Resiliencia y seguridad para un ROI significativo Noviembre de 2011

Presentación del tema: "Resiliencia y seguridad para un ROI significativo Noviembre de 2011"— Transcripción de la presentación:

1 Resiliencia y seguridad para un ROI significativo Noviembre de 2011
Miguel Ángel Aranguren Romero CISA, CISM, CGEIT, Cobit Foundations Certificate CRISC, CISSP, OSCP, ITIL v3 Foundations Certificate SECURITY IT ARCHITECT – SDCoE

2 Estudio de riesgos

3 Problemas de riesgos que las empresas enfrentan hoy
Mientras que las empresas se han ocupado de una variedad de problemas de riesgo el año pasado, los actuales esfuerzos se concentran en pocas áreas claves Problemas de riesgos que las empresas enfrentan hoy 78% 78% Seguridad de TI de los encuestados informan que la seguridad de TI es primordial, particularmente el acceso no autorizado a los sistemas de la empresa y los hacker se han ocupado con errores de funcionamiento de sistemas o hardware en el último año Errores de func. de sistemas y hardware 63% 50% Fallas de energía 40% Seguridad física 28% Robos Problemas de calidad de productos 25% Problemas de conformidad con reglamentos federales 22% Desastres naturales 17% 63% “La transferencia de datos confidenciales por Internet y otras redes la hace vulnerable a posibles robos.” Servicios Financieros, Asia Pacífico Risk issues run the gamut. The most numerous risk issues have been: IT security Hardware and system malfunctions Power failures Physical security issues Theft Product Quality Seventy-eight percent (78%) of respondents report IT security is a top-of-mind issue, citing in particular issues around hackers and unauthorized access/use of company systems. Hardware/system malfunctions and power failures round out the top three issues affecting half or more of survey respondents. Pedidos de E-discovery 13% Averías en la cadena de suministro 11% Actividades terroristas 6% Fuente: Q2 (¿Que tipos de problemas de riesgos su empresa a tratado en los últimos 12 meses? Seleccione todos los que se apliquen.)

4 ¿Cuán preparado está usted para abordar estos riesgos?
Los encuestados informan diferentes grados de confianza en la capacidad de sus organizaciones para responder a estos riesgos ¿Cuán preparado está usted para abordar estos riesgos? “No estamos dedicando tiempo suficiente para elaborar una planificación contra los riesgos durante las operaciones diarias o proyectos.” TI y Tecnología, América del Norte Problemas de calidad de productos 14% 74% 12% Desastres naturales 10% 63% 27% 23% 70% 7% Errores de funcionamiento de sistemas y hardware 20% 73% 2% Seguridad física 69% 18% Robos 68% 22% Averías en la cadena de suministro 39% 6% 54% Actividades terroristas Seguridad de TI 72% Fallas de energía 32% 58% Problemas de conformidad con reglamentos federales 19% 64% 17% Pedidos de E-discovery 8% 28% Muy bien preparado Preparado Deficientemente preparado / No sé “No tenemos una verdadera estrategia de recuperación de desastres establecida.” Asistencia Medica, América del Norte Everyone knows about the risk, and they worry about the risk, but less than a third of respondents feel fully equipped to deal with the risk. For natural disasters and terrorist activities, that number drops to ten percent or less. There still seems to be a head-in-the-sand mentality to risk even when it comes to something as important as e-discovery or compliance. Something that can bring costly litigation is still not getting the attention it deserves. “Gran parte del personal de TI estará en edad de jubilarse durante los próximos cinco años y no se cuenta con personal para sustituirlos.” Gobierno, América del Norte Fuente: Q20 (En su opinión, ¿cuán bien preparada se encuentra su empresa para prevenir o abordar los siguientes riesgos?)

