Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP 9 de Setiembre ... · Edición), incluyó las respuestas...

¿Nos importa la ciberseguridad?

Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP

9 de Setiembre de 2015

Agenda

► Situación actual de la ciberseguridad 3

► El entorno cambiante de las amenazas 10

► Cyber Threat Intelligence (CTI) 16

► Reduciendo el riesgo 19

► Agregando valor 26

► Como adelantarme al cibercrimen 31

¿Nos importa la ciber seguridad? - CIGRAS 2015

Situación actual de la ciberseguridad

Las amenazas están evolucionando

a un ritmo, en el cual, los enfoques

tradicionales de seguridad serán

imprescindibles para mantener, pero

no serán suficientes para abordar

adecuadamente los riesgos.


Situación actual en Uruguay

► CERTuy

► Año 2014

► 499 incidentes


► http://www.cert.uy/inicio/novedades/software+y+tecnologia/estadistica+de+incidentes+certuy+2014

Situación actual en Uruguay

► CERTuy

► Año 2015

► 377 incidentes 1er.semestre

► 23,2% de incremento en

igual periodo que el año anterior


► http://www.cert.uy/inicio/novedades/software+y+tecnologia/estadisticas+de+incidentes+en+primer+semestre+de+2015

¿Quiénes son los atacantes?

► En Uruguay

► No hay registros de organizaciones conocidas

► Acciones individuales

► Son oportunistas

► En el mundo

► Están organizados, y no son oportunistas

► Tienen financiamiento, son pacientes y sofisticados

► Buscan vulnerabilidades en las personas, en los procesos y en la

tecnología

► Desarrollan nuevas herramientas y técnicas para alcanzar sus objetivos

► Han mejorado en el proceso de identificar brechas y vulnerabilidades

desconocidas en la seguridad de las organizaciones.


Las amenazas se incrementan

► Actualmente, no es posible prevenir todos los ataques o

violaciones de seguridad.

► 67% de los participantes de la edición 2014 del Global Information

Security Survey (*) de EY, ven un crecimiento de las amenazas en

sus entornos de riesgo de seguridad de la información.

► (*) – El Global Information Security Survey de EY, es una encuesta mundial, que en la edición

2014, (17ma. Edición), incluyó las respuestas de 1825 organizaciones de 60 países, en 25

sectores de la industria. Esta edición se enfocó en analizar que tan preparadas están las

organizaciones para gestionar las ciber amenazas, y que necesitan hacer para adelantarse a

los cibercriminales. http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf


Otros resultados que preocupan

► Presupuestos de seguridad de la información

► 43% mantendrán sus presupuestos en los próximos 12 meses

► 5% disminuiría dicho presupuesto.

► Habilidades técnicas

► 53% no disponen de los recursos adecuados

► Nuevas tecnologías

► 58% no disponen de un área para analizar las nuevas tecnologías y su impacto en

la seguridad de la información

► Capacidad para detectar ataques

► 56% no son capaces de detectar un ataque sofisticado

► Respuesta a incidentes

► 6% disponen de un programa de respuesta a incidentes robusto


Ciberseguridad en la agenda corporativa Teniendo en cuenta que:

► Las organizaciones dependen cada vez más en la información de sus

sistemas y comparten grandes volúmenes de datos.

► Diariamente, la información y la propiedad intelectual están en riesgo.

► Un ataque cibernético puede tener graves implicancias:

► Dañar la marca y la reputación

► Afectar la confianza de los interesados (stakeholders)

► Pérdida de la ventaja competitiva

► Provocar incumplimientos legales o regulatorios

► Causar daño financiero

La ciberseguridad debería ser uno de los principales temas de la agenda

corporativa.


El entorno cambiante de las amenazas


El ambiente seguro de hoy,

tendrá vulnerabilidades

mañana, por lo cual una

organización no puede

permitirse ser

complaciente.

La tecnología está evolucionando rápidamente

► Las tecnologías avanzadas (cloud, big data, mobile,

social media, etc.) ofrecen nuevas posibilidades y

beneficios, pero también introducen nuevos riesgos.

► El avance e innovación de productos es tan vertiginoso,

que nos vemos superados de evaluar adecuadamente los

riesgos asociados.

