Estrategias para gestionar riesgo ante amenazas avanzadas

819 views
684 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
819
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Las principales características de estos sistemas son:Gracias a utilizar múltiples fuentes de información y manejar grandes volúmenes de datos, permiten optimizar las alarmas que se generan para entregar una cantidad mínima de falsos positivos. Pensemos en lo que implica para un ser humano estar mirando una consola, por ejemplo, de un sistema de detección de intrusos: se generan tantos eventos que es imposible que pueda analizarlos y tomar decisiones, y mucho menos cuando a eso le agregamos eventos de un antivirus, un sistema antispam, múltiples puntos de control… Una de las grandes ventajas de la tecnología de correlación es que permite optimizar el tiempo de los especialistas ya que cuando se detecta una alarma es porque realmente vale la pena invertir el tiempo en analizar qué ocurre.Otro punto fundamental es que estas herramientas poseen varias técnicas de detección; utilizan la detección de patrones porque interactúan con sistemas de antivirus y detección de intrusos por ejemplo, pero también pueden detectar ataques a través de patrones de tráfico y reglas de negocio, un punto que más adelante vamos a ampliar.En definitiva, estos sistemas permiten optimizar la efectividad de los sistemas que ya existen en la organización; nos va a permitir optimizar el valor de las inversiones que ya se realizaron gracias a utilizar toda esa información que hoy en día no se está utilizando e interpretarla de una forma más inteligente en tiempo real.
  • Estrategias para gestionar riesgo ante amenazas avanzadas

