Professional Documents
Culture Documents
Claves
celulares
tarjetas de acceso
documentos sensibles
Que ha iniciado sesin en el ordenador
Las impresiones dejadas en la impresora
Las contraseas en notas adhesivas
Archivadores dejaron abierta o desbloqueada
Artculos personales, como el correo con PII
Algunas personas quieren tener una poltica de escritorio limpio un paso ms all al
lavado y desinfeccin de escritorios con limpiadores antibacteriales y
desinfectantes sobre una base diaria. Ellos son libres de hacerlo, pero eso no es
parte de una poltica de escritorio limpio relacionada con la seguridad.
Las polticas de administracin de cuentas / Account Management Policies
Captulo 2 presenta la gestin de cuentas como un control de acceso lgico.
Cuentas proporcionan acceso a los sistemas y redes, y gestin de cuentas implica la
creacin, eliminacin y desactivacin de cuentas.
Cuando no se gestionan las cuentas, que pueden representar vulnerabilidades
significativas a la organizacin. Polticas de gestin de la cuenta de guiar a los
administradores para tratar y prevenir estas vulnerabilidades. Esta seccin describe
los elementos comunes incluidos en una poltica de gestin de cuentas.
Poltica Privilege de privilegios de usuario son los derechos y permisos asignados a
los usuarios. Derechos identifican lo que un usuario puede hacer, como cambiar la
hora del sistema o reiniciar un sistema, y los permisos definen el acceso a los
recursos, tales como ser capaz de leer o modificar un archivo.
Una poltica de privilegios de usuario garantiza que los usuarios slo tienen los
derechos y permisos necesarios para realizar su trabajo y nada ms. En otras
palabras, que dicta el uso del principio de privilegio mnimo (descrito en el captulo
2). Por ejemplo, si Joe tiene que imprimir en una impresora, se le debe conceder el
permiso de impresin para que la impresora pero nada ms.
Muchos sistemas operativos imponen automticamente esto. Por ejemplo, en el
modelo de control de acceso discrecional (DAC) utilizado por los sistemas operativos
de Microsoft, los usuarios de los propios archivos. Cuando un usuario crea un nuevo
archivo, se concede al usuario acceso completo al expediente, pero nadie ms se le
da acceso directo al archivo. Los archivos heredarn los permisos asignados a
carpetas, por lo que otros usuarios pueden tener acceso basado en la herencia,
pero el sistema operativo no asignar estos permisos adicionales directamente a los
archivos recin creados. Slo el creador tiene acceso por defecto.
Los administradores a menudo utilizan los privilegios basados en el grupo (que se
describen en el captulo 2 como parte del control de acceso basado en roles) para
hacer cumplir una poltica de privilegios de usuario. En otras palabras, en lugar de
los administradores asignar privilegios directamente a un usuario, agregan la
cuenta de usuario a un grupo, y asignar privilegios al grupo. Esto simplifica la
administracin de usuarios y ayuda a cumplir privilegio menos. Si un empleado es
reasignado o promovido, el administrador simplemente aade el empleado a grupos
relacionados con el nuevo trabajo y elimina la cuenta de los grupos relacionados
con el trabajo anterior.
Captulo 8 presenta una revisin de los derechos de usuarios y permisos como una
auditora de seguridad. Esta crtica asegura que la poltica est siendo seguido, los
usuarios no tienen ms privilegios que ellos necesitan, y las cuentas inactivas son
deshabilitado o eliminado.
Recuerda esto
El principio de privilegios mnimos garantiza que los usuarios son los derechos
otorgados y los permisos necesarios para realizar las tareas asignadas y nada ms.
Los sistemas operativos hacen cumplir esto dando slo el creador de archivos
acceso completo a los archivos recin creados. Los administradores cumplir con
privilegios basados en el grupo. Derechos y permisos opiniones descubren
violacines.
Exigir a los administradores utilizar dos cuentas
Es comn para exigir a los administradores tener dos cuentas. Utilizan una cuenta
para el trabajo regular del da a da. Tiene los mismos privilegios limitados como un
usuario normal. La otra cuenta ha elevado privilegios necesarios para realizar el
trabajo administrativo, y usar esto slo cuando se realiza el trabajo administrativo.
El uso aceptable
Vacaciones obligatorios
Separacin de funciones
La rotacin de empleo
Uso Aceptable
Una poltica de uso aceptable define el uso adecuado del sistema. A menudo
describir el propsito de los sistemas informticos y redes, cmo los usuarios
pueden acceder a ellos, y las responsabilidades de los usuarios cuando acceden a
los sistemas.
Recuerda esto
Una poltica de uso aceptable define el uso adecuado del sistema. Los usuarios a
menudo estn obligados a leer y firmar una poltica de uso aceptable cuando
contratado, as como peridicamente, como con el entrenamiento de seguridad
anual.
Esta poltica se suele incluir definiciones y ejemplos de uso inaceptable. Por
ejemplo, los usuarios pueden estar prohibido el uso de recursos de la empresa para
asuntos personales, como las compras en Internet o visitar sitios web que no estn
relacionados con su trabajo.
