Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Rooted2020 todo a-siem_-_marta_lopez

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Hier ansehen

1 von 64 Anzeige
Anzeige

Weitere Verwandte Inhalte

Weitere von RootedCON (20)

Aktuellste (20)

Anzeige

Rooted2020 todo a-siem_-_marta_lopez

  1. 1. @martixx
  2. 2. Todo a SIEM whoami @martixx
  3. 3. Todo a SIEM disclaimer “Lo siento, me he equivocado, SÍ volverá a ocurrir” @martixx
  4. 4. Todo a SIEM numeritos y datos @martixx
  5. 5. Todo a SIEM numeritos y datos @martixx Fuente: CSIS
  6. 6. Todo a SIEM numeritos y datos @martixx Fuente: CSIS “China es un adversario cibernético decidido, con buenos recursos y persistente” “..el gobierno de China y algunas empresas chinas utilizarán cualquier medio, legal o ilegal, para adquirir tecnología”
  7. 7. Todo a SIEM LEAKS @martixx
  8. 8. Todo a SIEM Leaks @martixx
  9. 9. Todo a SIEM Leaks @martixx https://www.equifax.es/asnefempresas/#/landing https://soluciones.equifax.es/empresa/fichero-asnef
  10. 10. Todo a SIEM Leaks @martixx
  11. 11. Todo a SIEM Leaks @martixx Fuente: CISCO Talos
  12. 12. Todo a SIEM Leaks @martixx
  13. 13. Todo a SIEM Leaks @martixx
  14. 14. Todo a SIEM Leaks @martixx Fuente: wired wiredO.P.M.
  15. 15. Todo a SIEM Leaks @martixx Fuente: wired wiredO.P.M.
  16. 16. Todo a SIEM Leaks @martixx Fuente: wired wiredO.P.M.
  17. 17. Todo a SIEM Leaks @martixx opmsecurity.orgO.P.M. mcutil.dll
  18. 18. Todo a SIEM Leaks @martixx O.P.M. mcutil.dll PlugX opmsecurity.org
  19. 19. Todo a SIEM Leaks @martixx O.P.M. mcutil.dll PlugX opmsecurity.org
  20. 20. Todo a SIEM Leaks @martixx opmsecurity.orgO.P.M. Steve Rogers Fuente: bankinfosecurity
  21. 21. Todo a SIEM Leaks @martixx opm-learning.orgO.P.M. Tony Stark 78.800.000 de personas Fuente: threatconnect Crowdstrike
  22. 22. Todo a SIEM Leaks @martixx Fuente: threatconnect
  23. 23. Todo a SIEM Leaks @martixx Fuente: threatconnect
  24. 24. Todo a SIEM Leaks @martixx O.P.M. Fuente: govexec wired opm washingtonpost
  25. 25. Todo a SIEM Leaks @martixx O.P.M. Fuente: govexec wired opm washingtonpost
  26. 26. Todo a SIEM Leaks @martixx O.P.M. Julio 2014 Primeros scripts de exfiltración de datos • Bases de datos de antecedentes penales • 18.000.000 de copias del Formulario Estándar 86
  27. 27. Todo a SIEM Leaks @martixx O.P.M. Julio 2014 Primeros scripts de exfiltración de datos • Bases de datos de antecedentes penales • 18.000.000 de copias del Formulario Estándar 86 • 5.600.000 huellas digitales
  28. 28. Todo a SIEM Leaks @martixx O.P.M.
  29. 29. Todo a SIEM Leaks @martixx O.P.M.
  30. 30. Todo a SIEM Hostias como panes (chinos) @martixx
  31. 31. Todo a SIEM Hostias como panes (chinos) @martixx Advance Persistent Threat 2.a Oficina del 3.º Departamento del Estado Mayor del Estado Mayor del Ejército Popular de Liberación (EPL) (GSD) Unidad 61398 (MUCD) APT1 总参三部二局 部队
  32. 32. Todo a SIEM Hostias como panes (chinos) @martixx Fuente: mandiant • Putter Panda • The Comment group - Comment Crew – Comment Panda • Byzantine Candor • Shangai Group A.K.A.
  33. 33. Todo a SIEM Hostias como panes (chinos) @martixx Fuente: mandiant
  34. 34. Todo a SIEM Hostias como panes (chinos) @martixx Fuente: wired wikipedia 2018 - Beijing Fuente: fedsmith 2016
