Open Source Toolsfor Practical Response to Incidents

Mateo Martínez Giovanni Cruz ForeroCEO KOD LATAM SECURITY

www.kod.uy CEO CSIETE

www.csiete.org

Temario1. INTRODUCCIÓN

2. PREPARACIÓN

3. DETECCIÓN Y ANÁLISIS

4. CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN

5. ACTIVIDADES POST-INCIDENTE

Respuesta a Incidentes después del Simposio

Oficialmente eres el encargado de IR...

Hay un incidente…

¿Porqué Respuesta a Incidentes?

Software Libre + Respuesta a Incidentes

¿Cómo sentimos que estamos?

¿Cómo nos hemos preparado?

Así estamos...

Así nos ven los atacantes...

Así son los atacantes

Y así...

Y así también...

Y aún así...

O incluso así...

También se ven ...

Fuente: NIST Computer Security Incident Handling Guide

NIST SP 800-61

Preparación

Preparación● Crear un plan de respuesta ante incidentes

● Priorizar activos

● Sistemas de reporte de incidentes

● Analizadores de tráfico de red

● Herramientas de análisis forense digital

● Conocer configuración de sistemas

● Imágenes de Sistemas Operativos Limpias

● Hashes de archivos críticos

Preparación

https://www.owasp.org/index.php/OWASP_Incident_Response_Project

Preparación

https://www.owasp.org/index.php/OWASP_Open_Cyber_Security_Framework_Project

Preparación

https://www.sans.org/reading-room/whitepapers/incident/incident-response-capabilities-2016-2016-incident-response-survey-37047

Preparación

http://www.haka-security.org/

Preparación

http://molo.ch/

Preparación

https://github.com/volatilityfoundation/volatility

Preparación

https://www.cuckoosandbox.org/

Preparación

https://www.alienvault.com/products/ossim

Preparación

https://github.com/CERTUNLP

Prevención● Gestión de riesgos

● Hardening

● Seguridad y monitoreo de redes

● Prevención de malware

● Capacitación a usuarios

Prevención

http://ossec.github.io/

Prevención

https://oisf.net/suricata/

Prevención

http://www.openvas.org/

Prevención

https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project

Detección y Análisis

Vectores de AtaqueSignos de un Incidentes

Fuentes de Precursores e IndicadoresAnálisis de Incidentes

Documentación del IncidentePriorización del IncidenteNotificación del Incidente

Contención, Erradicación y Recuperación

Elección de la Estrategia de ContenciónRecolección y Manejo de Evidencia

Identificación de los Equipos AtacadosErradicación y Recuperación

F.I.D.O.

Fuentes de Precursores e Indicadore

https://github.com/Netflix/Fido

Signos de un Incidente

F.I.D.O.

F.I.D.O.

ELK

osquery

Análisis del Incidentehttps://osquery.io/

REDLINE

MIG: Mozilla InvestiGator

Linux + OS X

VERIS - Vocabulary for Event Recording and Incident Sharing

Documentación del Incidente

STIX - Structured Threat Information eXpression Documentación del Incidente

TAXII

HAIL A TAXII

THREATCONNECT

OTX - Open Threat Exchange

Soluciones Internas

MISP

MISP

MOZDEF

Manera Tradicional de Documentación

FIR

RTIR

THREAT NOTE

Actividades Post-Incidente● Lecciones Aprendidas● Análisis de datos recolectados● Retención de Evidencias

Conclusiones● No hemos cubierto ni el 30% de herramientas open source disponibles para

hacer la respuesta a incidentes de manera práctica, cubrimos solamente algunas de las más relevantes

● El uso de este tipo de herramientas puede permitir una fácil operación de un grupo de respuesta a incidentes sin la necesidad de una inversión alta ni la necesidad de muchos recursos

● Se debe tener un espíritu hacker para poder tener una infraestructura de un grupo de Respuesta a Incidentes con herramientas open source, no será un click and install, pero el resultado podrá permitir tener una infraestructura realmente personalizada.

Muchas gracias

CEO KOD LATAM SECURITYwww.kod.uy

CEO CSIETEwww.csiete.org