Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP 9 de Setiembre ... · Edición), incluyó las respuestas...
Transcript of Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP 9 de Setiembre ... · Edición), incluyó las respuestas...
Página 2
Agenda
► Situación actual de la ciberseguridad 3
► El entorno cambiante de las amenazas 10
► Cyber Threat Intelligence (CTI) 16
► Reduciendo el riesgo 19
► Agregando valor 26
► Como adelantarme al cibercrimen 31
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 3
Situación actual de la ciberseguridad
Las amenazas están evolucionando
a un ritmo, en el cual, los enfoques
tradicionales de seguridad serán
imprescindibles para mantener, pero
no serán suficientes para abordar
adecuadamente los riesgos.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 4
Situación actual en Uruguay
► CERTuy
► Año 2014
► 499 incidentes
¿Nos importa la ciber seguridad? - CIGRAS 2015
► http://www.cert.uy/inicio/novedades/software+y+tecnologia/estadistica+de+incidentes+certuy+2014
Página 5
Situación actual en Uruguay
► CERTuy
► Año 2015
► 377 incidentes 1er.semestre
► 23,2% de incremento en
igual periodo que el año anterior
¿Nos importa la ciber seguridad? - CIGRAS 2015
► http://www.cert.uy/inicio/novedades/software+y+tecnologia/estadisticas+de+incidentes+en+primer+semestre+de+2015
Página 6
¿Quiénes son los atacantes?
► En Uruguay
► No hay registros de organizaciones conocidas
► Acciones individuales
► Son oportunistas
► En el mundo
► Están organizados, y no son oportunistas
► Tienen financiamiento, son pacientes y sofisticados
► Buscan vulnerabilidades en las personas, en los procesos y en la
tecnología
► Desarrollan nuevas herramientas y técnicas para alcanzar sus objetivos
► Han mejorado en el proceso de identificar brechas y vulnerabilidades
desconocidas en la seguridad de las organizaciones.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 7
Las amenazas se incrementan
► Actualmente, no es posible prevenir todos los ataques o
violaciones de seguridad.
► 67% de los participantes de la edición 2014 del Global Information
Security Survey (*) de EY, ven un crecimiento de las amenazas en
sus entornos de riesgo de seguridad de la información.
► (*) – El Global Information Security Survey de EY, es una encuesta mundial, que en la edición
2014, (17ma. Edición), incluyó las respuestas de 1825 organizaciones de 60 países, en 25
sectores de la industria. Esta edición se enfocó en analizar que tan preparadas están las
organizaciones para gestionar las ciber amenazas, y que necesitan hacer para adelantarse a
los cibercriminales. http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 8
Otros resultados que preocupan
► Presupuestos de seguridad de la información
► 43% mantendrán sus presupuestos en los próximos 12 meses
► 5% disminuiría dicho presupuesto.
► Habilidades técnicas
► 53% no disponen de los recursos adecuados
► Nuevas tecnologías
► 58% no disponen de un área para analizar las nuevas tecnologías y su impacto en
la seguridad de la información
► Capacidad para detectar ataques
► 56% no son capaces de detectar un ataque sofisticado
► Respuesta a incidentes
► 6% disponen de un programa de respuesta a incidentes robusto
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 9
Ciberseguridad en la agenda corporativa Teniendo en cuenta que:
► Las organizaciones dependen cada vez más en la información de sus
sistemas y comparten grandes volúmenes de datos.
► Diariamente, la información y la propiedad intelectual están en riesgo.
► Un ataque cibernético puede tener graves implicancias:
► Dañar la marca y la reputación
► Afectar la confianza de los interesados (stakeholders)
► Pérdida de la ventaja competitiva
► Provocar incumplimientos legales o regulatorios
► Causar daño financiero
La ciberseguridad debería ser uno de los principales temas de la agenda
corporativa.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 10
El entorno cambiante de las amenazas
¿Nos importa la ciber seguridad? - CIGRAS 2015
El ambiente seguro de hoy,
tendrá vulnerabilidades
mañana, por lo cual una
organización no puede
permitirse ser
complaciente.
Página 11
La tecnología está evolucionando rápidamente
► Las tecnologías avanzadas (cloud, big data, mobile,
social media, etc.) ofrecen nuevas posibilidades y
beneficios, pero también introducen nuevos riesgos.