Muchas organizaciones requieren que los usuarios leer y firmar un documento
indicando que entienden la poltica de uso aceptable cuando estn contratados y en
conjuncin con el entrenamiento de seguridad anual. En muchos casos, las
organizaciones publican la poltica en un sitio de intranet y firmar electrnicamente.
Otros mtodos, tales como banners de inicio de sesin o e-mails, ayudan reforzar
una poltica de uso aceptable.
Vacaciones obligatorios / Mandatory Vacations
Recuerda esto
Polticas de vacaciones obligatorias exigen a los empleados a tomar tiempo fuera de
su trabajo. Estas polticas ayudan a reducir el fraude y descubrir actividades
maliciosas.
Separacin de tareas / Separation of Duties
Separacin de funciones es un principio que impide a cualquier persona o entidad
de ser capaz de completar todas las funciones de un proceso crtico o sensible. Est
diseado para prevenir el fraude, el robo, y los errores.
Contabilidad ofrece el ejemplo clsico. Es comn dividir los departamentos de
contabilidad en dos divisiones:
Cuentas por cobrar y cuentas por pagar. El personal de la revisin divisin de
Cuentas por Cobrar y validar las facturas. A continuacin, enviar las facturas
validadas para el personal de la divisin de cuentas por pagar, que pagan las
facturas.
Si Joe era la nica persona que realiza ambas funciones, sera posible para l para
crear y aprobar un proyecto de ley del Excelentsimo Cuenta de Retiro de Joe.
Despus de aprobar el proyecto de ley, Joe entonces pagarlo. Si Joe no va a la
crcel, de hecho puede jubilarse anticipadamente a expensas de la salud financiera
de la empresa.
La separacin de las polticas deberes tambin se aplica al personal de TI.
Considere la posibilidad de defensa de la red. Un firewall es un control preventivo
que trata de prevenir los ataques y un sistema de deteccin de intrusiones basado
en red (NIDS) es un control detective que intenta detectar ataques. Si un solo
administrador logr ambos sistemas, es posible que las cuestiones podra ser
pasado por alto lo que resulta en errores. Sin embargo, mediante la separacin de
las tareas entre dos personas, se reduce la posibilidad de errores.
Como otro ejemplo, un grupo de administradores de TI puede ser asignado la
responsabilidad de mantener un grupo de servidores de bases de datos, pero no
tienen acceso a los registros de seguridad en estos servidores. En lugar de ello, los
administradores de seguridad revisar peridicamente estos registros, pero estos
administradores de seguridad no tendrn acceso a los datos dentro de las bases de
datos.
Considere lo que debera ocurrir si uno de los administradores de TI es promovido y
ahora est trabajando como administrador de la seguridad? Sobre la base de la
separacin de funciones, este administrador debe ahora tener acceso a los registros
de seguridad, pero el acceso a los datos dentro de las bases de datos debe ser
revocado. Sin embargo, si no se revocan los permisos del administrador a los datos,
el administrador tendr ms permisos de los necesarios violar el principio de
privilegios mnimos. A los derechos y permisos de revisin de usuario a menudo
descubrir este tipo de cuestiones.
Recuerda esto
Separacin de funciones impide que una sola persona o entidad de ser capaz de
completar todas las funciones de un proceso crtico o sensible al dividir las tareas
entre los empleados. Polticas de rotacin de empleo requieren que los empleados
para cambiar los roles en una base regular. Esto ayuda a asegurar que los
empleados no pueden continuar con la actividad fraudulenta indefinidamente.
Rotacin de empleo / Job Rotation
La rotacin de empleo es un concepto que tiene empleados rotan por diferentes
puestos de trabajo para conocer los procedimientos y procesos en cada uno. Desde
una perspectiva de seguridad, rotacin de tareas ayuda a prevenir o exponer atajos
peligrosos o incluso la actividad fraudulenta. El conocimiento se comparte con
varias personas, y ninguna persona puede mantener el control explcito de
cualquier proceso o datos.
Por ejemplo, su empresa podra tener un departamento de contabilidad. Como se
mencion en la separacin de la seccin de funciones, que separara la contabilidad
en dos divisiones: Cuentas por cobrar y cuentas por pagar.
Adems, se puede rotar el personal dentro y fuera de puestos de trabajo en las dos
divisiones. Esto garantizara una mayor supervisin sobre las operaciones del
pasado y ayudar a asegurar que los empleados estn siguiendo las reglas y
polticas.
Por el contrario, si una sola persona siempre tiene la misma funcin sin ninguna
expectativa de supervisin, la tentacin de ir fuera de los lmites de los aumentos
de las polticas establecidas.
Polticas de rotacin de empleo trabajan bien juntos, con la separacin de las
polticas de deberes. Una separacin de la poltica de derechos de ayuda a evitar
que una sola persona controle demasiado. Sin embargo, si una organizacin slo se
utiliza una separacin de la poltica de los derechos, es posible que dos personas se
unen en un plan para defraudar a la compaa. Si se utiliza una poltica de rotacin
en el empleo, estas dos personas no sern capaces de continuar la actividad
fraudulenta indefinidamente.
