SlideShare una empresa de Scribd logo

Que se esconde detrás de un ciberataque

Enrique de Nicolás Marín
Enrique de Nicolás Marín

Obtener conocimiento y claridad sobre el qué, el cuándo y el cómo de un incidente que amenaza la seguridad de la empresa

Internet
1 de 12
Descargar para leer sin conexión
Abril de 2014IBM Software Informe sobre liderazgo experto ¿Qué se esconde detrás de un ciberataque? Obtener conocimiento y claridad sobre el qué, el cuándo y el cómo de un incidente que amenaza la seguridad de la empresa
2 ¿Qué se esconde detrás de un ciberataque? Contenidos 2 Introducción 3 Los atacantes tienen ventaja, pero dejan una huella rastreable 4 La investigación forense avanzada puede incrementar la ventaja de las empresas 4 Los análisis forenses avanzados pueden permitir un enfoque de seguridad integral 5 Crear una información que admita búsquedas con la Plataforma IBM QRadar Security Intelligence 6 Las investigaciones pueden ser más completas y productivas 7 Las investigaciones de seguridad pueden ser más rápidas y sencillas 8 La forma en que los equipos de seguridad ven la información es importante para tener éxito 9 Generar inteligencia puede ayudar en las investigaciones 11 Conclusión 11 Para más información 11 Sobre las soluciones de IBM® Security Introducción Las filtraciones ocurren. Dentro de los entornos empresariales actuales, de alto valor y grandes expectativas, muchas organizaciones asumen, con razón, no solo que sus datos y sistemas informáticos recibirán ataques, sino que algunos de estos tendrán éxito. Un estudio descubrió que, efectivamente, el 97 por ciento de las organizaciones había sufrido ataques de software malicioso.1 Sin embargo, reconocer el problema es solo el primer paso, porque asumir que se producirán ataques en el futuro equivale a reconocer que los ataques pasados han logrado su propósito. Entonces, ¿cuál es la solución? ¿Cómo puede descubrir el qué, el cuándo y el cómo de un incidente de seguridad, y qué daño potencial podría haber ocasionado? Las respuestas a estas preguntas son esenciales para poder subsanar el daño y mejorar las defensas. Para investigar una filtración, las organizaciones necesitan obtener mayor visibilidad y claridad dentro de su actividad de red. Y lo necesitan con rapidez. Un estudio reciente realizado por Verizon Communications descubrió que, en un 66 por ciento de los casos, fueron necesarios meses para descubrir que se había producido una filtración,2 durante los cuales las organizaciones estuvieron expuestas a que sus operaciones de negocio, sus datos particulares, su propiedad intelectual y su imagen de marca resultaran perjudicados. La dificultad para evitar los daños radica en la complejidad de utilizar soluciones existentes para recopilar los datos relacionados con la seguridad e investigar la filtración Con las soluciones convencionales, obtener la información y los conocimientos necesarios lleva mucho tiempo y resulta muy difícil, por no decir imposible. Al mismo tiempo, los atacantes emplean unas técnicas cada vez más sofisticadas y tienen éxito con una facilidad sorprendente. A pesar de las defensas establecidas por las empresas, el estudio de Verizon calificó el 78 por ciento de las intrusiones iniciales como ‘de baja dificultad’.2 Este informe analizará los defectos de los enfoques convencionales a la hora de investigar fallos de seguridad y presentará IBM Security QRadar Incident Forensics, una solución rápida, sencilla y completa, diseñada para ayudar a las empresas a defenderse contra las amenazas sofisticadas, persistentes e internas, incluyendo el fraude y los abusos.
3IBM Software Al utilizar QRadar Incident Forensics, las organizaciones pueden volver a montar los datos de tráfico de paquetes en bruto en su formato original con objeto de simplificar el análisis, y rastrear paso a paso las acciones de un posible atacante para detectar y subsanar los incidentes de seguridad, y así reducir las posibilidades de exfiltración o de recurrencia de filtraciones pasadas. Los atacantes tienen ventaja, pero dejan una huella rastreable Las teorías bélicas hablan de ‘ventaja asimétrica’ cuando el poder, las estrategias o las tácticas de un ejército son notablemente diferentes a las de otro. Sería también un término apropiado para definir el estado en el que se encuentra actualmente la seguridad de las empresas. Las empresas y los ciberatacantes están en guerra. Además, los requisitos que establecen unas y otros, su experiencia y las motivaciones que tienen en mente son radicalmente distintos. La infraestructura típica de una empresa incluye miles de dispositivos y aplicaciones, una cantidad ingente de conexiones cada vez más complejas y un número indeterminado de puntos vulnerables desprotegidos. Para tener éxito, el atacante externo o el usuario interno malintencionado únicamente necesitan aprovechar una debilidad. La empresa debe cubrirlas todas y, si las medidas de protección no funcionan, debe encontrar, rastrear y subsanar los ataques que pudieran acechar en cualquier parte. El resultado es que las empresas se enfrentan a una enorme tarea. La base de datos de seguimiento que mantiene el equipo de investigación y desarrollo de IBM X-Force, que ha recopilado datos sobre 78.000 vulnerabilidades de seguridad reveladas públicamente, registró 8.330 vulnerabilidades nuevas tan solo en 2013.3 En el periodo anual finalizado en marzo de 2013, el software malicioso cuyo objetivo eran las plataformas móviles se convirtió en un nuevo agente de ataque que creció en un 614 por ciento (casi un 450 por ciento más rápido que el año anterior). 4 • • • • Por el lado de los defensores, cada acción que se lleva a cabo en a red, ya sea desde dentro o fuera de la organización, autorizada no, puede identificarse y analizarse como si formara parte de n incidente de seguridad. El seguimiento de estas impresiones igitales puede revelar posibles vulnerabilidades, las acciones que mprende un atacante para aprovecharlas y la fuente del ataque. uchas organizaciones han utilizado soluciones tradicionales, omo la gestión de datos de registro y las aplicaciones SIEM, ue les otorgan las competencias básicas para recabar los eventos e la fuente del registro y los datos de NetFlow, pero carecen de apturas de paquetes completos (PCAP), que proporcionan un ontexto de red más rico. in embargo, las aplicaciones SIEM obtienen grandes cantidades e datos, no solo de los atacantes, sino también de usuarios egítimos, y la mayoría de las organizaciones no tienen ni el iempo ni los recursos necesarios para cribar todos estos datos y allar cadenas específicas de caracteres incriminatorios. Las soluciones de análisis forense convencionales pueden constituir un reto Los analistas deben ser expertos en las investigaciones de seguridad en la red. Añadir soluciones de seguridad puntuales con una integración mínima generalmente hace aumentar la complejidad y los costes. Establecer dónde y cuándo se ha de iniciar una investigación puede ocasionar pérdida de productividad. Las consultas complejas dirigidas a repositorios de captura de paquetes pueden exigir dedicarles mucho tiempo, consumen recursos de almacenamiento y procesamiento y no consiguen revelar las relaciones necesarias para poner remedio. l o u d e M c q d c c S d l t h
4 ¿Qué se esconde detrás de un ciberataque? La investigación forense avanzada puede incrementar la ventaja de las empresas En un ataque a una empresa, las intrusiones y la defensa no son los únicos elementos asimétricos. Los eventos de la línea temporal del ataque suelen beneficiar también al atacante. Verizon ha descubierto que casi el 85 por ciento de tales eventos tiene lugar en segundos, minutos u horas, y que el 68 por ciento de la exfiltración ocurre en ese mismo periodo. Sin embargo, el 62 por ciento de las detecciones no suceden hasta meses después. El 77 por ciento del esfuerzo de subsanación incluyendo los parches, los cambios de configuración y los bloqueos frente a las intrusiones lleva días, semanas o meses de trabajo, que se añaden al tiempo que se tarda en detectar los fallos.2 Evidentemente, es necesario incrementar la velocidad de respuesta ante un ciberataque. Puede resultar decisivo saber de inmediato la extensión que adquiere cualquier filtración relacionada. Descubrir qué dispositivos o aplicaciones están afectados y establecer una línea temporal del evento puede indicar con exactitud a los administradores dónde y cuándo deben aplicar sus esfuerzos de subsanación. Por ejemplo, si una persona manipula in situ los dispositivos físicos, la localización de los dispositivos y el seguimiento de los eventos de la filtración pueden orientar a los investigadores hacia cámaras de seguridad que les permitan identificar al sospechoso. Sin embargo, estas operaciones de defensa son complejas y no deben realizarse manualmente, sino que las organizaciones necesitan herramientas automatizadas y completas para convertir sus capturas de paquetes de red en información que admita búsquedas e indexación. Entonces, los equipos de seguridad podrán utilizar esta información para establecer rápidamente las amenazas y sus características, distinguir los ataques reales de los falsos positivos y formular mejores prácticas de prevención para acciones futuras, basadas en una mejor comprensión del ataque. Si utilizan una solución avanzada de análisis forense de redes, los investigadores dispondrán de una visión más completa de la serie de acontecimientos ocurridos en un ataque, incluyendo componentes identificativos como direcciones IP y MAC, protocolos de aplicación, alojamientos web, consultas del usuario y certificados Secure Sockets Layer (SSL). Podrán identificar los datos que han sido robados, como números de la Seguridad Social o de tarjetas de crédito. Podrán recabar información que les ayude a identificar el origen de la filtración, si se trata de un atacante externo o de un usuario interno que utiliza una autorización legítima para fines maliciosos. Las amenazas emergentes exigen claridad para poder detectarlas y subsanarlas Una solución de análisis forense de red avanzado puede otorgar a los analistas de seguridad claridad de contenido, relaciones y una secuencia de eventos para resolver los incidentes. Por ejemplo: • Seguridad de la red: Un minorista necesitaba detectar una duplicación no autorizada de los datos de pago de un cliente desde los sistemas de punto de venta (TPV) a sistemas internos comprometidos. • Fraude y abuso: Una empresa de financiación necesitaba revelar un sofisticado plan de blanqueo de dinero consistente en numerosas interacciones aparentemente sin conexión entre sí. • Amenaza interna: Una empresa de fabricación necesitaba encontrar al autor, identificar a los colaboradores y señalar con precisión los sistemas y datos participantes en el robo de propiedad intelectual. • Recogida de pruebas: Una empresa dedicada a las investigaciones relacionadas con la seguridad necesitaba recopilar pruebas contra una entidad maliciosa involucrada en la filtración de un sistema de seguridad y en el robo de datos. Los análisis forenses pueden permitir un enfoque de seguridad integral En su esfuerzo por impedir los ataques y las filtraciones, así como por cumplir la normativa gubernamental e industrial en materia de seguridad, muchas organizaciones han desplegado soluciones de análisis forense de redes. Sin embargo, en muchos casos, las soluciones de seguridad que eligen son productos puntuales que proporcionan conocimientos y respuestas que dependen de la competencia de analistas con formación técnica.
