PDF de programación - El brazo tonto de la inteligencia de amenazas

INTELIGENCIA DE

Luciano Moreira: Con más de 15 años de experiencia en IT, de los cuales los últimos
10 años desempeñándose en el área de Seguridad de la Información.

Auditor Líder ISO/IEC 27001:2005, Auditor Interno ISO/IEC 9001, Certified Integrator in Secure
Cloud Services-EXIN, MCSE+Security, MCP Azure Infrastructure Solutions, MCSE Private Cloud
certification, MCSA: Office 365, CLODU - CLOUD UNIVERSITY, ITIL V3.
Miembro de ISSA, ISACA, OWASP. Así como de sus capítulos locales.
(miembro del board del capítulo Argentina de la CSA (Cloud Security Alliance)) Vice-Presidente

Leonardo Rosso: Profesional de IT desde fines de los años noventa, y de Seguridad
de la Información desde el 2001.

CISSP, Auditor Líder ISO/IEC 27001:2005, MCSE + Security, MCITP: Virtualization, MCITP
Enterprise Administrator 2008, MCSA: Windows Server 2008, MCSA: Office 365, MS Specialist:
Azure Infrastructure Solutions,
Miembro de ISSA, ISACA, ISC2, OWASP y FSF. Así como de sus capítulos locales.
(miembro del board del capítulo Argentina de la CSA (Cloud Security Alliance)) Presidente

• Introducción
• Motivadores y agentes
• Malware y la evolución de las amenazas
• Threat intelligence lifecycle
• Threat intelligence Plataform
• Threat Intelligence Team
• Threat Intelligence Plan

Antes de empezar…..

Pensar…..

Nuevo Paradigma……

Tendencias y Innovaciones (The Big Five)

Antes de empezar…..

Pensar…..

Nuevo Paradigma……

Tendencias y Innovaciones (The Big Five)

Mobile

Social Business

Cloud computing

Consumerization

Big data

• Este nuevo paradigma trae consigo nuevos riesgos:

– Nuevo canales, sin políticas definidas
– Exposición de los datos
– Perdida de la noción de privacidad
– Dificultad de control y trazabilidad

Introducción

La inteligencia para la ciberseguridad nunca ha sido más necesaria de lo que es ahora
porque las amenazas son cada vez más complicadas de combatir.

La globalización

de los actores

Falta de madurez

por parte de

consumidores y

empresas

El hacktivismo

Poca

colaboración

entre gobiernos

y otras

instituciones

El cibercrimen se

ha

profesionalizado

La dependencia

del canal digital

en

casi todos los

ámbitos

La conexión

entre el crimen

del mundo físico

y el virtual

Introducción

Tendencias

Grupos organizados
La mayor parte de los ataques
proviene de cibermafias

Malware avanzado
Las herramientas cada vez
son más indetectables

Consumo: objetivo de 2015
El usuario final es el principal
objetivo de la ciberdelincuencia

Un problema global
Todas las empresas usan
nuevas tecnologías

Cambio de paradigma
La seguridad de perímetro ya no
es suficiente

Consecuencias de un ataque

Pérdidas económicas y
reputacionales de por vida.

Introducción

Situación Actual - Métricas

32%

47%

23%

12%

2012
$250
Billones

2013
$445
Billones

2014
$575
Billones

Evolución de Pérdidas por Cibercrimen/ amenazas

$575

Billones en pérdidas

32%

69% víctimas

7/10 Adultos

experimentarán algún
tipo de ciberataque a
lo largo de sus vidas.

Introducción

Víctimas del cibercrimen: pasado, presente y futuro

Ataques que ya se han producido

- 2014: más d 1.000 millones de datos robados
- Cada día:

- 30.000 aplicaciones web vulneradas
- 200.000 ciberataques

Nuevas víctimas día a día

- Más de un millón de víctimas al día:

- 50.000 víctimas a la hora
- 820 víctimas por minuto
- 14 víctimas por segundo

Futuros objetivos

-

Internet of things:

- Coches
- Alarmas
- Casas

- Dispositivos móviles:
- Smartphones
- Tablets
- Wereables

- Malware Point of Sale:

- Datáfonos

- Drones

Motivadores y agentes

Motivadores

M – Money
I – Ideology
C – Coercion
E – Ego

Agentes

1. Ciberespionaje / Robo patrimonio tecnológico, propiedad intelectual

– China, Rusia, Irán, otros…

Servicios de Inteligencia / Fuerzas Armadas / Otras empresas

2. Ciberdelito / cibercrimen

–

HACKERS y crimen organizado

+
+

+
+

=

3. Ciberactivismo

– ANONYMOUS y otros grupos

+

4.Uso de INTERNET por terroristas

– Objetivo : Comunicaciones , obtención de información, propaganda, radicalización o financiación

-

5.Ciberterrorismo

– Ataque a Infraestructuras críticas y otros servicios

La evolución de las amenazas

La evolución de las amenazas

La evolución de las amenazas

Amenazas como servicio

La evolución de las amenazas

La seguridad Tradicional no es suficiente

La evolución de las amenazas

La seguridad Tradicional no es suficiente

Permaneció oculto del
27 de Nov al 15 de Dic

10 a 20 veces más

tarjetas disponibles en
los mercados negros

40 millones de tarjetas

comprometidas y la
información personal

de 70 millones de
usuarios robada

110 millones de

personas afectadas en

total

140+ demandas contra

Target

46% menos ingresos
totales en el cuarto
trimestre de 2013

13% cayó el precio de
las acciones 6 meses
después del ataque

3.8% menos ventas en
el cuarto trimestre en
comparación con 2012.

