LOS LIMITES DE LA SEGURIDAD TRADICIONAL EN BIG DATA

Transcripción

1 LOS LIMITES DE LA SEGURIDAD TRADICIONAL EN BIG DATA Francisco Medero Sr. Systems Engineer SoLA & Brazil 1

2 Cuál es el contexto tecnológico actual? 2

3 BILLONES DE USUARIOS MILLONES DE APLICACIONES 2010 Móviles Nube Big Data Social DISPOSITIVOS MOVILES CIENTOS DE MILLONES DE USUARIOS LAN/Internet 1990 Cliente/Servidor PC CIENTOS DE MILES DE APLICACIONES Fuente: IDC, 2012 MILLONES DE USUARIOS MILES DE APLICACIONES 1970 Mainframe, Mini Computadoras Terminales 3

4 Qué es el BIG DATA? 4

5 Definición: "Big data" es un término aplicado a conjuntos de datos cuyo tamaño va más allá de la capacidad de captura, almacenado, gestión y análisis de las herramientas de base de datos actuales. 5

6 Las 3V Cerca de tiempo real Tiempo real Velocidad BIG Periódico Lotes KiloBytes MegaBytes GigaBytes TeraBytes PetaBytes Volumen DATA Variedad Tablas Base de datos Fotos, Audio, Web Social, Video Desestructurado Móviles 6

7 BIG DATA en números Exabyte Es creado en internet todos los días Zettabyte Pronostico de trafico de red anual para Yottabyte Nuestro Universo digital hoy Brontobyte Nuestro Universo digital del mañana 7

8 Quien los genera y consume? Persona a Persona Blogs Comunidades virtuales Redes sociales Mensajería instantánea Persona a Maquina Repositorio de datos Dispositivos Médicos TV Digital Comercio Digital Tarjetas inteligentes Computadoras Móviles Maquina a Maquina Sensores Dispositivos GPS Códigos de barra Escáneres Cámaras de Vigilancia Investigación científica 8

9 Un minuto de Big Data imágenes son compartidas en Whatsapp descargas de aplicaciones de Itunes 72 horas de video son subidas a Youtube de búsquedas en Google de s son enviados 571 nuevos sitios son creados 70 dominios nuevos son registrados tweets son generados en Twitter posts compartidos en Facebook minutos de conexión de usuarios de Skype 9

10 Cuál es el contexto de seguridad? 10

11 Contexto seguridad INFRAESTRUCTURA PERSONAS AMENAZAS Múltiples S.O Dispositivos Móviles Múltiples Dispositivos de Seguridad Nube Virtualización Equipos Reducidos Falta de conocimiento / Inexperiencia Procesos obsoletos Baja Visibilidad y Control Atacantes motivados económicamente y políticamente Ataques sofisticados y más efectivos Crecimiento exponencial del malware 11

12 Estadísticas 12

13 Mapa global de brechas de seguridad Durante 2013 solo 27 países representaron el mapa de victimas de brechas de seguridad. Durante 2014 se encuentran 95 países representados. Un 350% de incremento. FUENTE: VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 13

14 Porcentaje de brechas por tipo atacante El mayor porcentaje de la brechas fueron ocasionadas por ataques externos y en menor medida por usuarios internos. FUENTE: VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 14

15 Motivo de las brechas de seguridad El principal motivo de las brechas de seguridad en porcentaje y volumen es el redito Financiero, seguido del Espionaje. FUENTE: VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 15

16 Tipo de amenazas utilizadas El Hacking, Malware y los Ataques de ingeniería social son los principales mecanismos utilizados para concretar una brecha. FUENTE: VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 16

17 Tiempo de compromiso vs tiempo de descubrimiento El 99% de las veces el atacante puede generar una brecha en días o menos. En el 70% de los casos a las compañías les lleva semanas o más tiempo detectar las mismas. FUENTE: VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 17

