Un SOC avanzado para una respuesta eficaz al cibercrimen · •Analiza los datos escaneados y...
Transcript of Un SOC avanzado para una respuesta eficaz al cibercrimen · •Analiza los datos escaneados y...
Ignacio Berrozpe - Senior Presales Consultant
Un SOC avanzado para una
respuesta eficaz al cibercrimen
Identificación y confirmación de un incidente
@RSAEMEA #RSAEMEASummit
2 © Copyright 2015 EMC Corporation. All rights reserved.
• Una mirada al panorama de las amenazas
• Afrontar el problema tomando el toro por los cuernos
– RSA Security Analytics: cazar o ser cazado
– RSA ECAT: visibilidad, análisis, respuesta
– SecOps: orquestando el Security Operation Center
• Los beneficios de la aproximación ASOC RSA y las soluciones
Agenda
4 © Copyright 2015 EMC Corporation. All rights reserved.
… y las defensas se mueven a un ritmo más lento
Source: Verizon’s data breach investigation report 2015
5 © Copyright 2015 EMC Corporation. All rights reserved.
Afrontar el problema tomando el toro por los
cuernos
6 © Copyright 2015 EMC Corporation. All rights reserved.
Positivo: ¡Bloqueamos ataques! Los controles preventivos bloquean los ataques de
patrón conocido
Negativo: Las intrusiones reportadas están al alza
A pesar de las inversiones crecientes en controles
Los ataques exitosos puentean los controles preventivos.
Cuentas de usuario válidas Trusted “command and control”
Nuevos exploits “Low and Slow”
Controles Preventivos “Defensa en Profundidad”
Malicious Traffic
Firewall
Amenazas
IDS/IPS
AntiVirus
DLP
Autenticación Fuerte
Activos
Whitespace Ataques con éxito
7 © Copyright 2015 EMC Corporation. All rights reserved.
• Dificultad en identificar ataques con éxito
• La visibilidad actual se basa en logs
– Sólo dice lo que los controles preventivos detectan
• Más controles preventivos crean más alertas
– La información importante se ahoga en el ruido
La visibilidad actual es limitada
Malicious Traffic
Firewall
Amenazas
IDS/IPS
AntiVirus
DLP
Autenticación Fuerte
Activos
Whitespace Ataques con éxito
S I E M
Sesión Bloqueada
Sesión Bloqueada
Sesión Bloqueada
Alerta
Alerta
8 © Copyright 2015 EMC Corporation. All rights reserved.
La visibilidad completa es crucial
Malicious Traffic
Firewall
Amenazas
IDS/IPS
AntiVirus
DLP
Autenticación Fuerte
Corporate Assets
Security Analytics
RSA Security Analytics
Plataforma unificada para la detección de incidentes,
investigaciones, informes, cumplimiento y análisis de seguridad avanzado
Sesión Bloqueada
Sesión Bloqueada
Sesión Bloqueada
Alerta
Alerta
RSA ECAT
Detección de amenazas de endpoint no basado en firmas que confirma en tiempo real infecciones y responde
con precisión
10 © Copyright 2015 EMC Corporation. All rights reserved.
Security Analytics: cómo funciona
Malicious Traffic
Firewall
Actores
IDS/IPS
AntiVirus
DLP
Autenticación Fuerte
Activos
Full Packet Capture
Sesión Bloqueada
Sesión Bloqueada
Sesión Bloqueada
Alerta
Alerta
Username: JSMith
FW Log
Auth Log
Network Session
IP: 192.173.1.21
Country: Brazil
Risk: High
Action: GET
Asset: SQL Server
Session Data:
HTTP/1.1 200 OK …
Agent: Firefox
...
11 © Copyright 2015 EMC Corporation. All rights reserved.
Inteligencia Integrada Conocer qué es lo que se busca
AUTOMATIZAR LA OPERATIVA DE LA INTELIGENCIA: Reusar lo que otros han encontrado y aplicarlo automáticamente en nuestros
datos históricos y actuales
RSA LIVE INTELLIGENCE
Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions
3 2 1
Recoge inteligencia avanzada de
amenazas y su contexto
Agrega y consolida
datos
Distribuye la inteligencia, las
reglas de correlación,
parsers, reports, feeds
12 © Copyright 2015 EMC Corporation. All rights reserved.
