El documento presenta una agenda sobre prevención y detección de amenazas avanzadas. Explica brevemente la historia de los ataques informáticos, define los APT y la cadena de ataque. Señala que todo se reduce al riesgo calculado como amenazas por vulnerabilidades por impacto. Recomienda seguir las mejores prácticas de seguridad y acercarse a expertos para la implementación de programas integrales de prevención, detección y respuesta a incidentes.

1. Prevención y detección de amenazas avanzadas
David Hernández

2. Agenda
• Algo de historia
• APTs
• Todo 1ene que ver con riesgo
• Kill Chain
• DBIR
• Conclusiones

3. Agenda
• Algo de historia
• APTs
• Todo 1ene que ver con riesgo
• Kill Chain
• DBIR
• Conclusiones

5. Erick
Re)a
Mar,n
Hoz
David
Hernández
Eugene
Spafford DISC
UNAM
1997

6. “Morris Worm” 1988
- Infección a más de 6,000 computadoras
- Alta can1dad de tráfico mientras se propagaba.
Se copiaba a él mismo.
- Explotó algunas vulnerabilidades:
- Buffer Overflow en fingerd (UNIX)
- Modo debug de sendmail para ejecutar comandos
- Diccionario de 432 palabras usadas frecuentemente
como contraseñas
- Acceso a sistemas mediante el servicio rsh

7. ¿Cuánto gastan las organizaciones?
$75 billones usd en 2015
$170 billones usd para 2020
La1noamérica $11.91 billones usd para 2019
(7%)
¿Gastamos tanto y seguimos siendo
comprome1dos?
hkp://www.forbes.com/sites/stevemorgan/2016/03/09/worldwide-cybersecurity-spending-increasing-to-170-billion-by-2020/#37dd4a676f80

8. Agenda
• Algo de historia
• APTs
• Todo 1ene que ver con riesgo
• Kill Chain
• DBIR
• Conclusiones

10. APT
Siempre encontrará la manera de entrar
Solo 1ene que encontrar una vulnerabilidad
Invisible
Automa1zado
Intervenciones manuales

12. “La prevención es ideal, la
detección es obligatoria”

13. “nuestra red será
comprome1da”

14. Agenda
• Algo de historia
• APTs
• Todo 1ene que ver con riesgo
• Kill Chain
• DBIR
• Conclusiones

15. Riesgo = Amenazas x Vulnerabilidades x Impacto

16. Todo 1ene que ver con RIESGO
1. ¿Cuáles son los riesgos?
2. ¿Cuál es el riesgo de mayor prioridad?
3. ¿Hay una mejor manera costo/beneficio para
reducir el riesgo?

17. ¿Y que estamos haciendo?
1. Polí1cas de Seguridad
2. Presupuestos de Seguridad
3. Un equipo de seguridad
4. Firewalls
5. Sistemas de filtrado de contenido
6. Sistemas de prevención de intrusiones
7. Seguridad en el endpoint
8. Protección contra malware

18. Agenda
• Algo de historia
• APTs
• Todo 1ene que ver con riesgo
• Kill Chain
• DBIR
• Conclusiones

19. 2011 Lockheed Mar3n - Kill Chain
1.
Recono-
cimiento
2.
Armado
3.
Entrega
4.
Explotación
5.
Instalación
6.
Comando
y Control
7.
Acciones

20. 2015 Cybersecurity Kill Chain
1.
Establecer
Punto de
Apoyo
2.
Comando
y Control
3.
Escalación
de Privilegios
4.
Movimiento
Lateral
5.
Completar
la misión

21. Agenda
• Algo de historia
• APTs
• Todo 1ene que ver con riesgo
• Kill Chain
• DBIR
• Conclusiones

22. Verizon’s 2016 Data Breach
Inves3ga3ons Report
No hay industria, región u organización
que sea a prueba de balas cuando se trata
de comprometer los datos
hkp://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/

23. Actores de la amenaza

24. Tiempo para el compromiso y la
exfiltración de datos

25. Tiempo para comprometer y descubrir
(% de ocasiones que son Días)

26. Brechas de datos confirmadas
(clasificadas por 1po de incidentes)

27. Concluyendo…

28. Hay 4 cosas importantes al implementar un
programa para prevenir y detectar
amenazas avanzadas
1. Balance: Prevención, Detección y Respuesta
2. Olvidar el modelo que “conua pero verifica”
3. Seguir las mejores prác1cas
4. Acércate a los expertos

29. Balance:
Prevención, Detección y Respuesta
Defensa
Mitigación
Decepción
Detección
Análisis
Prevención
DEFENDER MÁS ALLÁ DEL PERÍMETRO
¿Alguien logró entrar?
¿Qué se llevaron?
¿Cómo sucedió?
¿Cómo lo detenemos?
No dejar que suceda
(Lo tradicional)
1

30. Olvidar el modelo “conua pero verifica”
Zero Trust Model
1. Asume que ya no existen aplicaciones, redes ni
usuarios confiables dentro de la organización
2. Se debe inspeccionar todo el tráfico que pasa por la
red buscando detectar amenazas conocidas y
desconocidas.
3. Recomienda balancear los esfuerzos de la
organización, entre la prevención, detección y
respuesta a incidentes de seguridad.
2

31. Recomendado u1lizar modelo de Kill-
Chain para seleccionar controles
1. “Next-Genera3on Firewalls”. Implementar
polí1cas basadas en aplicaciones y correlacionar
los eventos de “Firewall/IPS/Threat-Preven3on”
2. “Sandbox”. Protección contra amenazas no
conocidas
3. Micro-segmentación de redes
4. Servicios de “an3-phishing” en la nube. Analizar
las URLs contenidas en el correo en busca de
dominios maliciosos
2

32. Recomendado u1lizar modelo de Kill-
Chain para seleccionar controles
5. Priorización de vulnerabilidades
6. Descubrir, analizar y controlar el uso de
“SoRware as a Service”
7. Implementar un plan de recuperación de
desastres, protección contra ataques de
denegación de servicio y servicios conocidos
como “Clean Pipes”
8. Detección de malware no basado en firmas
para “Endpoints”
2

33. Permanecer Explotar Obteniendo Acceso
1. Inventario de
Hardware
2. Inventario de
Sowware
4. Eval. Con1nua
Vulnerabilidades
19. Ingeniería de
Seguridad de Red
20. Pruebas de
Penetración
3. Configuración
Segura Cómputo
10. Configuración
Segura de Disp.Red
6. Seguridad
Sowware Apps.
7. Control
Disposi1vos WiFi
5. Defensa contra
Malware
11. Limitar Puertos/
Protocolos/Servicios
14. Auditoría Logs
13. Defensa
Perimetral
12. Administración
de Privilegios
15. Control de
Acceso
20. Pruebas de
Penetración
9. Habilidades de
Seguridad y Cap.
8. Recuperación de
Datos
17. Data Loss
Preven1on
18. Respuesta a
Incidentes
16. Monitoreo
Reconocimiento
A c c i o n e s d e l A d v e r s a r i o p a r a A t a c a r u n a R e d
MiJgar Impacto
de los Ataques
Detener el Resto
de los Ataques
Detener Ataques de
Manera Temprana
Seguir las mejores prácticas
20 Controles de Seguridad
3

34. Acércate a los expertos
Contribuimos en unidad con nuestros
clientes para proveer oportunidades de
desarrollo a nuestra sociedad ayudando a
que los negocios operen eficientemente.
4

35. Acércate a los expertos 4

36. ¡Gracias!