5IBM Software Crear una información que admita búsquedas con un motor de búsqueda de Internet Fuente de los datos Dispositivos de seguridad Servidores y sistemas mainframe Actividad de la red y virtual Actividad de los datos Actividad de la aplicación Información de configuración Vulnerabilidades y amenazas Usuarios e identidades Inteligencia global contra amenazas Recopilación, almacenamiento y análisis de datos ilimitados Clasificación de datos integrada Servicio de los activos, descubrimiento de usuario y creación de perfiles automáticos Correlación en tiempo real e inteligencia contra amenazas Detección de anomalías y líneas de referencia de la actividad Detección de incidentes preconfigurada Rápida reducción del tiempo de resolución gracias a un flujo de trabajo forense intuitivo Capacidad de los usuarios de hacer uso de su intuición más que de formación técnica Ayuda para establecer la causa raíz y prevenir recurrencias Identificación de infracciones automatizada Investigaciones forenses dirigidas Un enfoque de estas características trata el análisis forense de redes como un trabajo para obtener búsquedas PCAP sencillas, pero los despliegues en serie resultantes, que colocan una solución puntual sobre otra según van necesitándose nuevas competencias, pueden oscurecer las verdaderas medidas de seguridad de la organización con una complejidad innecesaria. Es más conveniente desplegar una solución completa de análisis forense que pueda investigar no solo los datos PCAP en circulación, sino también los documentos, las bases de datos y otros datos en reposo. Al utilizar QRadar Incident Forensics, la solución avanzada e integral de análisis forense de redes de IBM, los investigadores no solo podrán recabar información de la red, sino que podrán buscar de manera preventiva posibles filtraciones, basándose en las alertas que le proporciona X-Force Threat Intelligence. Podrán encontrar relaciones dentro de la red e identificar los orígenes del incidente. A continuación, y utilizando datos y conocimientos sobre la red relacionados con el incidente de seguridad, comprenderán las razones por las que determinados ataques tienen éxito y podrán erradicar de un modo más eficaz las actividades maliciosas asociadas a una filtración. Los administradores pueden obtener pruebas que les respalden en las acciones legales o a cumplir las auditorías de cumplimiento de la normativa. En última instancia, el equipo de seguridad de TI puede hacer uso de la información y conocimiento proporcionados por QRadar Incident Forensics para contribuir al desarrollo de unas contramedidas eficaces y mejores prácticas de seguridad: actualizar las defensas perimetrales como los cortafuegos, parches y aplicaciones de dispositivos finales, ajustar con frecuencia las competencias para la detección de anomalías y redactar normas de correlación SIEM a varios niveles, así como medidas de prevención que reduzcan los falsos positivos y contribuyan a una mejor identificación de los ataques. Crear una información que admita búsquedas con la Plataforma IBM QRadar Security Intelligence Así que, ¿cómo funciona QRadar Incident Forensics? En pocas palabras: comienza una vez ha ocurrido un incidente de seguridad, cuando un analista define una búsqueda o un caso, recupera todos los datos PCAP asociados, reconstruye cada archivo integrado y luego crea índices múltiples haciendo uso de los contenidos del archivo y de los metadatos. Estos pasos dan lugar a una información que admite búsquedas y que los equipos de seguridad pueden conservar para investigar el incidente durante mucho tiempo.
6 ¿Qué se esconde detrás de un ciberataque? Basándose en sus competencias principales de extracción y correlación, QRadar Incident Forensics puede proporcionar soporte a las tres operaciones principales que se llevan a cabo en las investigaciones de seguridad en la red: Respuesta a incidentes de seguridad Cuando se descubre un fallo de seguridad, QRadar Incident Forensics puede capacitar a los investigadores para rastrear las acciones del atacante paso a paso en tiempo real y elaborar un perfil que se conoce como impresión digital, que rastrea la actividad anterior y actual del autor de la amenaza. La información que se obtiene puede ayudar al equipo de seguridad a subsanar el incidente con rapidez y a elaborar contramedidas para evitar daños futuros. Clasificación de la alerta En general, las soluciones SIEM generan un número limitado de supuestas infracciones contra la seguridad y las comparan con otros datos de seguridad. Sin embargo, QRadar Incident Forensics capacita al equipo de seguridad para continuar investigando cada posible infracción, con objeto de establecer si se trata de un ataque real o si es un falso positivo. Con las soluciones de análisis forense convencionales, es posible que se tarde semanas en llevar a cabo estas investigaciones, en función de los niveles de habilidad de los analistas y de las respuestas de los usuarios identificados. Pero al combinar automáticamente la información procedente de los informes SIEM con la información histórica obtenida en la investigación y resolución de incidentes anteriores, QRadar Incident Forensics puede contribuir a reducir notablemente el tiempo necesario para realizar cada investigación. Análisis de datos preventivo y defensivo De vez en cuando, los equipos de seguridad escudriñan sus propias redes para comprobar sus medidas de seguridad. Estas búsquedas podrían fundamentarse en una alerta recibida de una organización de expertos frente a las amenazas, como X-Force, o en una política interna en la que se planifiquen actividades de seguridad. En cualquier caso, una búsqueda puede racionalizarse e incrementar su eficacia con la interfaz simplificada y similar a un motor de búsqueda de la solución avanzada QRadar Incident Forensics, con sus competencias de categorización y filtro para reducir el volumen de los datos recibidos y competencias de pivotaje que permiten diversas vistas de la búsqueda. Las investigaciones pueden ser más completas y productivas QRadar Incident Forensics está diseñada para ayudar a las organizaciones a investigar de un modo rápido e intensivo la actividad maliciosa en la red, al introducir visibilidad y claridad en los incidentes de seguridad de la red. Disponible como software o como appliance de hardware con software integrado, la solución es totalmente compatible con IBM Security QRadar SIEM e IBM QRadar Security Intelligence Platform, así como con la mayor parte de los formatos de captura de paquetes de terceros disponibles. Este enfoque integral concede a los equipos de seguridad de TI la capacidad de dirigir sus investigaciones de una forma más sencilla y productiva y de tomar unas decisiones más rápidas y acertadas, gracias al análisis de los datos de seguridad en el contexto de la red, y así conseguir un remedio eficaz. Al utilizar una interfaz similar a un motor de búsqueda para gestionar los datos de la red o los que fluyen a través de ella, QRadar Incident Forensics contribuye tanto a las investigaciones consecuencia de un incidente como a las orientadas a obtener inteligencia contra las amenazas, con el fin de ofrecer a los equipos de seguridad la prueba subyacente que sigue las huellas de las impresiones digitales, categoriza el contenido externo y etiqueta el contenido sospechoso. QRadar Incident Forensics indexa todo lo que encuentra dentro del tráfico de red capturado (desde documentos a imágenes de sitio web, incluyendo los metadatos y los contenidos de datos estructurados y no estructurados) para contribuir a reducir el tiempo necesario para investigar las infracciones; en muchos casos, tal reducción pasa de días a horas, o incluso minutos. Para mejorar la inteligencia de datos y los conocimientos obtenidos, la solución proporciona una poderosa capacidad de pivotar datos para descubrir y desplegar unas relaciones ampliadas para variables susceptibles de búsqueda, como direcciones IP, direcciones MAC, direcciones de correo electrónico, protocolos de aplicación, certificados SSL y más.
7IBM Software Detección Investigar incidentes de seguridad con soluciones IBM Security QRadar: IBM Security QRadar La información de seguridad y gestión de eventos (SIEM) de IBM Security QRadar descubre una infracción. Los administradores pueden usar estos datos para construir impresiones digitales que les conduzcan al lugar del incidente. Los equipos de seguridad de TI pueden entonces evaluar la credibilidad de una amenaza real y utilizar los medios apropiados para bloquear las comunicaciones, parchear las vulnerabilidades, contener los datos esenciales en caso de tratarse de un incidente y subsanar las acciones maliciosas para evitar que vuelvan a producirse. IBM Security QRadar Incident Forensics vuelve a montar e indexa los datos. Ubicación de la filtración Subsanar y contener Recopilación y procesamiento El resultado es una vista de los datos de red, de la aplicación y del usuario malicioso más rica y de big-data que la proporcionada por las herramientas de análisis forense tradicionales, que únicamente pueden utilizar PCAP procesadas. Con la ayuda de rutas de navegación electrónicas, los investigadores pueden seguir el camino trazado por el software malicioso o por los atacantes, y seguir el rastro de las interacciones cronológicas de los eventos del incidente, lo que ayuda a los investigadores a descubrir cómo subsanar las filtraciones, con el fin de revertir estas acciones y prevenir las posibles recurrencias. Las organizaciones pueden también registrar su conformidad con las normativas. Las investigaciones de seguridad pueden ser más rápidas y sencillas Para navegar por los datos PCAP recopilados, entender el significado de dichos datos y saber qué hacer con ellos para subsanar un ataque y evitar incursiones futuras, las soluciones de seguridad convencionales exigen una amplia formación, e incluso la capacidad de escribir código en algunos casos. QRadar Incident Forensics, por otro lado, concede prácticamente a cualquier miembro del equipo de seguridad (incluso a los miembros de menor categoría sin un conocimiento amplio de los datos de seguridad) la capacidad de establecer todo el contexto de red de un incidente de seguridad. Una interfaz de consulta intuitiva y de formato libre, integrada en QRadar Incident Forensics, significa que es tan sencillo formular una búsqueda de incidentes de seguridad como buscar datos deportivos utilizando cualquiera de los motores de búsqueda conocidos de Internet. Con la solución de análisis forense integrada en la interfaz de gestión de consola única de QRadar Security Intelligence Incident Forensics, el acceso a todo el conjunto de competencias de análisis forense está a tan solo un clic de distancia. Además, en muchos casos, las búsquedas de toda la red son cuestión de minutos u horas, debido a la amplia indexación, en comparación con los días o semanas que son necesarios con otras soluciones. En muchas ocasiones, gracias a las búsquedas de QRadar Incident Forensics las investigaciones pueden ser más rápidas y completas y ayudar a identificar los datos que puedan haberse perdido. Cuando la solución ha terminado de recuperar y procesar las PCAP en bruto hasta transformarlas en archivos de documento enriquecidos, su motor de búsqueda comienza a
