¿estamos preparados? - isaca.org · sistemas de comunicaciones ... mercancías peligrosas, ......

Ing. Enrique Larrieu-Let, CISM

ISACA – Buenos Aires Chapter

Ciberataques ¿Estamos preparados?

Agenda

• Definiciones

• Referencias

• Comprendiendo la ciberseguridad

• APTs

• El rol del malware en las APTs

• Por qué falla la seguridad tradicional

• Amenazas a las Infraestructuras Críticas

• Amenazas a la Seguridad de la Información

• Amenazas a los datos personales sensibles

• Seguridad de próxima generación

• Mejores prácticas

Ciberseguridad – ISACA – Buenos Aires Chapter

¿A quien está dirigida la pregunta?


Comprendiendo la Ciberseguridad

Evolución • Seguridad de la información: gasto y estorbo

• Objetivo: evitar fraudes y proteger activos de información

• Atacantes individuales, oportunistas

• Ataques por la vía del menor esfuerzo

HOY • Ataques pacientes y persistentes

• Equipo de atacantes profesionales altamente motivados, a menudo bien

financiados por organizaciones criminales o Estados-nación

• Objetivos: Defensa de una organización/Estado

• Seguridad: ???


Ciberseguridad


Fuente: https://www.itu.int/rec/T-REC-X.1205-200804-I/es

• El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas

de seguridad, directrices, métodos de gestión de riesgos, acciones, formación,

prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger

los activos de la organización y los usuarios en el ciberentorno.

Activos de la organización:

dispositivos informáticos

conectados

Usuarios

servicios/aplicaciones

sistemas de comunicaciones

comunicaciones multimedios

información transmitida y/o

almacenada en el ciberentorno.

Las propiedades de seguridad

incluyen una o más de las

siguientes:

disponibilidad

integridad, que puede incluir la

autenticidad y el no repudio;

confidencialidad

APTs Amenazas Persistentes Avanzadas

• El atacante posee niveles sofisticados de conocimientos y

recursos importantes

• Uso de múltiples vectores de ataque (cibernéticos, físicos y

engaños).

• Establecen puntos de apoyo dentro de la infraestructura de TI

de las organizaciones.

• Persigue sus objetivos en general durante un período

prolongado de tiempo

• Se adapta a los esfuerzos de los defensores para resistirlo

• Está decidido a mantener el nivel de la interacción necesaria

para ejecutar su objetivo


Cybersecurity Nexus: Advanced Persistent Threat Awareness – www.isaca.org/cyber

http://www.isaca.org/cyber

Infraestructuras Críticas • “Aquellas instalaciones, redes, servicios y equipos físicos y

de tecnología de la información cuya interrupción o

destrucción tendría un impacto mayor en la salud, la

seguridad o el bienestar económico de los ciudadanos o en

el eficaz funcionamiento de las instituciones del Estado y de

las Administraciones Públicas.”

Directiva europea: 2008/114/CE del 8 de diciembre de 2008.


Infraestructuras Críticas • “Sistemas y activos, ya sea físicos o virtuales, tan vital para

los Estados Unidos que su incapacidad o destrucción

provocaría un impacto sobre la seguridad, la economía

nacional, la salud pública o la seguridad nacional, o

cualquier combinación de las anteriores.”

USA Patriot Act de 2001.


Pregunta

¿Cuáles son consideradas Infraestructuras Críticas?

• Puertos

• Hospitales

• Centros comerciales

• Instituciones deportivas

• Embalses

• Plantas de energía


Infraestructuras Críticas • Administración: servicios básicos, instalaciones, redes de información, y

principales activos y monumentos del patrimonio nacional

• Instalaciones del Espacio

• Industria Química y Nuclear: producción, almacenamiento y transporte de

mercancías peligrosas, materiales químicos, biológicos, radiológicos, etc.

• Agua: embalses, almacenamiento, tratamiento y redes

• Centrales y Redes de energía: producción y distribución

• Tecnologías de la Información y las Comunicaciones (TIC)

• Salud: sector e infraestructura sanitaria

• Transportes: aeropuertos, puertos, instalaciones intermodales, ferrocarriles

y redes de transporte público, sistemas de control del tráfico, etc.