► El avance e innovación de productos es tan vertiginoso,
que nos vemos superados de evaluar adecuadamente los
riesgos asociados.
► El “Internet of Things” ofrece productos con conectividad
IP, que tienen sus propias vulnerabilidades.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 12
Ecosistema de entidades conectadas digitalmente
Vivimos y operamos en un ecosistema de entidades,
personas y datos conectadas digitalmente.
► Las empresas comparten cada vez más datos digitales a nivel global.
► Las actividades comerciales, tales como lanzamientos de nuevos
productos, fusiones y adquisiciones, y la expansión del mercado, e
incluso conferencias tienen ahora una dimensión cibernética
Toda conexión directa a Internet puede significar un enlace
directo con los atacantes:
► Muchos servicios operan ahora en Internet y están cada ves más
conectados.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 13
La motivación de las amenazas está cambiando
El Cibercrimen es un gran negocio:
► Ciber criminales pueden convertir los datos robados en efectivo o
en beneficios equivalentes.
► Hacktivistas quieren dañar la reputación de una organización lo
más rápido posible.
► Atacantes patrocinados por un gobierno, proporcionan
información para mejorar las capacidades estratégicas de la
nación anfitriona.
► Organizaciones y personas son amenazadas a pagar un rescate,
ante la posibilidad de que hayan sido hackeadas.
Las organizaciones también están siendo atacadas, porque
el atacante quiere ejercer influencia política.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 14
Obstáculos a la seguridad sin fronteras
Pocas empresas disponen de los recursos físicos y financieros, y del
conocimiento técnico de los atacantes.
► Escasez de personas con la capacidad y experiencia adecuada.
► Los presupuestos se están comprimiendo.
► Falta de apoyo del directorio para invertir en un enfoque proactivo.
Se requieren soluciones para abordar de manera integral las
necesidades de ciberseguridad (p.ej. GRC e IAM)
► GRC – Governance, Risk and Compliance
► IAM – Identity and Access Management
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 15
Adelantarse al cibercrimen
► “Getting ahead of cybercrime”
► Saber que está pasando, como está pasando, identificando quién es la amenaza, y
determinar si un ataque puede ocurrir y cuando.
► Requiere
► Recolección de información de amenazas (inteligencia)
► Capacidad analítica de usarla para tomar decisiones críticas y estratégicas de
negocio.
► Mediante la implementación de los últimos desarrollos de inteligencia
de amenazas, se puede anticipar y desviar lo que es probable que
suceda.
► La identificación oportuna y la denuncia de las infracciones reducirá los costos, así
como el incentivo de los atacantes.
► Tener un enfoque proactivo de la ciberseguridad generará confianza en las partes
interesadas, clientes y socios de negocios.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 16
Cyber Threat Intelligence - CTI (Inteligencia de Amenazas Cibernética)
Una organización que sólo puede
reaccionar a las nuevas
amenazas, una vez que están
activas, puede descubrir que ha
actuado demasiado tarde..
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 17
¿Que es CTI?
► Es una solución basada en el análisis de probabilidad
► Utiliza información histórica de incidentes para entender el ambiente interno, y
determinar posibles objetivos de nuevos ataques.
► Permite reunir conocimientos basados en el análisis de los riesgos contextuales y
situacionales.
► Mediante indicadores específicos permite priorizar las amenazas, brindar
empoderamiento para la toma de medidas proactivas, a los efectos de reducir el
riesgo y mejorar la gobernanza.
► Analiza lo que está sucediendo en el ambiente de las ciber amenazas, para que la
organización puede desarrollar un plan de defensa robusto.
► Permite entender quiénes podrían estar interesados en atacar a su entorno.
► Puede ser configurada para el entorno de amenazas específicas de
la organización, su industria y mercados.
► Mejora la capacidad de la organización para anticipar las infracciones
antes de que ocurran, y de responder rápidamente a las violaciones
confirmadas.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 18
¿Que ofrece CTI?
Prevención
proactiva
CTI permite un grado de
capacidad de análisis
predictivo para complicar
los ataques mediante la
comprensión de las
amenazas en su contra y
los posibles objetivos que
persiguen.
¿Quién es probable que
ataque?
¿Que tipos de activos
están buscando?