8 ¿Qué se esconde detrás de un ciberataque? A través de IBM Security QRadar Incident Forensics, los equipos de seguridad pueden visualizar fácilmente las relaciones entre las entidades sospechosas utilizando direcciones IP, direcciones de correo electrónico, ID de chats, etc. utilizar los índices de metadatos de red, de archivo y personales para devolver unas búsquedas por palabra clave rápidas de datos estructurados y no estructurados. Incluso puede buscar documentos de red almacenados. La capacidad de la solución de proporcionar información en contexto ayuda a poner de manifiesto los niveles de amenaza y las vulnerabilidades. Genera diversas vistas de los datos, que muestran las relaciones, las líneas temporales y las categorías de fuente y de amenaza. Adicionalmente, permite a los usuarios perfeccionar las búsquedas con un filtrado inteligente de información como las direcciones IP y MAC, los protocolos de aplicación o las direcciones de correo electrónico. La forma en que los equipos de seguridad ven la información es importante para tener éxito Es muy revelador que nada de lo que hay en la red escapa a la visión de un caso de búsqueda dirigido de QRadar Incident Forensics. Por ejemplo, la simple búsqueda de la palabra ‘confidencial’ no solamente puede localizar todos los documentos etiquetados como tal, sino también descubrirá todos los eventos que comprenden un documento filtrado externamente, identificará los recorridos por los que puede haberse enviado una copia y revelará qué individuo inició tales acciones. La solución puede presentar la información de diversas maneras, lo que resulta igualmente relevante, dado que permite a los investigadores crear la vista más apropiada para la información que necesitan. La interfaz permite al personal de seguridad encontrar la información relacionada simplemente haciendo clic en los metadatos. También permite a los investigadores pivotar variables que admiten búsquedas y cambiar el campo de metadatos para ver unas relaciones ampliadas e incluso inesperadas en algunos casos. Empezando por una dirección de correo electrónico, por ejemplo, un investigador puede descubrir la asociación entre una dirección IP y el ID de acceso a Internet, utilizar la información combinada para descubrir quién es el atacante y rastrear sus acciones en la red.
9IBM Software La visibilidad y claridad que proporciona QRadar Incident Forensics es fundamental para que una organización elimine y remedie los incidentes de seguridad. Con unas soluciones más limitadas, los ataques pueden repetirse y el software malicioso puede volver a infectar la infraestructura; todo porque el equipo de seguridad no vio el elemento de ataque. Anatomía de un ataque y una respuesta inteligente Al llegar al lugar de trabajo, el equipo de seguridad de la empresa descubre que su aplicación para la información de seguridad y gestión de eventos (SIEM) ha descubierto una serie de infracciones ocurridas durante la noche. En lugar de abrirse paso manualmente a través de los datos del SIEM, el equipo lanza una sesión de QRadar Incident Forensics tan solo haciendo clic sobre la pestaña de la solución en la consola QRadar Security Intelligence Platform, que reúne todas las capturas de paquete relevantes, lleva a cabo una indexación amplia y arroja rápidamente unos resultados de búsqueda detallados y a varios niveles, en cuestión de minutos en la mayoría de los casos, si no de segundos. A partir de un amplio conjunto de datos, que abarca desde la dirección IP que originó el incidente hasta un ID de buzón de correo y una dirección MAC, la solución revela categorías de metadatos que proporcionan datos identificativos del atacante y de la huella que el atacante dejó en la red de la empresa. Al utilizar elementos de un contexto de red más grande, el equipo de seguridad puede establecer si los datos SIEM revelan un ataque real o si se trata de un falso positivo para un evento que tiene explicación y que se ha confundido con un ataque. Si el evento es un falso positivo, el equipo sabe ajustar sus normas de correlación SIEM, de manera que no vuelvan a producirse resultados erróneos en el futuro. Si el ataque es real, el equipo puede actuar de inmediato para poner remedio a la amenaza y contribuir a evitar incidentes futuros que utilicen la misma fuente o las mismas técnicas. Generar inteligencia puede ayudar en las investigaciones Los atacantes y las filtraciones son cada día más brillantes y sofisticados. Como respuesta, las organizaciones necesitan unas defensas inteligentes, a las que la inteligencia de sus redes aporta aún más información. QRadar Incident Forensics genera la nueva inteligencia para la defensa que las organizaciones necesitan porque encuentra y reconstruye los incidentes de seguridad en la red y los presenta de manera que permitan inferir unas interpretaciones más profundas, encontrar la causa raíz y contribuir a su subsanación. La solución rastrea las huellas electrónicas dejadas por los atacantes, identifica las inyecciones de código o las adiciones de activos malintencionados, ve la configuración del dispositivo y los cambios en las normas del cortafuegos, y muchas cosas más. Estas tres formas de defensa se logran a través de tres técnicas principales: creación de impresiones digitales, identificación de contenido sospechoso y categorización del contenido de la red. Impresiones digitales Una impresión digital es un poderoso índice de metadatos que puede ayudar a una organización a identificar a los atacantes sospechosos o al usuario interno malintencionado mediante el seguimiento de las huellas dejadas por el usuario. Al establecer estas relaciones, QRadar Incident Forensics puede extraer datos de fuentes de red, como direcciones IP, direcciones MAC y puertos y protocolos TCP (protocolo de control de transmisión). Puede encontrar información como el ID del chat y leer información desde el procesador de texto o desde las aplicaciones de hoja de cálculo, como la identificación del autor. Una impresión digital no solo puede ayudar a la organización a descubrir la identidad de una entidad que atacó la red en una ocasión, sino que puede ayudar también a descubrir asociaciones vinculando la identidad de la entidad con información identificativa para otros usuarios o entidades, y así revelar otros posibles ataques.
10 ¿Qué se esconde detrás de un ciberataque? Las soluciones IBM Security QRadar son la pieza central de la visibilidad, claridad y protección. IBM Security Access Manager IBM Security zSecure IBM Security Privileged Identity Manager IBM Security Identity Manager IBM InfoSphere Guardium Trusteer Apex IBM Security Network Protection XGS IBM Endpoint Manager IBM Security AppScanIBM Security Directory Server IBM Security Directory Integrator Protección de la actividad del usuario IBM QRadar Security Intelligence Platform Protección de datos Protección avanzada contra el fraude Protección de la infraestructura Seguridad de las aplicaciones Categorización de contenido Clasificar por categorías la procedencia del tráfico de la red y distinguir entre fuentes legítimas y fuentes maliciosas es esencial para proteger frente a las filtraciones. Organizaciones de investigación de seguridad como X-Force mantienen unas bases de datos de URLs que rastrean la reputación de una ubicación, de manera que las organizaciones puedan decir si podría tratarse del origen de un ataque que ha sufrido, o de un posible ataque en el futuro. Filtrar y etiquetar los datos por categoría (por ejemplo, preguntando si un intento de acceder a la red procede de una empresa de confianza o de una organización delictiva), así como restringir el acceso basado en los metadatos y establecer una correlación entre organizaciones puede desempeñar un papel importante a la hora de evitar que el software malicioso y las acciones dañinas vulneren la red. Contenido sospechoso Una filtración de datos normalmente tiene como objetivo unos tipos de información específicos: números de la Seguridad Social, números de tarjetas de crédito, identificadores médicos o propiedad intelectual etiquetada como ‘confidencial’, entre otros. QRadar Incident Forensics puede ayudar a reconocer esos patrones de información (simplemente buscar ‘confidencial’ en el motor de búsqueda) para revelar rápidamente el robo, el daño malicioso u otras actividades que puedan causar daños a la organización A partir de ahí, el equipo de seguridad puede poner remedio a la acción e implantar medidas diseñadas para evitar que vuelva a ocurrir.
11IBM Software Conclusión La sofisticación de los ataques actuales exige una respuesta rápida y eficaz basada en toda la inteligencia disponible sobre el qué, el cuándo y el cómo del ataque. Las competencias integrales y fáciles de utilizar de IBM Security QRadar Incident Forensics pueden proporcionar la visibilidad y claridad necesarias para abordar un incidente de seguridad de la red, así como el conocimiento sobre el alcance de las actividades infractoras que el equipo de seguridad necesita para subsanarlo y evitar que se repita. Si utilizan QRadar Incident Forensics, las organizaciones pueden reforzar también su documentación de conformidad con las normativas. Con la información obtenida a través de QRadar Incident Forensics, un equipo de seguridad de TI puede estar bien preparado para elaborar un plan de acción que aproveche la inteligencia de red y todos los recursos de seguridad de la organización para que ésta realice una aproximación de última generación al análisis forense del incidente de seguridad que respalde la seguridad de la red, el análisis de la amenaza ocasionada por un usuario interno (incluyendo el fraude y el abuso) y la documentación de las pruebas relacionadas con el incidente. Para más información Si desea obtener información adicional acerca de IBM Security QRadar Incident Forensics, póngase en contacto con su representante o Business Partner de IBM o entre en: ibm.com/services/us/en/it-services/security-intelligence.html.­ ­ ­ ­ ­ ­ ­ Acerca de las soluciones IBM Security IBM Security ofrece una de las carteras más avanzadas e integradas de productos y servicios de seguridad para las empresas. La cartera, respaldada por el equipo de investigación y desarrollo de fama mundial X-Force, ofrece inteligencia de seguridad para ayudar a las organizaciones a proteger de forma integral a sus empleados, su infraestructura, sus datos y aplicaciones mediante soluciones de gestión de identidades y accesos, seguridad de las bases de datos, desarrollo de aplicaciones, gestión de riesgos, gestión de puntos finales, seguridad de redes y mucho más. Estas soluciones capacitan a las organizaciones para gestionar de forma más efectiva los riesgos y aplicar soluciones de seguridad integrales para móviles, sistemas cloud, redes sociales y otras arquitecturas de negocio empresariales. IBM dirige una de las organizaciones de investigación, desarrollo y suministro de productos de seguridad más amplias del mundo, controla 15.000 millones de eventos de seguridad al día en más de 130 países y es titular de más de 3.000 patentes de seguridad. Además, IBM Global Financing (IGF) puede ayudarle a adquirir las funciones de software que su empresa necesita del modo más rentable y estratégico posible. Nos asociaremos con clientes de crédito cualificado, para así personalizar una solución de financiación que se adapte a sus objetivos de desarrollo y empresariales, permita una gestión eficaz del capital y mejore su coste total de la propiedad (TCO). Financie su inversión estratégica en TI e impulse su negocio con IGF. Para más información, visite: ibm.com/financing/es/­ ­ ­
­ ­ ­ ­ ­ 1 Ponemon Institute. “2013 Cost of Cyber Cime Study: United States’, octubre de 2013. http://media.scmagazine.com/documents/54/ 2013_us_ccc_report_final_6-1_13455.pdf. 2 Equipo de RIESGO de Verizon, ‘Informe de 2013 de investigación sobr filtración de datos de Verizon’, Verizon CommunicationsAbril de 2013 http://www.verizonenterprise.com/DBIR/2013/. 3 IBM X-Force, ‘IBM X-Force Threat Intelligence Quarterly – 1Q 2014’ IBM Security SystemsFebrero de 2014. https://www14.software.ibm.com/webapp/iwm/web/signup.do? source=swg-WW_Security_Organic&S_PKG=ov21294. 4 Centro de Amenazas Móviles de Juniper Networks, ‘Third Annual Mobile Threats Report: March 2012 through March 2013,’ Juniper Networks2013. http://www.juniper.net/us/en/local/pdf/additional-resources/ 3rd-jnpr-mobile-threats-report-exec-summary.pdf. ­ ­ ­ ­ ­ ­ e ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ WGW03056-ESES-00

