Actividad Fisica Adaptada
FIRST Technicall Colloquium, Montevideo 2008
FIRST Technicall Colloquium, Montevideo 2008
Ing. Santiago Paz, CISA, PMP, SSCP
santiago.paz@cert.uywww.cert.uy
¿Qué es CERTuy?
www.cert.uy
●
●
●
Centro Nacional de Respuesta a
Incidentes en Seguridad
Informática
Creado en la rendición de cuentas
2008, depende de AGESIC y tiene como cometido la protección de
activos de información críticos del
estado
Es un Centro Coordinador de
equipos de respuesta a incidentes
en seguridad
FIRST Technicall Colloquium, Montevideo 2008
Agenda
●
Proceso forense
●
Actividad forense de un CSIRT
●
Adquisición de datos
●
Casos de estudios
–
1) Sistema offline (postmortem)
–2) Sistemas online (Vivo)
FIRST Technicall Colloquium, Montevideo 2008
nota:
●
●
●
●
Esta presentación NO define un marco legal para la evidencia
digital, son solo recomendaciones técnicasEsta presentación utiliza herramientas de uso libre, aunque
existen también herramientas propietarias
Las colecciones de datos de ejemplo NO son exhaustivas ni
únicas, son simplemente recomendacionesLas herramientas presentadas NO fueron probadas en todos
los ambientes, úsenlas a su propio riesgo
FIRST Technicall Colloquium, Montevideo 2008
Proceso Forense
Prepararse!
Adquirir(Collection)
Examinar
(Examination)
Sistema
Analizar
(Analysis)
Reportar
(Reporting)
Evidencia
FIRST Technicall Colloquium, Montevideo 2008REF: NIST SP80086
¿Forénsica en un CSIRT?
●
El equipo de respuesta a incidentes es de los primeros
notificados del incidente, y trabaja en él hasta su solución
●Mitigación drástica vs. Preservación de la evidencia
●
Procesos sistematizados, documentados y reproducibles
●
La adquisición que se realice durante el incidente es MUY
valiosa
...
Regístrate para leer el documento completo.