► El “Internet of Things” ofrece productos con conectividad

IP, que tienen sus propias vulnerabilidades.


Ecosistema de entidades conectadas digitalmente

Vivimos y operamos en un ecosistema de entidades,

personas y datos conectadas digitalmente.

► Las empresas comparten cada vez más datos digitales a nivel global.

► Las actividades comerciales, tales como lanzamientos de nuevos

productos, fusiones y adquisiciones, y la expansión del mercado, e

incluso conferencias tienen ahora una dimensión cibernética

Toda conexión directa a Internet puede significar un enlace

directo con los atacantes:

► Muchos servicios operan ahora en Internet y están cada ves más

conectados.


La motivación de las amenazas está cambiando

El Cibercrimen es un gran negocio:

► Ciber criminales pueden convertir los datos robados en efectivo o

en beneficios equivalentes.

► Hacktivistas quieren dañar la reputación de una organización lo

más rápido posible.

► Atacantes patrocinados por un gobierno, proporcionan

información para mejorar las capacidades estratégicas de la

nación anfitriona.

► Organizaciones y personas son amenazadas a pagar un rescate,

ante la posibilidad de que hayan sido hackeadas.

Las organizaciones también están siendo atacadas, porque

el atacante quiere ejercer influencia política.


Obstáculos a la seguridad sin fronteras

Pocas empresas disponen de los recursos físicos y financieros, y del

conocimiento técnico de los atacantes.

► Escasez de personas con la capacidad y experiencia adecuada.

► Los presupuestos se están comprimiendo.

► Falta de apoyo del directorio para invertir en un enfoque proactivo.

Se requieren soluciones para abordar de manera integral las

necesidades de ciberseguridad (p.ej. GRC e IAM)

► GRC – Governance, Risk and Compliance

► IAM – Identity and Access Management


Adelantarse al cibercrimen

► “Getting ahead of cybercrime”

► Saber que está pasando, como está pasando, identificando quién es la amenaza, y

determinar si un ataque puede ocurrir y cuando.

► Requiere

► Recolección de información de amenazas (inteligencia)

► Capacidad analítica de usarla para tomar decisiones críticas y estratégicas de

negocio.

► Mediante la implementación de los últimos desarrollos de inteligencia

de amenazas, se puede anticipar y desviar lo que es probable que

suceda.

► La identificación oportuna y la denuncia de las infracciones reducirá los costos, así

como el incentivo de los atacantes.

► Tener un enfoque proactivo de la ciberseguridad generará confianza en las partes

interesadas, clientes y socios de negocios.


Cyber Threat Intelligence - CTI (Inteligencia de Amenazas Cibernética)

Una organización que sólo puede

reaccionar a las nuevas

amenazas, una vez que están

activas, puede descubrir que ha

actuado demasiado tarde..


¿Que es CTI?

► Es una solución basada en el análisis de probabilidad

► Utiliza información histórica de incidentes para entender el ambiente interno, y

determinar posibles objetivos de nuevos ataques.

► Permite reunir conocimientos basados en el análisis de los riesgos contextuales y

situacionales.

► Mediante indicadores específicos permite priorizar las amenazas, brindar

empoderamiento para la toma de medidas proactivas, a los efectos de reducir el

riesgo y mejorar la gobernanza.

► Analiza lo que está sucediendo en el ambiente de las ciber amenazas, para que la

organización puede desarrollar un plan de defensa robusto.

► Permite entender quiénes podrían estar interesados en atacar a su entorno.

► Puede ser configurada para el entorno de amenazas específicas de

la organización, su industria y mercados.

► Mejora la capacidad de la organización para anticipar las infracciones

antes de que ocurran, y de responder rápidamente a las violaciones

confirmadas.


¿Que ofrece CTI?

Prevención

proactiva

CTI permite un grado de

capacidad de análisis

predictivo para complicar

los ataques mediante la

comprensión de las

amenazas en su contra y

los posibles objetivos que

persiguen.

¿Quién es probable que

ataque?

¿Que tipos de activos

están buscando?

