Recoleccin de Evidencias en Incidentes de Seguridad - PowerPoint PPT Presentation

About This Presentation
Title:

Recoleccin de Evidencias en Incidentes de Seguridad

Description:

En nuevo RT, nos permite 'finalizar' los incidentes en diversos ... No llega informaci n ... ser 'modificada' para incluir nuevos programas que vayan ... – PowerPoint PPT presentation

Number of Views:80
Avg rating:3.0/5.0
Slides: 11
Provided by: usuari270
Category:

less

Transcript and Presenter's Notes

Title: Recoleccin de Evidencias en Incidentes de Seguridad


1
Recolección de Evidencias en Incidentes de
Seguridad
  • Grupos de Trabajo
  • Mayo 2008

2
Índice
  • Problemas de la recolección de evidencias.
  • RAPIER
  • Procedimiento de actuación.
  • Comentarios y discusión abierta

3
Recolección de evidencias
  • En nuevo RT, nos permite finalizar los
    incidentes en diversos estados
  • Con éxito
  • Sin respuesta
  • Respuesta parcial .
  • qué es finalización con éxito ?
  • Se soluciona el problema
  • SE TIENE INFORMACIÓN SOBRE QUE PASABA.
  • Que troyano había instalado
  • Que había pasado, etc.

4
Recolección de evidencias
  • Falta de información.
  • No llega información sobre que sucede.
  • Diversidad de herramientas para ver que pasa en
    el ordenador.
  • Muchas veces lo único que se hace es reinstalar
    el equipo.
  • Falta de información agregada sobre que esta
    sucediendo.

5
Recolección de evidencias requisitos
  • Hace falta una herramienta.
  • Recolecte información que pueda ser enviada
    fácilmente sobre los equipos.
  • Permita ser modificada para incluir nuevos
    programas que vayan surgiendo
  • Sea ejecuta con fácilidad antes de la
    reinstalación del equipo.
  • Permita mantener un catalogo de que sucede para
    su investigación posterior.

6
RPIER
  • Herramienta gratuita desarrollada por Intel
  • http//www.first.org/conference/2006/program/rapie
    r_-_a_1st_responders_info_collection_tool.html
  • (buscar en google rpier , rapier)
  • Instalación en pocos clicks con descarga
  • Permite incorporar diversos módulos adicionales.
  • Recopila la información en un .zip
  • Se puede enviar online a un servidor (http)
  • Se puede enviar por correo electrónico.
  • No es la herramienta definitiva

7
RPIER Uso
  • cuándo usarlo ?, en incidentes
  • En los cuales detectamos que hay equipos
    conectados a una botnet
  • Que están enviando datos de un keylogger a un
    servidor externo..
  • En general ante cualquier incidente en equipos
    Windows con posible bicho.
  • quién lo usa ?
  • El helpdesk que reinstala el equipo.
  • El usuario directamente (URL de descarga)

8
Analisis de evidencias
  • Quién procesa las toneladas de información ?
  • IRIS-CERT
  • Vosotros mismos
  • Empresas y usuarios externos
  • Empresas de seguridad
  • Otros CERT
  • Aunque no se pueda procesar la información se
    tienen datos.-(

9
Tres preguntas
  • Qué procedimiento tenéis en vuestras
    instituciones ante estos problemas de seguridad ?
  • Consideráis viable este enfoque para tener
    información sobre que ha pasado ?
  • Qué problemas y soluciones se os ocurren ?

10
  • Final ?
Write a Comment
User Comments (0)
About PowerShow.com