18 Adaptación de los ataques Presente Era de los dispositivos móviles Motivación: Ganancias Comportamiento: Abuso de servicio Virus: 2011 DroidSMS 2011 Presente Era de las redes de negocios y organizacionales Motivación: Sabotaje, espionaje, ganancias, agenda política Comportamiento: Persistir en la red Virus: Luckycat Presente Era de los Sistemas de control industrial (ICS) Motivación: Sabotaje, espionaje Comportamiento: Abuso de infraestructura Virus: 2010 Stuxnet, 2012 Flame Era de internet Motivación: Notoriedad, fama Comportamiento: Propagación generalizada Virus: 2007 The Italian Job Conficker Presente Era de las redes sociales Motivación: Sabotaje, Ganancias Comportamiento: Acoso social Virus; 2009 KoobFace Era de la PCs Motivación: Vandalismo, investigación, Bromas Comportamiento: Corrupción de archivos Virus : 1986 Brain 1988 Jerusalem Era de las redes locales Motivación: Notoriedad, fama Comportamiento: Propagación generalizada Virus: 2000 ILoveYou Nimda 2004 Blaster Sasser FUENTE: TREND MICRO HOW ATTACKS ADAPT

19 Un minuto de inseguridad 240 nuevas variantes malware son generadas 5 nuevas variantes de malwares Android ataques de malware a usuarios 90 cyber ataques son generados infecciones de botnets 20 sitios son comprometidos 1 ataque de phishing es concretado 1 nuevo rasonware es dectectado de correos spam son generados 20 nuevas victimas de suplantación de identidad 19

20 BIG DATA + CONTEXTO (TECNOLOGIA x PERSONAS x SEGURIDAD) Algunas consecuencias 20

21 Evernote Millones de usuarios afectados Linkedin Millones de usuarios afectados 21

22 Sony Millones de usuarios afectados y tarjetas de crédito Target Corp Millones de usuarios afectados y tarjetas de crédito 22

23 Visa Mastercard Millones de usuarios afectados y tarjetas de crédito Dropbox Millones de usuarios afectados 23

24 Adobe Millones de usuarios afectados, tarjetas de crédito y código fuente Edward Snowden NSA Mil documentos afectados 24

25 Quiénes toman ventaja de esta situación? 25

26 Cyber-Criminales Motivos: Redito Económico, Espionaje Industrial Nivel de conocimiento: Experto Cyber-terroristas Motivos: Ideología diferente Nivel de conocimiento: Medio pero en volumen Estado Motivos: Espionaje Nivel de conocimiento: Experto Insiders Motivos: En desacuerdo con la compañía Nivel de conocimiento: Básico 26

27 Cómo evaden mi seguridad tradicional? 27

28 Un poco de sentido común Saben que dispone de pocos recursos Saben que utiliza tecnología tradicional Saben que esta desbordado de tareas Saben que siempre hay un eslabón débil 28

29 Preparando un ataque 1 Reconocimiento: Obtener la foto global del ambiente, red, estaciones de trabajo, móviles, y virtualización, incluyendo tecnologías implementadas para asegurar el mismo 2 Programación: Crear malware dirigido y contextualizado, codificándolo para que no sea detectado por los mecanismos habituales. 3 Testeo: Asegurar que el malware funciona como se espera, específicamente si evade mecanismos de seguridad tradicionales 4 Ejecución: Iniciar el ataque de acuerdo a lo planeado 29

30 Ejecutando el ataque 1 Punto de entrada: Buscar a través de la explotación de vulnerabilidades de día cero evadir los mecanismos de control a través de correo electrónico, mensajería instantánea, redes sociales 2 Control remoto: Una vez ejecutado la rutina del malware asegurar la comunicación continua entre el host comprometido y el servidor C2 3 Movimiento Lateral: Localizar los host que alojan la información sensible de la red objetivo 4 Descubrimiento de activos: Identificación de los datos valiosos para aislarlos preparándolos para su futura sustracción 5 Extracción de datos: Transmitir la información fuera de la organización afectada 30

31 Qué desafíos surgen a partir de esta problemática? 31

32 Desafíos de seguridad en Big Data Como proceso toda la información generada por mi infraestructura? Como ayudo a mi equipo de trabajo a ser mas efectivo? Como reduzco la ventana de exposición ante una brecha de seguridad? Cómo demuestro el grado de compromiso generado por ataque? 32

