soluciones+tecnologicas+avanzadas.+hp.+v1.1+final
TRANSCRIPT
![Page 1: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/1.jpg)
Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader
Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes
1 Abril 2014
Construyendo la Ciberdefensa en España
![Page 2: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/2.jpg)
Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes
ÍNDICE
1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Conclusiones
![Page 3: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/3.jpg)
3
1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
![Page 4: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/4.jpg)
4
Tendencias e Innovaciones Disruptivas
Traen consigo nuevos riesgos: - Nuevos canales, sin políticas definidas - Explosión de los datos - Perdida de noción de privacidad - Dificultad de control y trazabilidad
![Page 5: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/5.jpg)
5
Cyber Milicia Uso activo del ciberespacio como campo de batalla, terrorismo….
Cyber Altruismo Individuales y grupos motivados por conciencia social, reivindicación de derechos y denuncias sociales,…
Cyber Cartel Cybercrimen organizado, convergencia de lo tradicional y cyber.
Robo de Información Aumento del CyberCrimen Hacktivismo Profesional Advanced Persistent Threat
2010 2011 2003 2012 2004 2005 2006 2008 2007 2009 2013 2014
StuxNet 2010
AOL 2010
TJ Maxx 2010
UK Revenue & Customs 2006
Heartland 2009
Evernote 2013
NASA Shuttle Plans Dec 2006
Estonia Dark May 2007
Buckshot Yankee Nov 2008
GhostNet Mar 2009
Sony PSN Dec 2010
.CN Aug 2013
WSJ - SEA Aug 2013
Apple Aug 2011
Red October Dec 2010
Facebook 2013
Living Social 2013
Yahoo 2013
Shamoon Aug 2012
Tamper Data June 2012
Video Conferencing Aug 2012
DigiNotar Sept 2011
Kernel.org Aug 2011
Linea tiempo Cyber Stuxnet, diseñado para manipular sistemas de control industrial, utiliza cuatro vulnerabilidades zero-day para atacar el programa de enriquecimiento de uranio iraní.
Se descubre “Red October” que ha estado operando desde 2007 robando información en vulnerabilidades de MS Word y Excel
El ejercito Sirio ataca al Wall Street Journal.
El perfil de Mark Zuckerberg, fundador de Facebook es hackeado por un trabajador palestino.
Heartland, robo de 100 millones de tarjetas personales. Coste 140M$
Shamoon – Virus de ciberespionaje capaz de extenderse mediante la explotación de discos compartidos.
Tamper Data Hack. Vulnerabilidad en Hotamil que permitio el acceso a 13 millones de cuentas de hotmail.
El mayor ataque al departamento de defensa de US. Infección por un USB infectado. Creación del US CyberCommand
PlayStation network, robo de información personal de 77 millones de usuarios. Coste 170M$
![Page 6: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/6.jpg)
6
La seguridad Tradicional no es suficiente
Vulnerabilidades comunes
Phishing
Website malicioso
Herramientas de descubrimiento
Herramientas de exploits
Malware básico
Exploit en documentos
Botnets
Spear Phishing
Watering Hole
Zero-Day
Crypted RAT
![Page 7: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/7.jpg)
7
Vulnerabilidad Zero Day
Ataque Zero Day
Ventana de Exposición
Zero TIME
Vulnerabilidades desconocidas para todo el mundo, incluso para el creador de la aplicación.
![Page 8: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/8.jpg)
8
Se ejecuta un malware. P.e. Poison Ivy
Se recolecta datos durante un periodo de tiempo
Se trocea la información en ficheros, se cifran y se envían via FTP al exterior
La organización se entera del ataque por la prensa
Abre un fichero excel adjunto Se instala un RAT utilizando
una vulnerabilidad de Adobe Flash
Un empleado recibe un email
NMAP scan de la red para recolectar información sensible
Ejemplo de Ataque dirigido
![Page 9: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/9.jpg)
9
![Page 10: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/10.jpg)
10
1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y Conclusiones
![Page 11: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/11.jpg)
11
Seguridad = Confianza
1. Known knowns. BugTraq 2. Known Unknowns. Vulnerabilidades sin parche. CVE 3. Unknown Unknowns. Zero Days …. Investigación y análisis forense en caso de ocurrir. ¿Cual ha sido el impacto del incidente?
BugTraq http://www.securityfocus.com/ CVE http://cve.mitre.org/
![Page 12: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/12.jpg)
12
Defensa en Profundidad
• Concepto militar Aplicado a ciberseguridad
• Es útil contra nuevos ataques avanzados, inteligentes, persistentes, dirigidos, ya que pone las máximas trabas posibles al atacante
• Estrategia basada en colocar varias líneas consecutivas de protección
![Page 13: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/13.jpg)
13
Arquitectura Referencia Seguridad HP
Defensa en Profundidad ….. más que sólo tecnología
![Page 14: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/14.jpg)
14
1. Nuevo paradigma de Seguridad 2. Estrategia Defensa en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
![Page 15: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/15.jpg)
15
Tendencias de protección
Seguridad en el puesto
Seguridad Perimetral
Protección Información
Hacktivismo Profesional
• Antivirus • Hardening
• Firewall • IDS / IPS • Antispam • WebProxy
• Data Loss Prevention • Database Access Monitoring • Privileged User Management • Web App Firewalls
![Page 16: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/16.jpg)
16
Herramientas de seguridad integradas ante nuevos ataques
1. Servicios de Inteligencia de Amenazas 2. SIEM y correlación 3. SandBoxing dinámico 4. Soluciones Security Analytics
La respuesta a: • Known Unknowns. Vulnerabilidades sin parche. CVE • Unknown Unknowns. Zero Days …. Investigación y análisis forense
Hacktivismo Profesional
![Page 17: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/17.jpg)
17
1. Servicios de Inteligencia de Amenazas
Información global que puedo integrar en los sistemas de seguridad para realizar una gestión de seguridad proactiva. Ejemplos de protección:
- Proxy/Antispam. Bloqueo de objetos basado en whitelist/blacklist
- NGFW/IPS - Actualización de firmas. Inteligencia cloud/comunidad - Bloqueo de trafico basado en reputación IP/DNS
- SIEM. Correlación de eventos con servicio reputación. Detección de BOT interno
![Page 18: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/18.jpg)
18
1. Servicios de Inteligencia de Amenazas
1,400+ Investigadores Independientes
Digital Vaccine
Broadest Coverage • Evergreen Protection
Web App DV and Scanning
Web Scan• Custom Filters • PCI Report
Application DV
Application filters for security and control
Reputation DV
IP Reputation • DNS Reputation
La Iniciativa Día Cero (ZDI), fundado por TippingPoint, es un programa para recompensar a los investigadores de seguridad para la revelación y comunicación de vulnerabilidades de manera responsable.
