David Pereira
CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH,EDRP,NFS,OPSEC,CICP,CCISOCND.
• +19AñosdeexperienciaenSeguridadInformáticayDFIR
• HackerÉtico– PentesterendiversasEntidadesenelmundo,deámbitoscomoelFinanciero,Energético,Militar,Inteligencia,Diplomático,Minero,entreotros.
• Instructor/ConsultordeFuerzasdeCiberdefensa,FuerzasMilitaresyPolicía,envariosPaíses.
• ConferencistaInternacional
IntroducciónNecesidades:
Investigaryanalizarlaactividadrealizadaenelciberespacio
Conocerlasamenazaspotenciales/activas
Prepararsepararealizarunplandeacción anteesasamenazas
Saberqué medidasdeberíantomarseanteuneventooamenaza
De estos Factores nacen:
Ciberespacio
Ciberamenaza/Ciberataque
Ciberdelincuente/Ciberterrorista
Ciberseguridad
Ciberdefensa
Ciberinteligencia
Ciberespacio
MundoenlíneadelasredesdecómputoylaInternet.http://www.merriam-webster.com/dictionary/cyberspace
Datosalmacenadosenunsupercomputadororedrepresentadocomounmodelotri-dimensionaldondeunusuariovirtualpuedemoverse.http://www.dictionary.com/browse/cyberspace
Ciberamenaza / Ciberataque
Ciberamenaza:Actividadmaliciosapotencialquepuedeocurrirenelciberespacio.
ElAtacantedebecontarcon:
Ciberataque:AsaltoqueaprovechaunavulnerabilidadenunsistemaconectadoalCiberespacio.
Oportunidad Capacidad Intención
Ejemplos de Ciberataques
CiberespionajeIndustrial
CiberespionajeGubernamental
CiberataqueaInfraestructurasCríticas
Cibermercenarios
CiberdelincuenciaFinanciera
CiberdelincuentesAislados
Ataques a plataformas SCADA
SabotajealGasoductoTransiberiano(1982)Primerciberataqueregistradoaunainfraestructuracrítica.IntrusosimplantaronuntroyanoenelsistemaSCADAquecontrolabaelflujodegasenelgasoductoTransiberiano.Elataquegeneróunaexplosiónde3kilotones.Consideradalamayorexplosiónnonuclearvistadesdeelespacio.
Ataques a plataformas SCADA
SistemadeAlertasdeEmergenciasdeChevron(1992)UnexempleadodeChevrondeshabilitóelsistemadealarmas,locualnofuedescubiertohastaquesepresentóunaemergenciaenunarefineríaenRichmond.Elsistemanopudoalertardelpeligroaloshabitantescercanosalarefinería.Por10horastodosellosestuvieronexpuestosasustanciasnocivasliberadasenelagua,productodelaemergencia.
Ataques a plataformas SCADA
StuxnetDetectado por primera vez en 2009, se especula que su propósito era sabotear el Programa Nuclear Iraní, específicamente la planta de uranio enriquecido de Natanz; causando daños físicos en la infraestructura de la planta, y generando un retraso de 4 años en el programa nuclear iraní.Afecta principalmente sistemas Siemens S7 y PCS7.
Ciberseguridad
Estrategias Políticas Estándares
SeguridaddelasOperacionesenelCiberespacio
ReduccióndeAmenaza
ReduccióndeVulnerabilidad
Disuasión
AseguramientodelaInfo.
RespuestaaIncidentes
Resiliencia
RecuperacióndeDesastres
Ciberdefensa Pasiva
SistemasadicionadosalaArquitecturadeTIparaproveer:
Sinlanecesidaddeunainteracciónhumanapermanente.
DefensaConfiable
VisibilidaddeEventos
Arquitectura de Ciberdefensa
BD
Aplicación
S.O.
Red
Físico /Ambiental
Identidad y Acceso
Seguridad en BD
Firewall de Aplicac.
Endurecimiento S.O.AntimalwareFirewall en Clientes
NAC / VLAN / ACLEncripciónAseguram. WiFiInsp.Profunda Mail/WebAseg. Acceso Remoto
NIDS/NIPS/HIDSFirewall de Redes
Análisis Avanzado de Malware
Segmentación de RedAseguramiento VoIP
Aseguramiento Físico y Ambiental.
