Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

El replanteamiento de la ciberseguridad

359 views

Published on

El replanteamiento de la ciberseguridad ante los ataques que nos vienen

Published in: Technology
  • Be the first to comment

El replanteamiento de la ciberseguridad

  1. 1. Security you don’t expectCraft Counter
  2. 2. ± Ñ ± † ± ‘ 2000 2004 2006 2008 2010 2013 Accesos a la red Threat IntelligenceMonitorización Fugas de datos CompartamosPerímetro ‘ 2015 Endpoint ‘ 2016 Generemos TI Replanteamiento de amenazas
  3. 3. https://www.fbi.gov/wanted/cyber
  4. 4. Evolución - I • Cuidemos el perímetro • Miremos qué encontramos fuera del perímetro • TTPs • Integración en elementos de seguridad • A veces difícil de sacar provecho • ¿Qué feeds elegimos? • Centrados en el sector financiero • Información de terceros – puede que no nos afecten
  5. 5. Autor: John Lambert
  6. 6. Fuente: https://attack.mitre.org/wiki/Groups
  7. 7. Evolución - II • Compartamos información e inteligencia • ¿De quién nos fiamos? • Por grupos de confianza • Sectores: FS-ISAC • CERTs • Diferentes por cultura y sector • Nomenclatura común • STIX / TAXII • CyBOX • OpenIOC • Herramientas de compartición • ThreatConnect, Soltra, MISP, CRITs
  8. 8. STIX
  9. 9. Manipulación - Gurú TTPs – Desafío Herramientas – Difícil Observables - Complicado Dominios - Simple Direcciones IP – Fácil Hashes - Trivial Autor: David Bianco Pirámide del dolor
  10. 10. Pirámide del dolor • Hashes de ficheros: rápidos de buscar; rápidos de modificar • Direcciones IP: rápidas de utilizar; fácil de cambiar (VPNs, Tor, proxies, etc.) • Dominios: fáciles de usar (cortafuegos, proxies, IDS, etc.); pudiera parecer que son más dañinos pero vemos que usan dominios a su antojo o subdominios gratuitos. • Observables de red y sistema operativo: aquí es cuando el dolor que podemos infligir es mayor. Este tipo de observables son detalles que pueden identificar a nuestros adversarios o sus operaciones: ciertas claves de registro, nombres de mutex, user-agents, emails utilizados en sus dominios o certificados, patrones de tiempo, etc. Si conseguimos bloquear y detectar estos observables, nuestros atacantes tendrán que dedicar tiempo para averiguar qué está pasando y solucionarlo. • Herramientas: casi siempre nuestros atacantes utilizan las mismas herramientas a las que están acostumbrados, con lo que si podemos bloquearlas les romperemos su flujo de trabajo. Por ejemplo, herramientas como mimikatz, exploits-kits, troyanos etc. pueden ser detectadas utilizando reglas Yara o fuzzy hashes. • Tácticas, Técnicas y Procedimientos (TTPs): el punto más interesante. Si estamos respondiendo a este nivel, operamos directamente contra el comportamiento y hábitos de nuestros atacantes, no contra sus herramientas. Si somos capaces de afectar sus TTPs, les forzamos a lo que va a ser más costoso para ellos: cambiar su modus operandi. Y muchas veces el resultado es que se van a dar por vencidos, a no ser que seamos un objetivo crítico para ellos.
  11. 11. Autor: John Lambert
  12. 12. La realidad de los incidentes • Mismo modus operandi: • Investigación de empleados en redes sociales • Envío de correos de spear-phishing a esos empleados o intentos de infección • Acceso con credenciales robadas o equipos infectados a equipos y redes internas • Uso de herramientas convencionales (no malware) para moverse lateralmente • Robo de datos y exfiltración de los mismos.
  13. 13. Autor: John Lambert
  14. 14. Evolución - III • Pasemos de utilizar threat intelligence de terceros, a combinar esa información con theat intelligence generada por nosotros: • Incidentes que nos están ocurriendo • Atacantes que nos atacan • IOCs que tenemos en nuestros sistemas • ¿Cómo? Con el uso de defensa activa. • Si los atacantes nos engañan y nos manipulan, ¿por qué no podemos – siempre dentro de la legalidad – utilizar sus técnicas?
  15. 15. Defensa activa es: 1. conseguir que al atacante le sean más costosos sus esfuerzos 2. aprovechar su momentum en nuestro beneficio 18
  16. 16. Defensa activa es: 3. obtener la máxima información del atacante 4. alertar de forma temprana compromisos o fases iniciales de un ataque 19
  17. 17. Ejemplo 20 Atacante Defensor Negación Evitar que descubran el ataque Evitar que descubran su objetivo Engaño Engañar para que nos dejen entrar Engañar para que nos revelen su presencia Desvío Llamar la atención del defensor en algo no relacionado Llamar la atención del atacante en el objetivo equivocado Engaño Hacer pensar al defensor que el ataque es no sofisticado o no dirigido Hacer pensar al atacante que lo que están buscando no está aquí Engaño Hacer pensar al defensor que el ataque está controlado o finalizado Hacer pensar al atacante que ya han conseguido su objetivo Desvío Hacer pensar que el atacante es otro Hacer que el atacante ataque a otro o que piensen que se han equivocado de objetivo
  18. 18. El papel del analista • Debemos pasar de gestionar incidentes a gestionar adversarios. • De pensar en parar ataques a pensar en hacer más costosos los ataques a nuestros adversarios. • Ser expertos en los TTPs de nuestros atacantes. • Perfilado: organización, jerarquía, flujos de trabajo, financiación, localización, objetivos, etc. • Utilizar cada una de las fases de la famosa Cyber-KillChain® en nuestro beneficio: • Entregando información falsa • Poniendo trampas • Buscando el fallo humano • Conseguir atribución (tarea casi imposible)
  19. 19. Conclusiones • Evolucionemos nuestra forma de investigar y parchear incidentes de seguridad para focalizarnos en gestionar a nuestros adversarios. • Utilicemos threat intelligence de forma ‘inteligente’ haciéndoles daño donde más les duele. • Usemos sus mismas armas, o aprovechemos la ventaja de que se encuentran en nuestro terreno (algo que raramente se tiene en cuenta). • La figura de los analistas de seguridad es clave para afrontar con éxito esta nueva estrategia de seguridad; perfiles multi-disciplinares capaces de poder perfilar a los atacantes, sí, pero que a la vez sean capaces de gestionar las campañas de engaño y manipulación, siempre bajo la legalidad vigente.
  20. 20. Gracias por su atención David Barroso dbarroso@countercraft.eu @lostinsecurity Craft Counter

×