Recomendados

Ciberataques
CiberataquesCiberataques
CiberataquesErnesto Burgueño Cervantes
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redJorge Arroyo
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridadmaldonado2411
 

Recomendados

Ciberataques
CiberataquesCiberataques
CiberataquesErnesto Burgueño Cervantes
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redJorge Arroyo
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridadmaldonado2411
 
Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridadAlfredo Vela Zancada
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICApaomurciascarpetta
 
Ciberataques irreversibles en la red
Ciberataques irreversibles en la redCiberataques irreversibles en la red
Ciberataques irreversibles en la redCristian Garcia G.
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersOBS Business School
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
Presentación1
Presentación1Presentación1
Presentación1EDGAR TOALOMBO
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas AvanzadasSymantec
 
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...Cristian Garcia G.
 
Trabajo Final MINTIC
Trabajo Final MINTICTrabajo Final MINTIC
Trabajo Final MINTICCduarte75
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Andrea Johnen
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaFernando Alfonso Casas De la Torre
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadclaudiocj7
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Redes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadRedes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadSupra Networks
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticarchacon
 
Revista Mundo Contact Julio 2016
Revista Mundo Contact Julio 2016Revista Mundo Contact Julio 2016
Revista Mundo Contact Julio 2016Mundo Contact
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)Santiago Cavanna
 
Analizando un delito informático
Analizando un delito informáticoAnalizando un delito informático
Analizando un delito informáticoEdmundo Diego Bonini ஃ
 

Más contenido relacionado

La actualidad más candente

Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
Ciberataques irreversibles en la red
Ciberataques irreversibles en la redCiberataques irreversibles en la red
Ciberataques irreversibles en la redCristian Garcia G.
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersOBS Business School
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCCristian Garcia G.
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas AvanzadasSymantec
 
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...Cristian Garcia G.
 