Polticas de rotacin de empleo tambin se aplican al personal de TI. Por ejemplo, la
poltica puede requerir a los administradores cambiar los roles de manera regular,
como cada ao o cada tres meses. Esto evita que cualquier administrador nico de
tener demasiado control sobre una red.
Voy a ir a la crcel Antes Le doy las contraseas! (Ill Go to Jail Before I
Give You the Passwords!)
La ciudad de San Francisco tena un ejemplo extremo de los peligros de una sola
persona con mucho conocimiento explcito o poder. Un administrador de red con la
ms alta certificacin de Cisco de Cisco Certified Internetwork Expert (CCIE) realiz
cambios en la red de la ciudad, el cambio de contraseas para que slo los conoca
y asegurar que l era la nica persona con acceso administrativo.
Podra ser que l estaba tomando estas acciones para proteger la red que l
consideraba su "beb". l era el nico CCIE, y es posible mirar a los dems como
simplemente no tener los conocimientos necesarios para mantener adecuadamente
la red. Con los aos, cada vez menos personas tuvieron acceso a lo que estaba
haciendo, y su conocimiento se hicieron ms y ms propietarios. En lugar de ser
malicioso en la naturaleza, que puede haber sido simplemente protectora, aunque
excesivamente protector.
En algn momento, su jefe reconoci que todos los huevos de informacin estaban
en la canasta de este CCIE solitario. Era demasiado arriesgado. Y si el CCIE fue
alcanzado por uno de los tranvas de San Francisco? Qu iban a hacer? El jefe le
pidi algunas contraseas y l se neg, incluso cuando se enfrentan a la detencin.
Ms tarde, se dio cumplimiento de la ley contraseas de personal que no
funcionaron.
Recuerda esto
Un objetivo principal de la concienciacin sobre la seguridad y la formacin es
reforzar el cumplimiento de usuario con las polticas de seguridad y ayudar a
reducir los riesgos planteados por los usuarios. El xito de cualquier plan de
concienciacin sobre la seguridad y la formacin depende del apoyo de la alta
direccin. Debido a cuestiones de seguridad cambian con el tiempo, es comn para
proporcionar cursos de actualizacin peridica.
El entrenamiento puede incluir una amplia variedad de temas en funcin de la
organizacin. Algunos de los temas son:
para identificar la sensibilidad de los datos. Las empresas privadas suelen utilizar
trminos como "Propietario", "Private", "anuncio" o "Pblico".
Recuerda esto
Organizaciones clasifican los datos para asegurarse de que los usuarios a entender
el valor de los datos y para ayudar a proteger los datos sensibles. Etiquetado de
datos garantiza que los usuarios sepan qu datos estn manejando y
procesamiento.
Los datos de etiquetado y manipulacin
Etiquetado de datos garantiza que los usuarios sepan qu datos estn manejando y
procesamiento. Por ejemplo, si una organizacin clasifica los datos de forma
confidencial, privada, sensible, y pblica, sino que tambin utilizaran el etiquetado
para identificar los datos. Estas etiquetas se pueden imprimir etiquetas para los
medios de comunicacin, tales como cintas de respaldo. Tambin es posible marcar
los archivos usando las propiedades del archivo, encabezados, pies de pgina y
marcas de agua.
Las etiquetas y clasificaciones usos una organizacin no son tan importantes como
el hecho de que utilizan etiquetas y clasificaciones. Organizaciones toman tiempo
para analizar sus datos, clasificar, y capacitar a los usuarios para garantizar la
usuarios reconocen el valor de los datos.
Considere una empresa que gasta millones de dlares en investigacin y desarrollo
(I + D) tratando de desarrollar o mejorar los productos. La empresa valora mucho
ms que datos de estos datos pblicamente disponibles en su sitio web, y hay que
protegerlo. Sin embargo, si los empleados tienen acceso a los datos de I + D y no se
clasifican o etiquetados, que no se dan cuenta de su valor y no puede protegerlo.
Por ejemplo, un contenido web autor puede escribir un artculo para el sitio web de
la empresa haciendo alarde de sus logros.
Si los datos de I + D no est clasificado y etiquetado, el autor puede incluir algo de
esto en I + D de datos en el artculo, sin querer dar competidores de la empresa
libre acceso a datos valiosos. Mientras que los empleados de I + D ser fcil
reconocer el valor de los datos, no es seguro asumir que todo el mundo lo hace. Por
otro lado, si los datos incluidos etiquetas confidencial o privada, cualquiera sera
reconocer su valor y tomar las medidas adecuadas para su proteccin.
Captulo 9 present informacin sobre las copias de seguridad. Como recordatorio,
es importante proteger las copias de seguridad con el mismo nivel de proteccin
que los datos originales. Las etiquetas de los administradores de ayuda de los
medios de copia de seguridad a identificar fcilmente el valor de los datos de las
copias de seguridad.