  35. 35. Todo a SIEM Hostias como panes (chinos) @martixx Un repasín a la teoría… ¿Cómo sabemos si nos están cascando una hostia y quién nos está atizando?
  36. 36. Todo a SIEM Hostias como panes (chinos) @martixx
  37. 37. Todo a SIEM Hostias como panes (chinos) @martixx Reactividad Proactividad
  38. 38. Todo a SIEM Hostias como panes (chinos) @martixx • Contexto • Caducidad • Usabilidad IOC Reactividad Proactividad
  39. 39. Todo a SIEM Hostias como panes (chinos) @martixx • Contexto • Caducidad • Usabilidad IOC Reactividad Proactividad
  40. 40. Todo a SIEM Hostias como panes (chinos) @martixx • Contexto • Caducidad • Usabilidad • Tácticas IOC TTPs Reactividad Proactividad
  41. 41. Todo a SIEM Hostias como panes (chinos) @martixx • Contexto • Caducidad • Usabilidad • Tácticas • Técnicas IOC TTPs Reactividad Proactividad
  42. 42. Todo a SIEM Hostias como panes (chinos) @martixx • Contexto • Caducidad • Usabilidad • Tácticas • Técnicas • Procedimientos IOC TTPs Reactividad Proactividad
  43. 43. Todo a SIEM Att&ck @martixx
  44. 44. Todo a SIEM Att&ck @martixx
  45. 45. Todo a SIEM Att&ck @martixx
  46. 46. Todo a SIEM Att&ck @martixx
  47. 47. Todo a SIEM Att&ck @martixx
  48. 48. Todo a SIEM Att&ck @martixx
  49. 49. Todo a SIEM Att&ck @martixx
  50. 50. Todo a SIEM Att&ck @martixx
  51. 51. Todo a SIEM Att&ck @martixx
  52. 52. Todo a SIEM Att&ck @martixx
  53. 53. Todo a SIEM Att&ck @martixx
  54. 54. Todo a SIEM CAPEC @martixx
  55. 55. Todo a SIEM CAPEC @martixx
  56. 56. Todo a SIEM CAPEC @martixx
  57. 57. Todo a SIEM CAPEC @martixx •Focus on application security •Enumerates exploits against vulnerable systems •Includes social engineering / supply chain •Associated with Common Weakness Enumeration (CWE) •Focus on network defense •Based on threat intelligence and red team research •Provides contextual understanding of malicious behavior •Supports testing and analysis of defense options
  58. 58. Todo a SIEM Link no es solo el rubio del zelda @martixx https://es.theepochtimes.com/china-estuvo-involucrada-en-la-cuarta-parte-de-los- ciberataques-mas-relevantes-del-ano-pasado-dice-informe_528503.html https://fas.org/sgp/crs/row/IN10376.pdf https://www.csis.org/programs/technology-policy-program/significant-cyber-incidents https://csis-prod.s3.amazonaws.com/s3fs- public/publication/190904_Lewis_ChinaTechTransfer_WEB_v2_1.pdf https://content.fireeye.com/m-trends/rpt-m-trends-2020 https://www.ccn-cert.cni.es/pdf/3767-ccn-cert-ia-13-19-ciberamenazas-y-tendencias-resumen- ejecutivo-2019/file.html https://en.wikipedia.org/wiki/Motives_for_spying https://www.wired.com/2016/10/inside-cyberattack-shocked-us-government/ https://fas.org/sgp/crs/row/IN10376.pdf https://www.fedsmith.com/2018/09/21/bolton-confirms-china-behind-opm-data-breaches/
  59. 59. Todo a SIEM Link no es solo el rubio del zelda @martixx https://www.justice.gov/opa/press-release/file/1246891/download https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf https://elpais.com/tecnologia/2020/02/17/actualidad/1581897525_009258.html https://elpais.com/internacional/2017/09/08/actualidad/1504822977_221786.html https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628 https://krebsonsecurity.com/2020/02/u-s-charges-4-chinese-military-officers-in-2017-equifax- hack/ https://www.wired.com/story/equifax-hack-china/ https://www.forbes.com/sites/thomasbrewster/2017/09/14/equifax-hack-the-result-of- patched-vulnerability/#29eba3605cda https://www.wired.com/2015/07/massive-opm-hack-actually-affected-25-million/ https://www.wired.com/2013/02/chinese-army-linked-to-hacks/