Trabajo Final MINTIC
Trabajo Final MINTICTrabajo Final MINTIC
Trabajo Final MINTICCduarte75
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Andrea Johnen
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadclaudiocj7
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Redes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadRedes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadSupra Networks
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticarchacon
 

La actualidad más candente (19)

Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridad
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Ciberataques irreversibles en la red
Ciberataques irreversibles en la redCiberataques irreversibles en la red
Ciberataques irreversibles en la red
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y Hackers
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
 
Retos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOCRetos al construir y operar un CyberSOC
Retos al construir y operar un CyberSOC
 
Presentación1
Presentación1Presentación1
Presentación1
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
 
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas5 Hallazgos Clave Sobre Las Amenazas Avanzadas
5 Hallazgos Clave Sobre Las Amenazas Avanzadas
 
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
 
Trabajo Final MINTIC
Trabajo Final MINTICTrabajo Final MINTIC
Trabajo Final MINTIC
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridad
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Redes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridadRedes más seguras en la era de la ciberseguridad
Redes más seguras en la era de la ciberseguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 

Similar a Que se esconde detrás de un ciberataque

Revista Mundo Contact Julio 2016
Revista Mundo Contact Julio 2016Revista Mundo Contact Julio 2016
Revista Mundo Contact Julio 2016Mundo Contact
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)Santiago Cavanna
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosAlexander Velasque Rimac
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes JORGE MONGUI
 
El teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionEl teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionIng. Armando Monzon Escobar, MA.
 
sophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfsophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfDennis Reyes
 

Similar a Que se esconde detrás de un ciberataque (20)

Revista Mundo Contact Julio 2016
Revista Mundo Contact Julio 2016Revista Mundo Contact Julio 2016
Revista Mundo Contact Julio 2016
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)
 
Analizando un delito informático
Analizando un delito informáticoAnalizando un delito informático
Analizando un delito informático
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
Material riesgos adoc
Material riesgos adocMaterial riesgos adoc
Material riesgos adoc
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 
HackWeb
HackWebHackWeb
HackWeb
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
 
N3a06
N3a06N3a06
N3a06
 
04 calidadinfo
04 calidadinfo04 calidadinfo
04 calidadinfo
 
El teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionEl teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacion
 
sophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfsophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdf
 
ADA2_B1_JAHG
ADA2_B1_JAHGADA2_B1_JAHG
ADA2_B1_JAHG
 

Más de Enrique de Nicolás Marín

¿Qué está sucediendo en el mundo de los datos?
¿Qué está sucediendo en el mundo de los datos?¿Qué está sucediendo en el mundo de los datos?
¿Qué está sucediendo en el mundo de los datos?Enrique de Nicolás Marín
 

Más de Enrique de Nicolás Marín (10)

¿Qué está sucediendo en el mundo de los datos?
¿Qué está sucediendo en el mundo de los datos?¿Qué está sucediendo en el mundo de los datos?
¿Qué está sucediendo en el mundo de los datos?
 
Ready for prime time?
Ready for prime time?Ready for prime time?
Ready for prime time?
 
Watson Analytics for nonprofits
Watson Analytics for nonprofitsWatson Analytics for nonprofits
Watson Analytics for nonprofits
 
IBM Planning Analytics
IBM Planning AnalyticsIBM Planning Analytics
IBM Planning Analytics
 
Big data Analytics
Big data AnalyticsBig data Analytics
Big data Analytics
 
Ytl03375 usen
Ytl03375 usenYtl03375 usen
Ytl03375 usen
 
IBM Watson Content Analytics Redbook
IBM Watson Content Analytics RedbookIBM Watson Content Analytics Redbook
IBM Watson Content Analytics Redbook
 
IBM Client Center Madrid
IBM Client Center MadridIBM Client Center Madrid
IBM Client Center Madrid
 
Seven symptoms of forescasting illness
Seven symptoms of forescasting illnessSeven symptoms of forescasting illness
Seven symptoms of forescasting illness
 
Planning budgeting forecasting
Planning budgeting forecastingPlanning budgeting forecasting
Planning budgeting forecasting
 

Último

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
memoria de la empresa Pil Andina para d
memoria de la empresa Pil Andina para dmemoria de la empresa Pil Andina para d
memoria de la empresa Pil Andina para dRodrigoAveranga2
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 

Último (6)

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
memoria de la empresa Pil Andina para d
memoria de la empresa Pil Andina para dmemoria de la empresa Pil Andina para d
memoria de la empresa Pil Andina para d
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 

