Download Ciberataques Estamos Preparados
Document related concepts
no text concepts found
Transcript
Ciberataques ¿Estamos preparados? Ing. Enrique Larrieu-Let, CISM ISACA – Buenos Aires Chapter Agenda • • • • • • • • • • • Definiciones Referencias Comprendiendo la ciberseguridad APTs El rol del malware en las APTs Por qué falla la seguridad tradicional Amenazas a las Infraestructuras Críticas Amenazas a la Seguridad de la Información Amenazas a los datos personales sensibles Seguridad de próxima generación Mejores prácticas Ciberseguridad – ISACA – Buenos Aires Chapter ¿A quien está dirigida la pregunta? Ciberseguridad – ISACA – Buenos Aires Chapter Comprendiendo la Ciberseguridad Evolución • Seguridad de la información: gasto y estorbo • Objetivo: evitar fraudes y proteger activos de información • Atacantes individuales, oportunistas • Ataques por la vía del menor esfuerzo HOY • Ataques pacientes y persistentes • Equipo de atacantes profesionales altamente motivados, a menudo bien financiados por organizaciones criminales o Estados-nación • Objetivos: Defensa de una organización/Estado • Seguridad: ??? Ciberseguridad – ISACA – Buenos Aires Chapter Ciberseguridad • El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Activos de la organización: dispositivos informáticos conectados Usuarios servicios/aplicaciones sistemas de comunicaciones comunicaciones multimedios información transmitida y/o almacenada en el ciberentorno. Las propiedades de seguridad incluyen una o más de las siguientes: disponibilidad integridad, que puede incluir la autenticidad y el no repudio; confidencialidad Fuente: https://www.itu.int/rec/T-REC-X.1205-200804-I/es Ciberseguridad – ISACA – Buenos Aires Chapter APTs Amenazas Persistentes Avanzadas • El atacante posee niveles sofisticados de conocimientos y recursos importantes • Uso de múltiples vectores de ataque (cibernéticos, físicos y engaños). • Establecen puntos de apoyo dentro de la infraestructura de TI de las organizaciones. • Persigue sus objetivos en general durante un período prolongado de tiempo • Se adapta a los esfuerzos de los defensores para resistirlo • Está decidido a mantener el nivel de la interacción necesaria para ejecutar su objetivo Cybersecurity Nexus: Advanced Persistent Threat Awareness – www.isaca.org/cyber Ciberseguridad – ISACA – Buenos Aires Chapter Infraestructuras Críticas • “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas.” Directiva europea: 2008/114/CE del 8 de diciembre de 2008. Ciberseguridad – ISACA – Buenos Aires Chapter Infraestructuras Críticas • “Sistemas y activos, ya sea físicos o virtuales, tan vital para los Estados Unidos que su incapacidad o destrucción provocaría un impacto sobre la seguridad, la economía nacional, la salud pública o la seguridad nacional, o cualquier combinación de las anteriores.” USA Patriot Act de 2001. Ciberseguridad – ISACA – Buenos Aires Chapter Pregunta ¿Cuáles son consideradas Infraestructuras Críticas? • • • • • • Puertos Hospitales Centros comerciales Instituciones deportivas Embalses Plantas de energía Ciberseguridad – ISACA – Buenos Aires Chapter Infraestructuras Críticas • • • • • • • • • • • Administración: servicios básicos, instalaciones, redes de información, y principales activos y monumentos del patrimonio nacional Instalaciones del Espacio Industria Química y Nuclear: producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, biológicos, radiológicos, etc. Agua: embalses, almacenamiento, tratamiento y redes Centrales y Redes de energía: producción y distribución Tecnologías de la Información y las Comunicaciones (TIC) Salud: sector e infraestructura sanitaria Transportes: aeropuertos, puertos, instalaciones intermodales, ferrocarriles y redes de transporte público, sistemas de control del tráfico, etc. Alimentación: producción, almacenamiento y distribución Sistema Financiero y Tributario: entidades bancarias, información, valores e inversiones Instalaciones de investigación Ciberseguridad – ISACA – Buenos Aires Chapter Infraestructuras Críticas • La mayoría de estos sectores son controlados por sistemas industriales de control y supervisión (Industrial Control Systemas - ICS), es decir, conjunto de dispositivos que permite supervisar y gestionar el