Vigilancia y
detección
Información obtenida de CTI
e información compartida le
permite a la organización
realizar un análisis de los
registros de logs para
identificar cuando un
atacante está presente.
¿La alerta que estoy
viendo está relacionada
con algo que sé que es
mal?
¿Puedo asignar
rápidamente criticidad a
esto y escalar acciones?
Respuesta a
incidentes
Cuando se produce un
incidente, CTI puede dar un
panorama de las
actividades de respuesta a
incidentes y de los
enfoques de mitigación
para asegurar que la
información crítica y los
activos permanecen
protegidos.
¿Que lecciones
aprendidas de incidentes
puede ayudar a mejorar
la protección proactiva?
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 19
¿Como CTI reduce el riesgo?
CTI reduce las
posibilidades de que el
atacante alcance sus
metas.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 20
Priorizar las actividades de prevención y de respuesta
Entender las probables amenazas e identificar las vulnerabilidades
en forma anticipada, ayuda a las organizaciones a priorizar las
actividades de prevención y de respuesta, de forma de reducir las
posibilidades de que el atacante alcance su meta.
► Mediante la integración de CTI dentro de los aspectos de la operaciones
de seguridad, el análisis permite trazar el panorama de las amenazas y
poner los datos históricos en su contexto - las decisiones se pueden
basar en los precedentes en lugar de la intuición.
► Cuando la naturaleza de la amenaza bajo sospecha se atribuye a un
tipo específico de ataque, los procesos se pueden ajustar y desarrollar
contramedidas adecuadas.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 21
El mercado actual de CTI
La información consolidada de la amenazas se puede obtener de
proveedores externos.
Hay diferentes tipos de proveedores
► Hay muchas compañías que proveen fuentes de datos, análisis y
contexto.
► Algunas se enfocan en soluciones técnicas integrales, como las
compañías de respuesta a incidentes.
► Otras se centran en proporcionar entornos de intercambio de información
y fuentes de información de amenazas.
► Hay algunas compañías que proporcionan datos relativos a los
dominios maliciosos, actividad de botnets, datos de malware y de otro
gran volumen de indicadores maliciosos.
► Hay compañías que ofrecen servicios gratuitos.
► Algunas compañías se especializan en un tipo de amenazas.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 22
Los desafíos para CTI - sobrecarga de datos
► El volumen de información que se recibe puede ser muy grande.
► Algunos proveedores están tratando de enfocarse en la calidad sobre
la cantidad:
► Es más fácil procesar un volumen limitado de información
► Es probable que sea muy valiosa, con un contexto considerable
► Pero seguramente se pierdan algunos indicadores
► La clave es asegurarse de que el proveedor de información, incluya
los tipos de amenazas que son probables de estar activas en su
entorno.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 23
Los desafíos para CTI - grupos de intercambio de información
El intercambio de información en un grupo más grande, ya
sea en un ambiente ad-hoc, semi-formal, o moderadamente
formal, es el elemento clave para las organizaciones que
tienen mayor éxito en la comprensión, alcance y mitigación
de las intrusiones en sus redes.
► Para que el “grupo” mantenga su valor, es crítico asegurar que la
información fluya de todos los participantes, tanto como sea posible.
► Si un participante comienza a ser el proveedor principal en el “grupo”, y
obtiene poca información en retorno, tenderá a buscar nuevos socios
para compartir su información, lo que reducirá los beneficios de los
interesados.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 24
Los desafíos de CTI - integración en las operaciones
► La información de CTI, es generalmente adquirida, pero no
debidamente integrada en las operaciones.
► Sin la integración técnica de CTI dentro de la infraestructura
existente, la organización está gastando recursos y perdiendo la
oportunidad de automatizar los procesos y aumentar la visibilidad.
► Los principales proveedores de CTI disponen, ya sea de un
componente de servicio gestionado o una API que se puede integrar
en el SIEM (Security Information and Event Management) de
elección.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 25
¿Como CTI proporciona valor?
Las compañías deben madurar
sus operaciones en sincronía
con sus capacidades de
inteligencia, con el fin de
maximizar sus resultados
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 26
CTI - táctico y estratégico
CTI es valioso tanto desde el punto de vista táctico como estratégico:
► Inteligencia Táctica - la difusión de indicadores de compromiso y
quizás recomendaciones sobre los procedimientos de respuesta a
incidentes, es muy importante para la capacidad de una organización,
para incrementar su postura de seguridad.