33 Cómo minimizar el impacto? 33

34 Un Nuevo Enfoque de Seguridad es necesario 2 DA PLATAFORMA LAN/Internet Cliente/Servidor PC 3 RA PLATAFORMA Mobile Cloud Big Data Social Dispositivos Móviles CONTROLADO POR TI BASADO EN PERIMETRO PREVENCION BASADO EN FIRMAS CENTRALIZADO EN EL USUARIO SIN PERIMETRO DETECCION IMPULSADA POR INTELIGENCIA 34

35 Profundidad - Solo un ataque Basados en Firmas Post Mortem I S F P C DEFINE W OBJETIVO S M A V O - Tiempo M + S I E Minimizar la CAPTURA COMPLETA Brecha de DE PAQUETES Recopilación de información Seguridad RECOLECCION DE FLUJOS DE RED Ataque Dirigido de Phishing Vulnerabilidad de dia 0 Control Remoto ANALISIS DE LA ESTACION DE TRABAJO Escalamiento de privilegios RECOLECCION DE TODOS LOS EVENTOS Movimiento lateral + Descubrimiento de activos Tomar la información y sacarla fuera de la compañía 35

36 TRANSFORMA Visibilidad Análisis Seguridad impulsada por Inteligencia Acción 39

37 Ver más Visibilidad P E L N Paquetes, Logs, Estación de trabajo, Flujos de red Enriquecimiento en el momento de la captura Contexto del negocio y Cumplimiento normativo 40

38 Entender todo Análisis Correlacionar varios orígenes de datos Detección de amenazas en la estación de trabajo Contenido Out-of-the-box Big Data & Data Science 41

39 Investigar y Remediar más rápido Accionar Flujo de trabajo del analista Priorizado y unificado Investigar en profundidad al más mínimo detalle Integración de mejores Practicas de SOC 42

40 Modular RSA Advanced SOC Solution FORENSE DE RED SIEM & MAS ALLÁ ANALISIS EN LA ESTACION DE TRABAJO A medida que su departamento de seguridad crece, la solución crece con usted 43

41 Qué es una plataforma de Security Analytics? 44

42 Security Analytics Architecture Visibilidad Análisis Acción LIVE Packets Logs Enriquecimi ento en el momento de captura LIVE Security Operations Security Operations LIVE NetFlow Endpoint RSA LIVE INTELLIGENCE Threat Intelligence Rules Parsers Feeds Reports RSA Research 45

43 Arquitectura distribuida escalable Ingesta Ingesta Index Query Recopilar y analizar grandes cantidades de datos Infraestructura federada permite a las empresas escalar linealmente Capacidad para analizar y consultar sin problemas en todo el sistema 46

44 Ejemplo de arquitectura de referencia 47

45 Añadir Cumplimiento & Contexto de negocio Información de TI Lista de Activos Tipo de dispositivo, contenido del dispositivo CMDBs Datos de Vulnerabilidades Contexto del negocio Propietario de los dispositivos Dueño del activo, Unidad, Proceso RPO / RTO Clase de datos Inteligencia de activos Nivel de riesgo Dirección IP Clasificación de Activos & Criticidad Fondo 48

46 The Power Of A Risk-Based Approach Logs Información de la conexión básica Endpoints Dónde se encuentra la infección? NetFlow Hasta donde se propago la intrusión? Security Analytics Packets Cómo usted se infectó y lo hizo el atacante? 49

47 Investigación con profundidad en segundos Removiendo la paja y buscando la aguja Todo el trafico de red y logs Descarga de executables Descargado por Java! Terabytes de datos 100% del total Miles de puntos de datos 5% of total Cientos de puntos de datos 0.2% of total Crear alertas desde o hacia activos críticos Una docenas de alertas 50

48 Packets Logs Endpoint & Malware Gestión de Incidentes Nativa Incidentes y flujos unificados Punto de partida del analista 51

49