Notas sobre Ciberseguridad en Ambientes Empresariales Francisco Mejía 02 Diciembre 2014

Agenda Ciberseguridad Amenazas Ciclo de vida de un ataque Proceso de seguridad y respuesta a incidentes Herramientas 2

Diferentes entendimientos ¿Qué es ciberseguridad? “Es solo una variación más de lo que significa seguridad lógica” “El mercado (consultores/fabricantes) crearon este término como mecanismo de mercadotecnia” “Solo se aplica para el tipo de seguridad que se implementa en grandes ambientes (milicia/gobierno)” “Se refiere a nuevos enfoques de seguridad para hacer frente a las amenazas cada vez más sofisticadas en un mundo más interconectado” 3

Las amenazas y ataques que enfrentan nuestras organizaciones son más avanzadas y complejas 4

Los riesgos no son solo financieros… ni todos son del exterior Espionaje industrial (robo de propiedad intelectual) Daños a la reputación e imagen (Defacements) Ex-filtración de información (extracción interna de datos) Disponibilidad de los datos (DDoS) Los riesgos parecen ser constantes pero los mecanismos utilizados no lo son. La ciberseguridad busca hacer frente a estas amenazas a través de procesos y técnicas igual de ingeniosos (con más inteligencia) 5

Ciclo de vida de un ataque Reconocimiento ConsolidaciónEscalación Reconocimiento Interno Misión finalizada Spear phishing con malware dirigido Explotación de aplicaciones de terceros Explotación de vulnerabilidades web Malware dirigido Command & Control Variantes de backdor Control de VPN Malware “dormido” Cracking de contraseñas “Pass-the-hash” Esplotación de aplicaciones Mantener presencia Mover lateralmente Reconocimiento crítico de sistemas Enumeración de sistemas, directorio activo y usuarios Comandos “net use” Acceso vía reverse shell Servidores comprometidos Consolidación de datos Robo de datos 6

El proceso de seguridad visto con un enfoque de ciberseguridad TI es responsable principal, Seguridad asiste Seguridad es responsable principal, TI asiste Planear Resistir Responder Detectar Preparar activos Filtrar Proteger Escalar Colectar Analizar Resolver Resistir intrusiones tanto como sea posible Seguridad & TI preparan y evalúan la situación Presupuesto, auditoría, training, SSD, pentest Filtrado y protección Contramedidas automatizadas: FW, AV, DLP, whitelisting, entre otras Obtener datos que necesarios para decidir si la actividad es normal, sospechosa o maliciosa Validar aquello que se sospecha sobre la naturaleza de un evento Notificar al responsable acerca del compromiso de un activo (dueños de los activos) Acciones de contención y erradicación tomadas por el equipo de seguridad para disminuir el riesgo de pérdida 7

La pregunta no es ¿me pasará?, sino ¿cuándo? 8 La mayoría de las empresas tienen activos de información que tienen algún valor para alguien más ¿Conozco a mi enemigo? ¿Me conozco a mi mismo? Todas mis defensas están en su lugar, ¿pero qué hago si alguien logra cruzar? ¿Son accionables mis protocolos de respuesta?

El proceso de respuesta a incidentes de seguridad es una piedra angular en la estrategia de seguridad de la empresa 9 Preparación Detección Text Erradicación Recuperación Lecciones Aprendidas Contención Restablecer la operación y servicios afectados Ejecutar planes y procedimientos de recuperación (respaldos, configuraciones) Colectar bitácoras para identificar causa raíz del incidente (forense) Identificación de debilidades y erradicación de causa raíz Ejecutar acciones para limitar el alcance e impacto del incidente de seguridad Involucramiento con los distintos actores Monitoreo sobre el ataque y eficacia de las medidas de contención Comunicación continua y efectiva sobre el estado actual Mecanismos de detección (dashboards, SIEM, alertas, IOCs) Identificar tipo de incidente de seguridad y severidad de acuerdo a la taxonomía Identificar vectores de ataque Escalamiento a responsables Procedimiento de atención de incidentes de seguridad Equipo de respuesta a incidentes Protocolos de comunicación y contingencia Identificación de activos críticos Construcción de matrices de escalamiento Reglas de operación y apoyo con otras organizaciones y/o equipos de respuesta de otras empresas Ajustes en la configuración de la infraestructura Revisión completa del incidente Documentar lecciones aprendidas, fallas identificadas, líneas de acción para la mejora del proceso

El objetivo principal es contener y remover la amenaza tan rápido como sea posible 10 Investigar Determinar los vectores iniciales de ataque Determinar el malware y herramientas utilizadas Determinar qué sistemas fueron afectados y cómo Determinar que realizó el atacante (evaluación de daños) Determinar si el incidente está en curso Establecer el periodo del incidente Remediar Usando la información obtenida de la investigación, desarrollar e implementar un plan de remediación

Qué herramientas ayudan en la prevención y atención de incidentes 11 Prevenir Políticas & lineamientos conocidos por toda la empresa Controles de seguridad implementados y monitoreados Análisis de riesgos & análisis de vulnerabilidades Training & Awereness Detectar Colección de eventos relevantes Reportes de terceros IOCs Herramientas con nuevos enfoques Escalación

Nota final 12 La pregunta no es: “¿el atacante logrará entrar a mi red?” sino: ¿hasta dónde lo podré contener?”

Fin del documento