Controles de Identidad y
Acceso
Gerencia de VulnerabilidadesSeguridad ProactivaAseguramiento de Acceso y D.A.Capacitación/Concientización
Autenticación FuertePrevención de Perdida de Datos/DLPPolíticas de Acceso / SeguridadRegla de Menor PrivilegioProxy Terminación SSL
SIEM / Correlacionamiento de EventosServicios de Seguridad AdministradosEstrategias de Disaster RecoverySeguridad Endpoints
Ciberdefensa Activa
Procesosymecanismosquepermitenalosanalistas:
ResponderalAtaque
AprenderdelAdversario
Ejemplo: Ciberdefensa ActivaOpIsrael:AtaquedelgrupoanonymousaIsrael
https://www.rt.com/news/anonymous-israel-cyber-attack-737/
Ejemplo: Ciberdefensa ActivaOpIsrael:AtaquedelgrupoanonymousaIsrael
https://www.rt.com/news/anonymous-israel-cyber-attack-737/
Ejemplo: Ciberdefensa ActivaCiberdefensadeIsrael;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/
Ejemplo: Ciberdefensa ActivaCiberdefensadeIsrael;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/
Ejemplo: Ciberdefensa ActivaCiberdefensadeIsrael;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/
Ejemplo: Ciberdefensa ActivaCiberdefensadeIsrael;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/
Ciberinteligencia
Ciberinteligenciaesunadisciplinaanalítica,lacualincluye:
UbicaciónyCapturadeDatos
AnálisisdelaactividadgeneradaenelCiberespacio
TomadeDecisionesCreacióndeEstrategias
Importancia de la CiberinteligenciaLaCiberinteligenciaesunfactorvitalparalatomadedecisiones anivelgubernamental/ejecutivo,debidoaquepermite:
IdentificarVulnerabilidadesPotencialesdelaNaciónoEntidad
enelCiberespacio.
Identificarenemigos
potencialesdelaNación olaEntidadenelCiberespacio
IdentificareInterceptarcanalesde
comunicaciónenemigos.
Rastrearydetectarplanesdeataquesdirigidos
contraelCiberespaciodelaNaciónoEntidad
CadenadeDestrucción1.Reconocimiento
2.Weaponization
3.Entrega
4.Explotación
5.Instalación
6.ComandoyControl– C2
7AcciónsobreelObjetivo
Horasa
Meses Recolectar emails,
usuarios, teléfonos,etc. (OSINT)
Prep
aración
Crear archivo con el exploit o malware para entrega
Enviar Mail, Enlace de Internet, Memoria USB o Similar
Explotar vulnerabilidad para ejecutar código en la Víctima
Instalar Malware o Backdoor en la máquina víctima
Controlar a la Victima desde algún lugar remoto por un canal cifrado.
Generar el acto hostil sobre la infraestructura de la Víctima
Segund
osMeses
Intrusión
IntrusionAc
tiva
¿Quétanpreparadoestáelpaíspararesponderantepotencialesamenazas?LoqueEstamosHaciendo:(CCOC)
● CatálogoNacionaldeIC● Protecciónyaseguramientodelas
plataformasinformáticas(IC).● Manejoderespaldotantoparala
informacióncomoparaelservicioquelaplataformapresta.
● Detección,prevenciónymonitoreodeintrusiones.
● ContinuoMejoramientodeCapacidaddeMitigación
Recomendacionesdeciberinteligenciaorientadahacialaciberseguridaddelpaís
Actualmente las entidades gubernamentales tienen sus servicios deinternet dispersos en diferentes servicios de hosting a nivel mundial. Estodificulta la mitigación de ataques, análisis de seguridad, endurecimiento yprotección de la información.
¿Enquépodemosmejorar?
ü DatacentersPropiosconadministracióncentralizada
¿Enquépodemosmejorar?
ü DatacentersPropiosconadministracióncentralizada
UnDatacenter(ogrupodedatacenters)exclusivosparaserviciosgubernamentales,administradoyaseguradoporpersonaldeciberseguridadnacional,permitiríacontrolareficientementepotencialesamenazas,asícomocentralizarauditoríasdeseguridad,análisisdeataques,seguimientodeamenazas,unaúnicareddeprotección,entreotros.
¿Enquépodemosmejorar?
