Cyber SOC IT-ERS Services Ciberinteligencia · ... Zeus Aumento de la productividad y uso de...
Transcript of Cyber SOC IT-ERS Services Ciberinteligencia · ... Zeus Aumento de la productividad y uso de...
Hace 40 años el 99% de las
empresas almacenaba la
información en archivadores,
lo cual implicaba que las
búsquedas fueran manuales.
Evolución histórica
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 3
Las comunicaciones
se realizaban a través
de telefonía analógica,
controladas por las
compañías telefónicas
Evolución histórica
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 4
Las computadoras se usaban
con fines académicos,
educativos y militares
Evolución histórica
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 5
En la actualidad hemos
mejorado la productividad
y la forma de comunicarnos,
alcanzando unos niveles
impensables hace 40 años
Pero también nos hemos
vuelto tecnológicamente
dependientes, y esta
dependencia conlleva riesgos
Evolución histórica
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 6
Al analizar los incidentes de seguridad reportados en 2013
(la referencia es de The Fortune 200 companies), existe un
descenso en sectores tradicionales y un ligero incremento
en empresas tecnológicas.
Esto no quiere decir que las empresas estén ganando la
batalla contra el cibercrimen, sino que se están trabajando
nuevos vectores de ataque más sofisticados, desde los
puntos de vista: objetivo y tecnológico.
No podemos olvidar que el sector vulnerable
sigue siendo el mismo para un mayor número
de delincuentes informáticos.
Situación actual
Algunos datos
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 7
* Compendio de
predicciones de
FireEye, Fortinet,
Lancope, Neohapsis,
Symantec, Websense
and Zscaler
Predicciones
2014
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 10
Internet de las Cosas
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 11
Se incrementarán los ataques dirigidos contra los
dispositivos tanto domésticos como empresariales
que estén conectados a Internet
Los delincuentes informáticos buscan hallar
nuevas formas de fraude, como el ataque
contra la domótica inteligente
Además, la tendencia es encontrar alternativas para
atacar infraestructuras críticas nacionales a través
de componentes secundarios conectados a Internet
Evasión de ciberdefensa
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 12
Nuevos métodos para ocultar malware con códigos
de autenticación válidos, mediante la corrupción de
los protocolos o el robo de firmas
Desarrollo de formas para librar los sistemas
automatizados de análisis de malware (Sandbox)
Ataques contra entornos cloud y virtuales
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 13
Incremento de ataques informáticos dirigidos
contra entornos en la nube con el objetivo
de robar información
Los sistemas en cloud disponen de mayor accesibilidad
y disponibilidad que los sistemas informáticos
tradicionales, pero suponen también una mayor
exposición de ataques externos
Aumento de ataques contra sistemas de máquinas
virtuales, ya que con un solo ataque se pone en riesgo a
un número importante de organizaciones que comparten
recursos de computación
Gobierno de Internet
OSINT
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 14
Uso por parte de entidades públicas de sistemas de
cibervigilancia y gestión de amenazas, reduciendo
los derechos de privacidad de la ciudadanía a
cambio de mayor seguridad en la red
En el caso de OSINT se trata de integrar los
sistemas informáticos tradicionales de las fuerzas
y cuerpos de seguridad con herramientas
automatizadas de inteligencia de red y monitoreo
de amenazas en Internet.
Ejemplos: Policía Federal de Brasil y la Policía
Montada de Canadá
Malware contra dispositivos móviles
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 15
Incremento del malware contra dispositivos móviles
Modificación de malware tradicional
para el entorno móvil. Ejemplo: Zeus
Aumento de la productividad y uso de dispositivos
móviles, como mayores transacciones bancarias,
compras en comercio electrónico.
Como resultado hay un mayor interés
de los delincuentes por estas plataformas.
Tener acceso a información de
ciberinteligencia ayuda a la
organización a entender su
perfil de amenazas y los
riesgos de negocio derivados.
Con la información facilitada,
las empresas pueden abordar
planes de acción y gestionar
eficazmente los riesgos
identificados.
Motivación
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 17
Respuesta de 10 preguntas clave
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 18
1 2
3
¿Qué tipo de ciberamenazas
afectan a su organización? ¿Qué clase
de información sensible
puede filtrarse en Internet?
4 ¿Cuáles son las
credenciales que
pueden estar en manos
de hackers? ¿Cuáles de sus sistemas
pueden haber sido
comprometidos?
5 ¿Qué tipo de sitios web
pueden estar suplantando
su identidad?
Respuesta de 10 preguntas clave
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 19
6 7 8
¿Qué clase de información
publican sus empleados? ¿Qué virus y malware
está diseñado
para atacar a su
organización
o a sus clientes?
9
¿Actualmente, existen
documentos sensibles
publicados en Internet?
¿Qué bases de
datos pueden haber
sido robadas?
10 ¿Qué amenazas
en redes sociales
afectan a su
organización?