funcionamiento de instalaciones industriales. Un ejemplo clásico de estos sistemas son los SCADA. Estos sistemas revisten complejidad y se componen de: • • • • • • Sensores, Medidores, Actuadores Dispositivos Electrónicos Inteligentes (EID) Unidades Terminales Remotas (RTUs) Controladores Lógicos Programables (PLCs) Interfaces Humano – Máquina (HMIs) Comunicaciones (interfaces, líneas, protocolos) Ciberseguridad – ISACA – Buenos Aires Chapter Sistemas de Control Industriales • Algunas de las características que hacen a los ICS vulnerables son que en general: • • • • • No requieren autenticación No requieren ni ofrecen autorización No utilizan cifrado No manejan adecuadamente errores o excepciones No suelen guardarse logs Ciberseguridad – ISACA – Buenos Aires Chapter Pregunta ¿Qué ciberataques pueden afectar a las I.C.? • • • • • Suplantación de identidad (credenciales digitales) Hurto de equipamiento Denegación de servicio Incendio de centro de datos Acceso no autorizado a información digitalizada Ciberseguridad – ISACA – Buenos Aires Chapter Ciberataque • Se define un ciberataque como toda acción intencionada que se inicia en un equipo informático, con el objetivo de comprometer la confidencialidad, disponibilidad o integridad del equipo, red o sitio web atacado y de la información contenida o transmitida a través de ellos. • Por ejemplo: – ataques de DDoS (denegación de servicio) – infecciones por malware – Phishing – robo de credenciales – robo de información digitalizada – incidentes de seguridad que usan medios digitales para lograr un fin ilícito. Ciberseguridad – ISACA – Buenos Aires Chapter Posibles ciberataques a las infraestructuras críticas • Interceptación de Datos – acceso no autorizado a datos que maneja el sistema, de forma de conocer información reservada o confidencial • Manipulación de Datos – modificación no autorizada de datos que maneja el sistema. • Denegación de Servicio – interrupción del sistema causado por la explotación de una vulnerabilidad del mismo. Ciberseguridad – ISACA – Buenos Aires Chapter Posibles ciberataques a las infraestructuras críticas • Address Spoofing – robo de identidad a nivel de equipamiento. • Session Hijacking – robo de identidad a nivel de usuario • Manipulación de paquetes/protocolos – cambio de paquetes de comunicación entre equipos • Modificación de datos de registro (logs) – alteración del registro de eventos con el objeto de ocultar actividades no autorizadas o mailciosas. Ciberseguridad – ISACA – Buenos Aires Chapter Ataques a las I.C. Stuxnet (2010) • Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares. • Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. • También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC. • El objetivo del gusano, fueron infraestructuras de alto valor pertenecientes a Irán. Algunos medios de prensa apuntan que el ataque pudo haber retrasado la puesta en marcha de la planta nuclear de Bushehr. • Algunos medios como el norteamericano New York Times han atribuido su autoría a los servicios secretos estadounidenses e israelíes. Ciberseguridad – ISACA – Buenos Aires Chapter Ataques a las I.C. Stuxnet Ciberseguridad – ISACA – Buenos Aires Chapter Ataques a las I.C. Historia • junio de 1982 - troyano para sabotear las tuberías de gas natural de la antigua URSS, • Fines de los 90 - ataques a sistemas SCADA (sistemas aislados hasta entonces) • Año 2000 - planta de aguas residuales australiana es atacada de manera inalámbrica • enero de 2008 - ciberataque causa corte de energía en varias ciudades de USA • junio de 2010 - virus Stuxnet • septiembre de 2011 – Duqu - malware con una variedad de componentes de software que en conjunto proporcionan servicios a los atacantes Ciberseguridad – ISACA – Buenos Aires Chapter Ataques a las I.C. http://www.malavida.com/analisis/los-ciberataques-apt-mas-letales-de-la-historia-004946 Ciberseguridad – ISACA – Buenos Aires Chapter Referencias • [UIT-T X.800] Recomendación UIT-T X.800 (1991), Arquitectura de seguridad de la interconexión de sistemas abiertos para aplicaciones del • CCITT. [UIT-T X.805] Recomendación UIT-T X.805 (2003), Arquitectura de seguridad para sistemas de comunicaciones de extremo a extremo. • [UIT-T X.811] Recomendación UIT-T