Vigilancia y

detección

Información obtenida de CTI

e información compartida le

permite a la organización

realizar un análisis de los

registros de logs para

identificar cuando un

atacante está presente.

¿La alerta que estoy

viendo está relacionada

con algo que sé que es

mal?

¿Puedo asignar

rápidamente criticidad a

esto y escalar acciones?

Respuesta a

incidentes

Cuando se produce un

incidente, CTI puede dar un

panorama de las

actividades de respuesta a

incidentes y de los

enfoques de mitigación

para asegurar que la

información crítica y los

activos permanecen

protegidos.

¿Que lecciones

aprendidas de incidentes

puede ayudar a mejorar

la protección proactiva?


¿Como CTI reduce el riesgo?

CTI reduce las

posibilidades de que el

atacante alcance sus

metas.


Priorizar las actividades de prevención y de respuesta

Entender las probables amenazas e identificar las vulnerabilidades

en forma anticipada, ayuda a las organizaciones a priorizar las

actividades de prevención y de respuesta, de forma de reducir las

posibilidades de que el atacante alcance su meta.

► Mediante la integración de CTI dentro de los aspectos de la operaciones

de seguridad, el análisis permite trazar el panorama de las amenazas y

poner los datos históricos en su contexto - las decisiones se pueden

basar en los precedentes en lugar de la intuición.

► Cuando la naturaleza de la amenaza bajo sospecha se atribuye a un

tipo específico de ataque, los procesos se pueden ajustar y desarrollar

contramedidas adecuadas.


El mercado actual de CTI

La información consolidada de la amenazas se puede obtener de

proveedores externos.

Hay diferentes tipos de proveedores

► Hay muchas compañías que proveen fuentes de datos, análisis y

contexto.

► Algunas se enfocan en soluciones técnicas integrales, como las

compañías de respuesta a incidentes.

► Otras se centran en proporcionar entornos de intercambio de información

y fuentes de información de amenazas.

► Hay algunas compañías que proporcionan datos relativos a los

dominios maliciosos, actividad de botnets, datos de malware y de otro

gran volumen de indicadores maliciosos.

► Hay compañías que ofrecen servicios gratuitos.

► Algunas compañías se especializan en un tipo de amenazas.


Los desafíos para CTI - sobrecarga de datos

► El volumen de información que se recibe puede ser muy grande.

► Algunos proveedores están tratando de enfocarse en la calidad sobre

la cantidad:

► Es más fácil procesar un volumen limitado de información

► Es probable que sea muy valiosa, con un contexto considerable

► Pero seguramente se pierdan algunos indicadores

► La clave es asegurarse de que el proveedor de información, incluya

los tipos de amenazas que son probables de estar activas en su

entorno.


Los desafíos para CTI - grupos de intercambio de información

El intercambio de información en un grupo más grande, ya

sea en un ambiente ad-hoc, semi-formal, o moderadamente

formal, es el elemento clave para las organizaciones que

tienen mayor éxito en la comprensión, alcance y mitigación

de las intrusiones en sus redes.

► Para que el “grupo” mantenga su valor, es crítico asegurar que la

información fluya de todos los participantes, tanto como sea posible.

► Si un participante comienza a ser el proveedor principal en el “grupo”, y

obtiene poca información en retorno, tenderá a buscar nuevos socios

para compartir su información, lo que reducirá los beneficios de los

interesados.


Los desafíos de CTI - integración en las operaciones

► La información de CTI, es generalmente adquirida, pero no

debidamente integrada en las operaciones.

► Sin la integración técnica de CTI dentro de la infraestructura

existente, la organización está gastando recursos y perdiendo la

oportunidad de automatizar los procesos y aumentar la visibilidad.

► Los principales proveedores de CTI disponen, ya sea de un

componente de servicio gestionado o una API que se puede integrar

en el SIEM (Security Information and Event Management) de

elección.


¿Como CTI proporciona valor?

Las compañías deben madurar

sus operaciones en sincronía

con sus capacidades de

inteligencia, con el fin de

maximizar sus resultados


CTI - táctico y estratégico

CTI es valioso tanto desde el punto de vista táctico como estratégico:

► Inteligencia Táctica - la difusión de indicadores de compromiso y

quizás recomendaciones sobre los procedimientos de respuesta a

incidentes, es muy importante para la capacidad de una organización,

para incrementar su postura de seguridad.

