prevención y detección de amenazas avanzadas

Prevención y detección de amenazas avanzadas

David Hernández

Agenda

•  Algodehistoria•  APTs•  Todo1enequeverconriesgo•  KillChain•  DBIR•  Conclusiones

Agenda

•  Algodehistoria•  APTs•  Todo1enequeverconriesgo•  KillChain•  DBIR•  Conclusiones

ErickRe)a

Mar,nHoz

DavidHernández

EugeneSpafford DISC

UNAM1997

“MorrisWorm”1988

-  Infecciónamásde6,000computadoras-  Altacan1daddetráficomientrassepropagaba.Secopiabaaélmismo.

-  Explotóalgunasvulnerabilidades:-  BufferOverflowenfingerd(UNIX)-  Mododebugdesendmail paraejecutarcomandos-  Diccionariode432palabrasusadasfrecuentementecomocontraseñas

-  Accesoasistemasmedianteelserviciorsh

¿Cuántogastanlasorganizaciones?

$75billonesusden2015$170billonesusdpara2020La1noamérica$11.91billonesusdpara2019(7%)

¿Gastamostantoyseguimossiendocomprome1dos?

hkp://www.forbes.com/sites/stevemorgan/2016/03/09/worldwide-cybersecurity-spending-increasing-to-170-billion-by-2020/#37dd4a676f80

Agenda

•  Algodehistoria•  APTs•  Todo1enequeverconriesgo•  KillChain•  DBIR•  Conclusiones

APT

SiempreencontrarálamaneradeentrarSolo1enequeencontrarunavulnerabilidadInvisibleAutoma1zadoIntervencionesmanuales

“Laprevenciónesideal,ladetecciónesobligatoria”

“nuestraredserácomprome1da”

Agenda

•  Algodehistoria•  APTs•  Todo1enequeverconriesgo•  KillChain•  DBIR•  Conclusiones

Riesgo=AmenazasxVulnerabilidadesxImpacto

Todo1enequeverconRIESGO

1.  ¿Cuálessonlosriesgos?

2.  ¿Cuáleselriesgodemayorprioridad?

3.  ¿Hayunamejormaneracosto/beneficioparareducirelriesgo?

¿Yqueestamoshaciendo?

1.  Polí1casdeSeguridad2.  PresupuestosdeSeguridad3.  Unequipodeseguridad4.  Firewalls5.  Sistemasdefiltradodecontenido6.  Sistemasdeprevencióndeintrusiones7.  Seguridadenelendpoint8.  Proteccióncontramalware

Agenda

•  Algodehistoria•  APTs•  Todo1enequeverconriesgo•  KillChain•  DBIR•  Conclusiones

2011LockheedMar3n-KillChain

1.Recono-cimiento

2.Armado

3.Entrega

4.Explotación

5.Instalación

6.ComandoyControl

7.Acciones

2015CybersecurityKillChain

1.EstablecerPuntodeApoyo

2.ComandoyControl

3.Escalación

dePrivilegios

4.Movimiento

Lateral

5.Completarlamisión

Agenda

•  Algodehistoria•  APTs•  Todo1enequeverconriesgo•  KillChain•  DBIR•  Conclusiones

Verizon’s2016DataBreachInves3ga3onsReport

Nohayindustria,regiónuorganización

queseaapruebadebalascuandosetratadecomprometerlosdatos

hkp://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/

Actoresdelaamenaza

Tiempoparaelcompromisoylaexfiltracióndedatos

Tiempoparacomprometerydescubrir(%deocasionesquesonDías)

Brechasdedatosconfirmadas(clasificadaspor1podeincidentes)

Concluyendo…

Hay4cosasimportantesalimplementarunprogramaparaprevenirydetectar

amenazasavanzadas

1.  Balance:Prevención,DetecciónyRespuesta2.  Olvidarelmodeloque“conuaperoverifica”3.  Seguirlasmejoresprác1cas4.  Acércatealosexpertos

Balance:Prevención,DetecciónyRespuesta

Defensa

Mitigación

Decepción

Detección

Análisis

Prevención

DEFENDER MÁS ALLÁ DEL PERÍMETRO ¿Alguien logró entrar?

¿Qué se llevaron? ¿Cómo sucedió?

¿Cómo lo detenemos?

No dejar que suceda (Lo tradicional)

1

Olvidarelmodelo“conuaperoverifica”ZeroTrustModel

1.  Asumequeyanoexistenaplicaciones,redesniusuariosconfiablesdentrodelaorganización

2.  Sedebeinspeccionartodoeltráficoquepasaporlaredbuscandodetectaramenazasconocidasydesconocidas.

3.  Recomiendabalancearlosesfuerzosdelaorganización,entrelaprevención,detecciónyrespuestaaincidentesdeseguridad.

2

Recomendadou1lizarmodelodeKill-Chainparaseleccionarcontroles

1.  “Next-Genera3onFirewalls”.Implementarpolí1casbasadasenaplicacionesycorrelacionarloseventosde“Firewall/IPS/Threat-Preven3on”

2.  “Sandbox”.Proteccióncontraamenazasnoconocidas

3.  Micro-segmentaciónderedes4.  Serviciosde“an3-phishing”enlanube.Analizar

lasURLscontenidasenelcorreoenbuscadedominiosmaliciosos

2

Recomendadou1lizarmodelodeKill-Chainparaseleccionarcontroles

5.  Priorizacióndevulnerabilidades6.  Descubrir,analizarycontrolarelusode

“SoRwareasaService”7.  Implementarunplanderecuperaciónde

desastres,proteccióncontraataquesdedenegacióndeservicioyserviciosconocidoscomo“CleanPipes”

8.  Deteccióndemalwarenobasadoenfirmaspara“Endpoints”

2

Permanecer ExplotarObteniendoAcceso1.Inventariode

Hardware2.Inventariode

Sowware

4.Eval.Con1nuaVulnerabilidades19.IngenieríadeSeguridaddeRed

20.PruebasdePenetración

3.ConfiguraciónSeguraCómputo10.ConfiguraciónSeguradeDisp.Red

6.SeguridadSowwareApps.

7.ControlDisposi1vosWiFi

5.DefensacontraMalware

11.LimitarPuertos/Protocolos/Servicios

14.AuditoríaLogs

13.DefensaPerimetral

12.AdministracióndePrivilegios15.Controlde

Acceso

20.PruebasdePenetración

9.HabilidadesdeSeguridadyCap.

8.RecuperacióndeDatos

17.DataLossPreven1on

18.RespuestaaIncidentes

16.Monitoreo

Reconocimiento

A c c i o n e s d e l A d v e r s a r i o p a r a A t a c a r u n a R e d

MiJgarImpactodelosAtaques

DetenerelRestodelosAtaques

DetenerAtaquesdeManeraTemprana

Seguir las mejores prácticas 20 Controles de Seguridad

3

Acércatealosexpertos

Contribuimosenunidadconnuestrosclientesparaproveeroportunidadesdedesarrolloanuestrasociedadayudandoaquelosnegociosopereneficientemente.

4

Acércatealosexpertos4

¡Gracias!