5 Desafíos para mejorar la administración de riesgos
Existen importantes desafíos para mejorar la administración de riesgos de TI; los encuestados plantean algunos de sus mayores problemas Desafíos para mejorar la administración de riesgos Aunque más del 50% informa que los presupuestos se han mantenido iguales o aumentado, el 36% todavía lucha para conseguir un financiamiento adecuado. Implementar los procesos necesarios para mitigar los riesgos 38% Conseguir presupuesto para abordar adecuadamente los riesgos 36% Los encuestados no identifican un proceso robusto de comunicación de políticas de administración de riesgos. Trabajar con otros departamentos para obtener un panorama completo de los riesgos de la empresa 33% A pesar de los conocidos beneficios de negocio de la administración de riesgos de TI, conseguir el apoyo de los principales dirigentes sigue siendo un desafío Comunicar a los empleados las políticas y procedimientos de riesgos 30% Conseguir la comprensión de la alta dirección sobre la necesidad de una administración holística de riesgos The risk itself presents a challenge. But so does the process of preparing for it. One-third of respondents find it difficult to get the full picture of the risk facing their enterprise. More than one-third faces budget shortfalls in addressing risk, and an even greater number (38%) finds it hard to implement the right processes and procedures. Are employees adequately informed and aware of risk policies and procedures? Thirty percent (30%) find communication to be a challenge. And employees are an important aspect of any risk culture and without the culture or management in place they are a risk that the IT manager is struggling to deal with. Obtaining the buy-in of upper management for a holistic risk management program is difficult according to 25 percent (25%) of respondents. And 11 percent (11%) have a problem with taking a proactive role in dealing with risk issues. “Necesitamos madurar la imagen corporativa de los Riesgos de TI de modo que sea reconocida por todas las unidades de negocio como una capacidad de habilitación de negocios y de valor agregado.” Espacio Aéreo y Defensa, América del Norte 25% Convencer a la dirección que me permita asumir un papel más activo en la administración de riesgos 11% Fuente: Q16 (¿Cuáles son los mayores desafíos al abordar los problemas de riesgos? Seleccione hasta dos.)

6 Las tecnologías emergentes y los riesgos
De las cinco tecnologías evaluadas, las redes sociales, las plataformas móviles y la computación en nube presentan las mayores preocupaciones de riesgos 64% Herramientas de redes sociales 21% 15% “Estamos preocupados por tener capacidad para controlar de manera segura el flujo de datos hacia y desde los dispositivos móviles de los empleados y de almacenarlos con seguridad” Fabricación, América del Norte 54% . Plataformas móviles 27% 19% 42% Computación en nube 35% 24% 26% Virtualización 31% “Ya estamos examinando la computación en nube y aún no se ha perfeccionado la seguridad en nuestras propias redes locales.” Asistencia Medica, América del Norte 43% The survey asked respondents how their organizations were handling emerging technologies in: Social networking Mobile platforms Cloud Virtualization Service oriented architecture What are the greatest areas of concern? Almost two-thirds (64%) of respondents see social networking as the greatest, and more than half (54%) feel that way about mobile platforms. Respondents are very cautious about bringing these technologies into the enterprise. Social networking tools and mobile platforms were mentioned predominantly in terms of losing control of data, and the ability of unauthorized individuals to gain access to confidential, proprietary information. Facebook is not the friend of the IT manager, but, again, this speaks to how the employees need to shoulder risk as a key part of their role in the company. Forty-two percent (42%) view cloud computing as very risky, but they also see its value in the future for business continuity. Forty-two percent (42%) view cloud computing as very risky. 25% Arquitectura orientada a servicios 42% 34% Extremadamente riesgoso / riesgoso Algo riesgoso Moderadamente riesgoso / sin ningún riesgo Fuentes: Q17 (¿Cuán grande es el riesgo de las siguientes tecnologías y herramientas para su empresa?) 19

7 Robo Tarjetas de Crédito
Consideraciones (los precios están dados en dólares) Se considerará un solo incidente donde es robada la CHI (Cardholder Information). Costo promedio de reemplazo de tarjetas por item: $4 tarjetas) Multas que varían desde $5,000-$50,000 por evento (promedio $22,500) Costo promedio de examen forense : entre $35,000-$55,000 Multas y costos adicionales por la utilización del PAN (Primary Account Number) robado: entre $25,000 - $200,000 (promedio $100,000) Costo del PCI Gap Assessment = $35,000 ROI Costo de reemplazar las tarjetas = ($4/item x 50,000) = $200,000 Multas promedio= $22,500 Examen Forense = $35,000 Multas y costos adicionales por la utilización del PAN robado = $100,000 Costo Total = ($400,000 + $22,500 + $35,000+ $100,000) = $357,500 ROI para un sólo incidente = 1,021% (= $357,500/ $35,000) Periodo de retorno (Payback period) = 1 month (= ($35,000 / $357,500) x 12 months) 7