• Alimentación: producción, almacenamiento y distribución

• Sistema Financiero y Tributario: entidades bancarias, información, valores e

inversiones

• Instalaciones de investigación


Infraestructuras Críticas • La mayoría de estos sectores son controlados por sistemas industriales

de control y supervisión (Industrial Control Systemas - ICS), es decir,

conjunto de dispositivos que permite supervisar y gestionar el

funcionamiento de instalaciones industriales. Un ejemplo clásico de

estos sistemas son los SCADA. Estos sistemas revisten complejidad y

se componen de:

• Sensores, Medidores, Actuadores

• Dispositivos Electrónicos Inteligentes (EID)

• Unidades Terminales Remotas (RTUs)

• Controladores Lógicos Programables (PLCs)

• Interfaces Humano – Máquina (HMIs)

• Comunicaciones (interfaces, líneas, protocolos)


Sistemas de Control Industriales

• Algunas de las características que hacen a los ICS

vulnerables son que en general:

• No requieren autenticación

• No requieren ni ofrecen autorización

• No utilizan cifrado

• No manejan adecuadamente errores o excepciones

• No suelen guardarse logs


Pregunta

¿Qué ciberataques pueden afectar a las I.C.?

• Suplantación de identidad (credenciales digitales)

• Hurto de equipamiento

• Denegación de servicio

• Incendio de centro de datos

• Acceso no autorizado a información digitalizada


Ciberataque • Se define un ciberataque como toda acción intencionada

que se inicia en un equipo informático, con el objetivo de

comprometer la confidencialidad, disponibilidad o

integridad del equipo, red o sitio web atacado y de la

información contenida o transmitida a través de ellos.

• Por ejemplo:

– ataques de DDoS (denegación de servicio)

– infecciones por malware

– Phishing

– robo de credenciales

– robo de información digitalizada

– incidentes de seguridad que usan medios digitales para

lograr un fin ilícito.


Posibles ciberataques a las

infraestructuras críticas • Interceptación de Datos

– acceso no autorizado a datos que maneja el sistema, de

forma de conocer información reservada o confidencial

• Manipulación de Datos

– modificación no autorizada de datos que maneja el

sistema.

• Denegación de Servicio

– interrupción del sistema causado por la explotación de

una vulnerabilidad del mismo.


Posibles ciberataques a las

infraestructuras críticas • Address Spoofing

– robo de identidad a nivel de equipamiento.

• Session Hijacking

– robo de identidad a nivel de usuario

• Manipulación de paquetes/protocolos

– cambio de paquetes de comunicación entre equipos

• Modificación de datos de registro (logs)

– alteración del registro de eventos con el objeto de

ocultar actividades no autorizadas o mailciosas.


Ataques a las I.C. Stuxnet (2010)


• Es el primer gusano conocido que espía y reprograma sistemas

industriales, en concreto sistemas SCADA de control y monitorización

de procesos, pudiendo afectar a infraestructuras críticas como

centrales nucleares.

• Stuxnet es capaz de reprogramar controladores lógicos

programables y ocultar los cambios realizados.

• También es el primer gusano conocido que incluye un rootkit para

sistemas reprogramables PLC.

• El objetivo del gusano, fueron infraestructuras de alto valor

pertenecientes a Irán. Algunos medios de prensa apuntan que el

ataque pudo haber retrasado la puesta en marcha de la planta nuclear

de Bushehr.

• Algunos medios como el norteamericano New York Times han atribuido

su autoría a los servicios secretos estadounidenses e israelíes.

https://es.wikipedia.org/wiki/New_York_Times





Ataques a las I.C. Stuxnet


Ataques a las I.C.

Historia • junio de 1982 - troyano para sabotear las tuberías de gas natural de la

antigua URSS,

• Fines de los 90 - ataques a sistemas SCADA (sistemas aislados hasta

entonces)

• Año 2000 - planta de aguas residuales australiana es atacada de

manera inalámbrica

• enero de 2008 - ciberataque causa corte de energía en varias ciudades

de USA

• junio de 2010 - virus Stuxnet

• septiembre de 2011 – Duqu - malware con una variedad de componentes

de software que en conjunto proporcionan servicios a los atacantes


Ataques a las I.C.


http://www.malavida.com/analisis/los-ciberataques-apt-mas-letales-de-la-historia-004946

Referencias • [UIT-T X.800] Recomendación UIT-T X.800 (1991), Arquitectura de

seguridad de la interconexión de sistemas abiertos para aplicaciones del

• CCITT. [UIT-T X.805] Recomendación UIT-T X.805 (2003), Arquitectura

de seguridad para sistemas de comunicaciones de extremo a extremo.

