Estrategias para gestionar riesgo ante amenazas avanzadas
1. Evolución de las estrategias y
tecnologías de seguridad contra
amenazas avanzadas e ingeniería social
Gabriel Marcos – Product Manager
2. EL CASO GLOBAL PAYMENTS
MARZO, 2012: un ataque
compromete información de
1.5 MM de tarjetas de crédito.
http://www.informationweek.com/security/attacks/global-payments-breach-big-authenticatio/232800194
http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
3. EL CASO GLOBAL PAYMENTS
By Zacks Equity Research | Zacks
Visa Inc. (NYSE:V - News) has dropped Global Payments Inc. Mon, Apr 2, 2012 5:07 PM EDT
(NYSE:GPN - News) from its list of service providers after detecting a
cyber intrusion in the latter’s system that likely threatens about 1.5
million customer accounts. This was the second breach of card data
by in a year.
Evolución del valor de la acción NYSE:GPN
Momento
del ataque
http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
5. ADVANCED PERSISTENT THREATS (APT)
MESES
SEMANAS
Compromiso
Rapidez (ataque exitoso)
para
producir
Extracción de
resultados
datos
Descubrimiento
Difícil de
detectar
Contención o
y reparar
restauración
MINUTOS
6. AMENAZAS AVANZADAS:
REDES BOTNET
Redes compuestas,
cada una, de miles de
computadores
controlados desde un
punto central
disponibles para:
• ejecutar ataques de
denegación de
servicio (DDOS)
• distribución de
amenazas
• robo de información
• otros
http://www.csoonline.com/article/348317/what-a-botnet-looks-like
7. REDES BOTNET
Algunos de los negocios
de las redes BOTNET:
• alquiler de bots
• ataques de marca http://www.infosecurity-magazine.com/view/24335/thor-a-new-p2p-botnet-for-sale
blanca
• competencia desleal
(ataques dirigidos)
• distribución de
contenido ilegal
• venta de redes
botnet
http://blog.webroot.com/2012/06/06/ddos-for-hire-services-offering-to-take-down-your-
competitors-web-sites-going-mainstream/
8. INGENIERIA SOCIAL
Distinta técnica, los mismos objetivos…
THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY:
A SURVEY OF IT PROFESSIONALS
Dimensional Research | September 2011
9. INGENIERIA SOCIAL
Nadie es inmune a un ataque de Ingeniería Social.
THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY:
A SURVEY OF IT PROFESSIONALS
Dimensional Research | September 2011
10. • NEGOCIO: objetivo económico, retorno de inversión.
• VOLUMEN: economía de escala.
• SIGILOSIDAD: mayor duración del negocio del hacker.
• GLOBALIZACIÓN: distribución del riesgo.
• COMPLEJIDAD: múltiples técnicas y amenazas.
11. • ZONAS DE RIESGO: seguridad “a medida”.
• CONTROLES: específicos por ataque/técnica/amenaza.
• INGENIERÍA SOCIAL: integrar el factor humano.
• PROACTIVIDAD: predicción y prevención.
• SEGUIMIENTO: ciclo de vida de los posibles ataques.
12. ZONAS DE RIESGO
Critical Servers (CRM / ERP) • No matar un
Public Servers
mosquito con
(WEB / MAIL) un cohete
• No llevar un
Remote
Branches Remote
cuchillo a un
(VPN) Branches tiroteo
(WAN)
INTERNET Private
Network
Third-parties
(Clients /
Vendors)
Local Users
Remote
Users
13. ZONAS DE RIESGO
Defensa en profundidad y
zonas de riesgo: más
CONTROLES
controles mientras más
crítico es el activo
14. ZONAS DE RIESGO Y CONTROLES
Critical Servers (CRM / ERP) • Database Security
• Email Security
Public Servers
(WEB / MAIL)
• Firewall
Remote • IPS
Branches Remote
(VPN) • Firewall
• Web Branches
• IPS
Application (WAN) to site VPN
• Site
Firewall ( WAF)
INTERNET Private
Network
• Firewall
Third-parties • IPS
(Clients / • Antivirus
Vendors) • Antispam
• Endpoint Security
• Content filter
• Autenticación Local Users to site VPN
• Site
Remote fuerte
• Client to site
Users VPN
• SSL VPN
15. EJEMPLO:
ADVANCED PERSISTENT THREATS (APT)
• Database Security
• Email Security
• Firewall
• IPS
• Firewall
• Web • IPS
Application • Site to site VPN
Firewall ( WAF)
• Firewall
• IPS
• Antivirus
• Antispam
• Endpoint Security
• Content filter
• Autenticación
• Site to site VPN
fuerte
• Client to site
VPN
• SSL VPN
17. INTRODUCCION A SIEM
SIEM = Security & Information Event Management
• Menos falsos positivos
• Alarmas significativas (calificadas)
• Análisis de riesgo en tiempo real
• Seguimiento de amenazas
• Múltiples técnicas de detección:
– Tráfico
– Patrones
– Reglas de negocio
• Reportes en tiempo real
• Data-warehouse de eventos
18. CARACTERISTICAS DE SIEM
• Análisis en tiempo real • Costo de entrada
• Integración de elevados:
tecnologías existentes • Licencias
(mayor ROI) • Servidores
• Un solo punto de • SAN
reportes, logging y • Tiempo y dificultad de
compliance implementación
• Una sola fuente de • Alto costo de mejora
información consistente • Recursos 7x24
• Detección de amenazas • Entrenamiento para
avanzadas customización
• Acceso ante un ataque
(in-house)
19. USO DE SIEM EN BANCOS
http://m.informationweek.in/Security/12-06-12/BOI_uses_SIEM_to_reduce_false_positives_and_boost_security.aspx
20. CARACTERISTICAS DE SIEM
CONSUMO DE SERVICIOS DESDE LA
NUBE (modalidad SaaS)
• Análisis en tiempo real
• Integración de
tecnologías existentes
(mayor ROI)
• Un solo punto de
reportes, logging y
compliance
• Una sola fuente de
información consistente
23. POSIBILIDADES DEL SIEM
• Detección de ataques desconocidos (zero-day)
– Patrones de tráfico
– Operaciones repetitivas (fuerza bruta)
• Detección de anomalías en procesos
– Comportamiento humano!
• Detección de ataques a nivel de aplicación
– Monitoreo de transacciones
– Operaciones con bases de datos
• Reportes de compliance en tiempo real
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.