Almacenamiento y retencin Polticas
nombre completo
Cumpleaos y el nacimiento lugar
La informacin mdica y de la salud
Calle o correo electrnico la informacin de direccin
Las caractersticas personales, como los datos biomtricos
Cualquier tipo de nmero de identificacin, como por ejemplo un nmero de
Seguro Social o nmero de licencia de conducir
En general, se necesitan dos o ms piezas de informacin para que sea PII. Por
ejemplo, "John Smith" no es PII por s mismo, ya que no se puede remontar de
nuevo a una persona especfica. Sin embargo, cuando se conecta el nombre con un
fecha de nacimiento, direccin, informacin mdica, o de otro tipo de datos, es PII.
Cuando los atacantes ganan PII, a menudo lo utilizan para obtener ganancias
econmicas a expensas de la persona. Por ejemplo, atacantes roban identidades,
tarjetas de crdito, el acceso y las cuentas bancarias vacas. Siempre que sea
posible, las organizaciones deberan minimizar el uso, recoleccin y retencin de
informacin de identificacin personal. Si no se mantiene, no puede verse
comprometida. Por otro lado, si que recopilan informacin de identificacin personal
y los atacantes comprometen los datos, la empresa es responsable.
El nmero de incidentes de violacin de la seguridad que implique la prdida de la
PII sigue aumentando. Por ejemplo, de un Veterano Empleado de la Administracin
copiar una base de datos en su ordenador porttil que contena informacin de
identificacin personal en ms de veintisis millones de EE.UU. veteranos. Tom el
ordenador porttil a casa y un ladrn rob. El VA luego pas por el doloroso y
costoso proceso de notificar a todas las personas que eran vulnerables al robo de
identidad, y los individuos afectados gastados incontables horas para fregar sus
registros de incidentes de robo de identidad. A pesar de que la polica ms tarde
recuperaron la computadora porttil, la VA pag $ 20 millones para resolver una
demanda en el caso.
Captulo 5 menciona varios otros casos, como el ataque a PlayStation Network de
Sony que comprometido ms de setenta y siete millones de registros de clientes
que resultan en gasto directo de ms de $ 171 millones.
Cada uno de estos casos result en el robo de identidad potencial y la prdida de la
buena voluntad y la confianza pblica de la compaa. Tanto los clientes como los
empleados se vieron afectados negativamente, y las empresas se vieron obligadas
a pasar tiempo y energa discutiendo el incidente, y gastar dinero tratando de
reparar su reputacin.
Recuerda esto
La informacin personal identificable (PII) incluye informacin como el nombre
completo, fecha de nacimiento, datos biomtricos, y la identificacin de los
nmeros como un SSN. Las organizaciones tienen la obligacin de proteger PII y, a
menudo identifican procedimientos para manejar y conservar PII en las polticas de
datos.
Proteger la PII
Las organizaciones tienen la obligacin de proteger la PII. Hay muchas leyes que
exigen la proteccin de la informacin de identificacin personal incluyendo las
leyes internacionales, las leyes federales y las regulaciones locales. Las
organizaciones a menudo se desarrollan polticas para identificar cmo manejan,
retener y distribuir informacin de identificacin personal, y estas polticas ayudan a
asegurar que estn cumpliendo con las regulaciones pertinentes. Cuando una
empresa no utiliza una poltica especfica PII, por lo general identificar los mtodos
utilizados para proteger PII en las polticas de datos relacionados.
Adems, muchas leyes requieren una empresa para reportar prdidas de datos
debido a fallos de seguridad. Si resulta un ataque en la prdida de datos PII cliente,
se requiere a la empresa a informar y notificar a las personas afectadas. A modo de
ejemplo, Arizona promulg una ley de notificacin violacin de la seguridad que
requiere cualquier empresa hacer negocios en Arizona para notificar a los clientes
de las brechas de seguridad. La mayora de los estados en los Estados Unidos
tienen leyes similares, y existen leyes internacionales similares.
Una de las razones ms comunes de datos parece caer en las manos equivocadas
es que los empleados no entienden los riesgos involucrados. Ellos no se dan cuenta
del valor de los datos en un ordenador porttil, o pueden copiar casualmente datos
PII en una unidad flash USB. Como se mencion anteriormente, la clasificacin de
datos y procedimientos de etiquetado ayudan a los empleados a reconocer el valor
de los datos y ayudan a proteger los datos sensibles.
nico servidor que proporciona los datos a los usuarios finales, todos los equipos de
la red P2P son pares, y cualquier equipo puede actuar como un servidor para otros
clientes.
La primera red P2P ampliamente utilizada fue Napster, un servicio para compartir
msica en lnea que funcion entre 1999 y 2001. Los usuarios copiar y distribuir
archivos de msica MP3 entre unos y otros, y estos fueron a menudo los archivos de
msica pirateada. Los archivos se almacenan en el sistema de cada usuario, y
siempre y cuando el sistema era accesible en Internet, otros usuarios pueden
acceder y descargar los archivos. Una orden judicial cerr Napster debido a
cuestiones de derecho de autor, pero ms tarde volvi a abrir como una tienda de
msica en lnea. Otras redes P2P y de software P2P siguen apareciendo y
evolucionando.
