[LACNIC/Seguridad] Resumen de Seguridad, Vol 64, Envío 8
Carlos Martinez-Cagnazzo
carlosm3011 en gmail.com
Mie Sep 7 11:21:46 BRT 2011
Es correcto lo que dice Carlos. Binarios es basicamente cualquier no
son archivos de texto, y en el contexto de un CSIRT estoy pensando en,
nuevamente como dice Carlos, en artefactos encontrados en el curso del
tratamiento de un incidente.
Mi sugerencia, mas que poner foco en formatos de base de datos, poner
foco en herramientas de gestión y análisis; como ser usar RT/RTIR para
gestionar incidentes.
Para otras cosas (logs, artefactos, etc.) cada uno esta en libertad de
elegir los formatos y los mecanismos de almacenamiento que mas se
adapten a las necesidades de cada uno.
Lo que si, existe un formato basado en XML llamado IODEF que es util
para intercambiar informacion de manera uniforme entre CSIRTs.
s2
Carlos
2011/9/6 Carlos Bergero <rak en fcien.edu.uy>:
> Con binarios supongo que hace referencia a los artefactos o programas que
> puedan encontrar como resultado del estudio de los incidentes, lease virus
> bombas lógicas herramientas de hacking, troyanos, rootkits, etc. Estos se
> suelen recolectar para su posterior análisis y como evidencia. En el ámbito
> de un CSIRT, también se podría utiliza con muestra de lo que hay en el
> entorno, y con fines didácticos para la formación interna del personal o del
> personal de otros centros.
> Con respecto a los datos de incidentes y el manejo de logs, creo que lo
> importante es tener en claro que mucha de esa información es "privada" o
> contiene datos que hacen a la infraestructura y/o los servicios de los
> sitios "victimas", por ende debería manejarse con suma discreción. En
> principio no se hasta donde se comparten los datos "crudos" con otros CSIRTs
> y lo que se hace es un proceso y análisis de los mismos, y se comparte
> información resumida, o depurada. Por un tema de confianza en el CSIRT creo
> que la información de los "clientes" debe ser manejada en todo momento con
> el mayor recelo.
>
> Saludos,
> Carlos
>
> El 06/09/11 13:03, Diego David escribió:
>
> Gracias Carlos por tu respuesta
>
> los tipos de datos serian aquellos necesarios para el manejo de incidentes,
> asi como logs, pero no tenemos muy claro a que se refiere con binarios.
> Estaria muy agradecido si me indicas las herramientas que mencionas para
> estos datos.
>
> Saludos, Diego
>
>>
>> Hola Diego,
>>
>> tu pregunta es un poco genérica. ¿En que tipos de datos estas pensando?
>>
>> - Informacion de seguimiento de incidentes ? (email de quien reclama,
>> tipo de incidente, etc.)
>> - Logs ?
>> - Binarios ?
>>
>> No hay un formato universal de BD para todas estas necesidades, pero
>> si hay herramientas que atacan bien cada uno de los nichos.
>>
>> saludos
>>
>> Carlos
>>
>> 2011/9/5 Diego David <diego_ddgm en hotmail.com>:
>> > Estimados,
>> >
>> > En Ecuador estamos en fase de planeacion para la creacion de un CSIRT a
>> > nivel nacional, pero no contamos con informacion suficiente acerca de la
>> > manera de manejar los datos
>> > y su forma de almacenarlos en BDD. El principal obstáculo es si se
>> > requiere
>> > almacenar los datos en un formato establecido, y la manera de compartir
>> > informacion entre CSIRTs
>> > de la región.
>> >
>> > Saludos,
>> >
>> > Diego Guacho
>> > Quito - Ecuador
>> > SUPERTEL
>> >
>> >
>> >
>> > _______________________________________________
>> > Seguridad mailing list
>> > Seguridad en lacnic.net
>> > https://mail.lacnic.net/mailman/listinfo/seguridad
>> >
>> >
>>
>>
>>
>> --
>> --
>> =========================
>> Carlos M. Martinez-Cagnazzo
>> http://www.labs.lacnic.net
>> =========================
>>
>>
>> ------------------------------
>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>
>>
>> Fin de Resumen de Seguridad, Vol 64, Envío 8
>> ********************************************
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
--
--
=========================
Carlos M. Martinez-Cagnazzo
http://www.labs.lacnic.net
=========================
Más información sobre la lista de distribución Seguridad