X.811 (1995), | ISO/IEC 101812:1996, Information technology – Open Systems Interconnection – Marcos de seguridad para sistemas abiertos: Marco de autentificación. • [UIT-T X.812] Recomendación UIT-T X.812 (1995), | ISO/IEC 101813:1996, Information technology – Open Systems Interconnection – Marcos de seguridad para sistemas abiertos: Marco de control de acceso. Ciberseguridad – ISACA – Buenos Aires Chapter Legislación USA • Directivas de Seguridad Nacional HSPD – 7: Critical Infraestructure Identification, Prioritization and Protection (2003) Establece la política nacional para identificar y dar prioridad a infraestructuras esenciales y protegerlos de los ataques terroristas. http://www.dhs.gov/xabout/laws/gc_1214597989952.shtm#1 • National Strategy for Physical Protection of Critical Infrastructure and Key Assets Identifica los objetivos nacionales y expone los principios básicos que sustentan las infraestructuras y los recursos vitales para la seguridad nacional. http://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf • Critical Infrastructure Information Act (2002) Tiene por objeto facilitar un mayor intercambio de información sobre las infraestructuras críticas entre los propietarios u operadores y entidades gubernamentales con responsabilidades en la protección de dichas infraestructuras. http://www.dhs.gov/xlibrary/assets/CII_Act.pdf Ciberseguridad – ISACA – Buenos Aires Chapter Legislación Europa • Libro Verde sobre un Programa Europeo para la Protección de Infraestructuras Críticas de 17 de noviembre de 2005 http://www1.dicoruna.es/ipe/ayudas/carpetasDG/JusticiaeInterior/PEPIC/Libro%20Verde%20PEPIC.pdf • Comunicación de la Comisión al Consejo y al Parlamento Europeo Protección de las infraestructuras críticas en la lucha contra el terrorismo (2004) Propuesta de medidas para reforzar la prevención, la preparación y la respuesta de la UE ante ataques terroristas contra infraestructuras críticas. http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_terrorism/l33259_es.htm • España: Ley 8/2011: Establecen medidas para la protección de las infraestructuras críticas. • https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/Ley82011de28deabril-PIC.pdf Ciberseguridad – ISACA – Buenos Aires Chapter Legislación Argentina • Resolución JGM Nº 580/2011 Creación del Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad. http://www.infoleg.gov.ar/infolegInternet/anexos/185000-189999/185055/norma.htm • Disposición ONTI Nº 3/2011 Aprueba el "Formulario de adhesión al Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad”, mediante el cual las entidades y jurisdicciones definidas en el artículo 8º de la Ley Nº 24.156 y sus modificatorias, los organismos interjurisdiccionales, y las organizaciones civiles y del sector privado podrán adherir al “Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad”. http://www.infoleg.gov.ar/infolegInternet/anexos/185000-189999/187698/norma.htm • Ley 26.388 – Delitos Informáticos – 24/6/2008 Incorpora al código penal aspectos tecnológicos vinculados a delitos actuales. Modifica varios artículos del código penal para contemplar delitos que utilicen como medios la tecnología de la información y las comunicaciones. http://www.infoleg.gob.ar/infolegInternet/anexos/140000-144999/141790/norma.htm Ciberseguridad – ISACA – Buenos Aires Chapter Pregunta ¿Cuáles son pasos del proceso de Gestión de Riesgos? • • • • • • Identificación de vulnerabilidades Gestión de incidentes Análisis de impacto Identificación de activos Gestión de continuidad del negocio Evaluación de efectividad de controles de acceso lógico Ciberseguridad – ISACA – Buenos Aires Chapter Gestión de Riesgos • Identificación de activos de información – inventario de los activos que gestionan información: sistemas, bases de datos, equipamiento, infraestructura, personas, etc. • Identificación de amenazas – determinar las ciberamenazas existentes que atentan contra la seguridad de los activos identificados anteriormente. • Identificación de vulnerabilidades – detectar las debilidades que presentan los activos identificados, que puedan ser explotadas por las amenazas existentes. Ciberseguridad – ISACA – Buenos Aires Chapter Gestión de Riesgos • Determinación de la probabilidad de