Que se esconde detrás de un ciberataque

  • 1. Abril de 2014IBM Software Informe sobre liderazgo experto ¿Qué se esconde detrás de un ciberataque? Obtener conocimiento y claridad sobre el qué, el cuándo y el cómo de un incidente que amenaza la seguridad de la empresa
  • 2. 2 ¿Qué se esconde detrás de un ciberataque? Contenidos 2 Introducción 3 Los atacantes tienen ventaja, pero dejan una huella rastreable 4 La investigación forense avanzada puede incrementar la ventaja de las empresas 4 Los análisis forenses avanzados pueden permitir un enfoque de seguridad integral 5 Crear una información que admita búsquedas con la Plataforma IBM QRadar Security Intelligence 6 Las investigaciones pueden ser más completas y productivas 7 Las investigaciones de seguridad pueden ser más rápidas y sencillas 8 La forma en que los equipos de seguridad ven la información es importante para tener éxito 9 Generar inteligencia puede ayudar en las investigaciones 11 Conclusión 11 Para más información 11 Sobre las soluciones de IBM® Security Introducción Las filtraciones ocurren. Dentro de los entornos empresariales actuales, de alto valor y grandes expectativas, muchas organizaciones asumen, con razón, no solo que sus datos y sistemas informáticos recibirán ataques, sino que algunos de estos tendrán éxito. Un estudio descubrió que, efectivamente, el 97 por ciento de las organizaciones había sufrido ataques de software malicioso.1 Sin embargo, reconocer el problema es solo el primer paso, porque asumir que se producirán ataques en el futuro equivale a reconocer que los ataques pasados han logrado su propósito. Entonces, ¿cuál es la solución? ¿Cómo puede descubrir el qué, el cuándo y el cómo de un incidente de seguridad, y qué daño potencial podría haber ocasionado? Las respuestas a estas preguntas son esenciales para poder subsanar el daño y mejorar las defensas. Para investigar una filtración, las organizaciones necesitan obtener mayor visibilidad y claridad dentro de su actividad de red. Y lo necesitan con rapidez. Un estudio reciente realizado por Verizon Communications descubrió que, en un 66 por ciento de los casos, fueron necesarios meses para descubrir que se había producido una filtración,2 durante los cuales las organizaciones estuvieron expuestas a que sus operaciones de negocio, sus datos particulares, su propiedad intelectual y su imagen de marca resultaran perjudicados. La dificultad para evitar los daños radica en la complejidad de utilizar soluciones existentes para recopilar los datos relacionados con la seguridad e investigar la filtración Con las soluciones convencionales, obtener la información y los conocimientos necesarios lleva mucho tiempo y resulta muy difícil, por no decir imposible. Al mismo tiempo, los atacantes emplean unas técnicas cada vez más sofisticadas y tienen éxito con una facilidad sorprendente. A pesar de las defensas establecidas por las empresas, el estudio de Verizon calificó el 78 por ciento de las intrusiones iniciales como ‘de baja dificultad’.2 Este informe analizará los defectos de los enfoques convencionales a la hora de investigar fallos de seguridad y presentará IBM Security QRadar Incident Forensics, una solución rápida, sencilla y completa, diseñada para ayudar a las empresas a defenderse contra las amenazas sofisticadas, persistentes e internas, incluyendo el fraude y los abusos.
  • 3. 3IBM Software Al utilizar QRadar Incident Forensics, las organizaciones pueden volver a montar los datos de tráfico de paquetes en bruto en su formato original con objeto de simplificar el análisis, y rastrear paso a paso las acciones de un posible atacante para detectar y subsanar los incidentes de seguridad, y así reducir las posibilidades de exfiltración o de recurrencia de filtraciones pasadas. Los atacantes tienen ventaja, pero dejan una huella rastreable Las teorías bélicas hablan de ‘ventaja asimétrica’ cuando el poder, las estrategias o las tácticas de un ejército son notablemente diferentes a las de otro. Sería también un término apropiado para definir el estado en el que se encuentra actualmente la seguridad de las empresas. Las empresas y los ciberatacantes están en guerra. Además, los requisitos que establecen unas y otros, su experiencia y las motivaciones que tienen en mente son radicalmente distintos. La infraestructura típica de una empresa incluye miles de dispositivos y aplicaciones, una cantidad ingente de conexiones cada vez más complejas y un número indeterminado de puntos vulnerables desprotegidos. Para tener éxito, el atacante externo o el usuario interno malintencionado únicamente necesitan aprovechar una debilidad. La empresa debe cubrirlas todas y, si las medidas de protección no funcionan, debe encontrar, rastrear y subsanar los ataques que pudieran acechar en cualquier parte. El resultado es que las empresas se enfrentan a una enorme tarea. La base de datos de seguimiento que mantiene el equipo de investigación y desarrollo de IBM X-Force, que ha recopilado datos sobre 78.000 vulnerabilidades de seguridad reveladas públicamente, registró 8.330 vulnerabilidades nuevas tan solo en 2013.3 En el periodo anual finalizado en marzo de 2013, el software malicioso cuyo objetivo eran las plataformas móviles se convirtió en un nuevo agente de ataque que creció en un 614 por ciento (casi un 450 por ciento más rápido que el año anterior). 4 • • • • Por el lado de los defensores, cada acción que se lleva a cabo en a red, ya sea desde dentro o fuera de la organización, autorizada no, puede identificarse y analizarse como si formara parte de n incidente de seguridad. El seguimiento de estas impresiones igitales puede revelar posibles vulnerabilidades, las acciones que mprende un atacante para aprovecharlas y la fuente del ataque. uchas organizaciones han utilizado soluciones tradicionales, omo la gestión de datos de registro y las aplicaciones SIEM, ue les otorgan las competencias básicas para recabar los eventos e la fuente del registro y los datos de NetFlow, pero carecen de apturas de paquetes completos (PCAP), que proporcionan un ontexto de red más rico. in embargo, las aplicaciones SIEM obtienen grandes cantidades e datos, no solo de los atacantes, sino también de usuarios egítimos, y la mayoría de las organizaciones no tienen ni el iempo ni los recursos necesarios para cribar todos estos datos y allar cadenas específicas de caracteres incriminatorios. Las soluciones de análisis forense convencionales pueden constituir un reto Los analistas deben ser expertos en las investigaciones de seguridad en la red. Añadir soluciones de seguridad puntuales con una integración mínima generalmente hace aumentar la complejidad y los costes. Establecer dónde y cuándo se ha de iniciar una investigación puede ocasionar pérdida de productividad. Las consultas complejas dirigidas a repositorios de captura de paquetes pueden exigir dedicarles mucho tiempo, consumen recursos de almacenamiento y procesamiento y no consiguen revelar las relaciones necesarias para poner remedio. l o u d e M c q d c c S d l t h
  • 4. 4 ¿Qué se esconde detrás de un ciberataque? La investigación forense avanzada puede incrementar la ventaja de las empresas En un ataque a una empresa, las intrusiones y la defensa no son los únicos elementos asimétricos. Los eventos de la línea temporal del ataque suelen beneficiar también al atacante. Verizon ha descubierto que casi el 85 por ciento de tales eventos tiene lugar en segundos, minutos u horas, y que el 68 por ciento de la exfiltración ocurre en ese mismo periodo. Sin embargo, el 62 por ciento de las detecciones no suceden hasta meses después. El 77 por ciento del esfuerzo de subsanación incluyendo los parches, los cambios de configuración y los bloqueos frente a las intrusiones lleva días, semanas o meses de trabajo, que se añaden al tiempo que se tarda en detectar los fallos.2 Evidentemente, es necesario incrementar la velocidad de respuesta ante un ciberataque. Puede resultar decisivo saber de inmediato la extensión que adquiere cualquier filtración relacionada. Descubrir qué dispositivos o aplicaciones están afectados y establecer una línea temporal del evento puede indicar con exactitud a los administradores dónde y cuándo deben aplicar sus esfuerzos de subsanación. Por ejemplo, si una persona manipula in situ los dispositivos físicos, la localización de los dispositivos y el seguimiento de los eventos de la filtración pueden orientar a los investigadores hacia cámaras de seguridad que les permitan identificar al sospechoso. Sin embargo, estas operaciones de defensa son complejas y no deben realizarse manualmente, sino que las organizaciones necesitan herramientas automatizadas y completas para convertir sus capturas de paquetes de red en información que admita búsquedas e indexación. Entonces, los equipos de seguridad podrán utilizar esta información para establecer rápidamente las amenazas y sus características, distinguir los ataques reales de los falsos positivos y formular mejores prácticas de prevención para acciones futuras, basadas en una mejor comprensión del ataque. Si utilizan una solución avanzada de análisis forense de redes, los investigadores dispondrán de una visión más completa de la serie de acontecimientos ocurridos en un ataque, incluyendo componentes identificativos como direcciones IP y MAC, protocolos de aplicación, alojamientos web, consultas del usuario y certificados Secure Sockets Layer (SSL). Podrán identificar los datos que han sido robados, como números de la Seguridad Social o de tarjetas de crédito. Podrán recabar información que les ayude a identificar el origen de la filtración, si se trata de un atacante externo o de un usuario interno que utiliza una autorización legítima para fines maliciosos. Las amenazas emergentes exigen claridad para poder detectarlas y subsanarlas Una solución de análisis forense de red avanzado puede otorgar a los analistas de seguridad claridad de contenido, relaciones y una secuencia de eventos para resolver los incidentes. Por ejemplo: • Seguridad de la red: Un minorista necesitaba detectar una duplicación no autorizada de los datos de pago de un cliente desde los sistemas de punto de venta (TPV) a sistemas internos comprometidos. • Fraude y abuso: Una empresa de financiación necesitaba revelar un sofisticado plan de blanqueo de dinero consistente en numerosas interacciones aparentemente sin conexión entre sí. • Amenaza interna: Una empresa de fabricación necesitaba encontrar al autor, identificar a los colaboradores y señalar con precisión los sistemas y datos participantes en el robo de propiedad intelectual. • Recogida de pruebas: Una empresa dedicada a las investigaciones relacionadas con la seguridad necesitaba recopilar pruebas contra una entidad maliciosa involucrada en la filtración de un sistema de seguridad y en el robo de datos. Los análisis forenses pueden permitir un enfoque de seguridad integral En su esfuerzo por impedir los ataques y las filtraciones, así como por cumplir la normativa gubernamental e industrial en materia de seguridad, muchas organizaciones han desplegado soluciones de análisis forense de redes. Sin embargo, en muchos casos, las soluciones de seguridad que eligen son productos puntuales que proporcionan conocimientos y respuestas que dependen de la competencia de analistas con formación técnica.
