Hewlett Packard, Félix Martín
HP TS Consulting. EMEA Security Leader
Herramientas de Seguridad integrada ante los nuevos
A...
Herramientas de Seguridad integrada ante los
nuevos Ataques inteligentes
ÍNDICE
1. Nuevo paradigma de Seguridad
2. Estrate...
3
1. Nuevo paradigma de Seguridad
2. Estrategia Seguridad en Profundidad
3. Protección ante ataques inteligentes
4. Retos ...
4
Tendencias e Innovaciones Disruptivas
Traen consigo nuevos riesgos:
- Nuevos canales, sin políticas definidas
- Explosió...
5
Cyber Milicia
Uso activo del ciberespacio como campo de
batalla, terrorismo….
Cyber Altruismo
Individuales y grupos moti...
6
La seguridad Tradicional no es suficiente
Vulnerabilidades
comunes
Phishing
Website
malicioso
Herramientas de
descubrimi...
7
Vulnerabilidad Zero Day
Ataque
Zero Day
Ventana de Exposición
Zero TIME
Vulnerabilidades desconocidas para todo el mundo...
8
Se ejecuta un malware. P.e.
Poison Ivy
Se recolecta datos
durante un periodo de
tiempo
Se trocea la información
en fiche...
9
10
1. Nuevo paradigma de Seguridad
2. Estrategia Seguridad en Profundidad
3. Protección ante ataques inteligentes
4. Retos...
11
Seguridad = Confianza
1. Known knowns. BugTraq
2. Known Unknowns. Vulnerabilidades sin parche. CVE
3. Unknown Unknowns....
12
Defensa en Profundidad
• Concepto militar Aplicado a
ciberseguridad
• Es útil contra nuevos
ataques avanzados,
intelige...
13
Arquitectura Referencia Seguridad HP
Defensa en Profundidad
….. más que sólo tecnología
14
1. Nuevo paradigma de Seguridad
2. Estrategia Defensa en Profundidad
3. Protección ante ataques inteligentes
4. Retos y...
15
Tendencias de protección
Seguridad en el
puesto
Seguridad
Perimetral
Protección
Información
Hacktivismo
Profesional
• A...
16
Herramientas de seguridad
integradas ante nuevos ataques
1. Servicios de Inteligencia de Amenazas
2. SIEM y correlación...
17
1. Servicios de Inteligencia de Amenazas
Información global que puedo integrar en los sistemas de seguridad
para realiz...
18
1. Servicios de Inteligencia de Amenazas
1,400+ Investigadores Independientes
Digital Vaccine
Broadest Coverage • Everg...
19
2. SIEM y Correlación
Recolección
• Recolecta información de cualquier sistema o aplicación.
• Añade contexto para acti...
20
2. SIEM y Correlación
Aproximación Visual. Una imagen aporta más que mil líneas de log
21
2. SIEM y correlación
Normalización. La clave
Windows
Failed Login Event
Oracle
Failed Login Event
UNIX
Failed Login Ev...
22
2. SIEM y Correlación
Ejemplo de Correlación
Combinación de múltiples eventos con reglas predefinida
23
2. SIEM y Correlación
Ejemplo de Correlación
Reglas de correlación a partir de otras reglas predefinidas
24
2. SIEM y Correlación
Ejemplo de Correlación
La correlación con análisis estadístico permite reducir los
falsos positiv...
25
3. Sandboxing dinámico
Ejecución de un programa en un entorno aislado y controlado para
monitorizar su comportamiento.
...
26
3. Sandboxing dinámico
… en acción
27
3. Sandboxing dinámico
Fortalezas:
• Automatizado
• Ejecución relativamente rápida (<1 minuto)
• No requiere capacidade...
28
4. Soluciones Security Analytics
• Recolecta todo el tráfico de red en una ventana temporal.
Como una cámara de TV
• An...
29
4. Soluciones Security Analytics
…. en acción
30
4. Soluciones Security Analytics
…. en acción
31
Resumen de capacidades herramientas
Total
Parcial
No
Inteligencia
Seguridad
SIEM y
Correlación
Sandboxing Security
Anal...
32
Se recolecta datos
durante un periodo de
tiempo
NMAP scan de la red para
recolectar información
sensible
Se ejecuta un ...
33
1. Nuevo paradigma de Seguridad
2. Estrategia Seguridad en Profundidad
3. Protección ante ataques inteligentes
4. Retos...
34
• Nuevas formas de ataque requiere nuevas formas de abordar
la seguridad.
• Una estrategia de defensa en profundidad co...
35
Hewlett Packard, Félix Martín
HP TS Consulting. EMEA Security Leader
Herramientas de Seguridad integrada ante los nuevos
A...
