Respuesta ágil y orquestada frente a los incidentes de Seguridad

John BruceCEO y Co-fundador de IBM Resilient

#IBMSeguridad2017

2 IBM Security

#IBMSeguridad2017

• Introducción a IBM Resilient

• Panorama actual de Seguridad

• Orquestación y Seguridad Cognitiva

• Casos de uso en la industria

3 IBM Security

¿Qué hace IBM Resilient?

4 IBM Security

or·ches·tra·tionˌôrkəˈstrāSHən/nounnoun: orchestration; plural noun: orchestrations1. The arrangement or scoring of music for orchestral performance.

"Prokofiev's mastery of orchestration."2. The planning or coordination of the elements of a situation to

produce a desired effect. “The orchestration of the campaign needed tightening."

5 IBM Security

• En un mundo incierto, se consigue la resiliencia a través de la orquestación, no a través de la automatizacióno Todos los ataques, redes, entornos, organizaciones y reglamentos son

diferentes, aumentando la incertidumbre

• La orquestación es la unión de personas, procesos y tecnologíao Necesita ser dinámica y ágilo Necesita personas con experiencia, respaldadas con automatización

• Cuando no se puede eliminar el componente humano, necesitamos que la orquestación sea un éxitoo La orquestación hace posible que los que responden comprendan lo que

ocurre y actúen rápidamenteo La respuesta es un combate cuerpo a cuerpo, una batalla de ida y vuelta entre

atacantes y los que se defienden (los que responden)

La orquestación para un mundo incierto

6 IBM Security

#IBMSeguridad2017

7 IBM Security

#IBMSeguridad2017

8 IBM Security

#IBMSeguridad2017Datos Actuales: Pre y Post Orquestación

9 IBM Security

SECURITY ECOSYSTEM

DATA

APPS IDENTITY& ACCESS

MOBILE ADVANCEDFRAUD

THREATINTEL

ENDPOINT NETWORK

Criminal detectionFraud protection

Data access control

Application security management

Applicationscanning

Data protection

Device managementTransaction protection

Content security

Malware protection

Endpoint detectionand responseEndpoint patching and management

Network forensics and threat management

Virtual patching

FirewallsSandboxing

Network visibility and segmentation

Access managementIdentity governance and administrationPrivileged user management

IDaaS

Mainframe security

Indicators of compromiseMalware analysis

Threat sharing

SECURITYORCHESTRATION

& ANALYTICS

Vulnerability managementSecurity analytics

Threat and anomaly detection

Incident responseUser behavior analytics

Threat hunting and investigation

Sistema de Seguridad Inmune, Integrado e Inteligente

10 IBM Security

#IBMSeguridad2017

• El mundo está adoptando la IA a un ritmo increíble.

• Los atacantes ya están en marcha, volcando sus esfuerzos en la ofensiva.

• Es urgente que nos movamos hacia la seguridad cognitiva, aprovechando la IA para aumentar el conocimiento humano con metodología OODA.

Y entonces llega el conocimiento Cognitivo

11 IBM Security

DatosTradicionalesde Seguridad

Un universo de conocimiento de seguridadtodavía oscuro para defendernosNormalmente las empresas aprovecha solamente el 8% de este contenido

ConocimientoHumano Generado

• Eventos y alertas de seguridad• Registros y datos de configuración

• Actividad del usuario y de la red• Aumento de amenazas y vulnerabilidades

Ejemplos que incluyen:• Documentos de

investigación• Publicaciones industriales• Información forense

• Comentarios sobre Threat

intelligence • Presentaciones• Informes de analistas

• Páginas web• Wikis• Blogs

• Nuevas fuentes• Newsletters

• Tweets

Se crean enormes cantidades de conocimiento en seguridad para el uso humano, pero la mayor parte está sin descubrir

12 IBM Security

• Revisar los datos del incidente.

• Revisar elementos destacados (por ej., dominios, MD5s, etc.)

• Pivotar sobre los datos y buscar elementosextraños (ej., dominios inusuales, IPs, acceso a ficheros, …)

• Extender búsqueda para capturar másdatos relalcionados con el incidente

• Buscar indicadores utilizando x-Force Exchange + Google + Virus Total…

• Descubrir nuevo malware involucrado

• Obtener IOC (indicators of compromise) de nuevas búsquedas web

• Investigar localmente los IOCs obtenidos

• Buscar otras IPs internas posiblementeafectadas

• Cualificar el incidente basándose en losconocimientos obtenidos de la investigación sobre amenazas

• Iniciar otra investigación alrededor de cada una de las IPs

Trabajo cotidiano de un analista de seguridad

Tiempo de Análisis de amenazas

Aplicar la inteligencia e investigar el incidente

Obtener datos de investigación de amenazas, desarrollar expertise

Obtener un contexto local del incidente

Precisión de cualificación: minimizar losfalsos positivos y negativos

13 IBM Security

#IBMSeguridad2017

• Estamos en la era de la gestión óptima de respuestas

• La orquestación puede aportar grandes mejoras en ciclos OODA

• Los atacantes estan usando IA: la capacidad cognitiva es críticapara la Seguridad

• Estamos en las fases iniciales de un largo viaje

Conclusiones

ibm.com/security

securityintelligence.com

xforce.ibmcloud.com

@ibmsecurity

youtube/user/ibmsecuritysolutions

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

FOLLOW US ON:

THANK YOUGRACIAS