► Inteligencia Estratégica - se construye sobre la base de

conocimientos que la inteligencia táctica ha reunido; el análisis de los

datos se puede utilizar para ayudar a la organización a tomar

decisiones importantes, dando lugar a cambios en el proceso no

técnico y consideraciones que pueden reducir en gran medida el

riesgo.


CTI enfocado en las prioridades del negocio

Para que CTI sea realmente útil, necesita enfocarse en las

prioridades del negocio, ayudando a reducir el perfil de

riesgo de la organización, mediante la mejora de las

operaciones de seguridad y la toma de decisiones

empresariales.

CTI debe esforzarse por ser:

► Oportuna - Abordar un tema que está sucediendo, o que pueda suceder.

► Precisa - representativa de la actividad real identificada.

► Realizable - debe ser capaz de hacer realidad algo con él

► Relevante - el contenido abordado debe ser algo de valor para el

negocio.


Sincronizar operaciones maduras con las capacidades de CTI

► Las empresas deben madurar sus operaciones en sincronía con su

capacidad de CTI, a los efectos de maximizar sus resultados.

► Una nueva capacidad de CTI, debería dar lugar a cambios en los

procesos que permitan que la organización sea más ágil en la

respuesta a un mejor conocimiento de la situación

► Las capacidades de CTI menudo ya están dentro de las organizaciones:

► Repuesta a incidentes, equipos de monitoreo de la seguridad, operadores SIEM, y

personal de riesgos, seguramente tengan una buena idea de donde vienen las

amenazas.

► Utilizar los datos que ya se encuentran dentro de los registro de logs de la empresa y

de las bases de datos de gestión de incidentes

► Mirar el panorama de amenazas de su industria, los riesgos serán similares.

► Los analistas de CTI deben tener una exposición a diferentes

industrias, para poder recurrir a varias experiencias.


¿Cómo adelantarme al cibercrimen?

Las amenazas cambian con el tiempo - al igual que los riesgos . Una

capacidad de CTI dinámica ayuda a garantizar que las

operaciones de seguridad también puedan

mantenerse al día con esos cambios.


De 'reactivo' a 'proactivo' para adelantarse al cibercrimen ► Las organizaciones deben tener la posibilidad de utilizar los conceptos

de seguridad de última generación, como la defensa activa, la campaña

defensiva, y la aplicación de contramedidas.

► El objetivo es pasar de un estado reactivo a un enfoque más proactivo -

para poder adelantarse al cibercrimen

► Esto requiere:

► Madurez en los controles de línea de base y en CTI

► Organizaciones que tienen una sólida comprensión de su entorno

► El conocimiento de la ubicación de su información y activos críticos

Desarrollar un programa de CTI aporta conocimiento para las amenazas

específicas que aumentan el riesgo de la organización.

Ayuda a asegurar la continuidad del negocios, y en última instancia, el

éxito de la organización


Un proceso de mejora de 3 etapas

Para adelantarse al cibercrimien se sugiere que las organizaciones

adopten un proceso de mejora de 3 etapas:

1. Activar (un enfoque fundamental) ► Las organizaciones primero necesitan establecer y mejorar las bases sólidas de la

ciberseguridad.

2. Adaptar (un enfoque dinámico) ► Las organizaciones están cambiando constantemente y las amenazas cibernéticas están

evolucionando, por lo que la seguridad cibernética tiene que ser capaz de adaptarse a las

necesidades cambiantes

3. Anticipar (un enfoque proactivo) ► Las organizaciones deben hacer esfuerzos para predecir lo que viene para que puedan estar

mejor preparados para los ataques cibernéticos inevitables.

► Esto requiere de una capacidad de CTI madura, una metodología sólida de

evaluación de riesgos, un experimentado mecanismo de respuesta a

incidentes, y una organización informada


Preguntas???


Muchas gracias


► Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP

► [email protected]

Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP 9 de Setiembre ... · Edición), incluyó las respuestas...

Documents

Transcript of Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP 9 de Setiembre ... · Edición), incluyó las respuestas...