Prevención de ataques a sistemas y Preparación y respuesta ante incidentes - Análisis Forense Digital | EL Informático GO Sistemas

Prevención de ataques a sistemas y Preparación y respuesta ante incidentes - Análisis Forense Digital

byEl Maestro de la Web Minutos de Lectura
0

 Detectar un ataque a sus sistemas informáticos antes de que se produzca, o en el peor de los casos en el instante en el que comienza, siempre será mejor que tener que recuperar el sistema recurriendo a sus copias de seguridad... por que las hace ¿verdad?.

Piense que es muy importante para proteger su actividad productiva, mantener el número de incidentes razonablemente bajo. Si sus controles de seguridad son insuficientes y sufre continuos ataques a sus sistemas, éstos pueden repercutir negativamente en sus actividad, tanto desde el punto de vista económico como el de imagen.

Existen multitud de libros y artículos que le proporcionarán información sobre como asegurar sus sistemas, y dado que este aspecto queda fuera del alcance del trabajo, se van a exponer de forma breve algunas recomendaciones para asegurar sus sistemas, redes, aplicaciones y datos. 

  •  Disponer de una correcta gestión de parches y actualizaciones de su hardware y software, ya que gran parte de los ataques se basan en explotar un número reducido de vulnerabilidades en sistemas y aplicaciones. 
  •  Asegurar los servidores basándose en el concepto de privilegio mínimo, esto es, configurarlos para que proporcionen un número limitado de servicios y con un nivel de acceso restringido según el tipo de usuario. Además deben evitarse configuraciones por defecto, como claves predefinidas, recursos compartidos, etc. También sería interesante disponer de medios de notificación al administrador cuando se produzcan accesos a niveles de privilegio no autorizados.
  •   Mantener la seguridad de la red, configurando un filtro perimetral en modo “paranoico”, esto es, denegando cualquier tipo de acceso no autorizado expresamente, y manteniendo sólo el tráfico necesario para la actividad diaria normal. Esto incluirá instalación de cortafuegos, detectores de intrusos (IDS), monitores de red, uso de redes privadas virtuales (VPNs), uso de protocolos seguros (IPSec, SSL).
  •   Prevenir la ejecución de código malicioso (malware), utilizando programas antivirus capaces de parar este tipo de código como virus, caballos de Troya, gusanos y además “especies”.
  •   Formar e informar a sus usuarios para que conozcan, acepten y sean capaces de aplicar las directrices de su política de seguridad. Hágales ver lo que ha ocurrido en otras organizaciones o entidades, cómo han “aprendido la lección”, cómo ha afectado un incidente a sus actividades (y a sus sueldos). Informando y formando a los usuarios reducirá la frecuencia de los incidentes, sobre todo aquellos que impliquen la ejecución de código malicioso, o el saltarse la política de uso adecuado de los sistemas.
Preparación y respuesta ante incidentes 
Si ya ha tomado las medidas descritas en el apartado anterior, y quizás alguna más, y aunque a nadie la agrade tener que preparar actuaciones ante desastres en sus sistemas informáticos, siendo realista, no estaría de más incluir dentro de su política de seguridad un Plan de Respuesta ante Incidentes. Éstos planes dependerán en gran medida de las características de su organización, y de su política, pero en base y sin extendernos en ello pues no es objetivo de este documento, deberían contener los siguientes puntos:
  •  Alcance, propósitos y objetivos del plan de acción. 
  •  Estructura organizativa del equipo de respuesta a incidentes, responsabilidades, autoridad, departamentos implicados. 
  •  Actuaciones para la contención del problema. 
  •  Procedimientos de recuperación y restauración de sistemas SIN eliminación de posibles evidencias del ataque.
  •  Índices para la valoración de los daños, tanto desde el punto de vista económico como de imagen corporativa. 
  •  Determinar en qué casos se tratará el incidente internamente y en qué casos se dará aviso a las Autoridades. 
  •  Sopesar la contratación de personal externo para llevar a cabo la investigación. 
  • Establecer las fases de la investigación.
  •  Elaboración de informes y formularios tipo para comunicación del incidente tanto dentro como fuera de la organización si fuese necesario.  
Por otro lado, y debido a que la recopilación de evidencias digitales puede llegar a ser una tarea bastante difícil, será necesario preparar sus sistemas para obtener buenos datos forenses. La implantación de procedimientos adecuados en la gestión de archivos, registros y copias de seguridad pueden ayudar al quipo investigados en esta labor. Se exponen a continuación algunas recomendaciones:
  1. Conocer y monitorizar los parámetros de funcionamiento normal de los sistemas, tales como tráfico IP usual, carga de transacciones, ancho de banda consumido, usuarios conectados, etc. 
  2. Utilizar un servidor de registros central y establecer una política de mantenimiento y retención de esos registros que permitan su estudio pasado el tiempo. 
  3. Activar al máximo de detalle la información que contendrán los archivos de registro, lo que permitirá facilitar el proceso de reconstrucción de lo sucedido. 
  4. Sincronizar todos los relojes de los servidores mediante, por ejemplo, el protocolo NTP (Network Time Protocol), permitiendo que los registros contengan todos la misma hora. 
  5. Disponer de una base de conocimientos sobre incidentes, basta algo tan sencillo como enlaces páginas de software antivirus, o empresas y organizaciones especializadas en seguridad informática, así como suscribirse a sus listas e-mail de notificaciones de alertas y vulnerabilidades. 
  6. Considere la experiencia como un factor irremplazable, esto le permitirá distinguir rápidamente un ataque de un simple problema técnico. 


4.94 / 169 rates

Publicar un comentario

Tema Anterior Tema Siguiente