700 ofertas de trabajo

no ocupadas

El CEO tuvo que

presentar su renuncia

us$170 millones de

dólares invertidos para

mitigar el ataque

us$1 billón de dólares
será el costo total para
Target según analistas

21.8 millones de

tarjetas remitidas con
un costo estimado de
us$200 millones de

dólares

La evolución de las amenazas

La seguridad Tradicional no es suficiente

Permaneció oculto del
27 de Nov al 15 de Dic

10 a 20 veces más

tarjetas disponibles en
los mercados negros

40 millones de tarjetas

comprometidas y la
información personal

de 70 millones de
usuarios robada

110 millones de

personas afectadas en

total

140+ demandas contra

Target

46% menos ingresos
totales en el cuarto
trimestre de 2013

13% cayó el precio de
las acciones 6 meses
después del ataque

3.8% menos ventas en
el cuarto trimestre en
comparación con 2012.

700 ofertas de trabajo

no ocupadas

El CEO tuvo que

presentar su renuncia

us$170 millones de

dólares invertidos para

mitigar el ataque

us$1 billón de dólares
será el costo total para
Target según analistas

21.8 millones de

tarjetas remitidas con
un costo estimado de
us$200 millones de

dólares

La evolución de las amenazas

La seguridad Tradicional no es suficiente

La evolución de las amenazas

Es imprescindible poder tomar decisiones ágiles y en tiempo real para combatir estas
amenazas.

¿Qué recursos
necesito para actuar
eficazmente?

¿Supone esta
amenaza un

riesgo real para
mis operaciones?

¿Como puede
afectar lo que
decida a otras

áreas de mi
organización?

¿Necesito un plan
de contingencia con

las medidas a

aplicar?

¿Cuál podría ser el
impacto real de esta

amenaza?

¿A quién debo informar

sobre esta amenaza?

¿Afectará esto
a mi estrategia

global?

¿Cuánto tiempo tengo

para planificar una

estrategia que me sirva?

¿Debo estar en contacto

con mis aliados y

competencia?

Muchas dudas?
No hay de que preocuparse pues tenemos un AS , en la materia para ayudarnos.

Threat intelligence

Resultados de Google para “threat intelligence” en los diferentes años

La inteligencia de amenazas se está convirtiendo rápidamente en una prioridad
del negocio. Hay una conciencia general de la necesidad de "hacer" inteligencia
de amenazas, y los vendedores están cayendo sobre sí mismos para ofrecer una
gama diversa de productos de inteligencia amenaza.

Threat intelligence

Objetivos de la inteligencia de amenazas

El objetivo es que la mayoría de las amenazas estén en la
categoría known knowns

Mientras que algunas en la categoría known unknowns

Permitiendo que el menor numero de amenazas
permanezcan en la categoría unknowns unknowns

Sin embargo, este es un reto considerable para la inteligencia tradicional y mas cuando se aplica a
las nuevas amenazas cibernéticas.

Threat intelligence

El Análisis de Inteligencia es clave para la toma de decisiones, pero tiene que ser
personalizado, oportuno y procesable

En mi experiencia, muchos enfoques para la generación y explotación de inteligencia no cumplen con los
requisitos más importantes para facilitar la buena toma de decisiones:

Debilidades

Ejemplos

Impactos

Buenas prácticas

Información
obsoleta

Los metadatos no muestran
información real

Los analistas de Inteligencia
pierden tiempo buscando
información inútil

Demasiados datos
irrelevantes

Difícil procesar la
información de modo
integrado

Fallos al reconocer el
escenario real.

Filtrado cuidadoso de
los datos

Configuraciones
adecuadas de listas
blancas y listas negras

Gran cantidad de
datos para
procesar

Insuficientes
parámetros de
seguridad

Demasiada
información
nueva para decidir
cuál es útil

No se detectan ataques de
hacktivistas

La organización es atacada
en su conjunto

Búsqueda proactiva
para ese propósito

Ataque organizado
utilizando los Social Media

La red de la organización es
atacada y bloqueada

Medidas de seguridad
dinámicas

Se reciben alertas inútiles
que no contemplan todas
las perspectivas

Desbordamiento de alertas
de seguridad

Seguimiento y
conocimiento de
eventos específicos

Threat intelligence lifecycle

Un programa de inteligencia de amenazas efectivo (TI) tendrá una serie de áreas
de enfoque.

La separación de inteligencia de amenazas con relación a las funciones
específicas es más escalable, ya que es probable que su personal sea más hábil
en aspectos específicos de la inteligencia de amenazas.

Threat intelligence lifecycle

Un programa de inteligencia de amenazas efectivo (TI) tendrá una serie de áreas
de enfoque.

La separación de inteligencia de amenazas con relación a las funciones
específicas es más escalable, ya que es probable que su personal sea más hábil
en aspectos específicos de la inteligencia de amenazas.

Convertir los datos en inteligencia es una práctica que está lejos de ser fácil, pero

se puede hacer, se requiere un proceso integral, robusto y en fases

Convertir los datos en inteligencia es una práctica que está lejos de ser fácil, per