Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final
Upcoming SlideShare
Loading in...5
×
 

Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final

on

  • 171 views

 

Statistics

Views

Total Views
171
Views on SlideShare
171
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final Soluciones+tecnologicas+avanzadas.+hp.+v1.1+final Presentation Transcript

  • Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes 1 Abril 2014 Construyendo la Ciberdefensa en España
  • Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes ÍNDICE 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Conclusiones
  • 3 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
  • 4 Tendencias e Innovaciones Disruptivas Traen consigo nuevos riesgos: - Nuevos canales, sin políticas definidas - Explosión de los datos - Perdida de noción de privacidad - Dificultad de control y trazabilidad
  • 5 Cyber Milicia Uso activo del ciberespacio como campo de batalla, terrorismo…. Cyber Altruismo Individuales y grupos motivados por conciencia social, reivindicación de derechos y denuncias sociales,… Cyber Cartel Cybercrimen organizado, convergencia de lo tradicional y cyber. Robo de Información Aumento del CyberCrimen Hacktivismo ProfesionalAdvanced Persistent Threat 2010 20112003 20122004 2005 2006 20082007 2009 2013 2014 StuxNet 2010 AOL 2010 TJ Maxx 2010 UK Revenue & Customs 2006 Heartland 2009 Evernote 2013 NASA Shuttle Plans Dec 2006 Estonia Dark May 2007 Buckshot Yankee Nov 2008 GhostNet Mar 2009 Sony PSN Dec 2010 .CN Aug 2013 WSJ - SEA Aug 2013 Apple Aug 2011 Red October Dec 2010 Facebook 2013 Living Social 2013 Yahoo 2013 Shamoon Aug 2012 Tamper Data June 2012 Video Conferenci ng Aug 2012 DigiNotar Sept 2011 Kernel.org Aug 2011 Linea tiempo Cyber Stuxnet, diseñado para manipular sistemas de control industrial, utiliza cuatro vulnerabilidades zero-day para atacar el programa de enriquecimiento de uranio iraní. Se descubre “Red October” que ha estado operando desde 2007 robando información en vulnerabilidades de MS Word y Excel El ejercito Sirio ataca al Wall Street Journal. El perfil de Mark Zuckerberg, fundador de Facebook es hackeado por un trabajador palestino. Heartland, robo de 100 millones de tarjetas personales. Coste 140M$ Shamoon – Virus de ciberespionaje capaz de extenderse mediante la explotación de discos compartidos. Tamper Data Hack. Vulnerabilidad en Hotamil que permitio el acceso a 13 millones de cuentas de hotmail. El mayor ataque al departamento de defensa de US. Infección por un USB infectado. Creación del US CyberCommand PlayStation network, robo de información personal de 77 millones de usuarios. Coste 170M$
  • 6 La seguridad Tradicional no es suficiente Vulnerabilidades comunes Phishing Website malicioso Herramientas de descubrimiento Herramientas de exploits Malware básico Exploit en documentos Botnets Spear Phishing Watering Hole Zero-Day Crypted RAT
  • 7 Vulnerabilidad Zero Day Ataque Zero Day Ventana de Exposición Zero TIME Vulnerabilidades desconocidas para todo el mundo, incluso para el creador de la aplicación.
  • 8 Se ejecuta un malware. P.e. Poison Ivy Se recolecta datos durante un periodo de tiempo Se trocea la información en ficheros, se cifran y se envían via FTP al exterior La organización se entera del ataque por la prensa Abre un fichero excel adjunto Se instala un RAT utilizando una vulnerabilidad de Adobe Flash Un empleado recibe un email NMAP scan de la red para recolectar información sensible Ejemplo de Ataque dirigido
  • 9
  • 10 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y Conclusiones
  • 11 Seguridad = Confianza 1. Known knowns. BugTraq 2. Known Unknowns. Vulnerabilidades sin parche. CVE 3. Unknown Unknowns. Zero Days …. Investigación y análisis forense en caso de ocurrir. ¿Cual ha sido el impacto del incidente? BugTraq http://www.securityfocus.com/ CVE http://cve.mitre.org/
  • 12 Defensa en Profundidad • Concepto militar Aplicado a ciberseguridad • Es útil contra nuevos ataques avanzados, inteligentes, persistentes, dirigidos, ya que pone las máximas trabas posibles al atacante • Estrategia basada en colocar varias líneas consecutivas de protección
  • 13 Arquitectura Referencia Seguridad HP Defensa en Profundidad ….. más que sólo tecnología
  • 14 1. Nuevo paradigma de Seguridad 2. Estrategia Defensa en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
  • 15 Tendencias de protección Seguridad en el puesto Seguridad Perimetral Protección Información Hacktivismo Profesional • Antivirus • Hardening • Firewall • IDS / IPS • Antispam • WebProxy • Data Loss Prevention • Database Access Monitoring • Privileged User Management • Web App Firewalls
  • 16 Herramientas de seguridad integradas ante nuevos ataques 1. Servicios de Inteligencia de Amenazas 2. SIEM y correlación 3. SandBoxing dinámico 4. Soluciones Security Analytics La respuesta a: • Known Unknowns. Vulnerabilidades sin parche. CVE • Unknown Unknowns. Zero Days …. Investigación y análisis forense Hacktivismo Profesional
