Prevención y detección de amenazas avanzadas
-
Upload
david-hernandez -
Category
Technology
-
view
19 -
download
1
Transcript of Prevención y detección de amenazas avanzadas
Prevención y detección de amenazas avanzadas
David Hernández
Agenda
• Algodehistoria• APTs• Todo1enequeverconriesgo• KillChain• DBIR• Conclusiones
Agenda
• Algodehistoria• APTs• Todo1enequeverconriesgo• KillChain• DBIR• Conclusiones
ErickRe)a
Mar,nHoz
DavidHernández
EugeneSpafford DISC
UNAM1997
“MorrisWorm”1988
- Infecciónamásde6,000computadoras- Altacan1daddetráficomientrassepropagaba.Secopiabaaélmismo.
- Explotóalgunasvulnerabilidades:- BufferOverflowenfingerd(UNIX)- Mododebugdesendmail paraejecutarcomandos- Diccionariode432palabrasusadasfrecuentementecomocontraseñas
- Accesoasistemasmedianteelserviciorsh
¿Cuántogastanlasorganizaciones?
$75billonesusden2015$170billonesusdpara2020La1noamérica$11.91billonesusdpara2019(7%)
¿Gastamostantoyseguimossiendocomprome1dos?
hkp://www.forbes.com/sites/stevemorgan/2016/03/09/worldwide-cybersecurity-spending-increasing-to-170-billion-by-2020/#37dd4a676f80
Agenda
• Algodehistoria• APTs• Todo1enequeverconriesgo• KillChain• DBIR• Conclusiones
APT
SiempreencontrarálamaneradeentrarSolo1enequeencontrarunavulnerabilidadInvisibleAutoma1zadoIntervencionesmanuales
“Laprevenciónesideal,ladetecciónesobligatoria”
“nuestraredserácomprome1da”
Agenda
• Algodehistoria• APTs• Todo1enequeverconriesgo• KillChain• DBIR• Conclusiones
Riesgo=AmenazasxVulnerabilidadesxImpacto
Todo1enequeverconRIESGO
1. ¿Cuálessonlosriesgos?
2. ¿Cuáleselriesgodemayorprioridad?
3. ¿Hayunamejormaneracosto/beneficioparareducirelriesgo?
¿Yqueestamoshaciendo?
1. Polí1casdeSeguridad2. PresupuestosdeSeguridad3. Unequipodeseguridad4. Firewalls5. Sistemasdefiltradodecontenido6. Sistemasdeprevencióndeintrusiones7. Seguridadenelendpoint8. Proteccióncontramalware
Agenda
• Algodehistoria• APTs• Todo1enequeverconriesgo• KillChain• DBIR• Conclusiones
2011LockheedMar3n-KillChain
1.Recono-cimiento
2.Armado
3.Entrega
4.Explotación
5.Instalación
6.ComandoyControl
7.Acciones
2015CybersecurityKillChain
1.EstablecerPuntodeApoyo
2.ComandoyControl
3.Escalación
dePrivilegios
4.Movimiento
Lateral
5.Completarlamisión
Agenda
• Algodehistoria• APTs• Todo1enequeverconriesgo• KillChain• DBIR• Conclusiones
Verizon’s2016DataBreachInves3ga3onsReport
Nohayindustria,regiónuorganización
queseaapruebadebalascuandosetratadecomprometerlosdatos
hkp://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
Actoresdelaamenaza
Tiempoparaelcompromisoylaexfiltracióndedatos
Tiempoparacomprometerydescubrir(%deocasionesquesonDías)
Brechasdedatosconfirmadas(clasificadaspor1podeincidentes)
Concluyendo…
Hay4cosasimportantesalimplementarunprogramaparaprevenirydetectar
amenazasavanzadas
1. Balance:Prevención,DetecciónyRespuesta2. Olvidarelmodeloque“conuaperoverifica”3. Seguirlasmejoresprác1cas4. Acércatealosexpertos
Balance:Prevención,DetecciónyRespuesta
Defensa
Mitigación
Decepción
Detección
Análisis
Prevención
DEFENDER MÁS ALLÁ DEL PERÍMETRO ¿Alguien logró entrar?
¿Qué se llevaron? ¿Cómo sucedió?
¿Cómo lo detenemos?
No dejar que suceda (Lo tradicional)
1
Olvidarelmodelo“conuaperoverifica”ZeroTrustModel
1. Asumequeyanoexistenaplicaciones,redesniusuariosconfiablesdentrodelaorganización
2. Sedebeinspeccionartodoeltráficoquepasaporlaredbuscandodetectaramenazasconocidasydesconocidas.
3. Recomiendabalancearlosesfuerzosdelaorganización,entrelaprevención,detecciónyrespuestaaincidentesdeseguridad.
2
Recomendadou1lizarmodelodeKill-Chainparaseleccionarcontroles
1. “Next-Genera3onFirewalls”.Implementarpolí1casbasadasenaplicacionesycorrelacionarloseventosde“Firewall/IPS/Threat-Preven3on”
2. “Sandbox”.Proteccióncontraamenazasnoconocidas
3. Micro-segmentaciónderedes4. Serviciosde“an3-phishing”enlanube.Analizar
lasURLscontenidasenelcorreoenbuscadedominiosmaliciosos
2
Recomendadou1lizarmodelodeKill-Chainparaseleccionarcontroles
5. Priorizacióndevulnerabilidades6. Descubrir,analizarycontrolarelusode
“SoRwareasaService”7. Implementarunplanderecuperaciónde
desastres,proteccióncontraataquesdedenegacióndeservicioyserviciosconocidoscomo“CleanPipes”
8. Deteccióndemalwarenobasadoenfirmaspara“Endpoints”
2
Permanecer ExplotarObteniendoAcceso1.Inventariode
Hardware2.Inventariode
Sowware
4.Eval.Con1nuaVulnerabilidades19.IngenieríadeSeguridaddeRed
20.PruebasdePenetración
3.ConfiguraciónSeguraCómputo10.ConfiguraciónSeguradeDisp.Red
6.SeguridadSowwareApps.
7.ControlDisposi1vosWiFi
5.DefensacontraMalware
11.LimitarPuertos/Protocolos/Servicios
14.AuditoríaLogs
13.DefensaPerimetral
12.AdministracióndePrivilegios15.Controlde
Acceso
20.PruebasdePenetración
9.HabilidadesdeSeguridadyCap.
8.RecuperacióndeDatos
17.DataLossPreven1on
18.RespuestaaIncidentes
16.Monitoreo
Reconocimiento
A c c i o n e s d e l A d v e r s a r i o p a r a A t a c a r u n a R e d
MiJgarImpactodelosAtaques
DetenerelRestodelosAtaques
DetenerAtaquesdeManeraTemprana
Seguir las mejores prácticas 20 Controles de Seguridad
3
Acércatealosexpertos
Contribuimosenunidadconnuestrosclientesparaproveeroportunidadesdedesarrolloanuestrasociedadayudandoaquelosnegociosopereneficientemente.
4
Acércatealosexpertos4
¡Gracias!