Contexto de Negocios Integrado
• Asset List • Device Type, Device
Content • CMDBs • Vulnerability data
IT Info
• Device Owner • Business Owner, Unit,
Process • RPO / RTO • Data Class
Contexto de Negocio
• Risk Level • IP Address • Asset Criticality Rating • Facility
Inteligencia de Activos
13 © Copyright 2015 EMC Corporation. All rights reserved.
• Alertas unificadas, dirigidas por su nivel de riesgo, correladas
• Gestión de Incidentes
• Workflows integrados
– RSA Security Operations Management (SecOps)
– 3rd party ticketing systems
Automatización e Investigaciones
Crear alertas de/hacia activos críticos Unas docenas de alertas
Terabytes de datos 100% del total
Miles de datos 5% del total
Cientos de datos 0.2% del total
Todo el tráfico de red y Logs
Descargas de ejecutables
Descargado por Java
!
15 © Copyright 2015 EMC Corporation. All rights reserved.
La visibilidad completa es Crucial
Malicious Traffic
Firewall
Actores
IDS/IPS
AntiVirus
DLP
Autenticación fuerte
Activos
ECAT
RSA Security Analytics
Plataforma unificada para la detección de incidentes,
investigaciones, informes, cumplimiento y análisis de seguridad avanzado
Sesión Bloqueada
Sesión Bloqueada
Sesión Bloqueada
Alerta
Alerta
RSA ECAT
Detección de amenazas de endpoint no basado en firmas que confirma en tiempo real infecciones y responde
con precisión
16 RSA CONFIDENTIAL—INTERNAL USE ONLY
Determinar el alcance y actuar al instante
Detectar las amenazas rápidamente
Analizar y confirmar con rapidez
Análisis del Endpoint: requerimientos actuales
17 RSA CONFIDENTIAL—INTERNAL USE ONLY
Cómo funciona RSA ECAT
Agente • Endpoints, Servers, VMs
• Windows & Mac OS
• Monitoriza la actividad sospechosa
• Inventario completo de sistema
• Identifica todos los ejecutables, DLL’s, drivers, etc.
• Bajo impacto en el sistema (2MB on disk, 10-20MB in memory)
Servidor • Analiza los datos
escaneados y destaca las anomalías
• Mantiene repositorio de correlación global
• Descarga automáticamente ficheros desconocidos para su análisis adicional
18 © Copyright 2015 EMC Corporation. All rights reserved.
Monitorizar el comportamiento del Endpoint
Usuario abre adjunto de correo malicioso
.exe descargado, explota una
vulnerabilidad
Malware abre un navegador y conecta
con C2 para instrucciones
Atacante navega hasta datos
confidenciales
Atacante usa FTP para exfiltrar
datos
RSA ECAT Behavior Tracking
• Monitoriza la operaciones realizadas y busca actividad sospechosa
• Identifica todo fichero nuevo desconocido que se carga
• Alerta de la actividad sospechosa
19 RSA CONFIDENTIAL—INTERNAL USE ONLY
Pivotar entre Endpoint, Red y Logs
RSA Security Analytics
• Botón derecho y pivota a SA • Envía alertas de actividades sospechosas • Enriquecimiento de datos (riesgo,
usuario)
RSA ECAT • Botón derecho y pivota a ECAT • Agrega alertas en un solo incidente
21 © Copyright 2015 EMC Corporation. All rights reserved.
Marco para prepararse, investigar y responder ante amenazas, alineando personal, procesos y tecnología
Security Operations Management (SecOps)
People
Technology
Process
22 © Copyright 2015 EMC Corporation. All rights reserved.
SecOps: cómo funciona
Respuesta a incidentes
Agregar Alertas
Proporcionar contexto de negocio
Prioriza Incidentes
Gestiona Investigaciones
Tracear la Remediación
Respuesta a Intrusiones
Desarrolla planes de respuesta a intrusiones
Identifica y reporta fuga de datos
Estima el impacto de la intrusión
Gestiona Notificaciones y flujos de llamadas
SOC Program Management
Gestiona el equipo del SOC
Mide la efectividad del control de seguridad
Documenta las políticas y procedimientos de respuesta
Enlaza con las aplicaciones GRC de negocio
23 © Copyright 2015 EMC Corporation. All rights reserved.
