Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Nächste SlideShare
La seguridad informatica
La seguridad informatica
Wird geladen in …3
×

Hier ansehen

1 von 46 Anzeige
Anzeige

Weitere Verwandte Inhalte

Ähnlich wie Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano (20)

Weitere von RootedCON (20)

Anzeige

Aktuellste (20)

Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano

  1. 1. 2020 Jose Luís Flores – Carmen Torrano – Ruth Sala
  2. 2. Presentación Fabricante trabaja en nuevo diseño Carmen Torrano Giménez • Doctora en Informática UC3M, CSIC • Trabajando en Eleven Paths, la unidad de ciberseguridad de Telefónica • CSE en Eleven Paths • Actividad docente en UCLM, UCAM, UNIR, UEM… carmen.torranogimenez@telefónica.com @ctorranog Ctorranog https://0xword.com/es/libros/143-machine- learning-aplicado-a-ciberseguridad-tecnicas-y- ejemplos-en-la-deteccion-de-amenazas.html
  3. 3. @Ruth_legal ruthsala@legalconsultors.es
  4. 4. Punto de partida “Companies that conduct security penetration tests report that their attempts to break into client company computer Systems by social engineering methods are nearly 100% successful”. Mitnick, K.
  5. 5. Metodología IS Estudio Telecos CERT’s FFCCSEEncuestas
  6. 6. ¿Por qué funcionan los ataques de IS? Nohlberg “Tratamiento holístico de la ciberseguridad” Hadnagy, C. Carencias emocionales Insatisfacción Pertenecer al grupo Reconocimiento Elementos Sociales, psicológicos y educativos +
  7. 7. @naivenom (...) un sistema informático puede ser vulnerable pero actualmente, gracias los expertos en Seguridad informática, se corrigen esas vulnerabilidades, mientras que el elemento humano, con las vulnerabilidades existentes, es complicado de corregirse dependiendo del nivel de concienciación de la Sociedad o del personal de una organización”.
  8. 8. Clases de técnicas de IS INCIBE – CCN-CERT- Kovacs Hunting Pharming LESTER ThE TeAcHeR Fr0m ThE DaRk SiDe Técnicas pasivas Técnicas no presenciales Técnicas presenciales no agresivas Métodos agresivos Universidad de Malasya Necesidad de soluciones para su efectiva mitigación
  9. 9. 35% IS 35% (2018) 17% (2019)
  10. 10. “Cybersecurity Culture Guidelines. Behavioural Aspects of Cybersecurity”
  11. 11. Ministerio del Interior, 2019, Organigrama jerárquico sobre los CERT’s
  12. 12. Ciberdelitos 110.613 5.697 1.955 2%
  13. 13. IS como fenómeno delictivo El acto mismo de la IS se entiende terminado cuando se ha obtenido la información
  14. 14. IS como fenómeno delictivo El acto mismo de la IS se entiende terminado cuando se ha obtenido la información
  15. 15. Hipótesis 1: “Es más probable que los empleados de más de 45 años sean víctimas de engaño a través de la Ingeniería Social, sobre todo por la falta de hábito en el uso de los medios tecnológicos y por falta de formación en una cultura de ciberseguridad por parte de la Organización para la que trabajan. Hipótesis 2: “La formación en ciberseguridad reduce en un 50% los ataques provocados mediante Ingeniería Social”.
  16. 16. Empresas víctimas de ciberataques Empresas incident response H1: + 45 a H1: 80% = entre 30 y 40 a; (30% escala muy alta) H2:25% menos H2: 50% imparten formación 33% puntual 16%
  17. 17. K.Mitnick: “Employees must be educated about what information needs to be protected, and how to protect it”
  18. 18. “Ciberamenazas y Tendencias, 2019”
  19. 19. Protección Ofensiva Defensiva Obtención de información Optimización de ataques RED TEAM BLUE TEAM
  20. 20. Inteligencia Artificial Offensive IA >> Potenciar el ataque u obtener el máximo beneficio DIRECTO o INDIRECTO McAfee Labs Threat Predition Reports: “El machine learning hará que los ataques de ingeniería social sean más sofisticados” Defensive IA >> Detectar, prevenir y mitigar ataques de IS
  21. 21. Sentiment Analysis Falsificación de video Falsificación de Voz Inteligencia Artificial Aplicaciones Investigación y captación de datos Anti-spam Anti-phising Etc.