8 De riesgos y Vulnerabilidades

9 Mobile devices used by workforce is a top concern of IT executives due to the challenges with device management and security Support for a variety of mobile device platforms, most of which have immature security functionality. Balance between non-ownership of the devices and control on the devices that is needed to protect business data Mobile devices are prone to loss and theft, thus are becoming the weakest link in the path of storing/processing business data. No effective process to certify and provision mobile applications Mix of business and personal information on the same device Mobile devices are always on and connected, so are more vulnerable to network attacks. Malware threats are becoming more prevalent. “Select five of the top challenges you will face over the next six months.” Sources: “Executive Spotlight: Top Priorities for Security and Risk Leaders, 1H 2011” Forrester, April 2011

10 Las amenazas pueden ocurrir en varios lugares a lo largo de las rutas por las que  atraviesan los dispositivos móviles para obtener aplicaciones o datos App Store Wi-Fi device Internet Web site Mobile device Telco service provider Mobile device Corporate VPN Gateway Threat targets Credentials to access financial accounts Business information Phone call charges Device itself Corporate intranet (Bluetooth enabled) Mobile device : The place where threats can happen

11 Part of the website with malicious QR code

12 Introduccion

13 CLOUD - Las dificultades de implementación

14 CLOUD - Las dificultades de implementación
Control Reliability Many companies and governments are uncomfortable with the idea of their information located on systems they do not control. Providers must offer a high degree of security transparency to help put customers at ease. High availability will be a key concern. IT departments will worry about a loss of service should outages occur. Mission critical applications may not run in the cloud without strong availability guarantees. Data Migrating workloads to a shared network and compute infrastructure increases the potential for unauthorized exposure. Authentication and access technologies become increasingly important. Compliance Management Providers must supply easy controls to manage firewall and security settings for applications and runtime environments in the cloud. Complying with SOX1, HIPAA2 and other regulations may prohibit the use of clouds for some applications. Comprehensive auditing capabilities are essential.

15

16

17 Quién nos ataca? This slide sort of breaks this picture down a little bit. We talk about attackers either using off the shelf tools and techniques. So exploits that are publicly released, stuff that you can easily get on the Internet to launch their attacks. Or you’ve got these more sophisticated attackers that can develop their own exploits that discover their own vulnerabilities and to target them before anyone has ever seen them before. We also have attacks that are broadly focused. They’re trying to target the entire Internet. And we have attacks that are highly targeted. They’re specifically interested in breaking into particular organizations. So looking at those two dimensions you get four categories. Off the shelf broad attacks are typically financially motivated botnet builders. This is most of the attack activity that we’ve been seeing and fighting for the past ten years. However, we also see today this thing that’s often called the advanced persistent threat, which is sort of the other side of the coin. These are targeted, sophisticated attackers that they’re going after specific organizations and they’re using vulnerabilities they discovered themselves. Highly custom malware so they’re very difficult to protect against. In addition, this year we’ve seen a lot of targeted attacks that used off the shelf techniques. So these are often activists. People who have a motive to attack a particular organization but are not necessarily as sophisticated in watching those attacks as the advanced persistent threat. We have another category, which fortunately we aren’t really dealing with today and that is if you took the sophistication of the APT and applied it broadly, this is sort of the cyber war nightmare scenario that people have been talking about in policy circles. But fortunately that’s not a reality today on the Internet.

