Proyecto Amparo
Páginas: 5 (1222 palabras)
Publicado: 25 de enero de 2013
aProyecto AMPARO
Fortalecimiento de la capacidad regional p g de atención de incidentes de seguridad en América Latina y el Caribe
Incidentes en Internet
Amenazas en Internet
El tipo de amenazas que encontramos en Internet está cambiando de foco Antes… A t
Prevalencia de virus y gusanos (Slammer, CodeRed)
Ahora…
Virus, gusanos, t Vi troyanos y otros “personajes” pero operando t “ j” d como herramientas para obtener ganancias
Se ha creado una “economía subterránea economía subterránea”
La “Inseguridad” del Software
¿Qué factores hacen posible todo esto?
La L propia naturaleza h i t l humana en primer l i lugar
Los usuarios de Internet en general no le dan un lugar prioritario a la seguridad de sus PCs Siempre hay “elementos” buscando obtener ganancias fáciles acuesta de otros
Pero además…
La propia naturaleza del software
Hacer software no es fácil, se parece mucho más a un arte que a una ciencia La seguridad en un proyecto es algo que en general se considera sólo al final del mismo
¿Por qué aprender del enemigo?
Problemas con las tácticas tradicionales de defensa
Aproximación tradicional a la identificación de amenazas basada en “identificar loya conocido”
Sistemas basados en firmas (Antivirus, IDS/IPS)
El desarrollo de firmas para sistemas no abiertos depende del p p ciclo de desarrollo de los proveedores
Que se denuncien los problemas Que se desarrollen y se distribuyan las firmas
Estamos protegidos de lo “ya conocido”, pero ya conocido pero... ¿Qué pasa con lo desconocido?
¿Por qué aprender del enemigo? (2)
Cambio defoco de los atacantes: atacar directamente a las aplicaciones
Es donde hay más para ganar Además de o apoyándose en el virus/gusano/troyano “masivo” tradicional “ ”
En ciclo de aprender-responder-prevenir, pasar a estar p p p ,p un paso mas adelante
Herramientas para Lograrlo
Técnicas de tipo forense
Análisis de artefactos
Artefactos: archivos (ejecutables, textuales) encontrados encomputadores que han sido comprometidos
Técnicas de tipo “activo”
Las técnicas activas se basan en general en ofrecer un blanco que parezca interesante pero que este cuidadosamente monitorizado Ejemplos
Honeypots Spampots Darknets
Un ejemplo.... Spampots
Idea similar a la del honeypot, pero aplicada al problema del spam ( (correo electrónico no solicitado.) ) Características deseadas:
Emularlos servicios buscados por los spammers:
SMTP “open relay” open relay Proxies abiertos
Almacenar todo el correo electrónico que pasa por él Tratar de “engañar” lo mas posible a los spammers
Buscar superar las pruebas d verificación que ellos realizan B l b de ifi ió ll li
Sencillo de instalar, mantener, operar. Robusto.
Spampots (2)
Clasificación del tráfico de correo:
Todo eltráfico de correo que pasa a través del spampot es correo no solicitado De ninguna forma tráfico legítimo circula por él
De esta forma la propia naturaleza del spampot resuelve uno de los problemas mas difíciles que presenta la lucha contra el Spam
CERT.br ha sido soporte fundamental en el desarrollo de este sensor, y es un claro ejemplo de colaboración entre centros de respuesta
PROYECTOAMPARO
Fortalecimiento de la capacidad regional de atención de incidentes de seguridad en América Latina y el Caribe
Objetivos generales
Aumentar la capacidad regional de prevenir la ocurrencia de incidentes de seguridad informática i f áti Responder p p pronta y efectivamente, p , proveyendo y a las organizaciones de los distintos países de la región de una capacidad de p g p protección pproactiva Dotarlas de mayor capacidad de respuesta frente a ataques informáticos de alto impacto
Objetivos específicos
Desarrollar actividades de investigación aplicada q apoyen los g p que p y procesos y prioridades regionales Promover la creación de CSIRTs a nivel de organizaciones del sector público y privado de los diferentes países de la región Construir una plataforma regional de...