Organizaciones generalmente restringen el uso de aplicaciones P2P en redes, pero
esto no es debido a problemas de piratera. En cambio, un riesgo significativo con
aplicaciones P2P es la fuga de datos. Los usuarios a menudo no son conscientes de
lo que los datos que estn compartiendo. Otro riesgo es que los usuarios no son
conscientes de lo que los datos de las descargas de aplicaciones y tiendas en sus
sistemas, haciendo que se reciban los datos inapropiados. Dos ejemplos ayudan a
ilustrar estos riesgos de fuga de datos.
Informacin Concentradora redes P2P de bsqueda de informacin de inters y
recogerlo. En marzo de 2009, los investigadores descubrieron un concentrador de
informacin en Irn, con ms de doscientos documentos que contienen los datos del
gobierno de Estados Unidos clasificados y secretos. Esto incluy informacin
clasificada sobre Marine One, el helicptero utilizado por el presidente. Si bien la
informacin sobre el Marine One en los titulares, los atacantes tenan informacin
de mineral mucho. Por ejemplo, este concentrador incluye informes sobre la
situacin en Irak y las listas de soldados con los datos de privacidad.
Cmo pas esto? Las investigaciones revelaron que un contratista de defensa
instalado una aplicacin P2P en una computadora. El equipo tuvo acceso a estos
datos, y la aplicacin P2P comparti. Los medios de comunicacin se pegaron a las
noticias sobre Marine One, por lo que esta historia fue ampliamente publicada. Sin
embargo, se cree ampliamente que ms datos se extraen a travs de redes P2P. La
mayora de los usuarios finales no se han clasificado a los datos de sus sistemas,
pero s tener PII, como informacin bancaria o los datos fiscales. Cuando un
atacante recupera los datos en el sistema del usuario y se vaca una cuenta
bancaria, puede ser una catstrofe para el usuario, pero no es noticia.
Un segundo ejemplo afect a un nio en edad escolar. Es popular el uso de estos
programas de intercambio P2P para compartir archivos de msica, pero se utiliza a
menudo para compartir otros datos. Una nia en edad escolar estaba navegando
datos que encontr en su computadora y descubri un nmero significativo de
imgenes pornogrficas. Ella no busc estos o descargar deliberadamente. En su
lugar, como miembro de la red P2P, la aplicacin P2P utiliz su sistema para
almacenar los archivos compartidos por otros.
Las organizaciones pueden restringir el acceso a las redes P2P mediante el bloqueo
de acceso en los servidores de seguridad. Adems, los escneres de puertos
pueden escanear puertos abiertos de sistemas remotos para identificar software
P2P. Las organizaciones a menudo incluyen estos controles cuando se ejecuta un
escner de puertos como parte de un anlisis de vulnerabilidades.
Recuerda esto
La fuga de datos se produce cuando los usuarios instalan software P2P y sin querer
compartir archivos. Las organizaciones a menudo bloquean el software P2P en el
firewall y detectar software que se ejecuta con los anlisis de puertos.
Sistemas de desmantelamiento
Cuando los equipos llegan al final de su ciclo de vida, las organizaciones que donan,
ellos reciclan, oa veces simplemente tiran a la basura. Desde una perspectiva de
seguridad, es necesario asegurarse de que los ordenadores no incluyen ningn dato
que pueda ser til a la gente fuera de su organizacin o perjudicial para su
organizacin si es puesto en libertad.
Es comn que las organizaciones tienen una lista de verificacin para asegurarse de
que un sistema se desinfecta antes de ser puesto en libertad.
El objetivo es asegurar que todo el dato utilizable se elimina del sistema. Los discos
duros representan el mayor riesgo, ya que tienen la mayora de la informacin, por
lo que es importante tomar medidas adicionales cuando el desmantelamiento de
viejos discos duros. Simplemente borrar un archivo en una unidad en realidad no
eliminarlo.
En lugar de ello, se marca el archivo para su eliminacin y hace que el espacio
disponible para su uso. Del mismo modo, el formateo de una unidad de disco no
borrar los datos. Hay muchas aplicaciones de recuperacin disponibles para
recuperar los datos borrados, restos de archivos, y los datos de las unidades con
formato.
Diferentes mtodos de desinfeccin de una unidad de disco y la eliminacin de
todos los datos utilizables incluyen:
Sobrescritura nivel de bits. Diferentes programas estn disponibles que escribir
patrones de unos y ceros varias veces para asegurar que los datos originalmente en
el disco no se puede leer. Este proceso asegura que el disco no contiene ningn
dato.
Desmagnetice los discos. Un desmagnetizador es un muy potente imn
electrnico. Pasando un disco a travs de un campo de desmagnetizacin har que
los datos en el disco ilegible, y ser a menudo destruir los motores del disco.
Desmagnetizacin de las cintas de copia de seguridad se desinfecte una cinta sin
destruirlo.
La destruccin fsica. Si el disco incluye datos clasificados o de propiedad, slo
tiene que sobrescribir puede que no sea suficiente.
Ataques
Lanzamiento de malware
Violaciones de poltica de seguridad
El acceso no autorizado de los datos
El uso inadecuado de los sistemas
Por ejemplo, un ataque que resulta en una violacin de datos es un incidente. Una
vez que la organizacin identifica una seguridad incidente, que responder en base
a la poltica de respuesta a incidentes.