  • 5. 5IBM Software Crear una información que admita búsquedas con un motor de búsqueda de Internet Fuente de los datos Dispositivos de seguridad Servidores y sistemas mainframe Actividad de la red y virtual Actividad de los datos Actividad de la aplicación Información de configuración Vulnerabilidades y amenazas Usuarios e identidades Inteligencia global contra amenazas Recopilación, almacenamiento y análisis de datos ilimitados Clasificación de datos integrada Servicio de los activos, descubrimiento de usuario y creación de perfiles automáticos Correlación en tiempo real e inteligencia contra amenazas Detección de anomalías y líneas de referencia de la actividad Detección de incidentes preconfigurada Rápida reducción del tiempo de resolución gracias a un flujo de trabajo forense intuitivo Capacidad de los usuarios de hacer uso de su intuición más que de formación técnica Ayuda para establecer la causa raíz y prevenir recurrencias Identificación de infracciones automatizada Investigaciones forenses dirigidas Un enfoque de estas características trata el análisis forense de redes como un trabajo para obtener búsquedas PCAP sencillas, pero los despliegues en serie resultantes, que colocan una solución puntual sobre otra según van necesitándose nuevas competencias, pueden oscurecer las verdaderas medidas de seguridad de la organización con una complejidad innecesaria. Es más conveniente desplegar una solución completa de análisis forense que pueda investigar no solo los datos PCAP en circulación, sino también los documentos, las bases de datos y otros datos en reposo. Al utilizar QRadar Incident Forensics, la solución avanzada e integral de análisis forense de redes de IBM, los investigadores no solo podrán recabar información de la red, sino que podrán buscar de manera preventiva posibles filtraciones, basándose en las alertas que le proporciona X-Force Threat Intelligence. Podrán encontrar relaciones dentro de la red e identificar los orígenes del incidente. A continuación, y utilizando datos y conocimientos sobre la red relacionados con el incidente de seguridad, comprenderán las razones por las que determinados ataques tienen éxito y podrán erradicar de un modo más eficaz las actividades maliciosas asociadas a una filtración. Los administradores pueden obtener pruebas que les respalden en las acciones legales o a cumplir las auditorías de cumplimiento de la normativa. En última instancia, el equipo de seguridad de TI puede hacer uso de la información y conocimiento proporcionados por QRadar Incident Forensics para contribuir al desarrollo de unas contramedidas eficaces y mejores prácticas de seguridad: actualizar las defensas perimetrales como los cortafuegos, parches y aplicaciones de dispositivos finales, ajustar con frecuencia las competencias para la detección de anomalías y redactar normas de correlación SIEM a varios niveles, así como medidas de prevención que reduzcan los falsos positivos y contribuyan a una mejor identificación de los ataques. Crear una información que admita búsquedas con la Plataforma IBM QRadar Security Intelligence Así que, ¿cómo funciona QRadar Incident Forensics? En pocas palabras: comienza una vez ha ocurrido un incidente de seguridad, cuando un analista define una búsqueda o un caso, recupera todos los datos PCAP asociados, reconstruye cada archivo integrado y luego crea índices múltiples haciendo uso de los contenidos del archivo y de los metadatos. Estos pasos dan lugar a una información que admite búsquedas y que los equipos de seguridad pueden conservar para investigar el incidente durante mucho tiempo.
  • 6. 6 ¿Qué se esconde detrás de un ciberataque? Basándose en sus competencias principales de extracción y correlación, QRadar Incident Forensics puede proporcionar soporte a las tres operaciones principales que se llevan a cabo en las investigaciones de seguridad en la red: Respuesta a incidentes de seguridad Cuando se descubre un fallo de seguridad, QRadar Incident Forensics puede capacitar a los investigadores para rastrear las acciones del atacante paso a paso en tiempo real y elaborar un perfil que se conoce como impresión digital, que rastrea la actividad anterior y actual del autor de la amenaza. La información que se obtiene puede ayudar al equipo de seguridad a subsanar el incidente con rapidez y a elaborar contramedidas para evitar daños futuros. Clasificación de la alerta En general, las soluciones SIEM generan un número limitado de supuestas infracciones contra la seguridad y las comparan con otros datos de seguridad. Sin embargo, QRadar Incident Forensics capacita al equipo de seguridad para continuar investigando cada posible infracción, con objeto de establecer si se trata de un ataque real o si es un falso positivo. Con las soluciones de análisis forense convencionales, es posible que se tarde semanas en llevar a cabo estas investigaciones, en función de los niveles de habilidad de los analistas y de las respuestas de los usuarios identificados. Pero al combinar automáticamente la información procedente de los informes SIEM con la información histórica obtenida en la investigación y resolución de incidentes anteriores, QRadar Incident Forensics puede contribuir a reducir notablemente el tiempo necesario para realizar cada investigación. Análisis de datos preventivo y defensivo De vez en cuando, los equipos de seguridad escudriñan sus propias redes para comprobar sus medidas de seguridad. Estas búsquedas podrían fundamentarse en una alerta recibida de una organización de expertos frente a las amenazas, como X-Force, o en una política interna en la que se planifiquen actividades de seguridad. En cualquier caso, una búsqueda puede racionalizarse e incrementar su eficacia con la interfaz simplificada y similar a un motor de búsqueda de la solución avanzada QRadar Incident Forensics, con sus competencias de categorización y filtro para reducir el volumen de los datos recibidos y competencias de pivotaje que permiten diversas vistas de la búsqueda. Las investigaciones pueden ser más completas y productivas QRadar Incident Forensics está diseñada para ayudar a las organizaciones a investigar de un modo rápido e intensivo la actividad maliciosa en la red, al introducir visibilidad y claridad en los incidentes de seguridad de la red. Disponible como software o como appliance de hardware con software integrado, la solución es totalmente compatible con IBM Security QRadar SIEM e IBM QRadar Security Intelligence Platform, así como con la mayor parte de los formatos de captura de paquetes de terceros disponibles. Este enfoque integral concede a los equipos de seguridad de TI la capacidad de dirigir sus investigaciones de una forma más sencilla y productiva y de tomar unas decisiones más rápidas y acertadas, gracias al análisis de los datos de seguridad en el contexto de la red, y así conseguir un remedio eficaz. Al utilizar una interfaz similar a un motor de búsqueda para gestionar los datos de la red o los que fluyen a través de ella, QRadar Incident Forensics contribuye tanto a las investigaciones consecuencia de un incidente como a las orientadas a obtener inteligencia contra las amenazas, con el fin de ofrecer a los equipos de seguridad la prueba subyacente que sigue las huellas de las impresiones digitales, categoriza el contenido externo y etiqueta el contenido sospechoso. QRadar Incident Forensics indexa todo lo que encuentra dentro del tráfico de red capturado (desde documentos a imágenes de sitio web, incluyendo los metadatos y los contenidos de datos estructurados y no estructurados) para contribuir a reducir el tiempo necesario para investigar las infracciones; en muchos casos, tal reducción pasa de días a horas, o incluso minutos. Para mejorar la inteligencia de datos y los conocimientos obtenidos, la solución proporciona una poderosa capacidad de pivotar datos para descubrir y desplegar unas relaciones ampliadas para variables susceptibles de búsqueda, como direcciones IP, direcciones MAC, direcciones de correo electrónico, protocolos de aplicación, certificados SSL y más.
  • 7. 7IBM Software Detección Investigar incidentes de seguridad con soluciones IBM Security QRadar: IBM Security QRadar La información de seguridad y gestión de eventos (SIEM) de IBM Security QRadar descubre una infracción. Los administradores pueden usar estos datos para construir impresiones digitales que les conduzcan al lugar del incidente. Los equipos de seguridad de TI pueden entonces evaluar la credibilidad de una amenaza real y utilizar los medios apropiados para bloquear las comunicaciones, parchear las vulnerabilidades, contener los datos esenciales en caso de tratarse de un incidente y subsanar las acciones maliciosas para evitar que vuelvan a producirse. IBM Security QRadar Incident Forensics vuelve a montar e indexa los datos. Ubicación de la filtración Subsanar y contener Recopilación y procesamiento El resultado es una vista de los datos de red, de la aplicación y del usuario malicioso más rica y de big-data que la proporcionada por las herramientas de análisis forense tradicionales, que únicamente pueden utilizar PCAP procesadas. Con la ayuda de rutas de navegación electrónicas, los investigadores pueden seguir el camino trazado por el software malicioso o por los atacantes, y seguir el rastro de las interacciones cronológicas de los eventos del incidente, lo que ayuda a los investigadores a descubrir cómo subsanar las filtraciones, con el fin de revertir estas acciones y prevenir las posibles recurrencias. Las organizaciones pueden también registrar su conformidad con las normativas. Las investigaciones de seguridad pueden ser más rápidas y sencillas Para navegar por los datos PCAP recopilados, entender el significado de dichos datos y saber qué hacer con ellos para subsanar un ataque y evitar incursiones futuras, las soluciones de seguridad convencionales exigen una amplia formación, e incluso la capacidad de escribir código en algunos casos. QRadar Incident Forensics, por otro lado, concede prácticamente a cualquier miembro del equipo de seguridad (incluso a los miembros de menor categoría sin un conocimiento amplio de los datos de seguridad) la capacidad de establecer todo el contexto de red de un incidente de seguridad. Una interfaz de consulta intuitiva y de formato libre, integrada en QRadar Incident Forensics, significa que es tan sencillo formular una búsqueda de incidentes de seguridad como buscar datos deportivos utilizando cualquiera de los motores de búsqueda conocidos de Internet. Con la solución de análisis forense integrada en la interfaz de gestión de consola única de QRadar Security Intelligence Incident Forensics, el acceso a todo el conjunto de competencias de análisis forense está a tan solo un clic de distancia. Además, en muchos casos, las búsquedas de toda la red son cuestión de minutos u horas, debido a la amplia indexación, en comparación con los días o semanas que son necesarios con otras soluciones. En muchas ocasiones, gracias a las búsquedas de QRadar Incident Forensics las investigaciones pueden ser más rápidas y completas y ayudar a identificar los datos que puedan haberse perdido. Cuando la solución ha terminado de recuperar y procesar las PCAP en bruto hasta transformarlas en archivos de documento enriquecidos, su motor de búsqueda comienza a
