CSIRT CEDIA

Equipo de Respuesta ante Emergencias Informáticas – CEDIA

Servicios

Respuesta a incidentes

CSIRT CEDIA apoyará a los administradores en el manejo de aspectos técnicos y organizacionales de los incidentes. En particular proveerá asistencia o aviso referente a los siguientes aspectos del manejo de incidentes:

Servicios Reactivos:

  • Alertas y avisos
  • Manejo de Incidentes
  • Análisis de Incidentes
  • Respuesta a incidentes in-situ
  • Apoyo en respuesta a incidentes
  • Coordinación en respuesta a incidentes
  • Manejo de vulnerabilidades

Servicios Proactivos:

  • Vigilancia Tecnológica
  • Auditorías o evaluaciones de seguridad
  • Configuración y mantenimiento de Herramientas de Seguridad, Aplicaciones e Infraestructuras
  • Desarrollo de Herramientas de Seguridad
  • Servicios de Detección de Intrusos
  • Diseminación de Información relacionada con la Seguridad

Servicios de Gestión de la Calidad:

  • Consultorías de Seguridad
  • Concienciación sobre seguridad
  • Educación y entrenamiento en seguridad

Investigación inicial de incidentes

  • Investigar si en efecto un incidente ha ocurrido.
    Determinar el alcance del incidente.

Coordinación de incidentes

  • Determinar la causa inicial del incidente (vulnerabilidad explotada).
  • Facilitar contacto con otros sitios que pueden haber estado involucrados.
  • Facilitar contacto con departamentos de seguridad de miembros del CEDIA y/o entidades a cargo del manejo de investigaciones judiciales y legales.
  • Crear reportes para otros CSIRTs.
  • Preparar anuncios a usuarios, si aplicara.

Resolución de incidentes

Eliminar la vulnerabilidad

  • Apoyo en el aseguramiento de sistemas derivados de lo aprendido en el incidente.
  • Evaluar si ciertas acciones pueden arrojar resultados en proporción con su costo y riesgo, en particular acciones dirigidas a un eventual proceso judicial o acción disciplinaria: recolección de evidencias luego del hecho, observación de un incidente en progreso, plantando trampas al intruso, etc.
  • Recolectar evidencia cuando se contemplen acciones judiciales, policiales, o acción disciplinaria dentro de la organización donde ocurre el evento.
  • Además, CSIRT-CEDIA recolectará estadísticas referentes a incidentes que ocurran dentro de o esté involucrado uno o varios de los miembros del CEDIA, notificando a la comunidad de ser necesario para apoyar en la protección contra ataques conocidos.

    Para hacer uso de los servicios de respuesta a incidentes de CSIRT-CEDIA por favor envíe un Email a las direcciones indicadas en el punto 2.11 arriba indicado. Por favor recuerde que la asistencia disponible dependerá de acuerdo a los parámetros definidos en 4.1.

Actividades proactivas

CSIRT-CEDIA coordina y mantiene los siguientes servicios dentro de las posibilidades que sus recursos le permiten:

  • Servicios de información
  • Lista de contactos de seguridad de instituciones miembros del CEDIA. Esta información puede ser consultada via correo electrónico a la dirección indicada en el punto 2.1
  • Listas de correo para informar a los contactos de instituciones miembro de información relevante a sus ambientes de seguridad. Estas listas estarán disponibles a los administradores de las redes de las instituciones miembro del CEDIA.
  • Repositorio con actualizaciones de fabricantes que permitan la distribución local de sus actualizaciones. Este repositorio estará disponible al público siempre que las restricciones del fabricante le permitan. Y será provisto utilizando http, ftp y/o rsync.
  • Repositorio de documentación para ser usada por administradores de sistemas.
  • Servicio de resúmenes de noticias de diversos sitios de internet dedicados a la seguridad. Los resultados de este servicio se harán disponibles de forma pública o a través de las listas de acuerdo al nivel de sensibilidad de la información y urgencia.
  • Servicios de entrenamiento.
  • Los miembros del CSIRT-CEDIA dictarán seminarios periódicos en tópicos relacionados con la seguridad; estos seminarios estarán abiertos a administradores de sistemas de las instituciones miembro del CEDIA.
  • Servicios de auditoría de seguridad. Estos servicios estarán disponibles solamente a los administradores de la red auditada
  • Servicios de almacenamiento
  • Servicio de alojamiento de históricos para máquinas que sean capaces de enviar eventos estilo syslog/rsyslog. Estos logs podrían ser revisados por sistemas de análisis de logs, eventos o tendencias, con la finalidad de detectar y reportar al administrador del sistema infectado de potenciales eventos de seguridad.
  • Referencias de incidentes de seguridad serán mantenidos de forma confidencial, estadísticas periódicas serán puestas a disposición de la comunidad del CEDIA.

Descripciones detalladas de los servicios aquí indicados, además de instrucciones para unirse a listas de correo, descargas o participando en servicios como manejo centralizado de logs, estarán disponibles en el sitio web del CSIRT-CEDIA.

Formularios de reportes de incidentes

Utilizar el formulario de reporte de incidentes que aparece en la primera página, columna derecha del sitio web del CSIRT-CEDIA.

Se está creando un formulario más detallado basándonos en el formulario del CERT.org. Para revisarlo ingresa aquí.