18

19

20 Hacktivists are politically motivated
Lulz Security logo "The world's leaders in high-quality entertainment at your expense." A member of Anonymous at the Occupy Wall Street protest in New York* One self-description is: “We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.”** Two groups in particular stand out, Anonymous and Lulzec. These are groups that are organized on the Internet and they’re politically motivated more or less, that have been responsible for a lot of these prominent breaches. On Slide 37 I talk about anonymous proxies. It’s important not to conflate the concept of Anonymous the attacker group with the concept of anonymous proxies. Anonymous proxies are just a technology that can be used to bounce your Web request around on the Internet. And there are a couple of different reasons why people build them. Sometimes people build them to hide their location that they’re attacking from. Sometimes people build them because they’re trying to evade a net censorship filter. So in countries where people do not have free access to read the news, often they will use anonymous proxies in order to fool the filters that are trying to prevent them from reaching unfiltered news. So there’s a lot of different applications for these things. We’ve been seeing more and more of them every year that we’ve done this X-Force trend report. They’re constantly expanding at about a linear rate. What’s important is that these kinds of proxy networks fit in with activism and that people interested in providing people in certain regimes with access to information may use anonymous proxies to do that. And on the other hand, people that are interested in being anonymous on the Internet and protecting their location are using anonymous proxy networks to do so. *Source: David Shankbone **Source: Yale Law and Technology, November 9, 2009

21 Gestión de los problemas

22

23

24

25

26 IBM global expertise in security
9 Security Operations Centers 9 Security Research Centers 133 Monitored Countries 20,000+ Devices under Contract 3,700+ MSS Clients Worldwide 7 Billion+ Events Per Day TJ Watson Cryptographic foundations Internet security & "ethical hacking" Secure systems and smart cards IDS sensors & vulnerability analysis Secure payment systems Antivirus Privacy Biometrics Almaden Secure government workstation Haifa PKI enablement Trust policies Zurich Java cryptography Privacy technology Multiparty protocols IDS & alert correlation Smart card systems and application Tokyo Digital watermarking XML security VLSI for crypto New Delhi High-performance Cryptographic hardware & software As of Dec , 133 Monitored Countries 3,000+ security and risk management patents

27 Componentes Globales MTSS
Software Software

28 MTS – Cómo evolucionar con la infraestructura existente
Reducción de Costos IBM & MVS Soporte Gerenciado Proactivo Gerencia de Proyeco Alineado a objetivos del negocio único Punto de Contacto Soporte a toda la infrastructura Control de Inventario y Manejo de Cambios Manejo de Proveedores Encuestas de Satisfacción y Reportes de Gestión Servicio soporte personalizado Compromiso de tiempos de resolución Soporte Integral de HW & SW Mantenimiento Preventivo Servicios Break/Fix Soporte Onsite/ Remoto IBM & MVS Soporte Proactivo Proactivo Gestión de Microcodigo Tecnico Dedicado Monitoreo Remoto Compromiso de tiempos de resolución Mejora de Garantia Servicios Break/Fix Mantenimiento Preventivo Soporte Personalizado Soporte Onsite/ Remoto Soporte Integral (HW & SW) Estructura Flexible Aumento de Productividad IBM & MVS Compromiso en Niveles de servico Compromiso de resolución Mejora de servicios durante la garantía Reactivo Compromiso de tiempos de resolución Mejora de Garantía Servicios Break/Fix Soporte Onsite/ Remoto Gestión de Riesgos & disponibilidad Cada vez más las unidades de IT tienden a ser una pieza clave en las empresas, siendo su foco principal propiciar el logro de los objetivos de crecimiento y mejora de profitabilidad. Esto lo logran a través del diseño de nuevos productos y canales de ventas, innovando con tecnologías que le permiten diferenciarse de sus competidores, y logrando modelos de operación más eficientes. Managed Technical Support Services es un Servicio integrado, automatizado y es un servicio que esta atado a la estrategia específica de negocios del cliente. Está diseñado para establecer un único punto de contacto/responsabilidad para soporte de HW y SW de múltiples proveedores en un ambiente heterogéneo de IT, ofreciendo soporte consistente a nivel empresarial y procesos de negocio simplificados a través de los pilares de IT. Transferir la carga del gerenciamiento de IT a IBM puede ayudar a muchas compañías a : Reducir tiempo Improductivo— incluso mejorar disponibilidad — mediante reportes proactivos y análisis Reducir costos de mantenimiento, servicio y soporte Enfocar los recursos de IT en iniciativas de negocio críticas Como mencionamos anteriormente, los ejecutivos de IT, enfrentan diariamente nuevos desafíos en torno a mejorar la calidad, flexibilidad, y la velocidad de respuesta a los requerimientos de soporte, mientras que la complejidad de IT y la falta de skills internos siguen creciendo. Para IBM, esto representa una importantísima oportunidad para potenciar nuestras capacidades de soporte técnico multivendor y nuestros procesos probados para crear una solución que se concentre en los servicios preventivos. Queremos ser el socio de soporte confiable que ayude a nuestros clientes a simplificar el soporte técnico, a recuperarse de los problemas con rapidez, a evitar la interrupción de sus servicios y a concentrar a su personal de IT en las prioridades de negocios críticas. Mediante esta metodología de venta consultiva, entendemos las necesidades de cada cliente y generamos una solución integrada y proactiva de Soporte Técnico, la cual incluye los servicios de management y soporte de hardware y software tanto para productos IBM como de otras marcas. Soluciones para todo tipo de negocios Soluciones flexibles, standarizadas, modulares, con una excelente relación precio beneficio y diseñadas para satisfacer las necesidades del negocio de nuestros clientes. IBM & MVS Soporte Base Servicios Break/Fix Soporte Onsite/ Remoto Incrementar la Disponibilidad Reactivo Mantenimiento HW (IBM & MVS) Mantenimiento SW (IBM & MVS) Orientado al Producto Orientado al Negocio