![Page 19: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/19.jpg)
19
2. SIEM y Correlación
Recolección • Recolecta información de cualquier sistema o aplicación. • Añade contexto para activos, usuarios y procesos de
negocio
Recolección Consolidación Correlación
Consolidación • Gestión universal de logs centralizada para soportar las
operaciones de IT, Seguridad, cumplimiento. • Informes e investigación con históricos de datos
Recolección Consolidación Correlación
Correlación • Reconocimiento de patrones y detección de anomalías • Integración de Servicios de Inteligencia. • Cuanto más recolectemos … mas inteligencia !!
Recolección Consolidación Correlación
SIEM- Security Information and Event Management
![Page 20: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/20.jpg)
20
2. SIEM y Correlación Aproximación Visual. Una imagen aporta más que mil líneas de log
![Page 21: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/21.jpg)
21
2. SIEM y correlación Normalización. La clave
Windows Failed Login Event
Oracle Failed Login Event
UNIX Failed Login Event
Badge Reader Entry Denied
OS/390 Failed Login Event
![Page 22: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/22.jpg)
22
2. SIEM y Correlación Ejemplo de Correlación Combinación de múltiples eventos con reglas predefinida
![Page 23: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/23.jpg)
23
2. SIEM y Correlación Ejemplo de Correlación Reglas de correlación a partir de otras reglas predefinidas
![Page 24: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/24.jpg)
24
2. SIEM y Correlación Ejemplo de Correlación La correlación con análisis estadístico permite reducir los falsos positivos
![Page 25: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/25.jpg)
25
3. Sandboxing dinámico Ejecución de un programa en un entorno aislado y controlado para monitorizar su comportamiento.
Internal Network
SandBox
Internet
Internal Network
SandBox
WebProxy
Internet
![Page 26: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/26.jpg)
26
3. Sandboxing dinámico … en acción
![Page 27: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/27.jpg)
27
3. Sandboxing dinámico
Fortalezas: • Automatizado
• Ejecución relativamente rápida (<1 minuto)
• No requiere capacidades de ingeniería inversa
• Se puede adaptar al entorno real
Debilidad: • Lucha continua “del hacker” buscando
técnicas de evasión
• Puede haber casos de no detección
![Page 28: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/28.jpg)
28
4. Soluciones Security Analytics
• Recolecta todo el tráfico de red en una ventana temporal. Como una cámara de TV
• Análisis en tiempo real, facilita la Investigación y Análisis forense
• Reconstruye ficheros • Reconstruye sesiones
• Permite evaluar el impacto de un ataque de seguridad
Internal Network
Security Analytics
Internet
…. los incidentes ocurren y hay que gestionarlos
![Page 29: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/29.jpg)
29
4. Soluciones Security Analytics …. en acción
![Page 30: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/30.jpg)
30
4. Soluciones Security Analytics …. en acción
![Page 31: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/31.jpg)
31
Resumen de capacidades herramientas
Total Parcial No
Inteligencia Seguridad
SIEM y Correlación
Sandboxing Security Analytics
Known knowns
Known Unknowns
Unknown Unknowns
Investigación Forense
![Page 32: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/32.jpg)
32
Se recolecta datos durante un periodo de tiempo
NMAP scan de la red para recolectar información sensible
Se ejecuta un malware. P.e. Poison Ivy
Se instala un RAT utilizando una vulnerabilidad de Adobe Flash
Un empleado recibe un email
Se trocea la información en ficheros, se cifran y se envían via FTP al exterior
La organización se entera del ataque por la prensa
Abre un fichero excel adjunto • Antispam con Threat
Intelligence • Sanboxing
1
• Antivirus con Threat Intelligence
2
• NGFW con Threat Intelligence para bloquear infecciones
4
• SEM para monitorizar actividad anómala
5
• SEM para monitorizar
actividad anómala
6
• SEM con Threat Intelligence • Security Analytics
7
Seguridad Efectiva
8
• Gestión de Vulnerabilidades
3
![Page 33: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/33.jpg)
33
1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
![Page 34: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/34.jpg)
34
• Nuevas formas de ataque requiere nuevas formas de abordar la seguridad.
• Una estrategia de defensa en profundidad con una combinación de técnicas y soluciones descritas es la mejor aproximación ante el nuevo paradigma.
• ….. pero no garantiza una protección absoluta • El eslabón más débil…. el factor humano: las personas.
![Page 35: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/35.jpg)
35
![Page 36: Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final](https://reader034.vdocumento.com/reader034/viewer/2022042715/557cc9b1d8b42a7e5b8b4b4c/html5/thumbnails/36.jpg)
Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader
Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes
1 Abril 2014
Construyendo la Ciberdefensa en España