Analítica de Datos: Su importancia en la detección e ... · Robo Fallas en el control de acceso...
Transcript of Analítica de Datos: Su importancia en la detección e ... · Robo Fallas en el control de acceso...
Analítica de Datos:
Su importancia en la
detección e inteligencia de
Ciber-Amenzas
Armando CarvajalArquitecto de Seguridad - Globaltek Security
[email protected] en seguridad informática de la Universidad Oberta de Catalunya - España
Especialista en construcción de software para redes Uniandes, ColombiaIng. Sistemas – Universidad Incca de Colombia
CISM de IsacaAuditor Líder ISO27001:2013
1. Antecedentes
2. Amenazas internas
3. Riesgos internos
4. Big Data
5. SIEM, DLP
6. Analítica con UBA, UEBA
7. Conclusiones
Agenda
1. Antecedentes
2. Amenazas internas
3. Riesgos internos
4. Big Data
5. SIEM, DLP
6. Analítica con UBA, UEBA
7. Conclusiones
Agenda
Amenazas ISO27001:2013
Evento externo, causa potencial de incidente no deseado, el
cual puede resultar en daño al Sistema o a la Organización.
[Fuente: ISO 27000]
Tipo de activo Amenazas aplicables
Información Divulgación, modificación indebida, indisponibilidad , fuga de información
SoftwareAtaque informático, malware, alteración de la configuración, sobrecarga, acceso no autorizado, uso
indebido, elevación de privilegios, instalación de software no autorizado, violación de derechos de autor
HardwareRobo, fallas en el suministro eléctrico, temperatura por fuera del rango aceptable, alteración de la
configuración, conexión de dispositivos no autorizados, fallas de los equipos
Personas Coacción, ingeniería social, suplantación de identidad, repudio, errores, indisponibilidad
Infraestructura Terremoto, incendio, inundación, terrorismo, sabotaje
Vulnerabilidad
Amenaza Vulnerabilidades
Divulgación Ausencia de cifrado, insuficiente monitoreo y/o registro del acceso de lectura a los archivos.
Modificación indebida Ausencia de chequeo de integridad.
Indisponibilidad Ausencia de copias de respaldo, falta de planeación de capacidad.
Repudio Ausencia de registro, ausencia de una política de control de acceso, ausencia de firmas digitales.
RoboFallas en el control de acceso físico, ausencia de una política de seguridad física, ausencia de video
vigilancia, ausencia de cifrado.
Fallas en el suministro eléctricoAusencia de una planta eléctrica, ausencia de una UPS, mantenimiento insuficiente de la infraestructura
para el servicio eléctrico.
Indisponibilidad de las personasAusencia de procedimientos documentados, falta de segregación de funciones, no contar con un rol de
respaldo.
Debilidad identificada sobre un activo, que puede ser
aprovechada por una amenaza para causar una afectación
sobre la confidencialidad, integridad o disponibilidad de la
información. [Fuente: ISO 27000]
Mapa de Riesgos
"La medición es el primer paso para el control y la mejora. Si algo no se
puede medir, no se puede entender. Si no se entiende, no se puede
controlar. Si no se puede controlar, no se puede mejorar.“
H.James Harrington
1. Antecedentes
2. Amenazas internas
3. Riesgos internos
4. Big Data
5. SIEM, DLP
6. Analítica con UBA, UEBA
7. Conclusiones
Agenda
Amenaza: Sabotaje de TI debido a un descontento previo o debido a la
terminación del contrato
Vulnerabilidad: Ausencia de procedimientos para eliminación de permisos
Impacto: Perdida financiera
Justificación: Este patrón enuncia el problema común de una
Amenaza Interna que ataca el sistema de una organización después
de la terminación del contrato. Este tipo de ataque no debería ser
posible si se siguen los procedimientos estándar definidos, ya que
por buena practica todos los accesos a los sistemas de información
privilegiada deberían ser eliminados
Riesgo: Perdida financiera por sabotaje a los sistemas de información
debido a la ausencia de procedimientos para eliminación de permisos
Ejemplos de riesgos internos:
Amenaza: Eliminación de copias de respaldo debido a un empleado de
tipo director descontento debido a la terminación del contrato
Vulnerabilidad: Ausencia de procedimientos para eliminación de permisos
Impacto: Perdida financiera
Justificación: El director técnico de una organización
(CTO) fue despedido por mal desempeño. La semana
siguiente se conectó a una cuenta de administrador del
sistema de copias de seguridad y ejecuto un comando
diseñado para eliminar todas las copias de seguridad de
la organización
Riesgo: Perdida financiera por eliminación de copias de respaldo debido
a la ausencia de procedimientos para eliminación de permisos
Ejemplos de riesgos internos:
Amenaza: Fuga de información reservada
Vulnerabilidad: Ausencia de Cifrado de
Comunicaciones confidenciales
Impacto: Perdida financiera
Sustentación: La información sensible debe
cifrarse
Riesgo: Perdidas económicas por la fuga de
información debido a la ausencia de cifrado de los
datos sensibles
Ejemplos de riesgos internos:
1. Antecedentes
2. Amenazas internas
3. Riesgos internos
4. Big Data
5. SIEM, DLP
6. Analítica con UBA, UEBA
7. Conclusiones
Agenda
Big Data
• Concepto que hace referencia
al almacenamiento de grandes
cantidades de datos y a los
procedimientos usados para
encontrar patrones repetitivos dentro
de esos datos
• El fenómeno del big data también se
denomina a veces datos a gran
escala
• Tomado de: Ensayo de Viktor
Schönberger big data: La revolución de los
datos masivos
1. Antecedentes
2. Amenazas internas
3. Riesgos internos
4. Big Data
5. SIEM, DLP
6. Analítica con UBA, UEBA
7. Conclusiones
Agenda
Security Information Event
Management (SIEM)
• Correlación avanzada y profunda de eventos de
seguridad e infraestructura
• SIEM se empieza a usar como un Data Warehouse de
BigData
• Actualmente se está usando para correlación
contra la analítica del comportamiento humano
(UBA)
• Se espera una nueva generación de herramientas
de seguridad basadas en analítica de usuarios y
correlación de eventos
1. Antecedentes
2. Amenazas internas
3. Riesgos internos
4. Big Data
5. SIEM, DLP
6. Analítica con UBA, UEBA
7. Conclusiones
Agenda
UEBA
• User Entity Behavor Analytics
• Significa analizar los
comportamientos de los funcionarios
de una organización (empleados), de
las personas externas conectadas a
sus redes (como terceros
contratistas) y señalar las
vulnerabilidades de seguridad a
través de los activos de las
organizaciones que contienen
datos confidenciales (reservados)
UEBA
• Además de analizar el
comportamiento de los usuarios,
UEBA también evalúa el punto final
(portátiles, móviles) y aplicaciones
para identificar comportamientos
inusuales que el usuario no tiene
conciencia de haberlos realizado
(entidad)
• Se interconecta con el SIEM y con el
DLP
UEBA
• Finalmente: UEBA conecta los
datos recolectados de usuarios y
entidades que lo han suplantado
para descubrir los riesgos de
seguridad que los criminales
pueden explotar
• Se muestran análisis y estadísticas
para evidenciar la probabilidad de
que una amenaza se aproveche de
una vulnerabilidad e impacte a
procesos del negocio
• Riesgo = Probabilidad x Impacto
1. Antecedentes
2. Amenazas internas
3. Riesgos internos
4. Big Data
5. SIEM, DLP
6. Analítica con UBA, UEBA
7. Conclusiones
Agenda
Conclusiones
• Viene un uso intensivo de Analítica del
comportamiento del usuario (UBA=User
Behavior Analytics)
• Analítica del comportamiento del usuario y sus
entidades (UEBA=User and Entity Behavior
Analytics)
Conclusiones
• La alta gerencia tendrá una visión de
seguridad de la información enfatizando
en las amenazas internas de la
organización
• Existen nuevas tecnologías para
descubrir a los usuarios más riesgosos
y hasta viendo su comportamiento
cuando ocurren incidentes, viendo sus
actividades del pasado con videos si
es necesario para investigaciones
forenses