Una de las primeras respuestas es contener el incidente. Esto puede ser tan simple
como desconectar el sistema de tarjeta de interfaz de red para asegurarse de que
no se puede comunicar en la red. Sin embargo, el sistema no debe ser apagado o
manipulados en absoluto hasta expertos forenses tienen la oportunidad de reunir
pruebas.
Despus de identificar el incidente y aislar el sistema, los expertos forenses pueden
iniciar una evaluacin forense dependiendo del incidente. Una evaluacin forense
ayuda a la organizacin recopilar y analizar datos como evidencia que puede utilizar
en la persecucin de un delito. En general, las evaluaciones forenses proceder con
la suposicin de que los datos recopilada se utilizar como prueba en los tribunales.
Debido a esto, las prcticas forenses proteger las pruebas para evitar modificacin
y controlar pruebas despus de recoger la misma.
Recuerda esto
Una poltica de respuesta a incidentes define unos procedimientos de respuesta a
incidentes e incidentes. El primer paso a tomar despus la identificacin de un
Debido a la compleja naturaleza de los incidentes, el equipo suele tener una amplia
formacin. La formacin incluye conceptos tales como la forma de identificar y
validar un incidente, cmo recolectar pruebas, y cmo proteger las pruebas
recogidas.
Los primeros en responder son las primeras personas de seguridad entrenados que
llegan a la escena. El trmino proviene de la comunidad mdica, en donde la
primera persona con formacin mdica en llegar a la escena de una emergencia o
accidente es el primero en responder. Una primera respuesta podra ser alguien del
equipo de respuesta a incidentes o alguien con formacin adecuada para saber
cules son los primeros pasos de respuesta debe ser. Los documentos de polticas
de respuesta a incidentes pasos iniciales o al menos los objetivos de los primeros en
responder.
Procedimientos Forenses Bsicas
Una vez que el incidente ha sido incluido o aislado, el siguiente paso es una
evaluacin forense. Qu piensas cuando escuchas "forense"? Mucha gente piensa
en el programa de televisin CSI (abreviacin de "escena del crimen investigacin ")
y todos sus spin-offs. Estos programas demuestran las capacidades fenomenales de
la ciencia en el crimen investigaciones.
Informtica forense analiza la evidencia de los ordenadores para determinar los
detalles sobre incidentes informticos, similares a cmo el personal de CSI analizar
la evidencia de la escena del crimen. Utiliza una variedad de diferentes
herramientas para recopilar y analizar evidencia ordenador. Informtica forense es
un campo cada vez mayor, y muchas instituciones educativas ofrecen especializada
grados alrededor de la ciencia.
Si bien puede no ser el experto forense equipo el anlisis de la evidencia, usted
debe saber acerca de algunas de los conceptos bsicos relacionados con la
recoleccin y preservacin de la evidencia.
Los expertos forenses utilizan una variedad de procedimientos forenses para
recoger y proteger los datos despus de un ataque. Una parte clave de este proceso
es la preservacin de la evidencia. En otras palabras, se aseguran de que no
modifiquen los datos a medida que recogerlo, y protegerlo despus de la
recoleccin. Al igual que un polica novato no quera andar a travs de la sangre en
un delito Escena (al menos no ms de una vez), los empleados no deben tener
acceso a los sistemas que han sido atacados o poder hacia abajo.
Por ejemplo, los archivos tienen propiedades que muestran cuando se accede a la
ltima. Sin embargo, en muchas situaciones, acceso al archivo modifica esta
propiedad. Esto puede evitar que una investigacin de la identificacin cuando un
atacante visitada el archivo. Adems, los datos en la memoria de un sistema incluye
pruebas valiosas, pero convertir un sistema de apagado elimina estos datos. En
general, los primeros en responder no tratan de analizar las pruebas hasta que
hayan tomado el tiempo para recoger y protegerlo.
Los expertos forenses tienen herramientas especializadas que pueden utilizar para
la captura de datos. Por ejemplo, muchos expertos utilizan EnCase por Guidance
Software Forensics Toolkit o por acceso a datos. Estas herramientas pueden
capturar datos de la memoria o los discos.
Esto incluye documentos, imgenes, correo electrnico, correo web, artefactos de
Internet, historial web, sesiones de chat, archivos comprimidos, archivos de copia
de seguridad y los archivos cifrados. Tambin pueden capturar los datos de los
telfonos inteligentes y tabletas.
Orden de Volatilidad
Orden de la volatilidad se refiere al orden en que debe reunir pruebas. "Voltil" no
significa que sea explosivo, sino que no es permanente. En general, usted debe
reunir pruebas empezando por el ms voltil y pasar al menos voltil.
Por ejemplo, la memoria de acceso aleatorio (RAM) se pierde despus de apagar el
ordenador. Debido a esto, es importante darse cuenta de que usted no debe
alimentar un equipo hacia abajo si es sospechosa de estar involucrada en un
incidente de seguridad.
