Notas sobre Ciberseguridad en Ambientes Empresariales Francisco Mejía 02 Diciembre 2014.
-
Upload
jose-carlos-marquez-lozano -
Category
Documents
-
view
224 -
download
0
Transcript of Notas sobre Ciberseguridad en Ambientes Empresariales Francisco Mejía 02 Diciembre 2014.
Notas sobre Ciberseguridad en Ambientes Empresariales
Francisco Mejía
02 Diciembre 2014
Agenda
• Ciberseguridad
• Amenazas
• Ciclo de vida de un ataque
• Proceso de seguridad y respuesta a incidentes
• Herramientas
2
Diferentes entendimientos
• ¿Qué es ciberseguridad? “Es solo una variación más de lo que significa seguridad lógica”
“El mercado (consultores/fabricantes) crearon este término como mecanismo de mercadotecnia”
“Solo se aplica para el tipo de seguridad que se implementa en grandes ambientes (milicia/gobierno)”
“Se refiere a nuevos enfoques de seguridad para hacer frente a las amenazas cada vez más sofisticadas en un mundo más interconectado”
3
Las amenazas y ataques que enfrentan nuestras organizaciones son más avanzadas y complejas
4
Los riesgos no son solo financieros… ni todos son del exterior
• Espionaje industrial (robo de propiedad intelectual)
• Daños a la reputación e imagen (Defacements)
• Ex-filtración de información (extracción interna de datos)
• Disponibilidad de los datos (DDoS)
Los riesgos parecen ser constantes pero los mecanismos utilizados no lo son. La ciberseguridad busca hacer frente a estas amenazas a través de procesos y técnicas igual de ingeniosos (con más inteligencia)
5
Ciclo de vida de un ataque
Reconocimiento Consolidación Escalación Reconocimiento
InternoMisión
finalizada
• Spear phishing con malware dirigido• Explotación de aplicaciones de
terceros• Explotación de vulnerabilidades web
• Malware dirigido• Command & Control
• Variantes de backdor• Control de VPN• Malware “dormido”
• Cracking de contraseñas• “Pass-the-hash”• Esplotación de aplicaciones
Mantener presencia
Moverlateralmente
• Reconocimiento crítico de sistemas
• Enumeración de sistemas, directorio activo y usuarios
• Comandos “net use”• Acceso vía reverse shell• Servidores comprometidos
• Consolidación de datos• Robo de datos
6
El proceso de seguridad visto con un enfoque de ciberseguridad
TI es responsable principal, Seguridad asiste
Seguridad es responsable principal, TI asiste
Planear
Resistir
Responder
Detectar
Preparar activos
FiltrarProteger
EscalarColectarAnalizar
Resolver
• Resistir intrusiones tanto como sea
posible• Seguridad & TI preparan y
evalúan la situación• Presupuesto, auditoría, training,
SSD, pentest
• Filtrado y protección• Contramedidas automatizadas:
FW, AV, DLP, whitelisting, entre otras
• Obtener datos que necesarios para decidir si la actividad es normal, sospechosa o maliciosa
• Validar aquello que se sospecha sobre la naturaleza de un evento
• Notificar al responsable acerca del compromiso de un activo (dueños de los activos)
• Acciones de contención y erradicación tomadas por el equipo de seguridad para disminuir el riesgo de pérdida
7
La pregunta no es ¿me pasará?, sino ¿cuándo?
8
• La mayoría de las empresas tienen activos de información que tienen algún valor para alguien más
• ¿Conozco a mi enemigo? ¿Me conozco a mi mismo?
• Todas mis defensas están en su lugar, ¿pero qué hago si alguien logra cruzar?
• ¿Son accionables mis protocolos de respuesta?
El proceso de respuesta a incidentes de seguridad es una piedra angular en la estrategia
de seguridad de la empresa
9
Preparación
De
tecc
ión
Text
Erradicación
Re
cu
pe
rac
ión
Lecciones
Aprendidas
Contención
• Restablecer la operación y servicios afectados
• Ejecutar planes y procedimientos de recuperación (respaldos, configuraciones)
• Colectar bitácoras para identificar causa raíz del incidente (forense)
• Identificación de debilidades y erradicación de causa raíz
• Ejecutar acciones para limitar el alcance e impacto del incidente de seguridad
• Involucramiento con los distintos actores• Monitoreo sobre el ataque y eficacia de las
medidas de contención• Comunicación continua y efectiva sobre el
estado actual
• Mecanismos de detección (dashboards, SIEM, alertas, IOCs)
• Identificar tipo de incidente de seguridad y severidad de acuerdo a la taxonomía
• Identificar vectores de ataque• Escalamiento a responsables
• Procedimiento de atención de incidentes de seguridad • Equipo de respuesta a incidentes• Protocolos de comunicación y contingencia • Identificación de activos críticos • Construcción de matrices de escalamiento• Reglas de operación y apoyo con otras organizaciones y/o
equipos de respuesta de otras empresas• Ajustes en la configuración de la infraestructura
• Revisión completa del incidente • Documentar lecciones aprendidas,
fallas identificadas, líneas de acción para la mejora del proceso
El objetivo principal es contener y remover la amenaza tan rápido como sea posible
10
• Investigar• Determinar los vectores iniciales de ataque• Determinar el malware y herramientas utilizadas• Determinar qué sistemas fueron afectados y cómo• Determinar que realizó el atacante (evaluación de daños)• Determinar si el incidente está en curso• Establecer el periodo del incidente
• Remediar• Usando la información obtenida de la investigación,
desarrollar e implementar un plan de remediación
Qué herramientas ayudan en la prevención y atención de incidentes
11
• Prevenir• Políticas & lineamientos conocidos por toda la empresa• Controles de seguridad implementados y monitoreados• Análisis de riesgos & análisis de vulnerabilidades• Training & Awereness
• Detectar• Colección de eventos relevantes• Reportes de terceros• IOCs• Herramientas con nuevos enfoques• Escalación
Nota final
12
La pregunta no es:
“¿el atacante logrará entrar a mi red?”
sino:
¿hasta dónde lo podré contener?”
Fin del documento