  22. 22. IA Ofensiva Sentiment Analysis Falsificación de vídeo Falsificación de Voz Investigación y captación de datos Anti-spam Anti-phising Etc.
  23. 23. IA Ofensiva Perfilado de empresas víctima OSINT Inteligencia de Fuentes Abiertas ALGOTIMO AI Perfil de las empresas con más probabilidad de ser víctima de ataques de IS Utilizable para ser más efectivo en la siguiente campaña de ataque INPUT PROCESAMIENTO OUTPUT Investigación y captación de datos
  24. 24. IA Ofensiva Perfilado de empresas víctima INPUT Organizativa: Contactos, URL, teléfono, direcciones de correo, nombre empleados… Tecnológica: Información tecnologías web, y correo, … Defensas (visibles): Nivel protección correo (SPF, DKIM, DMARC), web, … Sectorial: En que sector desarrolla la actividad OSINT Inteligencia de Fuentes Abiertas Ubicación: Coordenadas GPS (latitud, longitud) Financiera: Nivel de ingresos, resultados, EBITDA, etc. Grupo de 300 empresas para cada campaña Campaña de ataque simulada
  25. 25. IA Ofensiva Perfilado de empresas víctima ALGORITMO 2 3 4 2 1 2 3 4
  26. 26. IA Ofensiva Perfilado empresas víctima ALGORITMO Distribución de códigos de actividad Nivel ingresos Distribución geográfica Niveles de protección empresas.json 1 2 3 4 Fase OSINT, creación de la DDBB Primera campaña Ordenamiento de organizaciones por beneficio conseguido Selección de aquellas que han generado beneficios Estimación de los parámetros del modelo: perfil de empresa Selección de las empresas acorde al modelo probabilístico Optimización del beneficio
  27. 27. Distribución de códigos de actividad Nivel de ingresos Distribución geográfica Niveles de protección Resultados en la primera generación IA Ofensiva Perfilado empresas víctima ALGORITMO Aprendizaje continuo Optimización de la probabilidad de éxito de la campaña Utilizable para ser más efectivo en la siguiente campaña de ataque
  28. 28. IA Ofensiva Sentiment Analysis Falsificación de vídeo Falsificación de Voz Investigación y captación de datos Anti-spam Anti-phising Etc.
  29. 29. IA Ofensiva Falsificación de voz Mecanismos de ingeniería social
  30. 30. IA Ofensiva Falsificación de voz
  31. 31. IA Ofensiva Falsificación de voz Voz Original Texto Voz sintetizada leyendo el texto con el tono aprendido Voz 1 Voz 2 Voz Sintetizada 1 Voz Sintetizada 2 Aprendizaje del tono de voz Texto
  32. 32. IA Ofensiva Falsificación de imagen y voz
  33. 33. Protección Ofensiva Defensiva Suplantación Perfilado de empresas víctima RED TEAM BLUE TEAM
  34. 34. IA Defensiva Estado del arte
  35. 35. IA Defensiva Un caso real Espionaje industrial por medio de un ataque IS Fabricante trabaja en nuevo diseño Investigació n encuentra ‘Mimikatz’ Movimiento lateral a servidores Exfiltración de 3000 ficheros Subidos a servidor FTP troceados y comprimidos con pwd Fabricante trabaja en nuevo diseño Competidor tiene una pieza igual SpearPhising Mail Phising con malware adjunto Malware se comunica con IP del atacante
  36. 36. IA Defensiva Aplicación de ML y la detección de anomalías
  37. 37. IA Defensiva Detección de Phising con ML
  38. 38. Ataques IS Remedios y Contramedidas Kevin Mitnick: “The only truly effective way to mitigate the threat of social engineering is through the use of security awareness combined with security policies that set ground rules for employee behavior, and appropriate education and training for employees.”
  39. 39. Ataques IS Remedios y Contramedidas
  40. 40. Ataques IS Remedios y Contramedidas
  41. 41. Ataques IS Remedios y Contramedidas
  42. 42. Ataques IS Conclusiones • Los ataques IS son uno de los tipos de ataques más usados y fáciles de perpetrar • La IA puede utilizarse para potenciar este tipo de ataques • Pero también para proteger contra ellos • Es fundamental tomar medidas para evitar los ataques IS • Para ello, la concienciación y la formación son imprescindibles • Además de otras herramientas tecnológicas y el uso de la IA • Prevenir ataques es una inversión. Más vale prevenir que curar

×