Un procesador puede trabajar solamente en los datos en la memoria RAM, as que
todos los datos en la RAM indican lo que el sistema estaba haciendo. Esto incluye
los datos de un usuario ha estado trabajando, los procesos del sistema, los procesos
de red, restos de aplicaciones, y mucho ms. Todo esto puede ser evidencia valiosa
en una investigacin, pero la evidencia se pierde cuando el ordenador est
apagado.
Muchas de las herramientas forenses incluyen la capacidad de capturar datos
voltiles. Una vez que se captur, los expertos pueden analizar y profundizar en lo
que estaban haciendo el ordenador y el usuario.
Recuerda esto
RAM es voltil y se pierde cuando un equipo est apagado. Los datos en la memoria
RAM incluye procesos y aplicaciones, y datos accedidos recientemente por un
usuario. Forense memoria anlisis de datos en la memoria RAM.
Por el contrario, los datos en los discos permanecen en la unidad incluso despus de
la alimentacin de un sistema de abajo. Esto incluye todos los archivos y incluso
datos como el registro de inicio maestro en un disco de bajo nivel. Sin embargo, es
importante para proteger los datos en el disco antes de analizar, y un mtodo
comn es mediante la captura de una imagen del disco.
El orden de la volatilidad de los ms voltiles de menos voltil es:
Capturar imgenes
Una imagen es una instantnea de los datos en la memoria o una instantnea de
una unidad. Captulo 5 introdujo imgenes de disco como un mtodo comn
utilizado para desplegar sistemas. Estas imgenes de disco del sistema incluyen
configuraciones de seguridad obligatorias y ayudan a garantizar un sistema
comienza en un estado seguro. Analistas forenses utilizan procesos similares para
capturar imgenes para el anlisis.
Una imagen forense de un disco capta todo el contenido de la unidad. Algunas
herramientas utilizan mtodos poco a poco copia que pueden leer los datos sin
modificarlo. Otros mtodos incluyen dispositivos de hardware conectados a la
unidad para protegerlo contra escritura durante el proceso de copia. Una clara
diferencia entre las imgenes del sistema estndar y forense imgenes es que una
imagen forense es una copia exacta y no modifica el original. Esto no siempre es
cierto con herramientas de imagen del sistema.
Un elemento importante en la creacin de copias forenses es asegurar que los
datos en el disco duro no se modifican.
Dicho de otra manera, las copias forenses garantizar la integridad de la evidencia
de disco no se vea comprometida durante el proceso de copia.
Recuerda esto
Una imagen forense es una copia bit a bit de los datos y no modifica los datos
durante la captura. Expertos capturar una imagen de los datos antes del anlisis. El
anlisis puede modificar los datos de lo que los expertos forenses analizan la
imagen (o copias de la imagen) y guardar los datos originales en un estado no
modificado.
Todos estos mtodos de capturar todo el contenido del disco, incluyendo los
archivos de usuario del sistema y, y los archivos marcados para su eliminacin, pero
no sobrescribe. Del mismo modo, muchas herramientas incluyen la capacidad de
capturar los datos dentro de la memoria voltil y guardarlo como una imagen.
Despus de capturar una imagen, los expertos crean una copia y analizan la copia.
Ellos no analizan el disco original y muchas veces ni siquiera se analizan la imagen
original. Ellos entienden que mediante el anlisis de los contenidos de un disco
directamente, pueden modificar el contenido. Mediante la creacin y el anlisis de
las copias forenses, nunca modifican el original pruebas.
Tome hashes
El foco en el captulo 10 fue sobre el uso de hashes con archivos y mensajes. Una
imagen (de RAM o un disco) es slo un archivo, y se puede utilizar hash con
imgenes forenses para asegurar la integridad de la imagen. Por ejemplo, despus
de capturar una imagen de RAM voltil, un experto puede crear un hash de la
imagen. Algoritmos hash incluyen variaciones MD5 y SHA como SHA-1 o SHA-256.
Algunas herramientas le permiten crear un hash de todo el disco. Estos verificar que
el proceso de formacin de imgenes no tiene datos modificados. Por ejemplo,
puede crear un hash de una unidad antes de capturar la imagen y despus de la
captura de la imagen. Si los hashes son iguales, se verifica que el proceso de
formacin de imgenes no modific la unidad.
Adems, puede ejecutar el mismo algoritmo hash en contra de la unidad despus
de probar la unidad original no lo hizo perder integridad. Mientras los hashes son los
mismos, se demuestra la evidencia no ha sido modificado. En el otro lado, si los
hashes son diferentes, indica la unidad original se ha perdido la integridad. Esto
puede haber ocurrido accidentalmente o por medio de pruebas deliberada
manipulacin.
Recuerda esto
Analistas forenses a veces hacen una copia de la imagen a analizar, en lugar de
analizar la primera imagen que capturar. Si alguna vez tienen que verificar la
integridad de la copia, corren el mismo algoritmo hash en contra de ella.
Una vez ms, siempre y cuando el hash es el mismo, se conocen los datos
analizados es el mismo que los datos capturados.
