respuesta ágil y orquestada frente a los incidentes de ... · pdf filerespuesta...
TRANSCRIPT
Respuesta ágil y orquestada frente a los incidentes de Seguridad
John BruceCEO y Co-fundador de IBM Resilient
#IBMSeguridad2017
2 IBM Security
#IBMSeguridad2017
• Introducción a IBM Resilient
• Panorama actual de Seguridad
• Orquestación y Seguridad Cognitiva
• Casos de uso en la industria
4 IBM Security
or·ches·tra·tionˌôrkəˈstrāSHən/nounnoun: orchestration; plural noun: orchestrations1. The arrangement or scoring of music for orchestral performance.
"Prokofiev's mastery of orchestration."2. The planning or coordination of the elements of a situation to
produce a desired effect. “The orchestration of the campaign needed tightening."
5 IBM Security
• En un mundo incierto, se consigue la resiliencia a través de la orquestación, no a través de la automatizacióno Todos los ataques, redes, entornos, organizaciones y reglamentos son
diferentes, aumentando la incertidumbre
• La orquestación es la unión de personas, procesos y tecnologíao Necesita ser dinámica y ágilo Necesita personas con experiencia, respaldadas con automatización
• Cuando no se puede eliminar el componente humano, necesitamos que la orquestación sea un éxitoo La orquestación hace posible que los que responden comprendan lo que
ocurre y actúen rápidamenteo La respuesta es un combate cuerpo a cuerpo, una batalla de ida y vuelta entre
atacantes y los que se defienden (los que responden)
La orquestación para un mundo incierto
9 IBM Security
SECURITY ECOSYSTEM
DATA
APPS IDENTITY& ACCESS
MOBILE ADVANCEDFRAUD
THREATINTEL
ENDPOINT NETWORK
Criminal detectionFraud protection
Data access control
Application security management
Applicationscanning
Data protection
Device managementTransaction protection
Content security
Malware protection
Endpoint detectionand responseEndpoint patching and management
Network forensics and threat management
Virtual patching
FirewallsSandboxing
Network visibility and segmentation
Access managementIdentity governance and administrationPrivileged user management
IDaaS
Mainframe security
Indicators of compromiseMalware analysis
Threat sharing
SECURITYORCHESTRATION
& ANALYTICS
Vulnerability managementSecurity analytics
Threat and anomaly detection
Incident responseUser behavior analytics
Threat hunting and investigation
Sistema de Seguridad Inmune, Integrado e Inteligente
10 IBM Security
#IBMSeguridad2017
• El mundo está adoptando la IA a un ritmo increíble.
• Los atacantes ya están en marcha, volcando sus esfuerzos en la ofensiva.
• Es urgente que nos movamos hacia la seguridad cognitiva, aprovechando la IA para aumentar el conocimiento humano con metodología OODA.
Y entonces llega el conocimiento Cognitivo
11 IBM Security
DatosTradicionalesde Seguridad
Un universo de conocimiento de seguridadtodavía oscuro para defendernosNormalmente las empresas aprovecha solamente el 8% de este contenido
ConocimientoHumano Generado
• Eventos y alertas de seguridad• Registros y datos de configuración
• Actividad del usuario y de la red• Aumento de amenazas y vulnerabilidades
Ejemplos que incluyen:• Documentos de
investigación• Publicaciones industriales• Información forense
• Comentarios sobre Threat
intelligence • Presentaciones• Informes de analistas
• Páginas web• Wikis• Blogs
• Nuevas fuentes• Newsletters
• Tweets
Se crean enormes cantidades de conocimiento en seguridad para el uso humano, pero la mayor parte está sin descubrir
12 IBM Security
• Revisar los datos del incidente.
• Revisar elementos destacados (por ej., dominios, MD5s, etc.)
• Pivotar sobre los datos y buscar elementosextraños (ej., dominios inusuales, IPs, acceso a ficheros, …)
• Extender búsqueda para capturar másdatos relalcionados con el incidente
• Buscar indicadores utilizando x-Force Exchange + Google + Virus Total…
• Descubrir nuevo malware involucrado
• Obtener IOC (indicators of compromise) de nuevas búsquedas web
• Investigar localmente los IOCs obtenidos
• Buscar otras IPs internas posiblementeafectadas
• Cualificar el incidente basándose en losconocimientos obtenidos de la investigación sobre amenazas
• Iniciar otra investigación alrededor de cada una de las IPs
Trabajo cotidiano de un analista de seguridad
Tiempo de Análisis de amenazas
Aplicar la inteligencia e investigar el incidente
Obtener datos de investigación de amenazas, desarrollar expertise
Obtener un contexto local del incidente
Precisión de cualificación: minimizar losfalsos positivos y negativos
13 IBM Security
#IBMSeguridad2017
• Estamos en la era de la gestión óptima de respuestas
• La orquestación puede aportar grandes mejoras en ciclos OODA
• Los atacantes estan usando IA: la capacidad cognitiva es críticapara la Seguridad
• Estamos en las fases iniciales de un largo viaje
Conclusiones
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
FOLLOW US ON:
THANK YOUGRACIAS