Upcoming SlideShare
Loading in...5
×

Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final

117

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
117
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final

  1. 1. Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes 1 Abril 2014 Construyendo la Ciberdefensa en España
  2. 2. Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes ÍNDICE 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Conclusiones
  3. 3. 3 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
  4. 4. 4 Tendencias e Innovaciones Disruptivas Traen consigo nuevos riesgos: - Nuevos canales, sin políticas definidas - Explosión de los datos - Perdida de noción de privacidad - Dificultad de control y trazabilidad
  5. 5. 5 Cyber Milicia Uso activo del ciberespacio como campo de batalla, terrorismo…. Cyber Altruismo Individuales y grupos motivados por conciencia social, reivindicación de derechos y denuncias sociales,… Cyber Cartel Cybercrimen organizado, convergencia de lo tradicional y cyber. Robo de Información Aumento del CyberCrimen Hacktivismo ProfesionalAdvanced Persistent Threat 2010 20112003 20122004 2005 2006 20082007 2009 2013 2014 StuxNet 2010 AOL 2010 TJ Maxx 2010 UK Revenue & Customs 2006 Heartland 2009 Evernote 2013 NASA Shuttle Plans Dec 2006 Estonia Dark May 2007 Buckshot Yankee Nov 2008 GhostNet Mar 2009 Sony PSN Dec 2010 .CN Aug 2013 WSJ - SEA Aug 2013 Apple Aug 2011 Red October Dec 2010 Facebook 2013 Living Social 2013 Yahoo 2013 Shamoon Aug 2012 Tamper Data June 2012 Video Conferenci ng Aug 2012 DigiNotar Sept 2011 Kernel.org Aug 2011 Linea tiempo Cyber Stuxnet, diseñado para manipular sistemas de control industrial, utiliza cuatro vulnerabilidades zero-day para atacar el programa de enriquecimiento de uranio iraní. Se descubre “Red October” que ha estado operando desde 2007 robando información en vulnerabilidades de MS Word y Excel El ejercito Sirio ataca al Wall Street Journal. El perfil de Mark Zuckerberg, fundador de Facebook es hackeado por un trabajador palestino. Heartland, robo de 100 millones de tarjetas personales. Coste 140M$ Shamoon – Virus de ciberespionaje capaz de extenderse mediante la explotación de discos compartidos. Tamper Data Hack. Vulnerabilidad en Hotamil que permitio el acceso a 13 millones de cuentas de hotmail. El mayor ataque al departamento de defensa de US. Infección por un USB infectado. Creación del US CyberCommand PlayStation network, robo de información personal de 77 millones de usuarios. Coste 170M$
  6. 6. 6 La seguridad Tradicional no es suficiente Vulnerabilidades comunes Phishing Website malicioso Herramientas de descubrimiento Herramientas de exploits Malware básico Exploit en documentos Botnets Spear Phishing Watering Hole Zero-Day Crypted RAT
  7. 7. 7 Vulnerabilidad Zero Day Ataque Zero Day Ventana de Exposición Zero TIME Vulnerabilidades desconocidas para todo el mundo, incluso para el creador de la aplicación.
  8. 8. 8 Se ejecuta un malware. P.e. Poison Ivy Se recolecta datos durante un periodo de tiempo Se trocea la información en ficheros, se cifran y se envían via FTP al exterior La organización se entera del ataque por la prensa Abre un fichero excel adjunto Se instala un RAT utilizando una vulnerabilidad de Adobe Flash Un empleado recibe un email NMAP scan de la red para recolectar información sensible Ejemplo de Ataque dirigido
  9. 9. 9
  10. 10. 10 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y Conclusiones
  11. 11. 11 Seguridad = Confianza 1. Known knowns. BugTraq 2. Known Unknowns. Vulnerabilidades sin parche. CVE 3. Unknown Unknowns. Zero Days …. Investigación y análisis forense en caso de ocurrir. ¿Cual ha sido el impacto del incidente? BugTraq http://www.securityfocus.com/ CVE http://cve.mitre.org/
  12. 12. 12 Defensa en Profundidad • Concepto militar Aplicado a ciberseguridad • Es útil contra nuevos ataques avanzados, inteligentes, persistentes, dirigidos, ya que pone las máximas trabas posibles al atacante • Estrategia basada en colocar varias líneas consecutivas de protección
  13. 13. 13 Arquitectura Referencia Seguridad HP Defensa en Profundidad ….. más que sólo tecnología
  14. 14. 14 1. Nuevo paradigma de Seguridad 2. Estrategia Defensa en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
  15. 15. 15 Tendencias de protección Seguridad en el puesto Seguridad Perimetral Protección Información Hacktivismo Profesional • Antivirus • Hardening • Firewall • IDS / IPS • Antispam • WebProxy • Data Loss Prevention • Database Access Monitoring • Privileged User Management • Web App Firewalls
  16. 16. 16 Herramientas de seguridad integradas ante nuevos ataques 1. Servicios de Inteligencia de Amenazas 2. SIEM y correlación 3. SandBoxing dinámico 4. Soluciones Security Analytics La respuesta a: • Known Unknowns. Vulnerabilidades sin parche. CVE • Unknown Unknowns. Zero Days …. Investigación y análisis forense Hacktivismo Profesional
  17. 17. 17 1. Servicios de Inteligencia de Amenazas Información global que puedo integrar en los sistemas de seguridad para realizar una gestión de seguridad proactiva. Ejemplos de protección: - Proxy/Antispam. Bloqueo de objetos basado en whitelist/blacklist - NGFW/IPS - Actualización de firmas. Inteligencia cloud/comunidad - Bloqueo de trafico basado en reputación IP/DNS - SIEM. Correlación de eventos con servicio reputación. Detección de BOT interno
  18. 18. 18 1. Servicios de Inteligencia de Amenazas 1,400+ Investigadores Independientes Digital Vaccine Broadest Coverage • Evergreen Protection Web App DV and Scanning Web Scan• Custom Filters • PCI Report Application DV Application filters for security and control Reputation DV IP Reputation • DNS Reputation La Iniciativa Día Cero (ZDI), fundado por TippingPoint, es un programa para recompensar a los investigadores de seguridad para la revelación y comunicación de vulnerabilidades de manera responsable.
