CERT-SG IRM-11: Information Leakage
CERT-SG IRM-11: Information Leakage
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, dealing with internal information disclosed intentionally.
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a filtraciones de informacion interna.
Hallazgos clave
- Preparacion: Contactos con relaciones publicas, RRHH, legal, DPO/CDO/GDPR, y fuerzas del orden; preparar estrategia de comunicacion interna y externa; asegurar que el valor de la informacion corporativa este explicado en procedimientos y formacion; identificar todos los activos valiosos
- Identificacion - Deteccion: Proceso de notificacion interna (confianza de empleados, equipo de seguridad); monitoreo publico en motores de busqueda y bases de datos; monitorear sitios de shaming de ransomware para detectar filtraciones incluyendo terceros; herramientas DLP
- Identificacion - Confirmacion: CRITICO: no actuar sin solicitud escrita del CISO; verificar vectores: email corporativo (buscar en sistema de mensajeria y cliente desktop), navegacion (logs de proxy/SIEM, historiales de todos los navegadores), dispositivos de almacenamiento externo (USB, CD, disco externo, smartphone), archivos locales, transferencia de red (FTP, IM, VPN, SSH), impresoras (spooler, disco duro local de la impresora), malware/ransomware
- Identificacion - Analisis: Descargar y analizar datos filtrados si estan disponibles; usar herramientas como Aleph para ayudar a decisiones legales; siempre buscar mas evidencia aunque ya se haya encontrado suficiente
- Contencion: Notificar management, legal y comunicaciones; bloquear acceso al URI/servidor/fuente/destinatarios de la filtracion; suspender credenciales logicas y fisicas del insider (con HR y legal); aislar sistema usado para la filtracion (desconexion fisica)
- Remediacion: Solicitar eliminacion de datos a propietarios de servidores publicos; si no es posible, analisis completo al equipo de PR y management; monitorear propagacion en sitios web y redes sociales; proveer elementos a HR para posible denuncia
- Recuperacion: Restaurar sistemas comprometidos; concienciar empleados; retirar comunicacion oficial cuando se normalice
Relevancia
Guia comprehensiva para un tipo de incidente que involucra dimensiones legales, de RRHH y tecnicas simultaneamente. Destaca la necesidad critica de autorizacion escrita del CISO antes de cualquier accion investigativa, y la importancia de no acceder a la zona privada del usuario sin consentimiento. La lista exhaustiva de vectores de filtracion (email, navegacion, USB, impresoras, red, malware) sirve como checklist de investigacion.
Citas clave
"Don't do anything, without a written request from the concerned CISO/person in charge. Based on your legal team advisory, a written permission from the concerned user might also be handy." (p. 5)
"Even when enough evidence has been found, always look for more. It is not because you proved that data got fraudulently from A to B with one method that it wasn't also sent to C with another method." (p. 7)
"Data leak can occur from anywhere. Remember that the cause of the leakage can be an individual employee willingly or unwillingly bypassing security issues, or a compromised computer (i.e., large scale/ransomware)." (p. 5)
Conexiones
- certsg-irm-12-insider-abuse — Abuso interno, caso donde la filtracion es intencional por un empleado
- certsg-irm-07-windows-malware — Malware Windows, referenciado cuando la causa es malware
- certsg-irm-17-ransomware — Ransomware, referenciado cuando la filtracion viene de shaming lists
- certsg-irm-08-blackmail — Chantaje, la filtracion puede derivar en extorsion
- Tema principal: Themes/respuesta-incidentes-lifecycle