Paparajote

Procedimiento de gestion de incidentes de seguridad

  • 1 Incidentes de Seguridad
  • 2 IRIS-CERT
  • 3 Institución Afiliada
  • 4 Notificación de incidentes
  • 5 Procedimiento general de gestión

    • Incidentes de Seguridad

    Definimos incidente de seguridad como cualquier actividad imaliciosa de la que se tenga constancia en los sistemas conectados a RedIRIS y que implique a equipos dentro del ambito de actuación del equipo de seguridad de RedIRIS (IRIS-CERT), que se encuentra definido en la descripción de nuestro servicio segun el RFC 2350.

    Dicho ámbito de actuación incluye básicamente a todas las instituciones conectadas a RedIRIS (servicio primario), dando además un servicio limitado (coordinación de incidentes) para todo el dominio *.es.

    IRIS-CERT

    Dentro de RedIRIS, IRIS-CERT lo constituye el grupo de personas y medios que se encargan de gestionar los incidentes de seguridad dentro la comunidad academica. Estos incidentes son detectados ya sea por:

    • Herramientas de uso interno en RedIRIS
    • Informaciones y comunicaciones de las instituciones afectadas
    • Comunicaciones de entidades externas de confianza
    • Otras comunicaciones de usuarios de Internet

    Institución Afiliada

    La gestion de incidentes de RedIRIS se proporciona a las instituciones afiliadas a RedIRIS, no a los usuarios finales que pueda haber en dichas instituciones. En el Documento de afiliacion, se especifica que cada institución debe designar las personas de contacto para la misma (tanto PER (Persona de Enlace con RedIRIS), como PEC (Persona de Enlace CERT)).

    Es funcion de cada institución la organización interna para la gestion de los incidentes de seguridad.

    IRIS-CERT mantiene una autoridad compartida con su comunidad para la atención de incidentes. Para mas información acerca de las repercusiones de dicha autoridad se puede consultar aquí.

    Notificación de incidentes

    En esta página se puede encontrar mas información sobre como notificar incidentes a IRIS-CERT asi como la informacion necesaria para poder comenzar la gestion del mismo.

    Procedimiento general de gestión

    Desde RedIRIS se intenta que todos los incidentes de seguridad se resuelvan con éxito en el menor tiempo posible, procurando que sea la institución la que adopte todas las medidas pertienentes para solucionar o paliar los efectos que esté ocasionando un incidente. Sin embargo, y debido a la interacción de muchos actores y la complejidad de algunos incidenes, éstos pueden llevar bastante tiempo en su resolucion.

    El procedmiento general que se emplea en RedIRIS para la gestión de un incidente es el siguiente:

    1. La información relativa a incidentes de seguridad se almacenada en un sistema central de gestión de incidentes (RTIR). Gran parte de esta información se almacena automaticamente, mientras que otra (llamadas telefónicas, etc) se incorpora manualmente.
    2. Se realiza una primera valoración de la información para determinar si ésta corresponde efectivamente a un incidente de seguridad. En este paso suele haber una respuesta no automatica desde RedIRIS solicitando mas información o agradeciendo la informacion recibida.
    3. Una vez determinada la existencia de un problema de seguridad, se procede a contactar con el la persona de enlace CERT (PEC), designada por la persona de enlace con RedIRIS (PER) en cada institución afiliada a RedIRIS. Se recomienda que haya más de un contacto de seguridad y/o una lista de correo en la institución para evitar que por ausencias y/o vacaciones no lleguen los mensajes de queja a la institución. En caso de que el PER no designe a ningún contacto de seguridad, se comunicará la incidencia al mismo PER que será, a efectos de RedIRIS, el responsable de su gestión y resolución.
    4. La institución procederá a gestionar el incidente internamente, pudiendo requerir el apoyo de IRIS-CERT para tareas de análisis de la información, asesoramiento etc. Sin embargo la manipulación y acceso a los sistemas implicados en el incidente no será realiza, bajo ningún concepto, por miembros de IRIS-CERT, sino por el personal propio de la institución.
    5. En caso de no haber respuesta por parte de la institucióni en el plazo de 7 días y si todavia se tiene constancia de que persiste el problema (por las herramientas de monitorizacion internas de RedIRIS o por informacion externa, por ejemplo), se enviará un recordatorio sobre la incidencia a la institución, instándolos a tomar cartas en el asunto. Si el problema persiste, el CERT podrá hacer uso de otros métodos de contacto, como el teléfono, agotando todas las posibilidades de contactar con la institución. Si a pesar de todo esto el problema no se soluciona o no se tiene que constancia de que la institución esté haciendo nada para solucionar el problema, y dependiendo de la envergadura del mismo, RedIRIS podrá proceder al filtrado de las direcciones IP implicadas en el incidente de la siguiente forma:
      1. Se enviará un correo avisando del posible filtro a la las institución (vía PEC y PER) y a la red regional, si procede.
      2. Si tras un día no se ha recibido respuesta sobre el incidente, y en su caso la red regional no ha comunicado que ha aplicado el filtro, se procederá al filtrado de estos equipos
      3. Una vez hecho efectivo el filtro se comunicará a la institución implicada y a la red regional
      Cuando se solucione el problema de seguridad, la institución se deberá poner en contacto con IRIS-CERT para eliminar el bloqueo del equipo.
    6. En incidentes graves de seguridad, como puedan ser ataques de denegación de servicio o contra la infrastructura de comunicaciones, desde RedIRIS se podrán aplicar filtros sin haber trasncurrido el tiempo especificado más arriba. En estos casos, se intentará en la medida de lo posible que en primera instancia se aplique el filtro en la red regional o en la propia institución. En cualquier caso, se notificará la aplicación de los filtros a la institución y a la red regional si procede.

    Para mas informacion se puede consultar la descripcion del servicio IRIS-CERT segun el RFC 2350 y nuestras paginas Web.