29 Servicios de Mantenimiento para equipo IBM y NO IBM
HW & SW Customized Services (IBM& OEM) Servicios Proactivos Soluciones customizadas Punto Único de contacto - (Ambiente Multivendor) Soporte Gerenciado Gerenciamento de disponibilidad Soporte Local Servicios de soporte confiable TSO MTSS Management Services HW & SW Acesso 24 horas por dia, 7 dias por semana Reportes electronicos de fallas Punto Único de contacto Acesso al “know-how” IBM Níveles de servicios Customizados Diagnóstico de desempeño HW & SW Cada vez más las unidades de IT tienden a ser una pieza clave en las empresas, siendo su foco principal propiciar el logro de los objetivos de crecimiento y mejora de profitabilidad. Esto lo logran a través del diseño de nuevos productos y canales de ventas, innovando con tecnologías que le permiten diferenciarse de sus competidores, y logrando modelos de operación más eficientes. Managed Technical Support Services es un Servicio integrado, automatizado y es un servicio que esta atado a la estrategia específica de negocios del cliente. Está diseñado para establecer un único punto de contacto/responsabilidad para soporte de HW y SW de múltiples proveedores en un ambiente heterogéneo de IT, ofreciendo soporte consistente a nivel empresarial y procesos de negocio simplificados a través de los pilares de IT. Transferir la carga del gerenciamiento de IT a IBM puede ayudar a muchas compañías a : Reducir tiempo Improductivo— incluso mejorar disponibilidad — mediante reportes proactivos y análisis Reducir costos de mantenimiento, servicio y soporte Enfocar los recursos de IT en iniciativas de negocio críticas Como mencionamos anteriormente, los ejecutivos de IT, enfrentan diariamente nuevos desafíos en torno a mejorar la calidad, flexibilidad, y la velocidad de respuesta a los requerimientos de soporte, mientras que la complejidad de IT y la falta de skills internos siguen creciendo. Para IBM, esto representa una importantísima oportunidad para potenciar nuestras capacidades de soporte técnico multivendor y nuestros procesos probados para crear una solución que se concentre en los servicios preventivos. Queremos ser el socio de soporte confiable que ayude a nuestros clientes a simplificar el soporte técnico, a recuperarse de los problemas con rapidez, a evitar la interrupción de sus servicios y a concentrar a su personal de IT en las prioridades de negocios críticas. Mediante esta metodología de venta consultiva, entendemos las necesidades de cada cliente y generamos una solución integrada y proactiva de Soporte Técnico, la cual incluye los servicios de management y soporte de hardware y software tanto para productos IBM como de otras marcas. Soluciones para todo tipo de negocios Soluciones flexibles, standarizadas, modulares, con una excelente relación precio beneficio y diseñadas para satisfacer las necesidades del negocio de nuestros clientes. Servicios Tradicionales de Mantenimiento Soporte Remoto Garantia Standard Fundational Services Plataforma IBM 29 Básico Preventivo Proactivo Orientado al Producto Orientado al Negocio