• [UIT-T X.811] Recomendación UIT-T X.811 (1995), | ISO/IEC 10181-

2:1996, Information technology – Open Systems Interconnection –

Marcos de seguridad para sistemas abiertos: Marco de autentificación.

• [UIT-T X.812] Recomendación UIT-T X.812 (1995), | ISO/IEC 10181-

3:1996, Information technology – Open Systems Interconnection –

Marcos de seguridad para sistemas abiertos: Marco de control de acceso.


Legislación USA


• Directivas de Seguridad Nacional HSPD – 7: Critical Infraestructure

Identification, Prioritization and Protection (2003) Establece la política

nacional para identificar y dar prioridad a infraestructuras esenciales y

protegerlos de los ataques terroristas.

http://www.dhs.gov/xabout/laws/gc_1214597989952.shtm#1

• National Strategy for Physical Protection of Critical Infrastructure and

Key Assets Identifica los objetivos nacionales y expone los principios

básicos que sustentan las infraestructuras y los recursos vitales para la

seguridad nacional.

http://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf

• Critical Infrastructure Information Act (2002) Tiene por objeto facilitar un

mayor intercambio de información sobre las infraestructuras críticas

entre los propietarios u operadores y entidades gubernamentales con

responsabilidades en la protección de dichas infraestructuras.

http://www.dhs.gov/xlibrary/assets/CII_Act.pdf






























Legislación Europa


• Libro Verde sobre un Programa Europeo para la Protección de

Infraestructuras Críticas de 17 de noviembre de 2005 http://www1.dicoruna.es/ipe/ayudas/carpetasDG/JusticiaeInterior/PEPIC/Libro%20Verde%20PEPIC.pdf

• Comunicación de la Comisión al Consejo y al Parlamento Europeo -

Protección de las infraestructuras críticas en la lucha contra el terrorismo

(2004) Propuesta de medidas para reforzar la prevención, la preparación

y la respuesta de la UE ante ataques terroristas contra infraestructuras

críticas. http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_terrorism/l33259_es.htm

• España: Ley 8/2011: Establecen medidas para la protección de las

infraestructuras críticas. • https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/Ley82011de28deabril-PIC.pdf

http://www1.dicoruna.es/ipe/ayudas/carpetasDG/JusticiaeInterior/PEPIC/Libro Verde PEPIC.pdf

http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_terrorism/l33259_es.htm

https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/Ley82011de28deabril-PIC.pdf





Legislación Argentina


• Resolución JGM Nº 580/2011

Creación del Programa Nacional de Infraestructuras Críticas de Información y

Ciberseguridad.

http://www.infoleg.gov.ar/infolegInternet/anexos/185000-189999/185055/norma.htm

• Disposición ONTI Nº 3/2011

Aprueba el "Formulario de adhesión al Programa Nacional de Infraestructuras Críticas de

Información y Ciberseguridad”, mediante el cual las entidades y jurisdicciones definidas en el

artículo 8º de la Ley Nº 24.156 y sus modificatorias, los organismos interjurisdiccionales, y

las organizaciones civiles y del sector privado podrán adherir al “Programa Nacional de

Infraestructuras Críticas de Información y Ciberseguridad”.


• Ley 26.388 – Delitos Informáticos – 24/6/2008

Incorpora al código penal aspectos tecnológicos vinculados a delitos actuales. Modifica

varios artículos del código penal para contemplar delitos que utilicen como medios la

tecnología de la información y las comunicaciones.

http://www.infoleg.gob.ar/infolegInternet/anexos/140000-144999/141790/norma.htm







Pregunta

¿Cuáles son pasos del proceso de Gestión de Riesgos?

• Identificación de vulnerabilidades

• Gestión de incidentes

• Análisis de impacto

• Identificación de activos

• Gestión de continuidad del negocio

• Evaluación de efectividad de controles de acceso lógico


Gestión de Riesgos

• Identificación de activos de información

– inventario de los activos que gestionan información: sistemas,

bases de datos, equipamiento, infraestructura, personas, etc.