ocurrencia – calcular la frecuencia de materialización de las ciberamenazas • Análisis de impacto – determinar el impacto que ocasionaría la materialización de una ciberamenaza sobre un activo. • Cálculo de riesgos – función de la probabilidad de ocurrencia y el impacto • Tratamiento de los riesgos – seleccionar una estrategia para tratar cada uno de los riesgos Ciberseguridad – ISACA – Buenos Aires Chapter Ciclo de vida de APT Fuente: paloalto networks Ciberseguridad – ISACA – Buenos Aires Chapter Ciclo de vida de APT INFECCIÓN • Aspecto social – Phishing (click en enlaces) – Redes sociales (redirección a páginas) • Exploits – Aprovechan vulnerabilidades de los sistemas destino (algunas Zero day) – Provocan desbordamiento de búfer, permite acceso a shell. • Malware – – – – Explorar destino y abrir conexión Entregar malware (drive-by-download) Enviar malware específico adaptable y camuflable Uso de canales cifrados SSL Ciberseguridad – ISACA – Buenos Aires Chapter Ciclo de vida de APT PERSISTENCIA • Resiliencia – – – – rootkits y bootkits Backdoors Infección del MBR Instalación de anti-AV Ciberseguridad – ISACA – Buenos Aires Chapter Ciclo de vida de APT Comunicación • Cifrado – con SSL, SSH, aplicación personalizada – cifrado propietario. (BitTorrent) • Elusión (Circumvention) – a través de proxies – herramientas de acceso de escritorio remoto – usando aplicaciones mediante un túnel dentro de otras aplicaciones o protocolos (permitidos) • Evasión de Puerto – network anonymizers – port hopping – tunnel over open ports • Fast Flux (o DNS dinámico) Ciberseguridad – ISACA – Buenos Aires Chapter Ciclo de vida de APT Comando y Control • Controlar, Gestionar, Actualizar – asegurarse de que el ataque es controlable, manejable y actualizable. • Medios – – – – correo web Redes sociales Rdes P2P blogs y foros de mensajes Ciberseguridad – ISACA – Buenos Aires Chapter Falencias de la Seguridad Actual • • • • • Limitaciones de los controles de seguridad heredados La naturaleza oculta de malware avanzado Detección basada en firmas Malware dirigido Necesidad de una solución de seguridad integrada Ciberseguridad – ISACA – Buenos Aires Chapter Limitaciones de los controles de seguridad heredados Expansión de la superficie de ataque • Históricamente – exploits dirigidos a servidores – malware entregado a través de e-mail – amenazas independientes • Hoy – amenazas dirigidas también a los usuarios finales – usan una serie de aplicaciones conjuntas: aplicaciones de transferencia de archivos La mensajería instantánea Webmail plataformas de medios sociales Microblogging Flujo de trabajo y aplicaciones de colaboración Ciberseguridad – ISACA – Buenos Aires Chapter Naturaleza oculta del malware avanzado Falta de visibilidad • • • • • • • Puertos no estándar y saltos de puerto Cifrado SSL Túneles VPN Proxies Anonimizadores Circumvectors Codificación Ciberseguridad – ISACA – Buenos Aires Chapter Detección basada en firmas Evasión de Firma • Enfoque tradicional – detectar y bloquear el malware basado en recolección de muestras de malware y luego escribir una firma para esa muestra – Estrategia de naturaleza reactiva – Malware y polimorfismo apuntado Ciberseguridad – ISACA – Buenos Aires Chapter Malware dirigido Adaptando el malware • Enfoque tradicional – objetivo principal: replicar y difundir el malware lo más ampliamente posible (nro. de máquinas infectadas en un período de tiempo). – La cantidad de muestras facilitaba su recolección. • Enfoque actual – – – – malware avanzado altamente interconectado permite controlar de forma remota el usuario de destino ya no se necesitan millones de usuarios infectados dependiendo del objetivo del ataque, incluso un solo huésped infectado puede ser suficiente – muy poco probable que una sola muestra de malware sea capturado – diseñado para evitar infectar a las redes no objetivo – polimorfismo Ciberseguridad – ISACA – Buenos Aires Chapter Historias clínicas, el nuevo objetivo de los piratas informáticos Su información médica valdría 10 veces más que su tarjeta de crédito • Agosto 2014 - Community Health Systems Inc uno de los mayores grupos de hospitales de Estados Unidos, fue víctima de un ciberataque que logró el robo de los números de Seguro Social y otros