Credenciales robadas Malware
Información sobre sistemas comprometidos
Planificación de ataques DDoS
Detectar un amplio abanico de amenazas
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 20
Phising
Configuración de seguridad de sistemas críticos
Robo de datos personales
Vulnerabilidades específicas de sus sistemas
Detectar un amplio abanico de amenazas (2)
21
Fuga de información de bases de datos
Registro de dominios fraudulentos
Publicación de documentos confidenciales
Perfiles falsos en redes sociales
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Información publicada por empleados
Estafas relacionadas con puestos de trabajo
Detectar un amplio abanico de amenazas (3)
22
Mercado de imitaciones
Incumplimiento de copyright
Promociones fraudulentas
Menciones negativas en medios o foros
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Menciones negativas sobre directivos clave
Nuestro equipo de MSS detecta la actividad
sospechosa de varias estaciones de trabajo
en una red interna del cliente
Estas estaciones de trabajo intentan enviar
información robada a un servidor C&C
Las direcciones IP del servidor C&C son
ingresadas en la plataforma de inteligencia
para poder reconocer este malware en el resto
de los clientes
Ejemplo 1: Inteligencia de servidores C&C
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 24
01/
02/
03/
Inte
ligencia
Ejemplo 1: Inteligencia de servidores C&C (2)
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 25
Base de Datos Global de
Inteligencia de CyberSOC
Cliente A Cliente B
Cliente C
Equipo
infectado
en el cliente
Monitorización
de CyberSOC
Inte
lige
ncia
Nuestro equipo de inteligencia recoge
información robada de un cliente de botnet
Los datos recogidos de botnet se analizan y
se descubre otra información
Esos clientes adicionales se benefician de
nuestro análisis y se informa a ellos también
sobre la información robada
Ejemplo 2: Información robada
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 26
01/ 02/ 03/
Inte
ligencia
Ejemplo 2: Información robada (2)
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 27
Cliente afectado
Cliente A también afectado
Cliente B también afectado
Análisis
en profundidad
Inte
lige
ncia
Nuestro equipo de pruebas de intrusión realizó
una evaluación de vulnerabilidades para un
cliente y se encontró un escenario de intrusión
El escenario detectado se aplica a todas las
organizaciones que reúnen ciertas
condiciones
Todos los clientes que reúnen dichas
condiciones son informados de dicha
amenaza y se comparte información de acción
con ellos
Ejemplo 3: Inteligencia de intrusión
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 28
01/
02/
03/
Inte
ligencia
Ejemplo 3: Inteligencia de intrusión (2)
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 29
Amenaza también
aplicable al cliente B
Amenaza también
aplicable al cliente C
Se detecta una
vulnerabilidad
Se realiza una prueba
de intrusión al cliente A
Análisis en
profundidad
Inte
lige
ncia
La empresa sufrió una incidencia de fuga
de información crítica debida a la
publicación de las credenciales del
usuario en un foro de cibercrimen.
La publicación no se identificó, por lo que
las cuentas asociadas al usuario no se
bloquearon a tiempo.
Institución financiera
con presencia en todo el mundo
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 31
Escenario
Se ejecutó el servicio de CyberWatch para el
alcance definido por el cliente, teniendo en
cuenta los requisitos descritos anteriormente.
Ya que Deloitte era el proveedor de anti-
phishing, algunos de los procedimientos
establecidos eran también válidos para este
servicio, acelerando el proceso de provisión.
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 32
Solución propuesta
Institución financiera
con presencia en todo el mundo (2)
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 33
62 incidentes
relevantes
informados en
el último año
(2012) Asistencia 24x7 para
llevar a cabo análisis
forenses y otras
investigaciones en los
datos proporcionados
por el servicio
Institución financiera
con presencia en todo el mundo (3)
La empresa requirió una solución de
monitorización de seguridad de Cyber
Intelligence combinando datos internos
con información recogida de fuentes
externas, para detectar información de
las IPs que se estaban fugando.
Proveedor de software
con oficinas en 24 países
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 34
Escenario
Deloitte propuso implantar y operar una solución
SIEM, así como crear un feed personalizado de
ciberinteligencia, tomando como entrada activos
del cliente, marcas y palabras clave relacionadas.
Las alertas personalizadas que vengan de la
plataforma de ciberinteligencia se insertarán
como alertas SIEM y serán gestionadas por
nuestro equipo como parte de la operación 24x7.
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 35
Solución propuesta
Proveedor de software
con oficinas en 24 países (2)
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 36
124 eventos
relevantes de
seguridad
interna
informados en 6
meses de servicio 12 alertas
externas,
incluyendo
credenciales,
recogidas por la
Plataforma de
Inteligencia
Proveedor de software
con oficinas en 24 países (3)
La empresa requirió un programa de
gestión de vulnerabilidades para
descubrir debilidades en activos
tecnológicos críticos.
Institución financiera
que opera en 19 países
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 37
Escenario
Se realizó una huella digital de la presencia en
Internet del cliente y descubrió una serie de
amenazas críticas que no habían sido identificadas
por ninguna evaluación de vulnerabilidades
realizada en los últimos 19 años.
A continuación, se propuso implantar una función
de ciberinteligencia junto con un programa de
gestión de vulnerabilidades para asegurar que las
amenazas posteriores serán también identificadas.
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 38
Solución propuesta
Institución financiera
que opera en 19 países (2)
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 39
98
vulnerabilidades
de alto riesgo
informadas tras
3 meses de
servicio 57 amenazas
externas que
pudieran afectar
activos críticos del
cliente probadas
Institución financiera
que opera en 19 países (3)
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,
cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal
de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias.
Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,
aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con alrededor de 200,000 profesionales,
todos comprometidos a ser el modelo de excelencia.
Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,
y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México,
bajo el nombre de “Deloitte”.
Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas
(en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus
finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas que pudiera sufrir
cualquier persona o entidad que consulte esta publicación.