► Inteligencia Estratégica - se construye sobre la base de
conocimientos que la inteligencia táctica ha reunido; el análisis de los
datos se puede utilizar para ayudar a la organización a tomar
decisiones importantes, dando lugar a cambios en el proceso no
técnico y consideraciones que pueden reducir en gran medida el
riesgo.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 27
CTI enfocado en las prioridades del negocio
Para que CTI sea realmente útil, necesita enfocarse en las
prioridades del negocio, ayudando a reducir el perfil de
riesgo de la organización, mediante la mejora de las
operaciones de seguridad y la toma de decisiones
empresariales.
CTI debe esforzarse por ser:
► Oportuna - Abordar un tema que está sucediendo, o que pueda suceder.
► Precisa - representativa de la actividad real identificada.
► Realizable - debe ser capaz de hacer realidad algo con él
► Relevante - el contenido abordado debe ser algo de valor para el
negocio.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 28
Sincronizar operaciones maduras con las capacidades de CTI
► Las empresas deben madurar sus operaciones en sincronía con su
capacidad de CTI, a los efectos de maximizar sus resultados.
► Una nueva capacidad de CTI, debería dar lugar a cambios en los
procesos que permitan que la organización sea más ágil en la
respuesta a un mejor conocimiento de la situación
► Las capacidades de CTI menudo ya están dentro de las organizaciones:
► Repuesta a incidentes, equipos de monitoreo de la seguridad, operadores SIEM, y
personal de riesgos, seguramente tengan una buena idea de donde vienen las
amenazas.
► Utilizar los datos que ya se encuentran dentro de los registro de logs de la empresa y
de las bases de datos de gestión de incidentes
► Mirar el panorama de amenazas de su industria, los riesgos serán similares.
► Los analistas de CTI deben tener una exposición a diferentes
industrias, para poder recurrir a varias experiencias.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 29
¿Cómo adelantarme al cibercrimen?
Las amenazas cambian con el tiempo - al igual que los riesgos . Una
capacidad de CTI dinámica ayuda a garantizar que las
operaciones de seguridad también puedan
mantenerse al día con esos cambios.
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 30
De 'reactivo' a 'proactivo' para adelantarse al cibercrimen ► Las organizaciones deben tener la posibilidad de utilizar los conceptos
de seguridad de última generación, como la defensa activa, la campaña
defensiva, y la aplicación de contramedidas.
► El objetivo es pasar de un estado reactivo a un enfoque más proactivo -
para poder adelantarse al cibercrimen
► Esto requiere:
► Madurez en los controles de línea de base y en CTI
► Organizaciones que tienen una sólida comprensión de su entorno
► El conocimiento de la ubicación de su información y activos críticos
Desarrollar un programa de CTI aporta conocimiento para las amenazas
específicas que aumentan el riesgo de la organización.
Ayuda a asegurar la continuidad del negocios, y en última instancia, el
éxito de la organización
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 31
Un proceso de mejora de 3 etapas
Para adelantarse al cibercrimien se sugiere que las organizaciones
adopten un proceso de mejora de 3 etapas:
1. Activar (un enfoque fundamental) ► Las organizaciones primero necesitan establecer y mejorar las bases sólidas de la
ciberseguridad.
2. Adaptar (un enfoque dinámico) ► Las organizaciones están cambiando constantemente y las amenazas cibernéticas están
evolucionando, por lo que la seguridad cibernética tiene que ser capaz de adaptarse a las
necesidades cambiantes
3. Anticipar (un enfoque proactivo) ► Las organizaciones deben hacer esfuerzos para predecir lo que viene para que puedan estar
mejor preparados para los ataques cibernéticos inevitables.
► Esto requiere de una capacidad de CTI madura, una metodología sólida de
evaluación de riesgos, un experimentado mecanismo de respuesta a
incidentes, y una organización informada
¿Nos importa la ciber seguridad? - CIGRAS 2015
Página 33
Muchas gracias
¿Nos importa la ciber seguridad? - CIGRAS 2015
► Ing. Felipe Sotuyo, CISA, CISM, CRISC, PMP