datos personales de 4,5 millones de pacientes. • Fifth Annual Benchmark Study on Privacy & Security of Healthcare Data - Ponemon Institute© Research Report – la mayoría de las organizaciones de salud consultadas en este estudio han experimentado múltiples incidentes de seguridad – casi todos se han enfrentado a una violación de datos – Las organizaciones carecen de los fondos y recursos para proteger los datos de los pacientes Ciberseguridad – ISACA – Buenos Aires Chapter APTs en la salud • Se reconocen dos hechos críticos de la industria de la salud: – 1) las organizaciones de salud gestionan un tesoro de información personal financieramente lucrativo – 2) las organizaciones de salud no cuentan con los recursos, procesos y tecnologías para prevenir y detectar ataques y brindar adecuada protección a los datos del paciente. • Aumento lento pero constante en las tecnologías mayor que el ritmo de las inversiones. • Causantes de los incidentes de seguridad y violaciones de datos: – A) la negligencia de los empleados » Se requiere capacitación y programas de sensibilización – B) ciberdelincuentes. Ciberseguridad – ISACA – Buenos Aires Chapter Ley Nacional 26529 – Derechos del Paciente. Art.13 Historia Clínica Digital ¿qué dice la Ley 26529 art. 13 (promulgada 11/2009)? • La HCD es el documento obligatorio, cronológico, foliado y completo que registra el conjunto de datos clínicos, socio económicos, ambientales y administrativos referidos a la salud de una persona, digitalizados y codificados a través de medios informáticos en el cual conste toda actuación realizada al paciente por profesionales y auxiliares de la salud que asista a un consultorio, servicio de urgencia u hospitalización. • puede confeccionarse en soporte magnético siempre que se arbitren todos los medios que aseguren la preservación de las características consideradas como “datos sensibles” (LEY N° Datos personales). • La reglamentación establece la documentación respaldatoria que deberá conservarse y designa a los responsables que tendrán a su cargo la guarda de la misma. Ciberseguridad – ISACA – Buenos Aires Chapter Otras Leyes relacionadas • • • • Ley 25.326 – Protección de datos personales (art.8): Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional. Ley 25.326 – Protección de datos personales: derecho de información (art.13), derecho de acceso (art.14), derecho de rectificación, actualización o supresión (art.16). Ley 25.326 – Protección de datos personales – principios: licitud, calidad de los datos, consentimiento, información, seguridad, confidencialidad. Ley 25.326 – Protección de datos personales – datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual Ciberseguridad – ISACA – Buenos Aires Chapter Otras Leyes relacionadas • Ley 25.506 – Firma Digital (art.3): Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia. • Ley 25.506 – Firma Digital (art.5): Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez Ciberseguridad – ISACA – Buenos Aires Chapter SALUD La tecnología dará a la medicina herramientas únicas. Desde el chip que almacenará datos sobre el ADN, hasta el que permitirá obtener energía del propio cuerpo para recargar el celular. La era del biochip, los diagnósticos precisos y las cirugías para corregir genes Con biopsias líquidas se harán estudios certeros y con cirugía de genes se podrían “borrar” las mutaciones que causan enfermedades Además, los avances en nanotecnología permitirán tratamientos eficaces que serán redireccionados al lugar donde se necesite reparar sin causar efectos secundarios en el resto del cuerpo http://70aniversario.clarin.com/clarin/salud Ciberseguridad – ISACA – Buenos Aires Chapter SALUD En menos de 20 años, a una mujer con diabetes podrá implantarsele un chip en su cuerpo que monitoreará continuamente sus niveles de glucosa. La información podrá ser enviada por vía inalámbrica a la computadora de sus médicos, que también contarán con los datos de la decodificación del genoma personal de la mujer. En base al monitoreo continuo de la glucosa y al perfil genético, los médicos podrán indicarle nuevos medicamentos a la paciente o variar las dosis. Los chips para administrar medicamentos podrían ser usados en osteoporosis o para pacientes con cáncer cerebral. El