Open Source Tools - Herramientas de Open... · Open Source Tools for Practical Response to...
Transcript of Open Source Tools - Herramientas de Open... · Open Source Tools for Practical Response to...
Open Source Toolsfor Practical Response to Incidents
Mateo Martínez Giovanni Cruz ForeroCEO KOD LATAM SECURITY
www.kod.uy CEO CSIETE
www.csiete.org
Temario1. INTRODUCCIÓN
2. PREPARACIÓN
3. DETECCIÓN Y ANÁLISIS
4. CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN
5. ACTIVIDADES POST-INCIDENTE
Respuesta a Incidentes después del Simposio
Oficialmente eres el encargado de IR...
Hay un incidente…
¿Porqué Respuesta a Incidentes?
Software Libre + Respuesta a Incidentes
¿Cómo sentimos que estamos?
¿Cómo nos hemos preparado?
Así estamos...
Así nos ven los atacantes...
Así son los atacantes
Y así...
Y así también...
Y aún así...
O incluso así...
También se ven ...
Fuente: NIST Computer Security Incident Handling Guide
NIST SP 800-61
Preparación
Preparación● Crear un plan de respuesta ante incidentes
● Priorizar activos
● Sistemas de reporte de incidentes
● Analizadores de tráfico de red
● Herramientas de análisis forense digital
● Conocer configuración de sistemas
● Imágenes de Sistemas Operativos Limpias
● Hashes de archivos críticos
Preparación
https://www.owasp.org/index.php/OWASP_Incident_Response_Project
Preparación
https://www.owasp.org/index.php/OWASP_Open_Cyber_Security_Framework_Project
Preparación
https://www.sans.org/reading-room/whitepapers/incident/incident-response-capabilities-2016-2016-incident-response-survey-37047
Preparación
http://www.haka-security.org/
Preparación
http://molo.ch/
Preparación
https://github.com/volatilityfoundation/volatility
Preparación
https://www.cuckoosandbox.org/
Preparación
https://www.alienvault.com/products/ossim
Preparación
https://github.com/CERTUNLP
Prevención● Gestión de riesgos
● Hardening
● Seguridad y monitoreo de redes
● Prevención de malware
● Capacitación a usuarios
Prevención
http://ossec.github.io/
Prevención
https://oisf.net/suricata/
Prevención
http://www.openvas.org/
Prevención
https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project
Detección y Análisis
Vectores de AtaqueSignos de un Incidentes
Fuentes de Precursores e IndicadoresAnálisis de Incidentes
Documentación del IncidentePriorización del IncidenteNotificación del Incidente
Contención, Erradicación y Recuperación
Elección de la Estrategia de ContenciónRecolección y Manejo de Evidencia
Identificación de los Equipos AtacadosErradicación y Recuperación
F.I.D.O.
Fuentes de Precursores e Indicadore
https://github.com/Netflix/Fido
Signos de un Incidente
F.I.D.O.
F.I.D.O.
ELK
osquery
Análisis del Incidentehttps://osquery.io/
REDLINE
MIG: Mozilla InvestiGator
Linux + OS X
VERIS - Vocabulary for Event Recording and Incident Sharing
Documentación del Incidente
STIX - Structured Threat Information eXpression Documentación del Incidente
TAXII
HAIL A TAXII
THREATCONNECT
OTX - Open Threat Exchange
Soluciones Internas
MISP
MISP
MOZDEF
Manera Tradicional de Documentación
FIR
RTIR
THREAT NOTE
Actividades Post-Incidente● Lecciones Aprendidas● Análisis de datos recolectados● Retención de Evidencias
Conclusiones● No hemos cubierto ni el 30% de herramientas open source disponibles para
hacer la respuesta a incidentes de manera práctica, cubrimos solamente algunas de las más relevantes
● El uso de este tipo de herramientas puede permitir una fácil operación de un grupo de respuesta a incidentes sin la necesidad de una inversión alta ni la necesidad de muchos recursos
● Se debe tener un espíritu hacker para poder tener una infraestructura de un grupo de Respuesta a Incidentes con herramientas open source, no será un click and install, pero el resultado podrá permitir tener una infraestructura realmente personalizada.
Muchas gracias
CEO KOD LATAM SECURITYwww.kod.uy
CEO CSIETEwww.csiete.org