  • 17 1. Servicios de Inteligencia de Amenazas Información global que puedo integrar en los sistemas de seguridad para realizar una gestión de seguridad proactiva. Ejemplos de protección: - Proxy/Antispam. Bloqueo de objetos basado en whitelist/blacklist - NGFW/IPS - Actualización de firmas. Inteligencia cloud/comunidad - Bloqueo de trafico basado en reputación IP/DNS - SIEM. Correlación de eventos con servicio reputación. Detección de BOT interno
  • 18 1. Servicios de Inteligencia de Amenazas 1,400+ Investigadores Independientes Digital Vaccine Broadest Coverage • Evergreen Protection Web App DV and Scanning Web Scan• Custom Filters • PCI Report Application DV Application filters for security and control Reputation DV IP Reputation • DNS Reputation La Iniciativa Día Cero (ZDI), fundado por TippingPoint, es un programa para recompensar a los investigadores de seguridad para la revelación y comunicación de vulnerabilidades de manera responsable.
  • 19 2. SIEM y Correlación Recolección • Recolecta información de cualquier sistema o aplicación. • Añade contexto para activos, usuarios y procesos de negocio Recolección Consolidación Correlación Consolidación • Gestión universal de logs centralizada para soportar las operaciones de IT, Seguridad, cumplimiento. • Informes e investigación con históricos de datos Recolección Consolidación Correlación Correlación • Reconocimiento de patrones y detección de anomalías • Integración de Servicios de Inteligencia. • Cuanto más recolectemos … mas inteligencia !! Recolección Consolidación Correlación SIEM- Security Information and Event Management
  • 20 2. SIEM y Correlación Aproximación Visual. Una imagen aporta más que mil líneas de log
  • 21 2. SIEM y correlación Normalización. La clave Windows Failed Login Event Oracle Failed Login Event UNIX Failed Login Event Badge Reader Entry Denied OS/390 Failed Login Event
  • 22 2. SIEM y Correlación Ejemplo de Correlación Combinación de múltiples eventos con reglas predefinida
  • 23 2. SIEM y Correlación Ejemplo de Correlación Reglas de correlación a partir de otras reglas predefinidas
  • 24 2. SIEM y Correlación Ejemplo de Correlación La correlación con análisis estadístico permite reducir los falsos positivos
  • 25 3. Sandboxing dinámico Ejecución de un programa en un entorno aislado y controlado para monitorizar su comportamiento. Internal Network SandBox Internet Internal Network SandBox WebProxy Internet
  • 26 3. Sandboxing dinámico … en acción
  • 27 3. Sandboxing dinámico Fortalezas: • Automatizado • Ejecución relativamente rápida (<1 minuto) • No requiere capacidades de ingeniería inversa • Se puede adaptar al entorno real Debilidad: • Lucha continua “del hacker” buscando técnicas de evasión • Puede haber casos de no detección
  • 28 4. Soluciones Security Analytics • Recolecta todo el tráfico de red en una ventana temporal. Como una cámara de TV • Análisis en tiempo real, facilita la Investigación y Análisis forense • Reconstruye ficheros • Reconstruye sesiones • Permite evaluar el impacto de un ataque de seguridad Internal Network Security Analytics Internet …. los incidentes ocurren y hay que gestionarlos
  • 29 4. Soluciones Security Analytics …. en acción
  • 30 4. Soluciones Security Analytics …. en acción
  • 31 Resumen de capacidades herramientas Total Parcial No Inteligencia Seguridad SIEM y Correlación Sandboxing Security Analytics Known knowns Known Unknowns Unknown Unknowns Investigación Forense
  • 32 Se recolecta datos durante un periodo de tiempo NMAP scan de la red para recolectar información sensible Se ejecuta un malware. P.e. Poison Ivy Se instala un RAT utilizando una vulnerabilidad de Adobe Flash Un empleado recibe un email Se trocea la información en ficheros, se cifran y se envían via FTP al exterior La organización se entera del ataque por la prensa Abre un fichero excel adjunto • Antispam con Threat Intelligence • Sanboxing 1 • Antivirus con Threat Intelligence 2 • NGFW con Threat Intelligence para bloquear infecciones 4 • SEM para monitorizar actividad anómala 5 • SEM para monitorizar actividad anómala 6 • SEM con Threat Intelligence • Security Analytics 7 Seguridad Efectiva 8 • Gestión de Vulnerabilidades 3
  • 33 1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones
  • 34 • Nuevas formas de ataque requiere nuevas formas de abordar la seguridad. • Una estrategia de defensa en profundidad con una combinación de técnicas y soluciones descritas es la mejor aproximación ante el nuevo paradigma. • ….. pero no garantiza una protección absoluta • El eslabón más débil…. el factor humano: las personas.
  • 35
  • Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes 1 Abril 2014 Construyendo la Ciberdefensa en España