    1. 1. Evolución de las estrategias y tecnologías de seguridad contraamenazas avanzadas e ingeniería social Gabriel Marcos – Product Manager
    2. 2. EL CASO GLOBAL PAYMENTS MARZO, 2012: un ataque compromete información de1.5 MM de tarjetas de crédito. http://www.informationweek.com/security/attacks/global-payments-breach-big-authenticatio/232800194 http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
    3. 3. EL CASO GLOBAL PAYMENTS By Zacks Equity Research | ZacksVisa Inc. (NYSE:V - News) has dropped Global Payments Inc. Mon, Apr 2, 2012 5:07 PM EDT(NYSE:GPN - News) from its list of service providers after detecting acyber intrusion in the latter’s system that likely threatens about 1.5million customer accounts. This was the second breach of card databy in a year. Evolución del valor de la acción NYSE:GPN Momento del ataque http://www.securitybydefault.com/2012/04/el-caso-global-payments-consecuencias.html
    4. 4. AMENAZAS AVANZADAS: ADVANCED PERSISTENT THREATS (APT) 2 Distribución 1 3Investigación Infección 6 Búsqueda 4Control 5 7 Propagación Objetivo
    5. 5. ADVANCED PERSISTENT THREATS (APT) MESES SEMANAS Compromiso Rapidez (ataque exitoso) para producir Extracción deresultados datos DescubrimientoDifícil dedetectar Contención oy reparar restauración MINUTOS
    6. 6. AMENAZAS AVANZADAS: REDES BOTNET Redes compuestas, cada una, de miles de computadores controlados desde un punto central disponibles para: • ejecutar ataques de denegación de servicio (DDOS) • distribución de amenazas • robo de información • otroshttp://www.csoonline.com/article/348317/what-a-botnet-looks-like
    7. 7. REDES BOTNETAlgunos de los negociosde las redes BOTNET:• alquiler de bots• ataques de marca http://www.infosecurity-magazine.com/view/24335/thor-a-new-p2p-botnet-for-sale blanca• competencia desleal (ataques dirigidos)• distribución de contenido ilegal• venta de redes botnet http://blog.webroot.com/2012/06/06/ddos-for-hire-services-offering-to-take-down-your- competitors-web-sites-going-mainstream/
    8. 8. INGENIERIA SOCIALDistinta técnica, los mismos objetivos… THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY: A SURVEY OF IT PROFESSIONALS Dimensional Research | September 2011
    9. 9. INGENIERIA SOCIALNadie es inmune a un ataque de Ingeniería Social. THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY: A SURVEY OF IT PROFESSIONALS Dimensional Research | September 2011
    10. 10. • NEGOCIO: objetivo económico, retorno de inversión.• VOLUMEN: economía de escala.• SIGILOSIDAD: mayor duración del negocio del hacker.• GLOBALIZACIÓN: distribución del riesgo.• COMPLEJIDAD: múltiples técnicas y amenazas.
    11. 11. • ZONAS DE RIESGO: seguridad “a medida”.• CONTROLES: específicos por ataque/técnica/amenaza.• INGENIERÍA SOCIAL: integrar el factor humano.• PROACTIVIDAD: predicción y prevención.• SEGUIMIENTO: ciclo de vida de los posibles ataques.
    12. 12. ZONAS DE RIESGO Critical Servers (CRM / ERP) • No matar un Public Servers mosquito con (WEB / MAIL) un cohete • No llevar unRemoteBranches Remote cuchillo a un (VPN) Branches tiroteo (WAN)INTERNET Private Network Third-parties (Clients / Vendors) Local UsersRemote Users
    13. 13. ZONAS DE RIESGO Defensa en profundidad y zonas de riesgo: másCONTROLES controles mientras más crítico es el activo
    14. 14. ZONAS DE RIESGO Y CONTROLES Critical Servers (CRM / ERP) • Database Security • Email Security Public Servers (WEB / MAIL) • Firewall Remote • IPS Branches Remote (VPN) • Firewall• Web Branches • IPS Application (WAN) to site VPN • Site Firewall ( WAF) INTERNET Private Network • Firewall Third-parties • IPS (Clients / • Antivirus Vendors) • Antispam • Endpoint Security • Content filter • Autenticación Local Users to site VPN • Site Remote fuerte • Client to site Users VPN • SSL VPN
    15. 15. EJEMPLO: ADVANCED PERSISTENT THREATS (APT) • Database Security • Email Security • Firewall • IPS • Firewall• Web • IPS Application • Site to site VPN Firewall ( WAF) • Firewall • IPS • Antivirus • Antispam • Endpoint Security • Content filter • Autenticación • Site to site VPN fuerte • Client to site VPN • SSL VPN
    16. 16. INFORMACION PARA DETECCIÓN DE AMENAZAS SIEM
    17. 17. INTRODUCCION A SIEMSIEM = Security & Information Event Management• Menos falsos positivos• Alarmas significativas (calificadas)• Análisis de riesgo en tiempo real• Seguimiento de amenazas• Múltiples técnicas de detección: – Tráfico – Patrones – Reglas de negocio• Reportes en tiempo real• Data-warehouse de eventos
    18. 18. CARACTERISTICAS DE SIEM• Análisis en tiempo real • Costo de entrada• Integración de elevados: tecnologías existentes • Licencias (mayor ROI) • Servidores• Un solo punto de • SAN reportes, logging y • Tiempo y dificultad de compliance implementación• Una sola fuente de • Alto costo de mejora información consistente • Recursos 7x24• Detección de amenazas • Entrenamiento para avanzadas customización • Acceso ante un ataque (in-house)
    19. 19. USO DE SIEM EN BANCOShttp://m.informationweek.in/Security/12-06-12/BOI_uses_SIEM_to_reduce_false_positives_and_boost_security.aspx
    20. 20. CARACTERISTICAS DE SIEM CONSUMO DE SERVICIOS DESDE LA NUBE (modalidad SaaS)• Análisis en tiempo real• Integración de tecnologías existentes (mayor ROI)• Un solo punto de reportes, logging y compliance• Una sola fuente de información consistente
    21. 21. POSIBILIDADES DEL SIEMSeguimiento de alarmas calificadas entre todos los dispositivos
    22. 22. POSIBILIDADES DEL SIEMSeguimiento de cambios entre todos los dispositivos
    23. 23. POSIBILIDADES DEL SIEM• Detección de ataques desconocidos (zero-day) – Patrones de tráfico – Operaciones repetitivas (fuerza bruta)• Detección de anomalías en procesos – Comportamiento humano!• Detección de ataques a nivel de aplicación – Monitoreo de transacciones – Operaciones con bases de datos• Reportes de compliance en tiempo real
    24. 24. CONCLUSIONESAlbert Einstein:No podemos resolver problemas pensando de lamisma manera que cuando los creamos.
    25. 25. CONCLUSIONES
    26. 26. Muchas gracias!Gabriel MarcosProduct Manager – Columbus Networksgmarcos@columbus-business.com @jarvelQuién tiene la primera pregunta?

    ×