
![Page 42: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/42.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Contención, erradicación y recuperación
• Escogencia de una estrategia de
contención
• Captura y manejo de evidencia
– Debe aplicarse la normatividad legal para la
captura de la evidencia
• Erradicación y recuperación
– El servicio debe recuperarse
– ¿Qué es primero? ¿Evidencia o servicio?
![Page 43: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/43.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Actividades post incidente
• Lecciones aprendidas
– ¿Qué pasó exactamente y en qué tiempos?
– ¿Cómo manejó la gerencia y el personal el
incidente? ¿Se siguieron los procedimientos?
¿Fueron adecuados?
• Métricas del proceso de respuesta a
incidentes
– Número de incidentes atendidos
– Tiempo por incidente
– Auditoría del proceso de respuesta a incidentes
![Page 44: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/44.jpg)
AGENDA
o Introducción
o Ciberterrorismo: una realidad actual
o Respuesta a incidentes de seguridad
o Caso práctico: Colombia
![Page 45: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/45.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Entidades encargadas de la respuesta a
incidentes en Colombia
• ColCERT: Dependencia del Ministerio de
Defensa encargado de coordinar la
respuesta del país a incidentes de
seguridad que afecten su funcionamiento
• Centro Cibernético Policial (CCP):
Dependencia adscrita a la DIJIN, encargada
de las labores de investigación y
procesamiento inicial de delincuentes
informáticos
![Page 46: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/46.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Entidades encargadas de la respuesta a
incidentes en Colombia (2)
• Comando Conjunto Cibernético (CCP):
Dependencia adscrita al Comando de las
Fuerzas Militares, el cual se encarga de
coordinar la respuesta a incidentes de
seguridad que afecten la seguridad
nacional
• Todas creadas a partir del documento
CONPES 3701
![Page 47: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/47.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura
crítica nacional
• La Organización de Estados Americanos y el
ColCERT organizaron los días 21 y 22 de
septiembre los primeros ejercicios de
simulacro de ataques a la infraestructura
crítica nacional
• Invitados de los sectores críticos del país
– Presidencia
– Bancos
![Page 48: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/48.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura
crítica nacional
• Invitados de los sectores críticos del país
– Sector eléctrico
– Universidades
– CCP
– CCC
– ColCERT
• Se trabajó con base en una circunstancia
particular del país
![Page 49: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/49.jpg)
Ciberterrorismo: La nueva realidad en la Seguridad de la Información
Simulacro de ataques a la infraestructura
crítica nacional (2)
• Conclusiones del ejercicio
– Los sectores críticos del país no están
preparados para contener un incidente de
seguridad de naturaleza ciberterrorista
– No existen iniciativas de coordinación entre los
diversos sectores
![Page 51: Ciberterrorismo: La nueva realidad de la Seguridad …manuel.santander.name/PONALEPM.pdf•Modificación de sitios web de las compañías •Ataques distribuidos de negación de servicio](https://reader034.fdocuments.net/reader034/viewer/2022042110/5e8b4adae937144b0c4c6ff9/html5/thumbnails/51.jpg)