  • 8. 8 ¿Qué se esconde detrás de un ciberataque? A través de IBM Security QRadar Incident Forensics, los equipos de seguridad pueden visualizar fácilmente las relaciones entre las entidades sospechosas utilizando direcciones IP, direcciones de correo electrónico, ID de chats, etc. utilizar los índices de metadatos de red, de archivo y personales para devolver unas búsquedas por palabra clave rápidas de datos estructurados y no estructurados. Incluso puede buscar documentos de red almacenados. La capacidad de la solución de proporcionar información en contexto ayuda a poner de manifiesto los niveles de amenaza y las vulnerabilidades. Genera diversas vistas de los datos, que muestran las relaciones, las líneas temporales y las categorías de fuente y de amenaza. Adicionalmente, permite a los usuarios perfeccionar las búsquedas con un filtrado inteligente de información como las direcciones IP y MAC, los protocolos de aplicación o las direcciones de correo electrónico. La forma en que los equipos de seguridad ven la información es importante para tener éxito Es muy revelador que nada de lo que hay en la red escapa a la visión de un caso de búsqueda dirigido de QRadar Incident Forensics. Por ejemplo, la simple búsqueda de la palabra ‘confidencial’ no solamente puede localizar todos los documentos etiquetados como tal, sino también descubrirá todos los eventos que comprenden un documento filtrado externamente, identificará los recorridos por los que puede haberse enviado una copia y revelará qué individuo inició tales acciones. La solución puede presentar la información de diversas maneras, lo que resulta igualmente relevante, dado que permite a los investigadores crear la vista más apropiada para la información que necesitan. La interfaz permite al personal de seguridad encontrar la información relacionada simplemente haciendo clic en los metadatos. También permite a los investigadores pivotar variables que admiten búsquedas y cambiar el campo de metadatos para ver unas relaciones ampliadas e incluso inesperadas en algunos casos. Empezando por una dirección de correo electrónico, por ejemplo, un investigador puede descubrir la asociación entre una dirección IP y el ID de acceso a Internet, utilizar la información combinada para descubrir quién es el atacante y rastrear sus acciones en la red.
  • 9. 9IBM Software La visibilidad y claridad que proporciona QRadar Incident Forensics es fundamental para que una organización elimine y remedie los incidentes de seguridad. Con unas soluciones más limitadas, los ataques pueden repetirse y el software malicioso puede volver a infectar la infraestructura; todo porque el equipo de seguridad no vio el elemento de ataque. Anatomía de un ataque y una respuesta inteligente Al llegar al lugar de trabajo, el equipo de seguridad de la empresa descubre que su aplicación para la información de seguridad y gestión de eventos (SIEM) ha descubierto una serie de infracciones ocurridas durante la noche. En lugar de abrirse paso manualmente a través de los datos del SIEM, el equipo lanza una sesión de QRadar Incident Forensics tan solo haciendo clic sobre la pestaña de la solución en la consola QRadar Security Intelligence Platform, que reúne todas las capturas de paquete relevantes, lleva a cabo una indexación amplia y arroja rápidamente unos resultados de búsqueda detallados y a varios niveles, en cuestión de minutos en la mayoría de los casos, si no de segundos. A partir de un amplio conjunto de datos, que abarca desde la dirección IP que originó el incidente hasta un ID de buzón de correo y una dirección MAC, la solución revela categorías de metadatos que proporcionan datos identificativos del atacante y de la huella que el atacante dejó en la red de la empresa. Al utilizar elementos de un contexto de red más grande, el equipo de seguridad puede establecer si los datos SIEM revelan un ataque real o si se trata de un falso positivo para un evento que tiene explicación y que se ha confundido con un ataque. Si el evento es un falso positivo, el equipo sabe ajustar sus normas de correlación SIEM, de manera que no vuelvan a producirse resultados erróneos en el futuro. Si el ataque es real, el equipo puede actuar de inmediato para poner remedio a la amenaza y contribuir a evitar incidentes futuros que utilicen la misma fuente o las mismas técnicas. Generar inteligencia puede ayudar en las investigaciones Los atacantes y las filtraciones son cada día más brillantes y sofisticados. Como respuesta, las organizaciones necesitan unas defensas inteligentes, a las que la inteligencia de sus redes aporta aún más información. QRadar Incident Forensics genera la nueva inteligencia para la defensa que las organizaciones necesitan porque encuentra y reconstruye los incidentes de seguridad en la red y los presenta de manera que permitan inferir unas interpretaciones más profundas, encontrar la causa raíz y contribuir a su subsanación. La solución rastrea las huellas electrónicas dejadas por los atacantes, identifica las inyecciones de código o las adiciones de activos malintencionados, ve la configuración del dispositivo y los cambios en las normas del cortafuegos, y muchas cosas más. Estas tres formas de defensa se logran a través de tres técnicas principales: creación de impresiones digitales, identificación de contenido sospechoso y categorización del contenido de la red. Impresiones digitales Una impresión digital es un poderoso índice de metadatos que puede ayudar a una organización a identificar a los atacantes sospechosos o al usuario interno malintencionado mediante el seguimiento de las huellas dejadas por el usuario. Al establecer estas relaciones, QRadar Incident Forensics puede extraer datos de fuentes de red, como direcciones IP, direcciones MAC y puertos y protocolos TCP (protocolo de control de transmisión). Puede encontrar información como el ID del chat y leer información desde el procesador de texto o desde las aplicaciones de hoja de cálculo, como la identificación del autor. Una impresión digital no solo puede ayudar a la organización a descubrir la identidad de una entidad que atacó la red en una ocasión, sino que puede ayudar también a descubrir asociaciones vinculando la identidad de la entidad con información identificativa para otros usuarios o entidades, y así revelar otros posibles ataques.
  • 10. 10 ¿Qué se esconde detrás de un ciberataque? Las soluciones IBM Security QRadar son la pieza central de la visibilidad, claridad y protección. IBM Security Access Manager IBM Security zSecure IBM Security Privileged Identity Manager IBM Security Identity Manager IBM InfoSphere Guardium Trusteer Apex IBM Security Network Protection XGS IBM Endpoint Manager IBM Security AppScanIBM Security Directory Server IBM Security Directory Integrator Protección de la actividad del usuario IBM QRadar Security Intelligence Platform Protección de datos Protección avanzada contra el fraude Protección de la infraestructura Seguridad de las aplicaciones Categorización de contenido Clasificar por categorías la procedencia del tráfico de la red y distinguir entre fuentes legítimas y fuentes maliciosas es esencial para proteger frente a las filtraciones. Organizaciones de investigación de seguridad como X-Force mantienen unas bases de datos de URLs que rastrean la reputación de una ubicación, de manera que las organizaciones puedan decir si podría tratarse del origen de un ataque que ha sufrido, o de un posible ataque en el futuro. Filtrar y etiquetar los datos por categoría (por ejemplo, preguntando si un intento de acceder a la red procede de una empresa de confianza o de una organización delictiva), así como restringir el acceso basado en los metadatos y establecer una correlación entre organizaciones puede desempeñar un papel importante a la hora de evitar que el software malicioso y las acciones dañinas vulneren la red. Contenido sospechoso Una filtración de datos normalmente tiene como objetivo unos tipos de información específicos: números de la Seguridad Social, números de tarjetas de crédito, identificadores médicos o propiedad intelectual etiquetada como ‘confidencial’, entre otros. QRadar Incident Forensics puede ayudar a reconocer esos patrones de información (simplemente buscar ‘confidencial’ en el motor de búsqueda) para revelar rápidamente el robo, el daño malicioso u otras actividades que puedan causar daños a la organización A partir de ahí, el equipo de seguridad puede poner remedio a la acción e implantar medidas diseñadas para evitar que vuelva a ocurrir.
  • 11. 11IBM Software Conclusión La sofisticación de los ataques actuales exige una respuesta rápida y eficaz basada en toda la inteligencia disponible sobre el qué, el cuándo y el cómo del ataque. Las competencias integrales y fáciles de utilizar de IBM Security QRadar Incident Forensics pueden proporcionar la visibilidad y claridad necesarias para abordar un incidente de seguridad de la red, así como el conocimiento sobre el alcance de las actividades infractoras que el equipo de seguridad necesita para subsanarlo y evitar que se repita. Si utilizan QRadar Incident Forensics, las organizaciones pueden reforzar también su documentación de conformidad con las normativas. Con la información obtenida a través de QRadar Incident Forensics, un equipo de seguridad de TI puede estar bien preparado para elaborar un plan de acción que aproveche la inteligencia de red y todos los recursos de seguridad de la organización para que ésta realice una aproximación de última generación al análisis forense del incidente de seguridad que respalde la seguridad de la red, el análisis de la amenaza ocasionada por un usuario interno (incluyendo el fraude y el abuso) y la documentación de las pruebas relacionadas con el incidente. Para más información Si desea obtener información adicional acerca de IBM Security QRadar Incident Forensics, póngase en contacto con su representante o Business Partner de IBM o entre en: ibm.com/services/us/en/it-services/security-intelligence.html.­ ­ ­ ­ ­ ­ ­ Acerca de las soluciones IBM Security IBM Security ofrece una de las carteras más avanzadas e integradas de productos y servicios de seguridad para las empresas. La cartera, respaldada por el equipo de investigación y desarrollo de fama mundial X-Force, ofrece inteligencia de seguridad para ayudar a las organizaciones a proteger de forma integral a sus empleados, su infraestructura, sus datos y aplicaciones mediante soluciones de gestión de identidades y accesos, seguridad de las bases de datos, desarrollo de aplicaciones, gestión de riesgos, gestión de puntos finales, seguridad de redes y mucho más. Estas soluciones capacitan a las organizaciones para gestionar de forma más efectiva los riesgos y aplicar soluciones de seguridad integrales para móviles, sistemas cloud, redes sociales y otras arquitecturas de negocio empresariales. IBM dirige una de las organizaciones de investigación, desarrollo y suministro de productos de seguridad más amplias del mundo, controla 15.000 millones de eventos de seguridad al día en más de 130 países y es titular de más de 3.000 patentes de seguridad. Además, IBM Global Financing (IGF) puede ayudarle a adquirir las funciones de software que su empresa necesita del modo más rentable y estratégico posible. Nos asociaremos con clientes de crédito cualificado, para así personalizar una solución de financiación que se adapte a sus objetivos de desarrollo y empresariales, permita una gestión eficaz del capital y mejore su coste total de la propiedad (TCO). Financie su inversión estratégica en TI e impulse su negocio con IGF. Para más información, visite: ibm.com/financing/es/­ ­ ­
  • 12. ­ ­ ­ ­ ­ 1 Ponemon Institute. “2013 Cost of Cyber Cime Study: United States’, octubre de 2013. http://media.scmagazine.com/documents/54/ 2013_us_ccc_report_final_6-1_13455.pdf. 2 Equipo de RIESGO de Verizon, ‘Informe de 2013 de investigación sobr filtración de datos de Verizon’, Verizon CommunicationsAbril de 2013 http://www.verizonenterprise.com/DBIR/2013/. 3 IBM X-Force, ‘IBM X-Force Threat Intelligence Quarterly – 1Q 2014’ IBM Security SystemsFebrero de 2014. https://www14.software.ibm.com/webapp/iwm/web/signup.do? source=swg-WW_Security_Organic&S_PKG=ov21294. 4 Centro de Amenazas Móviles de Juniper Networks, ‘Third Annual Mobile Threats Report: March 2012 through March 2013,’ Juniper Networks2013. http://www.juniper.net/us/en/local/pdf/additional-resources/ 3rd-jnpr-mobile-threats-report-exec-summary.pdf. ­ ­ ­ ­ ­ ­ e ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ WGW03056-ESES-00