Respuesta a incidentes
CSIRT CEDIA apoyará a los administradores en el manejo de aspectos técnicos y organizacionales de los incidentes. En particular proveerá asistencia o aviso referente a los siguientes aspectos del manejo de incidentes:
Servicios Reactivos:
- Alertas y avisos
- Manejo de Incidentes
- Análisis de Incidentes
- Respuesta a incidentes in-situ
- Apoyo en respuesta a incidentes
- Coordinación en respuesta a incidentes
- Manejo de vulnerabilidades
Servicios Proactivos:
- Vigilancia Tecnológica
- Auditorías o evaluaciones de seguridad
- Configuración y mantenimiento de Herramientas de Seguridad, Aplicaciones e Infraestructuras
- Desarrollo de Herramientas de Seguridad
- Servicios de Detección de Intrusos
- Diseminación de Información relacionada con la Seguridad
Servicios de Gestión de la Calidad:
- Consultorías de Seguridad
- Concienciación sobre seguridad
- Educación y entrenamiento en seguridad
Investigación inicial de incidentes
- Investigar si en efecto un incidente ha ocurrido.
Determinar el alcance del incidente.
Coordinación de incidentes
- Determinar la causa inicial del incidente (vulnerabilidad explotada).
- Facilitar contacto con otros sitios que pueden haber estado involucrados.
- Facilitar contacto con departamentos de seguridad de miembros del CEDIA y/o entidades a cargo del manejo de investigaciones judiciales y legales.
- Crear reportes para otros CSIRTs.
- Preparar anuncios a usuarios, si aplicara.
Resolución de incidentes
Eliminar la vulnerabilidad
- Apoyo en el aseguramiento de sistemas derivados de lo aprendido en el incidente.
- Evaluar si ciertas acciones pueden arrojar resultados en proporción con su costo y riesgo, en particular acciones dirigidas a un eventual proceso judicial o acción disciplinaria: recolección de evidencias luego del hecho, observación de un incidente en progreso, plantando trampas al intruso, etc.
- Recolectar evidencia cuando se contemplen acciones judiciales, policiales, o acción disciplinaria dentro de la organización donde ocurre el evento.
- Además, CSIRT-CEDIA recolectará estadísticas referentes a incidentes que ocurran dentro de o esté involucrado uno o varios de los miembros del CEDIA, notificando a la comunidad de ser necesario para apoyar en la protección contra ataques conocidos.
Para hacer uso de los servicios de respuesta a incidentes de CSIRT-CEDIA por favor envíe un Email a las direcciones indicadas en el punto 2.11 arriba indicado. Por favor recuerde que la asistencia disponible dependerá de acuerdo a los parámetros definidos en 4.1.
Actividades proactivas
CSIRT-CEDIA coordina y mantiene los siguientes servicios dentro de las posibilidades que sus recursos le permiten:
- Servicios de información
- Lista de contactos de seguridad de instituciones miembros del CEDIA. Esta información puede ser consultada via correo electrónico a la dirección indicada en el punto 2.1
- Listas de correo para informar a los contactos de instituciones miembro de información relevante a sus ambientes de seguridad. Estas listas estarán disponibles a los administradores de las redes de las instituciones miembro del CEDIA.
- Repositorio con actualizaciones de fabricantes que permitan la distribución local de sus actualizaciones. Este repositorio estará disponible al público siempre que las restricciones del fabricante le permitan. Y será provisto utilizando http, ftp y/o rsync.
- Repositorio de documentación para ser usada por administradores de sistemas.
- Servicio de resúmenes de noticias de diversos sitios de internet dedicados a la seguridad. Los resultados de este servicio se harán disponibles de forma pública o a través de las listas de acuerdo al nivel de sensibilidad de la información y urgencia.
- Servicios de entrenamiento.
- Los miembros del CSIRT-CEDIA dictarán seminarios periódicos en tópicos relacionados con la seguridad; estos seminarios estarán abiertos a administradores de sistemas de las instituciones miembro del CEDIA.
- Servicios de auditoría de seguridad. Estos servicios estarán disponibles solamente a los administradores de la red auditada
- Servicios de almacenamiento
- Servicio de alojamiento de históricos para máquinas que sean capaces de enviar eventos estilo syslog/rsyslog. Estos logs podrían ser revisados por sistemas de análisis de logs, eventos o tendencias, con la finalidad de detectar y reportar al administrador del sistema infectado de potenciales eventos de seguridad.
- Referencias de incidentes de seguridad serán mantenidos de forma confidencial, estadísticas periódicas serán puestas a disposición de la comunidad del CEDIA.
Descripciones detalladas de los servicios aquí indicados, además de instrucciones para unirse a listas de correo, descargas o participando en servicios como manejo centralizado de logs, estarán disponibles en el sitio web del CSIRT-CEDIA.
Formularios de reportes de incidentes
Utilizar el formulario de reporte de incidentes que aparece en la primera página, columna derecha del sitio web del CSIRT-CEDIA.
Se está creando un formulario más detallado basándonos en el formulario del CERT.org. Para revisarlo ingresa aquí.