¿Cómo enfrentar las Amenazas Persistentes Avanzadas (Advanced Persistent Threats - APT) a través de la Seguridad

Conectada?

Noel González, CEH, CHFI, McAfee ACE.

Líder de Seguridad y Continuidad de Negocios.

Presentador:

Gartner utiliza una definición simple de la APT:

"Avanzada" se recibe a través de tus defensas existentes."Persistente" tiene éxito en la clandestinidad."Amenaza" te hará daño.

Qué son las APTs?

1. Reconocimiento

2. Armar Ataque

3. Despliegue

4. Explotación

5. Instalación

6. Comando y Control

7. Acciones en Objetivos

Etapas de una APT?

Cyber Kill Chain

Masivo

Inmediato

Evidente

Simple

Dirigido

Persistente

Evasivo

Complejo

Vs

Porque las APTs no son Virus?

STUXNET

Objetivo: Centrales Nucleares Iraníes.

Motivación: Sabotaje a Programa Nuclear.

Impacto: Retraso de 2 años en desarrollo del programa nuclear.

ZEUZ

Objetivo: Instituciones Financieras.

Motivación: Económica.

Impacto: Robo de $ 70 MM.

RED OCTOBER

Objetivo: Diplomáticos, Gobiernos y Científicos.

Motivación: Espionaje.

Impacto: 205 Organizaciones Afectadas.

APTs Famosas

Inusual tráfico de Red Saliente

Indicadores de Compromiso (IoC) – Los Malos Conocidos.

Anomalías en cuentas de Usuarios de Máximos Privilegios

Irregularidades geográficas en el tráfico entrante

Aumento importante de lectura a Bases de DatosGrandes cantidades de solicitudes para el mismo archivo

Cambios sospechosos en registro o sistema de archivos

Anomalías en solicitudes DNS

Paquetes de datos en lugares incorrectos

Tráfico Web comportamiento No humano

Signos de actividad DDoS

IoC vs IoAIndicadores de Compromiso

“Malos Conocidos”Indicadores de Ataque“Malos Desconocidos”

Visibilidad instantánea de los IoA

Transformar automáticamente los eventos en inteligencia práctica para diagnostico automatizado

Identificar la evidencia de IoC

Proporcionar la visibilidad y la inteligencia de amenazas para la respuesta a incidentes

Componentes de Seguridad operan como uno solo sin tener en cuenta limites físicos

Paradigma de la nueva Seguridad de la Información.

Planificación

Recolección

Procesamiento

Análisis

Entorno Operacional

Datos sin Procesar

Información

Inteligencia

Convirtiendo los Datos de Seguridad en Inteligencia Accionable.

Recolectar, Almacenar y Correlacionar datos no es Suficiente, debemos darle Inteligencia a la Información y convertirla en Acción.

Inteligencia Accionable – Construyendo los Indicadores de Ataques (IoA).

Ejecuta

Previene y Remedia

Previene y Cuarentena

Envía a aplicación de Sandboxing

Política

Entonable

(Contenido,

Contexto y Datos)

Grados Variables de Tolerancia al

riesgo

Contexto

Local

Personalización

de Inteligencia de

Amenazas

Clasificación

y Decisión

Planificación y Dirección

Recolección de IoA

Procesamiento de IoA

Análisis y Producción de Contramedidas

Diseminación Preventiva

Inteligencia de Amenazas e Inteligencia Accionable.

Próxima Generación de Arquitectura de Seguridad.

• Seguridad Colaborativa y Adaptativa• Correlación de Eventos, GTI, Sandboxing y TIE.• Integraciones de seguridad sostenibles y de amplio alcance• Redefiniendo la seguridad para Centros de Datos, Endpoints, Nube IoT• Adopción de estándares STIX/TAXIII

13

FirewallEndpoint

Protection

Gateway

SecurityNetwork IPS Compliance

Data

ProtectionMobility Analytics

Intel Security y Seguridad Conectada

TIE -DxL

• Soluciones en todas las verticales de Seguridad.• Portafolio de Seguridad mas amplio del Mercado enfocado a Seguridad.• Posicionado en 6 de los 8 Cuadrantes Mágicos Gartner.

Endpoint SecurityNetwork Security Contexto y Orquestación

Gestión de Seguridad

Analítica

Inteligencia de Amenazas

Internet Of Things

Plataforma de Seguridad Conectada

Plataforma Integrable

NGFW

SIEM

TIE Server

Endpoint

SIA Partners /3rd Parties

NSP

Web / Mail GatewayATD

DLP

Gestión de Seguridad

Contramedidas

Inteligencia de Amenaza

Analítica

Contexto y Orquestación

Plataforma Completa para entrega de Protección

ANALISIS PARA TOMA DE DECISIONES ACCIONABLE

INTELIGENCIA ADAPTATIVA PROVEE PROTECCIÓN MÁS FUERTE

PROVEE AMPLIO RANGO DE DEFENSAS DESDE LAS RED AL HOSTS

GESTIÓN SIMPLIFICADA REDUCE TIEMPO Y ESFUERZO

INTERCAMBIO DE DATOS INTEGRADO ENTREGA COHESION EN LA DEFENSE.

Colaboración NetReady – Intel Security

Canal Elite en Venezuela, Premier en Colombia y Panamá.

Partner con mayor crecimiento en la región Andina 2010.

Excelencia Técnica 2010 y 2013.

Mayor cantidad de Venta en NOLA 2010.

Security Connected 2012

Canal con Mayor Numero de Ventas en Venezuela2010, 2011, 2012, 2013 y 2014.

AMBCI (Business Continuity Institute)

CCSP (Cisco Certified Security Professional).

CISSP (Certified Information Security System Professional).

Lead Auditor ISO27001.

CISA (Certified Information System Auditor).

CBCP (Certified Business Continuity Professional)

CEH Certified Ethical Hacker

CHFI Certified Hacking Forensic Investigator

McAfee ACEs.