Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NDICE
Herramientas de Seguridad integrada ante los
nuevos Ataques inteligentes
1.
2.
3.
4.
Heartland, robo de
100 millones de
tarjetas personales.
Coste 140M$
Se descubre Red
October que ha
estado operando
desde 2007 robando
informacin en
vulnerabilidades de
MS Word y Excel
Cyber Cartel
.CN
Aug 2013
Aug 2012
StuxNet
WSJ SEA
2010
Aug 2013
Cyber Milicia
UK Revenue
& Customs
Heartland
Sony PSN
Kernel.org
Dec 2010
Aug 2011
Cyber Altruismo
2006
2009
TJ Maxx
2010
NASA
Shuttle
Plans
June 2012
Aug 2011
2010
Tamper
Data
El mayor ataque al
departamento de
defensa de US.
Infeccin por un USB
infectado.
Creacin del US
CyberCommand
AOL
Shamoon Virus de
ciberespionaje capaz
de extenderse
mediante la
explotacin de discos
compartidos.
Estonia
Dark
May 2007
Buckshot
Dec 2010
Video
Conferenci
ng
El perfil de Mark
Zuckerberg, fundador
de Facebook es
hackeado por un
trabajador palestino.
Evernote
2013
Facebook
2013
Aug 2012
DigiNotar
Yankee
Individuales
y grupos motivados por conciencia
social, reivindicacin de derechos y denuncias
GhostNet
sociales,
Sept 2011
Nov 2008
Mar 2009
Living
Social
2013
Yahoo
2013
Dec 2006
2003
2004
2005
Robo de Informacin
2006
2007
2008
2009
2010
2011
2012
2013
2014
Hacktivismo Profesional
Exploit en
documentos
Phishing
Vulnerabilidades
comunes
Watering Hole
Herramientas de
descubrimiento
Crypted
RAT
Herramientas de
exploits
Zero-Day
Malware bsico
Zero TIME
Ataque
Zero Day
Ventana de Exposicin
Se recolecta datos
durante un periodo de
tiempo
Se trocea la informacin
en ficheros, se cifran y
se envan via FTP al
exterior
La organizacin
se entera del
ataque por la
prensa
10
Seguridad = Confianza
1. Known knowns. BugTraq
2. Known Unknowns. Vulnerabilidades sin parche. CVE
3. Unknown Unknowns. Zero Days
. Investigacin y anlisis forense
en caso de ocurrir. Cual ha sido el impacto del incidente?
BugTraq
CVE
http://www.securityfocus.com/
http://cve.mitre.org/
11
Defensa en Profundidad
Defensa en Profundidad
.. ms que slo tecnologa
14
Tendencias de proteccin
Hacktivismo
Profesional
Proteccin
Informacin
Seguridad
Perimetral
Firewall
IDS / IPS
Seguridad en el
Antispam
puesto
WebProxy
Antivirus
Hardening
15
Herramientas de seguridad
integradas ante nuevos ataques
Hacktivismo
Profesional
1.
2.
3.
4.
La respuesta a:
17
Application DV
Reputation DV
18
2. SIEM y Correlacin
SIEM- Security Information and Event Management
Recoleccin
Recoleccin
Consolidacin
Correlacin
Consolidacin
Recoleccin
Consolidacin
Correlacin
Correlacin
Recoleccin
Consolidacin
Correlacin
19
2. SIEM y Correlacin
Aproximacin Visual. Una imagen aporta ms que mil lneas de log
20
2. SIEM y correlacin
Normalizacin. La clave
OS/390
Failed Login Event
UNIX
Failed Login Event
Oracle
Failed Login Event
Windows
Failed Login Event
Badge Reader
Entry Denied
21
2. SIEM y Correlacin
Ejemplo de Correlacin
Combinacin de mltiples eventos con reglas predefinida
22
2. SIEM y Correlacin
Ejemplo de Correlacin
Reglas de correlacin a partir de otras reglas predefinidas
23
2. SIEM y Correlacin
Ejemplo de Correlacin
La correlacin con anlisis estadstico permite reducir los
falsos positivos
24
3. Sandboxing dinmico
Ejecucin de un programa en un entorno aislado y controlado para
monitorizar su comportamiento.
Internet
Internal
Network
SandBox
Internet
Internal
Network
WebProxy
SandBox
25
3. Sandboxing dinmico
en accin
26
3. Sandboxing dinmico
Fortalezas:
Automatizado
Debilidad:
27
29
30
SIEM y
Correlacin
Sandboxing
Security
Analytics
Known
knowns
Known
Unknowns
Unknown
Unknowns
Investigacin
Forense
Total
Parcial
No
31
UnAntispam
Threat
empleadocon
recibe
un
Intelligence
email
Sanboxing
5
NMAP
scan
la red para
SEM
parademonitorizar
recolectar
informacin
actividad anmala
sensible
6
Se
recolecta
datos
SEM
para monitorizar
durante
un periodo
actividad
anmalade
tiempo
Antivirus
con
Threat
Abre
un fichero
excel
adjunto
Intelligence
4
ejecuta
NGFW con
Threat Intelligence
para
Se
un malware.
P.e.
bloquear
Poison
Ivy infecciones
7
Se trocea la informacin
SEM con Threat Intelligence
ficheros,
se cifran y
en
Security
Analytics
se envan via FTP al
exterior
8
La organizacin
se entera del
Seguridad Efectiva
ataque por la
prensa
32
4. Retos y conclusiones
33
34
35