• Identificación de amenazas

– determinar las ciberamenazas existentes que atentan contra la

seguridad de los activos identificados anteriormente.

• Identificación de vulnerabilidades

– detectar las debilidades que presentan los activos identificados,

que puedan ser explotadas por las amenazas existentes.


Gestión de Riesgos

• Determinación de la probabilidad de ocurrencia

– calcular la frecuencia de materialización de las ciberamenazas

• Análisis de impacto

– determinar el impacto que ocasionaría la materialización de una

ciberamenaza sobre un activo.

• Cálculo de riesgos

– función de la probabilidad de ocurrencia y el impacto

• Tratamiento de los riesgos

– seleccionar una estrategia para tratar cada uno de los riesgos


Ciclo de vida de APT


Fuente: paloalto networks



INFECCIÓN

• Aspecto social – Phishing (click en enlaces)

– Redes sociales (redirección a páginas)

• Exploits – Aprovechan vulnerabilidades de los sistemas destino (algunas

Zero day)

– Provocan desbordamiento de búfer, permite acceso a shell.

• Malware – Explorar destino y abrir conexión

– Entregar malware (drive-by-download)

– Enviar malware específico adaptable y camuflable

– Uso de canales cifrados SSL



PERSISTENCIA

• Resiliencia – rootkits y bootkits

– Backdoors

– Infección del MBR

– Instalación de anti-AV



Comunicación

• Cifrado – con SSL, SSH, aplicación personalizada

– cifrado propietario. (BitTorrent)

• Elusión (Circumvention) – a través de proxies

– herramientas de acceso de escritorio remoto

– usando aplicaciones mediante un túnel dentro de otras

aplicaciones o protocolos (permitidos)

• Evasión de Puerto – network anonymizers

– port hopping

– tunnel over open ports

• Fast Flux (o DNS dinámico)



Comando y Control

• Controlar, Gestionar, Actualizar – asegurarse de que el ataque es controlable, manejable y

actualizable.

• Medios – correo web

– Redes sociales

– Rdes P2P

– blogs y foros de mensajes

Falencias de la Seguridad Actual

• Limitaciones de los controles de seguridad heredados

• La naturaleza oculta de malware avanzado

• Detección basada en firmas

• Malware dirigido

• Necesidad de una solución de seguridad integrada


Limitaciones de los controles de

seguridad heredados

Expansión de la superficie de ataque

• Históricamente

– exploits dirigidos a servidores

– malware entregado a través de e-mail

– amenazas independientes

• Hoy

– amenazas dirigidas también a los usuarios finales

– usan una serie de aplicaciones conjuntas: aplicaciones de transferencia de archivos

La mensajería instantánea

Webmail

plataformas de medios sociales

Microblogging

Flujo de trabajo y aplicaciones de colaboración


Naturaleza oculta del malware

avanzado

Falta de visibilidad

• Puertos no estándar y saltos de puerto

• Cifrado SSL

• Túneles VPN

• Proxies

• Anonimizadores

• Circumvectors

• Codificación


Detección basada en firmas

Evasión de Firma

• Enfoque tradicional – detectar y bloquear el malware basado en recolección de muestras

de malware y luego escribir una firma para esa muestra

– Estrategia de naturaleza reactiva

– Malware y polimorfismo apuntado


Malware dirigido

Adaptando el malware

• Enfoque tradicional – objetivo principal: replicar y difundir el malware lo más ampliamente

posible (nro. de máquinas infectadas en un período de tiempo).

– La cantidad de muestras facilitaba su recolección.

• Enfoque actual – malware avanzado altamente interconectado

– permite controlar de forma remota el usuario de destino

– ya no se necesitan millones de usuarios infectados

– dependiendo del objetivo del ataque, incluso un solo huésped

infectado puede ser suficiente

– muy poco probable que una sola muestra de malware sea capturado

– diseñado para evitar infectar a las redes no objetivo

– polimorfismo


Historias clínicas, el nuevo objetivo

de los piratas informáticos


• Agosto 2014 - Community Health Systems Inc uno de

los mayores grupos de hospitales de Estados Unidos,

fue víctima de un ciberataque que logró el robo de los

números de Seguro Social y otros datos personales

de 4,5 millones de pacientes.