fármaco de la quimioterapia podría ser liberado en el cerebro por acceso remoto. http://70aniversario.clarin.com/clarin/salud Ciberseguridad – ISACA – Buenos Aires Chapter SALUD La Fundación Bill y Melinda Gates, impulsa la creación de dispositivos de microchip para liberar anticoncepción hormonal. Estos modelos permanecerían como anticonceptivos en las mujeres durante más de 15 años. Y se podrían encender y apagar de forma inalámbrica, según las decisiones de tener hijos (o no) de las mujeres. El nuevo vuelo de la cigüeña La infertilidad podría ser superada gracias al desarrollo de óvulos y espermatozoides artificiales Gattaca (1997). De Andrew Niccol. El film cuenta la historia de Vincent (Ethan Hawke), un joven que nace como producto natural de una relación sexual entre sus padres en una sociedad del futuro en que esto es una rareza http://70aniversario.clarin.com/clarin/salud Ciberseguridad – ISACA – Buenos Aires Chapter Buenas prácticas para el control de APT Asegurar la visibilidad de todo el tráfico • Clasificar con precisión todo el tráfico – Firewalls heredados basados en puertos que simplemente responden a los puertos UDP y TCP comunes y un protocolo estándar son fácilmente anulados por el malware y aplicaciones evasivas. – Un firewall de próxima generación utiliza decodificadores de protocolo para analizar totalmente la capa de aplicación y clasificar con precisión la aplicación y el tráfico. Ciberseguridad – ISACA – Buenos Aires Chapter Buenas prácticas para el control de APT Asegurar la visibilidad de todo el tráfico • Ampliación de la visibilidad más allá del perímetro – Segmentar la red interna: Proteja objetivos de alto valor con segmentación lógica de la red y políticas de seguridad. – Identifique actividades sospechosas (como excesivas búsquedas nmap y consultas a bases de datos). – Proteger a los usuarios remotos. Mantenga el mismo nivel de control de aplicaciones, prevención de amenazas, y la aplicación de políticas para los usuarios remotos y dispositivos móviles fuera del perímetro de la red como para los que están dentro. Ciberseguridad – ISACA – Buenos Aires Chapter Buenas prácticas para el control de APT Restringir Aplicaciones de Alto Riesgo • Permitir sólo lo necesario – La cantidad y diversidad de aplicaciones de una empresa se han incrementado, casi todas pueden introducir algún nivel de riesgo. – La mayoría de las aplicaciones se han diseñado para un uso fácil, dejando a la seguridad en un último plano. – Consumerización ocurre cuando los usuarios encuentran cada vez más tecnología personal y aplicaciones que son más potentes, cómodas, económicas, rápidas de instalar y fácil de usar que las soluciones de TI corporativas. Ciberseguridad – ISACA – Buenos Aires Chapter Buenas prácticas para el control de APT Restringir Aplicaciones de Alto Riesgo • Limite todo lo de alto riesgo – – – – – aplicaciones P2P aplicaciones que utilicen túnel en otras aplicaciones anonimizadores bloque (como Tor) aplicaciones de túneles cifrados(como UltraSurf) proxies aprobados para los usuarios autorizados con una necesidad comercial legítima – aplicaciones de escritorio remoto Ciberseguridad – ISACA – Buenos Aires Chapter Buenas prácticas para el control de APT Selectivamente descifrar el tráfico SSL • Descifrado e inspección de los siguientes tráficos SSL: – – – – – – aplicaciones P2P Redes Sociales e-mail basado en la Web Mensajería instantánea Microblogging Sitios de juegos • Proteger la confidencialidad e integridad de los siguientes tráficos SSL: – Aplicaciones de la salud, la información y los sitios – Aplicaciones Financieras, datos y sitios – Canales seguros Ciberseguridad – ISACA – Buenos Aires Chapter Buenas prácticas para el control de APT Sandbox para archivos desconocidos • Situación – Las amenazas avanzadas están recurriendo cada vez más a amenazas personalizados de malware y de día cero dirigidos a una red de la empresa en particular o un host específico. • Complementar la estrategia reactiva – las empresas deben complementar sus herramientas basadas en firmas con el análisis directo de los archivos desconocidos para los comportamientos maliciosos. Sandbox en laboratorio. • Sandbox dinámica – Se debe generar la capacidad de determinar de forma