  19. 19. 19 2. SIEM y Correlación Recolección • Recolecta información de cualquier sistema o aplicación. • Añade contexto para activos, usuarios y procesos de negocio Recolección Consolidación Correlación Consolidación • Gestión universal de logs centralizada para soportar las operaciones de IT, Seguridad, cumplimiento. • Informes e investigación con históricos de datos Recolección Consolidación Correlación Correlación • Reconocimiento de patrones y detección de anomalías • Integración de Servicios de Inteligencia. • Cuanto más recolectemos … mas inteligencia !! Recolección Consolidación Correlación SIEM- Security Information and Event Management
  20. 20. 20 2. SIEM y Correlación Aproximación Visual. Una imagen aporta más que mil líneas de log
  21. 21. 21 2. SIEM y correlación Normalización. La clave Windows Failed Login Event Oracle Failed Login Event UNIX Failed Login Event Badge Reader Entry Denied OS/390 Failed Login Event
  22. 22. 22 2. SIEM y Correlación Ejemplo de Correlación Combinación de múltiples eventos con reglas predefinida
  23. 23. 23 2. SIEM y Correlación Ejemplo de Correlación Reglas de correlación a partir de otras reglas predefinidas
  24. 24. 24 2. SIEM y Correlación Ejemplo de Correlación La correlación con análisis estadístico permite reducir los falsos positivos
  25. 25. 25 3. Sandboxing dinámico Ejecución de un programa en un entorno aislado y controlado para monitorizar su comportamiento. Internal Network SandBox Internet Internal Network SandBox WebProxy Internet
  26. 26. 26 3. Sandboxing dinámico … en acción
  27. 27. 27 3. Sandboxing dinámico Fortalezas: • Automatizado • Ejecución relativamente rápida (<1 minuto) • No requiere capacidades de ingeniería inversa • Se puede adaptar al entorno real Debilidad: • Lucha continua “del hacker” buscando técnicas de evasión • Puede haber casos de no detección
  28. 28. 28 4. Soluciones Security Analytics • Recolecta todo el tráfico de red en una ventana temporal. Como una cámara de TV • Análisis en tiempo real, facilita la Investigación y Análisis forense • Reconstruye ficheros • Reconstruye sesiones • Permite evaluar el impacto de un ataque de seguridad Internal Network Security Analytics Internet …. los incidentes ocurren y hay que gestionarlos
  29. 29. 29 4. Soluciones Security Analytics …. en acción
  30. 30. 30 4. Soluciones Security Analytics …. en acción
  31. 31. 31 Resumen de capacidades herramientas Total Parcial No Inteligencia Seguridad SIEM y Correlación Sandboxing Security Analytics Known knowns Known Unknowns Unknown Unknowns Investigación Forense
  32. 32. 32 Se recolecta datos durante un periodo de tiempo NMAP scan de la red para recolectar información sensible Se ejecuta un malware. P.e. Poison Ivy Se instala un RAT utilizando una vulnerabilidad de Adobe Flash Un empleado recibe un email Se trocea la información en ficheros, se cifran y se envían via FTP al exterior La organización se entera del ataque por la prensa Abre un fichero excel adjunto • Antispam con Threat Intelligence • Sanboxing 1 • Antivirus con Threat Intelligence 2 • NGFW con Threat Intelligence para bloquear infecciones 4 • SEM para monitorizar actividad anómala 5 • SEM para monitorizar actividad anómala 6 • SEM con Threat Intelligence • Security Analytics 7 Seguridad Efectiva 8 • Gestión de Vulnerabilidades 3
  33. 33. 33 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
  34. 34. 34 • Nuevas formas de ataque requiere nuevas formas de abordar la seguridad. • Una estrategia de defensa en profundidad con una combinación de técnicas y soluciones descritas es la mejor aproximación ante el nuevo paradigma. • ….. pero no garantiza una protección absoluta • El eslabón más débil…. el factor humano: las personas.
  35. 35. 35
  36. 36. Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes 1 Abril 2014 Construyendo la Ciberdefensa en España
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×