30 Conclusiones y reflexiones finales

31 Y terminamos… La resiliencia inicia con el entendimiento de los riesgos a los que se está expuesto Las empresas deben cambiar rápidamente con el entorno para dar respuesta a los vectores de ataque contra su seguridad. El conocimiento es la verdadera clave Se convierte en indispensable la colaboración La seguridad no viene en una caja La gestión se debe hacer sobre la certeza que tenemos fallas

32 Miguel Ángel Aranguren Romero
Preguntas? Miguel Ángel Aranguren Romero CISA, CISM, CGEIT, Cobit Foundations Certificate CRISC, CISSP, OSCP, ITIL v3 Foundations Certificate

33 BACKUP SLIDES

34 Zeus Crimeware Service
Hosting for costs $50 for 3 months. This includes the following: # Fully set up ZeuS Trojan with configured FUD binary. # Log all information via internet explorer # Log all FTP connections # Steal banking data # Steal credit cards # Phish US, UK and RU banks # Host file override # All other ZeuS Trojan features # Fully set up MalKit with stats viewer inter graded. # 10 IE 4/5/6/7 exploits # 2 Firefox exploits # 1 Opera exploit“ We also host normal ZeuS clients for $10/month. This includes a fully set up zeus panel/configured binary This slide is a botnet, talks about Zeus which is a botnet toolkit that’s extremely popular right now. Zeus is a toolkit that you can use to build a botnet. Every time someone runs Zeus they create a new botnet and it’s become very popular with attackers.

35 De todos los sabores Información de rastreo en el iphone
Cómo comprar gratis pagando con PayPal, Amazon Payments o Google Checkout Make requests through Google servers +DDoS Spotify Shady RAT Troyano para MAC que detecta la virtualización

36 Complete la siguiente serie:
2,10,12,16,17,18,19…

37 Introduccion

38 allintitle: CAREL Pl@ntVisor

39

40

41

42

43 * Beckhoff TwinCAT 2.11.0.2004: Denegación de servicio.
* Cogent DataHub : Denegaciones de servicio al puerto 80, 4052 y 4053 (SSL), salto de restricciones y revelación de información sensible a través de su servidor web. * DAQFactory 5.85 build 1853: Denegación de servicio al puerto UDP para NETB. * Progea Movicon / PowerHMI : Denegaciones de servicio al puerto 808 de su servidor. * Carel PlantVisor 2.4.4: salto de restricciones a través del servidor web. * Rockwell RSLogix 19: Ejecución de código que afectan a los servicios "RsvcHost.exe" y "RNADiagReceiver.exe" a través del puerto 4446 y otros. * Measuresoft ScadaPro 4.0: Denegaciones de servicio y salto de restricciones que afectan al servicio "service.exe" a través del puerto * Beckhoff TwinCAT : Denegación de servicio. * BroadWin WebAccess Client : Denegación de servicio. Luigi Auriemma Advisories Code Execution in Rockwell RSLogix 19:

44 McAfee_NightDragon_WhitePaper.pdf

45 Anatomy of RSA Breach: Highlights Need for Continuous Monitoring
Attacker sent two different phishing s over a 2-day period, to two small groups of employees (not high value targets). Subject line: “2011 Recruitment Plan.” One of the employees opened attached Excel file titled “2011 Recruitment plan.xls" which contained a zero-day exploit that installs a backdoor through Adobe Flash vulnerability (CVE ). Malware installed a remote administration tool (Poison Ivy) set in a reverse-connect mode that makes it more difficult to detect, as the PC reaches out to the C&C rather than the other way around. Attacker harvested access credentials from compromised users (user, domain admin, and service accounts). Performed privilege escalation on non-admin users in targeted systems, then moved to higher value targets -- process experts and IT and Non-IT server administrators. Attacker established access to staging servers at key aggregation points to get ready for extraction. Removed data from servers, moved it to internal staging servers where the data was aggregated, compressed and encrypted for extraction. Used FTP to transfer many password protected RAR files from the RSA file server to an outside staging server at a hosting provider. Files were subsequently pulled by the attacker and removed from the external compromised host to remove any traces of the attack. Attack was detected by RSA’s Computer Incident Response Team [apparently using NetWitness]; Most corporations hit by similar APTs either detected attacks after months, or didn’t detect them at all and learned about it from the government. By detecting what is happening early on, RSA was able to respond quickly and engage in immediate countermeasures.

46 Más información Escribanos a