Evolución de las estrategias y tecnologías de seguridad contra

amenazas avanzadas e ingeniería socialGabriel Marcos – Product Manager

EL CASO GLOBAL PAYMENTS

http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html

MARZO, 2012: un ataque compromete información de

1.5 MM de tarjetas de crédito. http://www.informationweek.com/security/attacks/global-payments-breach-big-authenticatio/232800194

Momento del ataque

EL CASO GLOBAL PAYMENTS

http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html

Evolución del valor de la acción NYSE:GPN

Visa Inc. (NYSE:V - News) has dropped Global Payments Inc.(NYSE:GPN - News) from its list of service providers after detecting a cyber intrusion in the latter’s system that likely threatens about 1.5 million customer accounts. This was the second breach of card data by in a year.

By Zacks Equity Research | ZacksMon, Apr 2, 2012 5:07 PM EDT

AMENAZAS AVANZADAS: ADVANCED PERSISTENT THREATS (APT)

Investigación

Distribución

Control

Propagación

Infección

Objetivo

Búsqueda

1

2

3

4

5

6

7

ADVANCED PERSISTENT THREATS (APT)

Compromiso (ataque exitoso)

Extracción de datos

Descubrimiento

Contención o restauración

Rapidez para

producir resultados

Difícil de detectar y reparar

MINUTOS

SEMANAS

MESES

AMENAZAS AVANZADAS: REDES BOTNET

http://www.csoonline.com/article/348317/what-a-botnet-looks-like

Redes compuestas, cada una, de miles de computadores controlados desde un punto central disponibles para:

• ejecutar ataques de denegación de servicio (DDOS)

• distribución de amenazas

• robo de información• otros

REDES BOTNET

http://blog.webroot.com/2012/06/06/ddos-for-hire-services-offering-to-take-down-your-competitors-web-sites-going-mainstream/

http://www.infosecurity-magazine.com/view/24335/thor-a-new-p2p-botnet-for-sale

Algunos de los negocios de las redes BOTNET:

• alquiler de bots• ataques de marca

blanca• competencia desleal

(ataques dirigidos)• distribución de

contenido ilegal• venta de redes

botnet

INGENIERIA SOCIAL

THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY: A SURVEY OF IT PROFESSIONALSDimensional Research | September 2011

Distinta técnica, los mismos objetivos…

INGENIERIA SOCIAL

THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY: A SURVEY OF IT PROFESSIONALSDimensional Research | September 2011

Nadie es inmune a un ataque de Ingeniería Social.

• NEGOCIO: objetivo económico, retorno de inversión.

• VOLUMEN: economía de escala.

• SIGILOSIDAD: mayor duración del negocio del hacker.

• GLOBALIZACIÓN: distribución del riesgo.

• COMPLEJIDAD: múltiples técnicas y amenazas.

• ZONAS DE RIESGO: seguridad “a medida”.

• CONTROLES: específicos por ataque/técnica/amenaza.

• INGENIERÍA SOCIAL: integrar el factor humano.

• PROACTIVIDAD: predicción y prevención.

• SEGUIMIENTO: ciclo de vida de los posibles ataques.

Public Servers (WEB / MAIL)

INTERNET Private Network

Remote Branches

(VPN)

Remote Users

Local Users

Remote Branches

(WAN)

Third-parties(Clients / Vendors)

Critical Servers (CRM / ERP)

ZONAS DE RIESGO

• No matar un mosquito con un cohete

• No llevar un cuchillo a un tiroteo

ZONAS DE RIESGO

CONTROLES

Defensa en profundidad y zonas de riesgo: más

controles mientras más crítico es el activo

Public Servers (WEB / MAIL)

INTERNET Private Network

Remote Branches

(VPN)

Remote Users

Local Users

Remote Branches

(WAN)

Third-parties(Clients / Vendors)

Critical Servers (CRM / ERP)

ZONAS DE RIESGO Y CONTROLES

• Web ApplicationFirewall ( WAF)

• Email Security• Database Security

• Firewall• IPS• Antivirus• Antispam• Content filter• Site to site VPN• Client to site

VPN• SSL VPN

• Firewall• IPS

• Firewall• IPS• Site to site VPN

• Endpoint Security• Autenticación

fuerte

EJEMPLO:ADVANCED PERSISTENT THREATS (APT)

• Web ApplicationFirewall ( WAF)

• Email Security• Database Security

• Firewall• IPS• Antivirus• Antispam• Content filter• Site to site VPN• Client to site

VPN• SSL VPN

• Firewall• IPS

• Firewall• IPS• Site to site VPN

• Endpoint Security• Autenticación

fuerte

INFORMACION PARA DETECCIÓN DE AMENAZAS

SIEM

SIEM = Security & Information Event Management

• Menos falsos positivos

• Alarmas significativas (calificadas)

• Análisis de riesgo en tiempo real

• Seguimiento de amenazas

• Múltiples técnicas de detección:

– Tráfico

– Patrones

– Reglas de negocio

• Reportes en tiempo real

• Data-warehouse de eventos

INTRODUCCION A SIEM

CARACTERISTICAS DE SIEM

• Análisis en tiempo real• Integración de

tecnologías existentes (mayor ROI)

• Un solo punto de reportes, logging y compliance

• Una sola fuente de información consistente

• Detección de amenazas avanzadas

• Costo de entrada elevados:• Licencias• Servidores• SAN

• Tiempo y dificultad de implementación

• Alto costo de mejora• Recursos 7x24• Entrenamiento para

customización• Acceso ante un ataque

(in-house)

USO DE SIEM EN BANCOS

http://m.informationweek.in/Security/12-06-12/BOI_uses_SIEM_to_reduce_false_positives_and_boost_security.aspx

CARACTERISTICAS DE SIEM

• Análisis en tiempo real• Integración de

tecnologías existentes (mayor ROI)

• Un solo punto de reportes, logging y compliance

• Una sola fuente de información consistente

CONSUMO DE SERVICIOS DESDE LA NUBE (modalidad SaaS)

POSIBILIDADES DEL SIEM

Seguimiento de alarmas calificadas entre todos los dispositivos

POSIBILIDADES DEL SIEM

Seguimiento de cambios entre todos los dispositivos

• Detección de ataques desconocidos (zero-day)

– Patrones de tráfico

– Operaciones repetitivas (fuerza bruta)

• Detección de anomalías en procesos

– Comportamiento humano!

• Detección de ataques a nivel de aplicación

– Monitoreo de transacciones

– Operaciones con bases de datos

• Reportes de compliance en tiempo real

POSIBILIDADES DEL SIEM

CONCLUSIONES

Albert Einstein:No podemos resolver problemas pensando de la misma manera que cuando los creamos.

CONCLUSIONES

Muchas gracias!

Gabriel Marcos

Product Manager – Columbus Networks

gmarcos@columbus-business.com

@jarvel

Quién tiene la primera pregunta?