  60. 60. Todo a SIEM Link no es solo el rubio del zelda @martixx https://www.nytimes.com/2015/09/24/world/asia/hackers-took-fingerprints-of-5-6-million-us- workers-government-says.html https://www.nytimes.com/2015/06/11/world/asia/hackers-may-have-obtained-names-of- chinese-with-ties-to-us-government.html?_r=0 https://securityboulevard.com/2020/02/equifax-hacked-by-china-israeli-voter-registry-exposed- how-the-cia-owned-encryption/ https://www.wsj.com/articles/hackers-entered-equifax-systems-in-march-1505943617 https://en.wikipedia.org/wiki/Anthem_medical_data_breach https://www.govexec.com/management/2014/09/opm-terminates-controversial-background- check-contractor/93680/ https://threatconnect.com/blog/the-anthem-hack-all-roads-lead-to-china/ https://www.opm.gov/news/releases/2015/07/opm-announces-steps-to-protect-federal- workers-and-others-from-cyber-threats/
  61. 61. Todo a SIEM Link no es solo el rubio del zelda @martixx https://threatconnect.com/news/february-27-the-hill-security-firm-all-roads-lead-to-china-in- anthem-breach/ https://csis-prod.s3.amazonaws.com/s3fs- public/legacy_files/files/publication/60396rpt_cybercrime-cost_0713_ph4_0.pdf https://malpedia.caad.fkie.fraunhofer.de/actor/emissary_panda https://unaaldia.hispasec.com/2017/03/vulnerabilidad-critica-en-apache-struts.html https://www.keensoft.es/cve-2017-5638-vulnerabilidad-struts-permite-la-ejecucion-codigo- remoto/ https://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-5638-apache-struts- vulnerability-remote-code-execution/ https://www.cvedetails.com/cve/CVE-2017-5638/ https://www.justice.gov/opa/press-release/file/1246891/download
  62. 62. Todo a SIEM Link no es solo el rubio del zelda @martixx https://attack.mitre.org/groups/ https://attack.mitre.org/groups/G0006/ https://www.cytomicmodel.com/es/news/ttp-ventajas-en-ciberinteligencia/ https://dirigentesdigital.com/mercados/europa/700-millones-de-multa-a-equifax-por-una- filtracion-masiva-de-datos-de-usuarios-CC1334163 https://www.usnews.com/news/best-countries/articles/2019-02-01/china-and-russia-biggest- cyber-offenders-since-2006-report-shows https://elpais.com/tecnologia/2017/09/08/actualidad/1504856601_125518.html https://elpais.com/internacional/2020/02/10/actualidad/1581352912_665482.html https://csis-prod.s3.amazonaws.com/s3fs- public/publication/190904_Lewis_ChinaTechTransfer_WEB_v2_1.pdf http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
  63. 63. Todo a SIEM Link no es solo el rubio del zelda @martixx http://www.cyberseer.net/wp-content/uploads/2018/11/Cyberseer-UK-Sec-Show-From-IOC- to-TTP-How-Attack-Chains-Have-Evolved.pdf https://latam.kaspersky.com/blog/que-es-apt/761/ https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf http://cdn0.vox-cdn.com/assets/4589853/crowdstrike-intelligence-report-putter- panda.original.pdf https://capec.mitre.org/data/index.html
  64. 64. Todo a SIEM ¡¡Muchas gracias!! @martixx @martixx Marta.lopez.pardal@Gmail.com Dudas, ruegos y lamentaciones:

×