RSA Live – Threat Intelligence Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions
RSA Security Analytics
RSA ECAT
RSA Security Operations
Management Hosts
Repuesta a Incidentes
Respuesta a Intrusiones
SOC Program Mgmt.
Vulnerability
CMDB/Assets
Data Discovery/DLP
Servers
Identity
El portfolio RSA ASOC
24 © Copyright 2015 EMC Corporation. All rights reserved.
Los beneficios de la aproximación y las soluciones de RSA ASOC
Detecta y analiza antes que el ataque impacte al negocio
Investiga, prioriza y remedia incidentes
Desbloquea el potencial de su equipo de seguridad existente
Evoluciona las herramientas actuales con mejor visibilidad y workflow
EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.
27 © Copyright 2015 EMC Corporation. All rights reserved.
SOC con tecnología RSA: un caso de uso realista
• Se identifica actividad sospechosa en base a:
– Reputación del servidor destino
– Modo de la comunicación
– Payload de la communicación
• Objetivo:
– Identificar y reconstruir un ataque complejo de manera rápida y efectiva
– Estimar el riesgo de la amenaza basándose en:
• Identificar el perímetro de ataque
• Medir el impacto en el negocio
28 © Copyright 2015 EMC Corporation. All rights reserved.
Operador recibe un incidente de prioridad alta
29 © Copyright 2015 EMC Corporation. All rights reserved.
Procedimiento de clasificación y respuesta a amenaza
34 © Copyright 2015 EMC Corporation. All rights reserved.
Evidencia de acceso a datos confidenciales
35 © Copyright 2015 EMC Corporation. All rights reserved.
Identificado vector de ataque de exfiltración
36 © Copyright 2015 EMC Corporation. All rights reserved.
Qué hemos encontrado de momento
• Actividades tipo Botnet network beaconing en John-WinXP
40 © Copyright 2015 EMC Corporation. All rights reserved.
Qué hemos encontrado
• Actividades tipo Botnet network beaconing en John-WinXP
• Malware “hakou.exe” en John-WinXP
43 © Copyright 2015 EMC Corporation. All rights reserved.
Qué hemos encontrado
• Actividades tipo Botnet network beaconing en John-WinXP
• Malware “hakou.exe” en John-WinXP
• Malware en Bob-PC y Alice-laptop
46 © Copyright 2015 EMC Corporation. All rights reserved.
Visibilidad completa de datos intercambiados
48 © Copyright 2015 EMC Corporation. All rights reserved.
Qué hemos encontrado
• Actividades tipo Botnet network beaconing en John-WinXP
• Malware “hakou.exe” en John-WinXP
• Malware en Bob-PC y Alice-laptop
• Data exfiltration de APJ_forecast_Y13Q3_v1.xls desde Bob-PC
49 © Copyright 2015 EMC Corporation. All rights reserved.
Usando SA para investigar a “alice-laptop”
52 © Copyright 2015 EMC Corporation. All rights reserved.
Habilidad para reenfocar rápidamente el análisis
54 © Copyright 2015 EMC Corporation. All rights reserved.
Qué hemos encontrado
• Actividades tipo Botnet network beaconing en John-WinXP
• Malware “hakou.exe” en John-WinXP
• Malware en Bob-PC y Alice-laptop
• Data exfiltration de APJ_forecast_Y13Q3_v1.xls desde Bob-PC
• Backdoor administrator account “admin1strator” creada en Alice-laptop y otros PCs
55 © Copyright 2015 EMC Corporation. All rights reserved.
Finalmente todo junto …
Atacante
Actividad maliciosa
Data leakage
Acceso persistente a múltiples sistemas
malware
malware
malware
57 © Copyright 2015 EMC Corporation. All rights reserved.
Dashboard Coordinación de Incidentes
Shift Handover Analyst Workload
Incident Trends
58 © Copyright 2015 EMC Corporation. All rights reserved.
Dashboard Coordinación Intrusiones
Intrusiones Actuales, Impacto y Registros Afectados
59 © Copyright 2015 EMC Corporation. All rights reserved.
Dashboard Operaciones IT
Current Breaches, Impact and Records Affected Acciones IT Help Desk
60 © Copyright 2015 EMC Corporation. All rights reserved.
SOC Manager / CISO Dashboard
Vista General del Security Operation Center