rápida y centralizada el análisis de un archivo malicioso dado, y luego entregar rápidamente las protecciones a todos los nodos. Ciberseguridad – ISACA – Buenos Aires Chapter Buenas prácticas para el control de APT Bloquear URL anfitrionas conocidas de malware • Monitorear URL válidas – Incluso sitios web completamente válidos pueden comprometidos y servir malware o exploits a los usuarios. estar • Bloquear URL clasificadas – Similar a la solución basada en firmas se deben filtrar los sitios denunciados o comprobados como contenedores y servidores de malware y exploits. • Analizar URL recientes – Estudiar previo a habilitar tráfico proveniente de sitios recientes no clasificados por el proveedor de seguridad. Ciberseguridad – ISACA – Buenos Aires Chapter Tendencias para el control de APT • Evaluar Eventos Red y aplicación en Contexto – Correlacionar eventos por usuario y aplicación, incluyendo: • malware conocido • exploits conocidos • Detección de dispositivos personales • Historial de descargas • categorías de URL • Investigar lo desconocido – Un verdadero firewall de próxima generación clasifica y correlaciona con precisión todo el tráfico conocido y le permite crear clasificaciones personalizadas para cualquier incógnita restante, como las aplicaciones internas o desarrolladas a medida. Ciberseguridad – ISACA – Buenos Aires Chapter Novedades ISACA 2014: A Year of Mega Breaches Ponemon Institute, January 2015. • La mayoría de la gente probablemente cierran sus puertas cuando no están en casa. Ellos confían en que sus cosas (fotografías de valor de la familia, obras de arte, información financiera y médica, valores) estarán protegidos, gracias a cerraduras de acero que pueden ser desbloqueados sólo con su propia llave. Pero ¿y si nos enteramos de que, un día, pronto, alguien inventaría una ganzúa universal que al instante y fácilmente podría abrir cualquier puerta cerrada? • Preparing for a Cyberattack by Extending BCM Into the C-suite By Gary Lieberman, Ph.D., CISSP • El 2014 es conocido como “El Año de los Mega Incidentes”. Los ciberataques se han convertido rápidamente en un elemento clave en casi todos los programas de BC/DR. El objetivo principal de un programa BC/DR es reducir el riesgo y el impacto de una interrupción del negocio. Ciberseguridad – ISACA – Buenos Aires Chapter Novedades ISACA Cybersecurity in the Quantum World By Michele Mosca, Ph.D. • 2014 será siempre recordado por una serie de violaciones a la seguridad de mega y ataques que empiezan por la violación de destino a fines de 2013 y terminando con Sony Pictures Entertainment. En el caso de la violación de destino, 40 millones de tarjetas de crédito y débito fueron robados y 70 millones de discos fueron robados que incluía el nombre, dirección, correo electrónico y número de teléfono de los compradores objetivo. Sony sufrió un ataque en línea principal que dio lugar a los empleados 'de datos personales y la correspondencia corporativa se filtró. El daño de ambas infracciones consecuencias financieras y la reputación se ha informado ampliamente. The Underground Threat By Larry G. Wlosinski, CISA, CISM, CRISC • Brinda estadísticas de ciberataques en 2014 y responde ¿Cómo llegó a ser tan terrible problema mundial? ¿Cómo se infectan lo equipos? ¿Quién es responsable de infectar a todas estas máquinas? ¿Cuáles son los costos para las empresas y la sociedad en general? ¿Se puede detener esta actividad maliciosa y proteger los activos?. Ciberseguridad – ISACA – Buenos Aires Chapter Cibersecurity Nexus www.isaca.org/cyber/Pages/default.aspx Ciberseguridad – ISACA – Buenos Aires Chapter Encuentro de Ciberseguridad y Ciberdefensa GANE CPE 12 HORAS 1ra Edición “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA” 6 y 7 de Octubre de 2015 Facultad de Ciencias Económicas (UBA) Buenos Aires – ARGENTINA www.isaca.org.ar Dirigido a Profesionales y directivos tanto del sector público como privado vinculados a las áreas de Auditoría de Sistemas, Seguridad de la Información, Gestión de Riesgos, Gobierno de las Tecnologías de la Información y las Comunicaciones Comprenda los riesgos Intercambie ideas y experiencias Benefíciese con las buenas prácticas Explore tendencias y amenazas Reciba información y capacitación