El trfico de red y Logs
Una investigacin forense a menudo incluye un anlisis de trfico de red y los
registros disponibles. Esta informacin ayuda a los investigadores recrean
acontecimientos que condujeron a, y durante un incidente.
A modo de ejemplo, una organizacin puede querer probar que un equipo especfico
estuvo involucrado en un ataque. Una forma es para que coincida con la direccin
de control de acceso al medio (MAC) utilizado por el equipo atacante con un equipo
existente. La direccin MAC se asigna de forma permanente a una tarjeta de
interfaz de red, y a pesar de que el sistema operativo puede ser manipulado para
utilizar un MAC diferente, el MAC actual no se cambia. Por el contrario, la direccin
IP y el nombre de la computadora no se asignan de forma permanente, y es
relativamente fcil de cambiar.
Recuerda esto
El trfico de red y los registros se pueden identificar los equipos y parte de su
actividad. Una forma de identificar los equipos que participan en los ataques es con
una direccin MAC. La direccin MAC es ms definitivo que una direccin IP o un
nombre de equipo.
Del mismo modo, si el ataque se produjo a travs de Internet, la direccin IP se
puede remontar de nuevo al Proveedor de servicios de Internet (ISP). Tema ISP
direcciones IP para los usuarios y los registros ISP identificar exactamente quin fue
emitida una direccin IP en un momento dado. Por ejemplo, cuando David Kernell
hacke la cuenta de correo electrnico de Yahoo de Sarah Palin en 2008, el ataque
fue rastreada rpidamente de nuevo a l sobre la base de su direccin IP.
Captulo 8 presenta informacin sobre los registros. Registros de registro lo que
ocurri durante un evento, cuando sucedi, y lo que cuenta se utiliz durante el
evento. Usted puede recordar que un registros de seguridad de inicio de sesin y
cierre de sesin eventos. Del mismo modo, muchas aplicaciones requieren que los
usuarios autenticarse y aplicaciones tambin registran sucesos de autenticacin.
Todos estos registros pueden ser muy valiosa en la recreacin de los detalles de un
evento despus de un incidente de seguridad, incluyendo la identidad de la cuenta
utilizada en el ataque.
Cadena de custodia
Una parte clave de la respuesta a incidentes est recogiendo y proteccin de
pruebas. Una cadena de custodia es un proceso que ofrece garantas de que la
evidencia ha sido controlada y manejadas adecuadamente despus de la
recoleccin. Los expertos forenses establecen una cadena de custodia cuando por
primera vez reunir pruebas.
Los profesionales de seguridad utilizan una forma de cadena de custodia para
documentar este control. La forma de cadena de custodia identifica que tena la
custodia de las pruebas y en la que se almacena todo el tiempo desde la coleccin.
Una cadena de custodia garantiza que la evidencia presentada en un tribunal de
justicia es la misma evidencia que las seguridades profesionales recogieron.
Como ejemplo, imagine que Bob recogi una unidad flash USB como parte de una
investigacin. Sin embargo, en lugar de establecer una cadena de custodia, que
simplemente almacena la unidad en su escritorio con la intencin de analizar al da
siguiente. Es posible que alguien podra modificar el contenido de la noche a la
maana unidad de disco USB? Absolutamente. En cambio, se debe establecer de
inmediato una cadena de custodia y bloquear la unidad en un lugar de
almacenamiento seguro.
Recuerda esto
Una cadena de custodia ofrece garantas de que la evidencia ha sido controlada y
manejadas adecuadamente despus de la recoleccin. Documenta que manej la
evidencia y cundo.
Si las pruebas no se controlan, puede ser modificado, alterado, o daado de otra
manera. Los tribunales descartan la evidencia inadmisible si hay una falta de
control adecuado, o incluso la falta de documentacin que demuestre que se
mantuvo un control adecuado. Sin embargo, la cadena de custodia demuestra que
la evidencia se ha manejado correctamente.
Captura de vdeo
Captulo 2 introducido mtodos de vigilancia de vdeo, tales como sistemas de
circuito cerrado de televisin (CCTV). Estos pueden ser usados como un control
detective durante una investigacin. Ellos proporcionan pruebas fiables de su
ubicacin y la actividad de una persona. Por ejemplo, si una persona est robando
equipo o datos, vdeo puede proporcionar la prueba.
Recuerdo a un estudiante de secundaria fue noches trabajando en una tienda de
comestibles. La tienda tena un suministro de cerveza en un tractor-remolque no
haban descargado an, pero mantienen una copia de seguridad de la plataforma
de carga tienda durante la noche. El estudiante rob varias cajas de cerveza
pensando que el crimen era indetectable. Sin embargo, toda la escena era grabado
en vdeo, y cuando l se present a trabajar a la noche siguiente, la tienda llam de
inmediato a la polica y proporcion una copia del video. El vdeo proporcionado
pruebas fiables de que simplemente no poda ser discutida.
Record Time Offset
En algunos casos, los tiempos se expresan con claridad, por lo que es fcil de
identificar el momento de un evento. Sin embargo, en otros casos el tiempo
visualizado se basa en un desplazamiento. Considere la figura 11.1.