Fortalecimiento de la capacidad regional p g de atención de incidentes de seguridad en América Latina y el Caribe
Incidentes en Internet
Amenazas en Internet
El tipo de amenazas que encontramos en Internet está cambiando de foco Antes… A t
Prevalencia de virus y gusanos (Slammer, CodeRed)
Ahora…
Virus, gusanos, t Vi troyanos y otros “personajes” pero operando t “ j” d como herramientas para obtener ganancias
Se ha creado una “economía subterránea economía subterránea”
La “Inseguridad” del Software
¿Qué factores hacen posible todo esto?
La L propia naturaleza h i t l humana en primer l i lugar
Los usuarios de Internet en general no le dan un lugar prioritario a la seguridad de sus PCs Siempre hay “elementos” buscando obtener ganancias fáciles acuesta de otros
Pero además…
La propia naturaleza del software
Hacer software no es fácil, se parece mucho más a un arte que a una ciencia La seguridad en un proyecto es algo que en general se considera sólo al final del mismo
¿Por qué aprender del enemigo?
Problemas con las tácticas tradicionales de defensa
Aproximación tradicional a la identificación de amenazas basada en “identificar loya conocido”
Sistemas basados en firmas (Antivirus, IDS/IPS)
El desarrollo de firmas para sistemas no abiertos depende del p p ciclo de desarrollo de los proveedores
Que se denuncien los problemas Que se desarrollen y se distribuyan las firmas
Estamos protegidos de lo “ya conocido”, pero ya conocido pero... ¿Qué pasa con lo desconocido?
¿Por qué aprender del enemigo? (2)
Cambio defoco de los atacantes: atacar directamente a las aplicaciones
Es donde hay más para ganar Además de o apoyándose en el virus/gusano/troyano “masivo” tradicional “ ”
En ciclo de aprender-responder-prevenir, pasar a estar p p p ,p un paso mas adelante
Herramientas para Lograrlo
Técnicas de tipo forense
Análisis de artefactos
Artefactos: archivos (ejecutables, textuales) encontrados encomputadores que han sido comprometidos
Técnicas de tipo “activo”
Las técnicas activas se basan en general en ofrecer un blanco que parezca interesante pero que este cuidadosamente monitorizado Ejemplos
Honeypots Spampots Darknets
Un ejemplo.... Spampots
Idea similar a la del honeypot, pero aplicada al problema del spam ( (correo electrónico no solicitado.) ) Características deseadas:
Emularlos servicios buscados por los spammers:
SMTP “open relay” open relay Proxies abiertos
Almacenar todo el correo electrónico que pasa por él Tratar de “engañar” lo mas posible a los spammers
Buscar superar las pruebas d verificación que ellos realizan B l b de ifi ió ll li
Sencillo de instalar, mantener, operar. Robusto.
Spampots (2)
Clasificación del tráfico de correo:
Todo eltráfico de correo que pasa a través del spampot es correo no solicitado De ninguna forma tráfico legítimo circula por él
De esta forma la propia naturaleza del spampot resuelve uno de los problemas mas difíciles que presenta la lucha contra el Spam
CERT.br ha sido soporte fundamental en el desarrollo de este sensor, y es un claro ejemplo de colaboración entre centros de respuesta
PROYECTOAMPARO
Fortalecimiento de la capacidad regional de atención de incidentes de seguridad en América Latina y el Caribe
Objetivos generales
Aumentar la capacidad regional de prevenir la ocurrencia de incidentes de seguridad informática i f áti Responder p p pronta y efectivamente, p , proveyendo y a las organizaciones de los distintos países de la región de una capacidad de p g p protección pproactiva Dotarlas de mayor capacidad de respuesta frente a ataques informáticos de alto impacto
Objetivos específicos
Desarrollar actividades de investigación aplicada q apoyen los g p que p y procesos y prioridades regionales Promover la creación de CSIRTs a nivel de organizaciones del sector público y privado de los diferentes países de la región Construir una plataforma regional de...
Leer documento completo
Regístrate para leer el documento completo.