• Fifth Annual Benchmark Study on Privacy & Security of Healthcare Data

- Ponemon Institute© Research Report

– la mayoría de las organizaciones de salud consultadas en este estudio

han experimentado múltiples incidentes de seguridad

– casi todos se han enfrentado a una violación de datos

– Las organizaciones carecen de los fondos y recursos para proteger los

datos de los pacientes

Su información médica valdría 10 veces más que su tarjeta de crédito

APTs en la salud


• Se reconocen dos hechos críticos de la industria de la salud:

– 1) las organizaciones de salud gestionan un tesoro de información

personal financieramente lucrativo

– 2) las organizaciones de salud no cuentan con los recursos,

procesos y tecnologías para prevenir y detectar ataques y brindar

adecuada protección a los datos del paciente.

• Aumento lento pero constante en las tecnologías mayor que el ritmo de

las inversiones.

• Causantes de los incidentes de seguridad y violaciones de datos:

– A) la negligencia de los empleados

» Se requiere capacitación y programas de sensibilización

– B) ciberdelincuentes.

Ley Nacional 26529 – Derechos del

Paciente.

Art.13 Historia Clínica Digital

¿qué dice la Ley 26529 art. 13 (promulgada

11/2009)?

• La HCD es el documento obligatorio, cronológico, foliado y completo que registra el conjunto

de datos clínicos, socio económicos, ambientales y administrativos referidos a la salud de

una persona, digitalizados y codificados a través de medios informáticos en el cual conste

toda actuación realizada al paciente por profesionales y auxiliares de la salud que asista a

un consultorio, servicio de urgencia u hospitalización.

• puede confeccionarse en soporte magnético siempre que se arbitren todos los medios que

aseguren la preservación de las características consideradas como “datos sensibles” (LEY

N° Datos personales).

• La reglamentación establece la documentación respaldatoria que deberá conservarse y

designa a los responsables que tendrán a su cargo la guarda de la misma.


Otras Leyes relacionadas • Ley 25.326 – Protección de datos personales (art.8): Los

establecimientos sanitarios públicos o privados y los profesionales

vinculados a las ciencias de la salud pueden recolectar y tratar los datos

personales relativos a la salud física o mental de los pacientes que

acudan a los mismos o que estén o hubieren estado bajo tratamiento de

aquéllos, respetando los principios del secreto profesional.

• Ley 25.326 – Protección de datos personales: derecho de información

(art.13), derecho de acceso (art.14), derecho de rectificación,

actualización o supresión (art.16).

• Ley 25.326 – Protección de datos personales – principios: licitud,

calidad de los datos, consentimiento, información, seguridad,

confidencialidad.

• Ley 25.326 – Protección de datos personales – datos sensibles: Datos

personales que revelan origen racial y étnico, opiniones políticas

convicciones religiosas, filosóficas o morales, afiliación sindical e

información referente a la salud o a la vida sexual


Otras Leyes relacionadas • Ley 25.506 – Firma Digital (art.3): Cuando la ley requiera una firma

manuscrita, esa exigencia también queda satisfecha por una firma

digital. Este principio es aplicable a los casos en que la ley establece

la obligación de firmar o prescribe consecuencias para su ausencia.

• Ley 25.506 – Firma Digital (art.5): Se entiende por firma electrónica

al conjunto de datos electrónicos integrados, ligados o asociados de

manera lógica a otros datos electrónicos, utilizado por el signatario

como su medio de identificación, que carezca de alguno de los

requisitos legales para ser considerada firma digital. En caso de ser

desconocida la firma electrónica corresponde a quien la invoca

acreditar su validez


SALUD

http://70aniversario.clarin.com/clarin/salud

La tecnología dará a la medicina herramientas únicas. Desde el chip

que almacenará datos sobre el ADN, hasta el que permitirá obtener

energía del propio cuerpo para recargar el celular.

La era del biochip, los diagnósticos precisos y las cirugías para

corregir genes

Con biopsias líquidas se harán estudios certeros y con cirugía de genes

se podrían “borrar” las mutaciones que causan enfermedades

Además, los avances en nanotecnología permitirán tratamientos

eficaces que serán redireccionados al lugar donde se necesite

reparar sin causar efectos secundarios en el resto del cuerpo



SALUD


En menos de 20 años, a una mujer con diabetes podrá implantarsele

un chip en su cuerpo que monitoreará continuamente sus niveles de

glucosa. La información podrá ser enviada por vía inalámbrica a la

computadora de sus médicos, que también contarán con los datos de

la decodificación del genoma personal de la mujer. En base al

monitoreo continuo de la glucosa y al perfil genético, los médicos

podrán indicarle nuevos medicamentos a la paciente o variar las dosis.

