Forensics in Spanish
RE: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 19 2006 12:09AM
Jose Archondo (jarchondo bancosol com bo)
Hola a tod@s:

Considero que en una Política de Seguridad, no debe decir nunca qué hacer en caso de detectarse una intrusión. Lo que debería decir es que debería tener la Infraestructura Tecnológica como requerimientos mínimos para evitar este tipo de ataques.

En un procedimiento específico de IT, como Seguridad de Redes, debe incluirse todos los pasos que se deben realizar cuando se detectan estos incidentes de seguridad, y como no existe un procedimiento estándar, lo mejor que deberías hacer es proponer las actividades que mitigan ese riesgo de acuerdo al tipo de Infraestructura Tecnológica que tengas.

Saludos cordiales.

José Archondo Illanes

-----Mensaje original-----
De: listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]] En nombre de mr_mosh (at) ml1 (dot) net [email concealed]
Enviado el: Lunes, 18 de Septiembre de 2006 14:46
Para: forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión?

On Mon, 18 Sep 2006 10:30:58 +0200, ".:: b3r2c0 ::."
<bertuco (at) lostintheshell (dot) net [email concealed]> said:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola amig@s!
>
> Actualmente estoy desarrollando, junto con el equipo completo de
> sistemas, la política de seguridad para mi empresa. Nos ha quedado un
> documento bastante majo, pero ha llegado un punto "crítico", en el que
> ninguno tenemos experiencia real: La intrusión en nuestros sistemas.
>
> Según lo que hemos preparado tanto los sistemas cómo la red van a estar
> "blindados", el nivel de paranoia empleado en nuestra política de
> seguridad es bastante alto, aún así, nos gustaría conocer la opinión de
> expertos para ver cómo actuar ante una intrusión.
>
> De todo lo que he leído por ahí, lo que más me llama la atención es las
> dos vertientes frente al caos: desconexión inmediata, copia a bajo
> nivel, etc... y la del seguimiento en tiempo real para intentar dar con
> el atacante; supongo, aunque no siempre lo he visto así, que lo ideal es
> que con cualquiera de las dos prácticas, las autoridades sean avisadas
> en el momento.
>
> Espero vuestras sugerencias.
>
> Gracias por todo de antemano.
> - --
> Salud0S!
>
> |_|0|_| .:: bertuco a.k.a b3r2c0 ::.
> |_|_|0| http://www.lostintheshell.net
> |0|0|0| http://metabolik.hacklabs.org
> - -------------------------------------
> 0x57BD758D bertucoAlostintheshell.net
>
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.5 (GNU/Linux)
>
> iD4DBQFFDllArVtBcFe9dY0RAtRsAJi6cYOuJij2Ip+q51MewzAMpIp6AJ9WeCrc
> WdqxSup1nxIU8okuUNxApg==
> =I/vZ
> -----END PGP SIGNATURE-----

------------------------------------------------------------------------
---------------------------

Bueno yo creo que hay muchas cosas importantes que cuidar, contraseñas,
logins, etc, etc, pero
la mayoria de las veces cuando los atacantes no derriban los sistemas,
quieren recuperar su entrada al sistema
facilmente, entonces ellos dejan "backdoors" que les garantizan un
ingreso facil, rapido y seguro para recuperar
el terreno ganado anteriormente, entonces una sugerencia seria

1. El monitoreo en tiempo real, revisando cada uno de los puertos del
sistema
2. Usar los llamados IDS's (Intrusion Detection Systems)
3. Poner trampas como los llamados Honeypots para hacer creer al
atacante que el sistema es muy vulnerable
4. Rastrear su direccion IP y por ende su ISP y avisar directamente a
las autoridades de su ciudad.

Esta puede ser una buena practica para que puedan atrapar al Hacker si
son afortunados y no se encuentran con un Cracker
(el cual terminaria con el sistema sin importarle su contenido) debido a
la tecnologia que (tanto Hackers como Crackers) usan para evadir
diferentes sistemas de seguridad, espero esta info les sirva de algo.

.:: 10011010110111101110011011010000 ::.

--

mr_mosh (at) ml1 (dot) net [email concealed]

--
http://www.fastmail.fm - Access your email from home and the web

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus