Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Open source tools for Incident Response bogota 2016

403 vues

Publié le

OEA FIRST Symposium in Bogotá 2016. A presentation given by Mateo Martínez and Giovanni Cruz Forero. Mateo Martínez, CISSP, CEH and ISO 27001 certified from KOD LATAM SECURITY (https://kod.uy) and Giovanni Cruz Forero from CSIETE (http://csiete.org). They presented about Open Source Tools for Practical Response to Incidents.

Publié dans : Ingénierie
  • Soyez le premier à commenter

Open source tools for Incident Response bogota 2016

  1. 1. Open Source Tools for Practical Response to Incidents Mateo Martínez Giovanni Cruz Forero CEO KOD LATAM SECURITY www.kod.uy CEO CSIETE www.csiete.org
  2. 2. Temario 1. INTRODUCCIÓN 2. PREPARACIÓN 3. DETECCIÓN Y ANÁLISIS 4. CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN 5. ACTIVIDADES POST-INCIDENTE
  3. 3. Respuesta a Incidentes después del Simposio
  4. 4. Oficialmente eres el encargado de IR...
  5. 5. Hay un incidente…
  6. 6. ¿Porqué Respuesta a Incidentes?
  7. 7. Software Libre + Respuesta a Incidentes
  8. 8. ¿Cómo sentimos que estamos?
  9. 9. ¿Cómo nos hemos preparado?
  10. 10. Así estamos...
  11. 11. Así nos ven los atacantes...
  12. 12. Así son los atacantes
  13. 13. Y así...
  14. 14. Y así también...
  15. 15. Y aún así...
  16. 16. O incluso así...
  17. 17. También se ven ...
  18. 18. Fuente: NIST Computer Security Incident Handling Guide NIST SP 800-61
  19. 19. Preparación
  20. 20. Preparación ● Crear un plan de respuesta ante incidentes ● Priorizar activos ● Sistemas de reporte de incidentes ● Analizadores de tráfico de red ● Herramientas de análisis forense digital ● Conocer configuración de sistemas ● Imágenes de Sistemas Operativos Limpias ● Hashes de archivos críticos
  21. 21. Preparación https://www.owasp.org/index.php/OWASP_Incident_Response_Project
  22. 22. Preparación https://www.owasp.org/index.php/OWASP_Open_Cyber_Security_Framework_Project
  23. 23. Preparación https://www.sans.org/reading-room/whitepapers/incident/incident-response-capabilities-2016-2016-incident-re sponse-survey-37047
  24. 24. Preparación http://www.haka-security.org/
  25. 25. Preparación http://molo.ch/
  26. 26. Preparación https://github.com/volatilityfoundation/volatility
  27. 27. Preparación https://www.cuckoosandbox.org/
  28. 28. Preparación https://www.alienvault.com/products/ossim
  29. 29. Preparación https://github.com/CERTUNLP
  30. 30. Prevención ● Gestión de riesgos ● Hardening ● Seguridad y monitoreo de redes ● Prevención de malware ● Capacitación a usuarios
  31. 31. Prevención http://ossec.github.io/
  32. 32. Prevención https://oisf.net/suricata/
  33. 33. Prevención http://www.openvas.org/
  34. 34. Prevención https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project
  35. 35. Detección y Análisis Vectores de Ataque Signos de un Incidentes Fuentes de Precursores e Indicadores Análisis de Incidentes Documentación del Incidente Priorización del Incidente Notificación del Incidente
  36. 36. Contención, Erradicación y Recuperación Elección de la Estrategia de Contención Recolección y Manejo de Evidencia Identificación de los Equipos Atacados Erradicación y Recuperación
  37. 37. F.I.D.O. Fuentes de Precursores e Indicadore https://github.com/Netflix/Fido Signos de un Incidente
  38. 38. F.I.D.O.
  39. 39. F.I.D.O.
  40. 40. ELK
  41. 41. osquery Análisis del Incidentehttps://osquery.io/
  42. 42. REDLINE
  43. 43. MIG: Mozilla InvestiGator
  44. 44. Linux + OS X
  45. 45. VERIS - Vocabulary for Event Recording and Incident Sharing Documentación del Incidente
  46. 46. STIX - Structured Threat Information eXpression Documentación del Incidente
  47. 47. TAXII
  48. 48. HAIL A TAXII
  49. 49. THREATCONNECT
  50. 50. OTX - Open Threat Exchange
  51. 51. Soluciones Internas
  52. 52. MISP
  53. 53. MISP
  54. 54. MOZDEF
  55. 55. Manera Tradicional de Documentación
  56. 56. FIR
  57. 57. RTIR
  58. 58. THREAT NOTE
  59. 59. Actividades Post-Incidente ● Lecciones Aprendidas ● Análisis de datos recolectados ● Retención de Evidencias
  60. 60. Conclusiones ● No hemos cubierto ni el 30% de herramientas open source disponibles para hacer la respuesta a incidentes de manera práctica, cubrimos solamente algunas de las más relevantes ● El uso de este tipo de herramientas puede permitir una fácil operación de un grupo de respuesta a incidentes sin la necesidad de una inversión alta ni la necesidad de muchos recursos ● Se debe tener un espíritu hacker para poder tener una infraestructura de un grupo de Respuesta a Incidentes con herramientas open source, no será un click and install, pero el resultado podrá permitir tener una infraestructura realmente personalizada.
  61. 61. Muchas gracias CEO KOD LATAM SECURITY www.kod.uy CEO CSIETE www.csiete.org

×