OEA FIRST Symposium in Bogotá 2016. A presentation given by Mateo Martínez and Giovanni Cruz Forero. Mateo Martínez, CISSP, CEH and ISO 27001 certified from KOD LATAM SECURITY (https://kod.uy) and Giovanni Cruz Forero from CSIETE (http://csiete.org). They presented about Open Source Tools for Practical Response to Incidents.

1. Open Source Tools
for Practical Response to Incidents
Mateo Martínez Giovanni Cruz Forero
CEO KOD LATAM SECURITY
www.kod.uy
CEO CSIETE
www.csiete.org

2. Temario
1. INTRODUCCIÓN
2. PREPARACIÓN
3. DETECCIÓN Y ANÁLISIS
4. CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN
5. ACTIVIDADES POST-INCIDENTE

3. Respuesta a Incidentes después del Simposio

4. Oficialmente eres el encargado de IR...

5. Hay un incidente…

6. ¿Porqué Respuesta a Incidentes?

7. Software Libre + Respuesta a Incidentes

9. ¿Cómo sentimos que estamos?

10. ¿Cómo nos hemos preparado?

11. Así estamos...

12. Así nos ven los atacantes...

13. Así son los atacantes

14. Y así...

15. Y así también...

16. Y aún así...

17. O incluso así...

18. También se ven ...

19. Fuente: NIST Computer Security Incident Handling Guide
NIST SP 800-61

20. Preparación

21. Preparación
● Crear un plan de respuesta ante incidentes
● Priorizar activos
● Sistemas de reporte de incidentes
● Analizadores de tráfico de red
● Herramientas de análisis forense digital
● Conocer configuración de sistemas
● Imágenes de Sistemas Operativos Limpias
● Hashes de archivos críticos

22. Preparación
https://www.owasp.org/index.php/OWASP_Incident_Response_Project

23. Preparación
https://www.owasp.org/index.php/OWASP_Open_Cyber_Security_Framework_Project

24. Preparación
https://www.sans.org/reading-room/whitepapers/incident/incident-response-capabilities-2016-2016-incident-re
sponse-survey-37047

25. Preparación
http://www.haka-security.org/

26. Preparación
http://molo.ch/

27. Preparación
https://github.com/volatilityfoundation/volatility

28. Preparación
https://www.cuckoosandbox.org/

29. Preparación
https://www.alienvault.com/products/ossim

30. Preparación
https://github.com/CERTUNLP

31. Prevención
● Gestión de riesgos
● Hardening
● Seguridad y monitoreo de redes
● Prevención de malware
● Capacitación a usuarios

32. Prevención
http://ossec.github.io/

33. Prevención
https://oisf.net/suricata/

34. Prevención
http://www.openvas.org/

35. Prevención
https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project

36. Detección y Análisis
Vectores de Ataque
Signos de un Incidentes
Fuentes de Precursores e Indicadores
Análisis de Incidentes
Documentación del Incidente
Priorización del Incidente
Notificación del Incidente

37. Contención, Erradicación y Recuperación
Elección de la Estrategia de Contención
Recolección y Manejo de Evidencia
Identificación de los Equipos Atacados
Erradicación y Recuperación

38. F.I.D.O.
Fuentes de Precursores e
Indicadore
https://github.com/Netflix/Fido
Signos de un Incidente

39. F.I.D.O.

40. F.I.D.O.

41. ELK

42. osquery
Análisis del Incidentehttps://osquery.io/

44. REDLINE

45. MIG: Mozilla InvestiGator

46. Linux + OS X

47. VERIS - Vocabulary for Event Recording and Incident
Sharing
Documentación del
Incidente

48. STIX - Structured Threat Information eXpression
Documentación del
Incidente

49. TAXII

50. HAIL A TAXII

51. THREATCONNECT

52. OTX - Open Threat Exchange

53. Soluciones Internas

54. MISP

55. MISP

56. MOZDEF

57. Manera Tradicional de Documentación

58. FIR

59. RTIR

60. THREAT NOTE

61. Actividades Post-Incidente
● Lecciones Aprendidas
● Análisis de datos recolectados
● Retención de Evidencias

62. Conclusiones
● No hemos cubierto ni el 30% de herramientas open source disponibles para
hacer la respuesta a incidentes de manera práctica, cubrimos solamente
algunas de las más relevantes
● El uso de este tipo de herramientas puede permitir una fácil operación de un
grupo de respuesta a incidentes sin la necesidad de una inversión alta ni la
necesidad de muchos recursos
● Se debe tener un espíritu hacker para poder tener una infraestructura de un
grupo de Respuesta a Incidentes con herramientas open source, no será un
click and install, pero el resultado podrá permitir tener una infraestructura
realmente personalizada.

63. Muchas gracias
CEO KOD LATAM SECURITY
www.kod.uy
CEO CSIETE
www.csiete.org