Los chips para administrar medicamentos podrían ser usados en

osteoporosis o para pacientes con cáncer cerebral. El fármaco de la

quimioterapia podría ser liberado en el cerebro por acceso remoto.



SALUD


La Fundación Bill y Melinda Gates, impulsa la creación de dispositivos

de microchip para liberar anticoncepción hormonal. Estos modelos

permanecerían como anticonceptivos en las mujeres durante más de 15

años. Y se podrían encender y apagar de forma inalámbrica,

según las decisiones de tener hijos (o no) de las mujeres.

El nuevo vuelo de la cigüeña

La infertilidad podría ser superada gracias al desarrollo de óvulos y

espermatozoides artificiales

Gattaca (1997). De Andrew Niccol. El film cuenta la historia de Vincent (Ethan Hawke), un

joven que nace como producto natural de una relación sexual entre sus padres en una

sociedad del futuro en que esto es una rareza



Buenas prácticas para el control de APT

Asegurar la visibilidad de todo el tráfico

• Clasificar con precisión todo el tráfico – Firewalls heredados basados en puertos que simplemente

responden a los puertos UDP y TCP comunes y un protocolo

estándar son fácilmente anulados por el malware y aplicaciones

evasivas.

– Un firewall de próxima generación utiliza decodificadores de

protocolo para analizar totalmente la capa de aplicación y clasificar

con precisión la aplicación y el tráfico.



Asegurar la visibilidad de todo el tráfico

• Ampliación de la visibilidad más allá del perímetro – Segmentar la red interna: Proteja objetivos de alto valor con

segmentación lógica de la red y políticas de seguridad.

– Identifique actividades sospechosas (como excesivas búsquedas

nmap y consultas a bases de datos).

– Proteger a los usuarios remotos. Mantenga el mismo nivel de control

de aplicaciones, prevención de amenazas, y la aplicación de

políticas para los usuarios remotos y dispositivos móviles fuera del

perímetro de la red como para los que están dentro.



Restringir Aplicaciones de Alto Riesgo

• Permitir sólo lo necesario – La cantidad y diversidad de aplicaciones de una empresa se han

incrementado, casi todas pueden introducir algún nivel de riesgo.

– La mayoría de las aplicaciones se han diseñado para un uso fácil,

dejando a la seguridad en un último plano.

– Consumerización ocurre cuando los usuarios encuentran cada vez

más tecnología personal y aplicaciones que son más potentes,

cómodas, económicas, rápidas de instalar y fácil de usar que las

soluciones de TI corporativas.



Restringir Aplicaciones de Alto Riesgo

• Limite todo lo de alto riesgo – aplicaciones P2P

– aplicaciones que utilicen túnel en otras aplicaciones

– anonimizadores bloque (como Tor)

– aplicaciones de túneles cifrados(como UltraSurf)

– proxies aprobados para los usuarios autorizados con una necesidad

comercial legítima

– aplicaciones de escritorio remoto



Selectivamente descifrar el tráfico SSL

• Descifrado e inspección de los siguientes tráficos SSL: – aplicaciones P2P

– Redes Sociales

– e-mail basado en la Web

– Mensajería instantánea

– Microblogging

– Sitios de juegos

• Proteger la confidencialidad e integridad de los

siguientes tráficos SSL: – Aplicaciones de la salud, la información y los sitios

– Aplicaciones Financieras, datos y sitios

– Canales seguros



Sandbox para archivos desconocidos

• Situación – Las amenazas avanzadas están recurriendo cada vez más a

amenazas personalizados de malware y de día cero dirigidos a una

red de la empresa en particular o un host específico.

• Complementar la estrategia reactiva – las empresas deben complementar sus herramientas basadas en

firmas con el análisis directo de los archivos desconocidos para los

comportamientos maliciosos. Sandbox en laboratorio.