INTELIGENCIADEAMENAZADebemosentendercualessonnuestrasamenazas,comoactúanennuestracontraycómoevolucionan.
-RecordaraSunTzu.
¿Quétanpreparadoestáelpaíspararesponderantepotencialesamenazas?
¿YaNivelInterno?
¿Paraquéserreactivossipodemosserproactivos?
PlantillasdeEndurecimiento(“Hardenización”)queseanaplicablesalainfraestructuraInternadelosEntesgubernamentales;
● SistemasOperativosdeServidoryEstaciones
● RedesInternasyPerimetrales● DispositivosMóviles● Aplicaciones● BasesdeDatos● AuditoriadeCódigoFuente
¿En qué podemos mejorar?
● Unrankingdepotencialesfuentesdeamenazapermiteidentificarunataqueconunaltoniveldeprobabilidad.
● Apartirdeunconsolidadodelhistóricodeataquesrecibidosalasentidadesgubernamentalessepuedeinferirquienessonnuestrosmayoresenemigoscibernéticos.
Basededatosdereputaciónpropia
¿En qué podemos mejorar?
Carecemosdelainfraestructuranecesariaparadetectarunataqueymonitorizarlo.Enesesentido,seríadebastanteutilidadcontarcontodounsistemadehoneypotsespecialmenteorientadosparalosserviciosinformáticosdelgobierno.Conellossepodríaidentificarunpotencialataqueenelmomentomismoenelquesucede,ubicarsuorigen,hacertrazadesusactividadyobtenerinformacióndeél.Es,deporsí,unmecanismodeseguridaddedeteccióndeataquesmuyeficienteque,nuevamente,seencuentraausenteenlagranmayoríadenuestrosserviciosinformáticos.
Reddehoneypotsy“sifones”paradeteccióndeataques
¿En qué podemos mejorar?
Situviéramosunaherramientainstaladaencadacomputadordecadamiembrodelafuerzapúblicaafindeutilizarsuanchodebandaencasodenecesitarrepelerunataque,tendríamosunareddedefensademagnitudesgigantescas.
Usaríamoslatécnicadelenemigoensucontra.
RedNacionaldeDefensaDDoS
¿En qué podemos mejorar?
VincularalosISPytenercanalesfluidosdecomunicaciónafindeconteneroeliminarataquesmediantetécnicascomoBlackHoleFilteringreverso.
RedNacionaldeDefensaDDoS
¿En qué podemos mejorar?
ImplementarmecanismosdecapturadeinformacióndelosusuariosquenaveganlossitiosdeICdelpaís;
Enelmomentodedetectarunataque,cruzarinformaciónyhacerhackback;
Rastreodepuertos,deteccióndevulnerabilidades,DDoS,FiltrodeISP,etc.deformaautomatizada.
Trackingalatacante
¿En qué podemos mejorar?
ü ClavesSeguras:
• Nousardatospersonalesofácilmenteadivinables
• Nousarpalabrasindividualesqueseencuentrenenundiccionario
• LongitudMínimade8Caracteres
Ejemplo:C0lombiaP@triaM&a
¿En qué podemos mejorar?
ü NavegaciónSegura:
• Nonavegarsitiosdesdeenlacesdecorreo
• Herramientas:• Netcraft(http://toolbar.netcraft.com/)
• NoScript(https://addons.mozilla.org/es/firefox/addon/noscript/)
• AdBlockPlus(https://adblockplus.org/es/)• Ghosthery(https://www.ghostery.com/try-us/download-
browser-extension/)
• DoNotTrackMe(https://dnt.abine.com/#register)
¿En qué podemos mejorar?
ü NoDivulgarse:
• Cuidarlosdatospersonalesquecolocanenlínea
• Cuidarlasfotosquesepublican• Cuidarlainformacióndetufamiliaenlínea
• CuidarloqueseTrina• NoGeolocalizarse
¿En qué podemos mejorar?
ü EncriptarDispositivos:
• Bitlocker(Microsoft)• Filevault(Mac)• Veracrypt(PC– Mac)• Android• iOS
¿En qué podemos mejorar?
ü UsarelSentidoComún:
• Sialgo pareceraroofueradelugar:Desconfía
• DebesestarsiempreAlerta!LosCiberdelincuentessiempreestánbuscandonuevasvíctimas!!
¿En qué podemos mejorar?