notas sobre ciberseguridad en ambientes empresariales francisco mejía 02 diciembre 2014

Notas sobre Ciberseguridad en Ambientes Empresariales

Francisco Mejía

02 Diciembre 2014

Agenda

• Ciberseguridad

• Amenazas

• Ciclo de vida de un ataque

• Proceso de seguridad y respuesta a incidentes

• Herramientas

2

Diferentes entendimientos

• ¿Qué es ciberseguridad? “Es solo una variación más de lo que significa seguridad lógica”

“El mercado (consultores/fabricantes) crearon este término como mecanismo de mercadotecnia”

“Solo se aplica para el tipo de seguridad que se implementa en grandes ambientes (milicia/gobierno)”

“Se refiere a nuevos enfoques de seguridad para hacer frente a las amenazas cada vez más sofisticadas en un mundo más interconectado”

3

Las amenazas y ataques que enfrentan nuestras organizaciones son más avanzadas y complejas

4

Los riesgos no son solo financieros… ni todos son del exterior

• Espionaje industrial (robo de propiedad intelectual)

• Daños a la reputación e imagen (Defacements)

• Ex-filtración de información (extracción interna de datos)

• Disponibilidad de los datos (DDoS)

Los riesgos parecen ser constantes pero los mecanismos utilizados no lo son. La ciberseguridad busca hacer frente a estas amenazas a través de procesos y técnicas igual de ingeniosos (con más inteligencia)

5

Ciclo de vida de un ataque

Reconocimiento Consolidación Escalación Reconocimiento

InternoMisión

finalizada

• Spear phishing con malware dirigido• Explotación de aplicaciones de

terceros• Explotación de vulnerabilidades web

• Malware dirigido• Command & Control

• Variantes de backdor• Control de VPN• Malware “dormido”

• Cracking de contraseñas• “Pass-the-hash”• Esplotación de aplicaciones

Mantener presencia

Moverlateralmente

• Reconocimiento crítico de sistemas

• Enumeración de sistemas, directorio activo y usuarios

• Comandos “net use”• Acceso vía reverse shell• Servidores comprometidos

• Consolidación de datos• Robo de datos

6

El proceso de seguridad visto con un enfoque de ciberseguridad

TI es responsable principal, Seguridad asiste

Seguridad es responsable principal, TI asiste

Planear

Resistir

Responder

Detectar

Preparar activos

FiltrarProteger

EscalarColectarAnalizar

Resolver

• Resistir intrusiones tanto como sea

posible• Seguridad & TI preparan y

evalúan la situación• Presupuesto, auditoría, training,

SSD, pentest

• Filtrado y protección• Contramedidas automatizadas:

FW, AV, DLP, whitelisting, entre otras

• Obtener datos que necesarios para decidir si la actividad es normal, sospechosa o maliciosa

• Validar aquello que se sospecha sobre la naturaleza de un evento

• Notificar al responsable acerca del compromiso de un activo (dueños de los activos)

• Acciones de contención y erradicación tomadas por el equipo de seguridad para disminuir el riesgo de pérdida

7

La pregunta no es ¿me pasará?, sino ¿cuándo?

8

• La mayoría de las empresas tienen activos de información que tienen algún valor para alguien más

• ¿Conozco a mi enemigo? ¿Me conozco a mi mismo?

• Todas mis defensas están en su lugar, ¿pero qué hago si alguien logra cruzar?

• ¿Son accionables mis protocolos de respuesta?

El proceso de respuesta a incidentes de seguridad es una piedra angular en la estrategia

de seguridad de la empresa

9

Preparación

De

tecc

ión

Text

Erradicación

Re

cu

pe

rac

ión

Lecciones

Aprendidas

Contención

• Restablecer la operación y servicios afectados

• Ejecutar planes y procedimientos de recuperación (respaldos, configuraciones)

• Colectar bitácoras para identificar causa raíz del incidente (forense)

• Identificación de debilidades y erradicación de causa raíz

• Ejecutar acciones para limitar el alcance e impacto del incidente de seguridad

• Involucramiento con los distintos actores• Monitoreo sobre el ataque y eficacia de las

medidas de contención• Comunicación continua y efectiva sobre el

estado actual

• Mecanismos de detección (dashboards, SIEM, alertas, IOCs)

• Identificar tipo de incidente de seguridad y severidad de acuerdo a la taxonomía

• Identificar vectores de ataque• Escalamiento a responsables

• Procedimiento de atención de incidentes de seguridad • Equipo de respuesta a incidentes• Protocolos de comunicación y contingencia • Identificación de activos críticos • Construcción de matrices de escalamiento• Reglas de operación y apoyo con otras organizaciones y/o

equipos de respuesta de otras empresas• Ajustes en la configuración de la infraestructura

• Revisión completa del incidente • Documentar lecciones aprendidas,

fallas identificadas, líneas de acción para la mejora del proceso

El objetivo principal es contener y remover la amenaza tan rápido como sea posible

10

• Investigar• Determinar los vectores iniciales de ataque• Determinar el malware y herramientas utilizadas• Determinar qué sistemas fueron afectados y cómo• Determinar que realizó el atacante (evaluación de daños)• Determinar si el incidente está en curso• Establecer el periodo del incidente

• Remediar• Usando la información obtenida de la investigación,

desarrollar e implementar un plan de remediación

Qué herramientas ayudan en la prevención y atención de incidentes

11

• Prevenir• Políticas & lineamientos conocidos por toda la empresa• Controles de seguridad implementados y monitoreados• Análisis de riesgos & análisis de vulnerabilidades• Training & Awereness

• Detectar• Colección de eventos relevantes• Reportes de terceros• IOCs• Herramientas con nuevos enfoques• Escalación

Nota final

12

La pregunta no es:

“¿el atacante logrará entrar a mi red?”

sino:

¿hasta dónde lo podré contener?”

Fin del documento