Download - Búsqueda de anomalías en Correos
www.ccn-cert.cni.es
Búsqueda de anomalías en Correos
www.ccn-cert.cni.es 2
• Jose Antonio Velasco Herrero
• Sociedad Estatal Correos y Telégrafos
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
3
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Correos
4
28 MILLONES Más de de hogares,
empresas e instituciones atendidos diariamente
55.000 EMPLEADOS
9.300 PUNTOS DE ATENCIÓN
670.000 KILÓMETROS diarios
14.000 VEHÍCULOS
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
5
Correos
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
6
Correos
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
7
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
• APT: Amenaza Persistente Avanzada
Enfoque Proactivo
o Protección
o Detección temprana
o Respuesta rápida
o Malware avanzado
Enfoque Reactivo
o Búsqueda de Anomalías
o Análisis de comportamiento
o CARMEN como herramienta para el analista
DEA: Detección de Anomalías
8
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
9
11
Detección
Comunicación y
valoración
Asignación
Notificación
Escalado
Contención
Resolución:
• Recolección de datos
• Análisis técnico
• Respuesta coordinada
Cierre
Notificación
Informe
Registro
Mejora Continua: Prevención
Mejora Continua: Reacción
IDS/IPS /SIEM
Servicios Antifraude
y vigilacina digital
At Cliente
CAU
Call centers
Soporte técnico
Auditoria
Autoridades…
Cualquiera!
VIP
Correo @
Teléfono
IPS/SIEM Antifraude
Seguridad
Soporte
Técnico
Seguridad
Soporte Técnico
Seguridad, Soporte Técnico,
comunicación, Atencion
cliente, CAUs
Seguridad
RRHH
Asesoría
Auditoría
DEA
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
10
Zona de Red 1
Zona de Red 2
Zona de Red 3
Zona de Red N
T
A
P
C
A
R
M
E
N
NetBios
DNS
HTTP
D. Público
Comprobación de IOC
Ejecución de analizadores
Honey Tokens
Indicadores
Volumetría • 544.000.000 comunicaciones HTTP • 364.340.000 peticiones DNS • 569.000 correos electrónicos *Datos mensuales
Inteligencia
Alertas
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
11
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
12
• Estrategia
Malware sin relación con APT
o Rapidez en la detección
o Respuesta eficiente
o Resiliencia
o Mejora en los controles de seguridad
Malware relacionado con APT
o Observar y aprender
o Mejorar los reflejos
o Objetivo 1: atribución y motivación
o Objetivo 2: que no nos lo tengan que volver a repetir
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
13
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Caso Práctico: detección de anomalía
14
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Caso Práctico: vía de infección y forense
15
Nombre del fichero Hash MD5
WinHost32.exe 8d3bbcf3b950ac1aa7de65a65dbcb24e
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Caso Práctico: análisis del malware
16
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
17
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CONCLUSIONES
18
• Buscar anomalías como servicio de inteligencia. Lo más importante es el talento del analista.
• CARMEN es una buena herramienta para el analista, pero no es (ni debe ser) la única
• Es importante prever qué hacer si un día se localiza una Amenaza Persistente Avanzada
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
Síguenos en
www.ccn-cert.cni.es