Post on 07-Jul-2015
transcript
Evolución de las estrategias y tecnologías de seguridad contra
amenazas avanzadas e ingeniería socialGabriel Marcos – Product Manager
EL CASO GLOBAL PAYMENTS
http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
MARZO, 2012: un ataque compromete información de
1.5 MM de tarjetas de crédito. http://www.informationweek.com/security/attacks/global-payments-breach-big-authenticatio/232800194
Momento del ataque
EL CASO GLOBAL PAYMENTS
http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
Evolución del valor de la acción NYSE:GPN
Visa Inc. (NYSE:V - News) has dropped Global Payments Inc.(NYSE:GPN - News) from its list of service providers after detecting a cyber intrusion in the latter’s system that likely threatens about 1.5 million customer accounts. This was the second breach of card data by in a year.
By Zacks Equity Research | ZacksMon, Apr 2, 2012 5:07 PM EDT
AMENAZAS AVANZADAS: ADVANCED PERSISTENT THREATS (APT)
Investigación
Distribución
Control
Propagación
Infección
Objetivo
Búsqueda
1
2
3
4
5
6
7
ADVANCED PERSISTENT THREATS (APT)
Compromiso (ataque exitoso)
Extracción de datos
Descubrimiento
Contención o restauración
Rapidez para
producir resultados
Difícil de detectar y reparar
MINUTOS
SEMANAS
MESES
AMENAZAS AVANZADAS: REDES BOTNET
http://www.csoonline.com/article/348317/what-a-botnet-looks-like
Redes compuestas, cada una, de miles de computadores controlados desde un punto central disponibles para:
• ejecutar ataques de denegación de servicio (DDOS)
• distribución de amenazas
• robo de información• otros
REDES BOTNET
http://blog.webroot.com/2012/06/06/ddos-for-hire-services-offering-to-take-down-your-competitors-web-sites-going-mainstream/
http://www.infosecurity-magazine.com/view/24335/thor-a-new-p2p-botnet-for-sale
Algunos de los negocios de las redes BOTNET:
• alquiler de bots• ataques de marca
blanca• competencia desleal
(ataques dirigidos)• distribución de
contenido ilegal• venta de redes
botnet
INGENIERIA SOCIAL
THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY: A SURVEY OF IT PROFESSIONALSDimensional Research | September 2011
Distinta técnica, los mismos objetivos…
INGENIERIA SOCIAL
THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY: A SURVEY OF IT PROFESSIONALSDimensional Research | September 2011
Nadie es inmune a un ataque de Ingeniería Social.
• NEGOCIO: objetivo económico, retorno de inversión.
• VOLUMEN: economía de escala.
• SIGILOSIDAD: mayor duración del negocio del hacker.
• GLOBALIZACIÓN: distribución del riesgo.
• COMPLEJIDAD: múltiples técnicas y amenazas.
• ZONAS DE RIESGO: seguridad “a medida”.
• CONTROLES: específicos por ataque/técnica/amenaza.
• INGENIERÍA SOCIAL: integrar el factor humano.
• PROACTIVIDAD: predicción y prevención.
• SEGUIMIENTO: ciclo de vida de los posibles ataques.
Public Servers (WEB / MAIL)
INTERNET Private Network
Remote Branches
(VPN)
Remote Users
Local Users
Remote Branches
(WAN)
Third-parties(Clients / Vendors)
Critical Servers (CRM / ERP)
ZONAS DE RIESGO
• No matar un mosquito con un cohete
• No llevar un cuchillo a un tiroteo
ZONAS DE RIESGO
CONTROLES
Defensa en profundidad y zonas de riesgo: más
controles mientras más crítico es el activo
Public Servers (WEB / MAIL)
INTERNET Private Network
Remote Branches
(VPN)
Remote Users
Local Users
Remote Branches
(WAN)
Third-parties(Clients / Vendors)
Critical Servers (CRM / ERP)
ZONAS DE RIESGO Y CONTROLES
• Web ApplicationFirewall ( WAF)
• Email Security• Database Security
• Firewall• IPS• Antivirus• Antispam• Content filter• Site to site VPN• Client to site
VPN• SSL VPN
• Firewall• IPS
• Firewall• IPS• Site to site VPN
• Endpoint Security• Autenticación
fuerte
EJEMPLO:ADVANCED PERSISTENT THREATS (APT)
• Web ApplicationFirewall ( WAF)
• Email Security• Database Security
• Firewall• IPS• Antivirus• Antispam• Content filter• Site to site VPN• Client to site
VPN• SSL VPN
• Firewall• IPS
• Firewall• IPS• Site to site VPN
• Endpoint Security• Autenticación
fuerte
INFORMACION PARA DETECCIÓN DE AMENAZAS
SIEM
SIEM = Security & Information Event Management
• Menos falsos positivos
• Alarmas significativas (calificadas)
• Análisis de riesgo en tiempo real
• Seguimiento de amenazas
• Múltiples técnicas de detección:
– Tráfico
– Patrones
– Reglas de negocio
• Reportes en tiempo real
• Data-warehouse de eventos
INTRODUCCION A SIEM
CARACTERISTICAS DE SIEM
• Análisis en tiempo real• Integración de
tecnologías existentes (mayor ROI)
• Un solo punto de reportes, logging y compliance
• Una sola fuente de información consistente
• Detección de amenazas avanzadas
• Costo de entrada elevados:• Licencias• Servidores• SAN
• Tiempo y dificultad de implementación
• Alto costo de mejora• Recursos 7x24• Entrenamiento para
customización• Acceso ante un ataque
(in-house)
USO DE SIEM EN BANCOS
http://m.informationweek.in/Security/12-06-12/BOI_uses_SIEM_to_reduce_false_positives_and_boost_security.aspx
CARACTERISTICAS DE SIEM
• Análisis en tiempo real• Integración de
tecnologías existentes (mayor ROI)
• Un solo punto de reportes, logging y compliance
• Una sola fuente de información consistente
CONSUMO DE SERVICIOS DESDE LA NUBE (modalidad SaaS)
POSIBILIDADES DEL SIEM
Seguimiento de alarmas calificadas entre todos los dispositivos
POSIBILIDADES DEL SIEM
Seguimiento de cambios entre todos los dispositivos
• Detección de ataques desconocidos (zero-day)
– Patrones de tráfico
– Operaciones repetitivas (fuerza bruta)
• Detección de anomalías en procesos
– Comportamiento humano!
• Detección de ataques a nivel de aplicación
– Monitoreo de transacciones
– Operaciones con bases de datos
• Reportes de compliance en tiempo real
POSIBILIDADES DEL SIEM
CONCLUSIONES
Albert Einstein:No podemos resolver problemas pensando de la misma manera que cuando los creamos.
CONCLUSIONES
Muchas gracias!
Gabriel Marcos
Product Manager – Columbus Networks
gmarcos@columbus-business.com
@jarvel
Quién tiene la primera pregunta?