• Sandbox dinámica – Se debe generar la capacidad de determinar de forma rápida y

centralizada el análisis de un archivo malicioso dado, y luego

entregar rápidamente las protecciones a todos los nodos.



Bloquear URL anfitrionas conocidas de malware

• Monitorear URL válidas – Incluso sitios web completamente válidos pueden estar

comprometidos y servir malware o exploits a los usuarios.

• Bloquear URL clasificadas – Similar a la solución basada en firmas se deben filtrar los sitios

denunciados o comprobados como contenedores y servidores de

malware y exploits.

• Analizar URL recientes – Estudiar previo a habilitar tráfico proveniente de sitios recientes no

clasificados por el proveedor de seguridad.


Tendencias para el control de APT

• Evaluar Eventos Red y aplicación en Contexto – Correlacionar eventos por usuario y aplicación, incluyendo:

• malware conocido

• exploits conocidos

• Detección de dispositivos personales

• Historial de descargas

• categorías de URL

• Investigar lo desconocido – Un verdadero firewall de próxima generación clasifica y correlaciona

con precisión todo el tráfico conocido y le permite crear

clasificaciones personalizadas para cualquier incógnita restante,

como las aplicaciones internas o desarrolladas a medida.


Novedades ISACA

2014: A Year of Mega Breaches Ponemon Institute, January 2015.

• La mayoría de la gente probablemente cierran sus puertas cuando no están en

casa. Ellos confían en que sus cosas (fotografías de valor de la familia, obras de

arte, información financiera y médica, valores) estarán protegidos, gracias a

cerraduras de acero que pueden ser desbloqueados sólo con su propia llave.

Pero ¿y si nos enteramos de que, un día, pronto, alguien inventaría una ganzúa

universal que al instante y fácilmente podría abrir cualquier puerta cerrada?

• Preparing for a Cyberattack by Extending BCM Into the

C-suite By Gary Lieberman, Ph.D., CISSP

• El 2014 es conocido como “El Año de los Mega Incidentes”. Los ciberataques se

han convertido rápidamente en un elemento clave en casi todos los programas

de BC/DR. El objetivo principal de un programa BC/DR es reducir el riesgo y el

impacto de una interrupción del negocio.


Novedades ISACA Cybersecurity in the Quantum World By Michele Mosca, Ph.D.

• 2014 será siempre recordado por una serie de violaciones a la seguridad de

mega y ataques que empiezan por la violación de destino a fines de 2013 y

terminando con Sony Pictures Entertainment. En el caso de la violación de

destino, 40 millones de tarjetas de crédito y débito fueron robados y 70 millones

de discos fueron robados que incluía el nombre, dirección, correo electrónico y

número de teléfono de los compradores objetivo. Sony sufrió un ataque en línea

principal que dio lugar a los empleados 'de datos personales y la

correspondencia corporativa se filtró. El daño de ambas infracciones

consecuencias financieras y la reputación se ha informado ampliamente.

The Underground Threat By Larry G. Wlosinski, CISA, CISM, CRISC

• Brinda estadísticas de ciberataques en 2014 y responde ¿Cómo llegó a ser tan

terrible problema mundial? ¿Cómo se infectan lo equipos? ¿Quién es

responsable de infectar a todas estas máquinas? ¿Cuáles son los costos para

las empresas y la sociedad en general? ¿Se puede detener esta actividad

maliciosa y proteger los activos?.


Cibersecurity Nexus


www.isaca.org/cyber/Pages/default.aspx

http://www.isaca.org/cyber/Pages/default.aspx

Encuentro de Ciberseguridad y Ciberdefensa

1ra Edición “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”

6 y 7 de Octubre de 2015 Facultad de Ciencias Económicas (UBA)

Buenos Aires – ARGENTINA www.isaca.org.ar

GANE

CPE 12

HORAS

Comprenda los riesgos

Intercambie ideas y experiencias

Benefíciese con las buenas prácticas

Explore tendencias y amenazas

Reciba información y capacitación

Dirigido a Profesionales y directivos tanto del sector

público como privado vinculados a las áreas de Auditoría

de Sistemas, Seguridad de la Información, Gestión de

Riesgos, Gobierno de las Tecnologías de la Información

y las Comunicaciones

¿estamos preparados? - isaca.org · sistemas de comunicaciones ... mercancías peligrosas, ......

Documents