Estrategias de Defensa de CiberSeguridad. Junio, 2016

Transcripción

1 Estrategias de Defensa de CiberSeguridad Junio, 2016

2 Introducción LA REALIDAD ACTUAL ES QUE PARA LA MAYORÍA DE LAS ORGANIZACIONES, SI UN ADVERSARIO CON UNA MOTIVACIÓN DADA DESEA INGRESAR EN SU RED, ASÍ LO HARÁ INTENTAR EVITAR UN ATAQUE SIGUE SIENDO IMPORTANTE PERO, LAS ORGANIZACIONES DEBEN RECONOCER QUE LOS ATAQUES PUEDEN AJUSTARSE PARA SUPERAR LAS MEDIADAS PREVENTIVAS Incidentes de Seguridad Detectados han aumentado 48% Equivale a ataques entrantes por día, todos los días Se estima que el 71% de los ataques no son detectados La mitad de las compañías Estadounidenses ahora consideran los cyberataques como uno de sus MAYORES TRES RIESGOS CORPORATIVOS

3 Introducción Qué dice Gartner.. CREEMOS QUE LA MAYOR PARTE DEL GASTO EN SEGURIDAD DE LA INFORMACIÓN PASARÁ A RESPALDAR LAS CAPACIDADES DE RESPUESTA Y DETECCIÓN RÁPIDAS, QUE CONSECUENTEMENTE SE VINCULAN CON LOS SISTEMAS DE PROTECCIÓN PARA BLOQUEAR UN MAYOR ALCANCE DEL ATAQUE.... INVIERTAN EN SUS CAPACIDADES DE RESPUESTA ANTE INCIDENTES..DEFINAN Y ARMEN UN PROCESO PARA COMPRENDER RÁPIDAMENTE EL ALCANCE Y EL IMPACTO DE UNA VIOLACIÓN DETECTADA.....EN 2020 LOS SISTEMAS CORPORATIVOS ESTARÁN CONTINUAMENTE EXPUESTOS A ATAQUES. NO PODRÁN EVITAR QUE LOS ATAQUES DE AVANZADA SE APODEREN DE SUS SISTEMAS. CONCLUSIONES LAS ORGANIZACIONES DEBEN CONTINUAR REFORZANDO LA SOLIDEZ DE LA RED PARA PROTEGER LA INFRAESTRUCTURA DE TI Y SUS ACTIVOS PERO TAMBIÉN ESAS DEFENSAS SERÁN SOBREPASADAS DESARROLLAR CAPACIDAD DE DETECCIÓN Y RESPUESTA DE INCIDENTE DE SEGURIDAD QUE PERMITA MINIMIZAR IMPACTO

4 Introducción Fuente: FMI - Netsecure Mercado Global de Ciberseguridad 2015 US$ Fuente: Frost & Sullivan Mercado de Ciberseguridad 2015 en América del Sur US$ Fuente: Frost & Sullivan SECURITY OPS 31% IDENTITY & ACCES CONTROL 8% NETWORK SECURITY 31% Producto Interno Bruto de Chile 2015 PIB US$ Crecimiento PIB 2,8% Fuente: FMI ENDPOINT SECURITY 5% DATA SECURITY 25% Mercado en Chile de Ciberseguridad US$ Ciberseguridad 0,1% del PIB de Chile Fuente: FMI - Netsecure SOLUCION CHILE US$ MERCADO NETWORK SECURITY % DATA SECURITY % ENDPOINT SECURITY % SECURITY OPS % IDENTITY & ACCES CONTROL % %

5 Desafíos Actuales Qué tan grande es la superficie de ataques emergentes -Cada 1 min un usuario ingresa a un sitio malicioso -Cada 3 min un bot se comunica con su centro de control -Cada 9 min es usada una app de alto riesgo -Cada 10 min se descarga un malware ya conocido -Cada 27 min se descarga un malware desconocido -Cada 49 min información sensible es enviada fuera de la organización -Cada 24 h es infectado un usuario con un bot Source: Bi Intelligence Investments El día promedio en una empresa promedio

6 Desafíos Actuales $3.79M Costo promedio de una brecha de Seguridad 256 Días Tiempo promedio en detectar un ataque malicioso % 60 % del Malware detectado es único y dedicado a la empresa objetivo. de los casos de ataque, la empresa es comprometida en minutos Fuente: McAfee Labs

7 El Momento de Mayor Riesgo Panorama actual de las amenazas Esfuerzo mínimo por parte del atacante Personal de seguridad sobrecargado o inexistente $$$ Impacto catastrófico $$$

8 El Momento de Mayor Riesgo El escenario ideal Tiempo para comprometer Esfuerzo significativo por parte del atacante Equipo de seguridad optimizado y herramientas que faciliten la detección y corrección. $ Impacto mínimo $

9 Ciberamenazas La mayor parte de los ataques sufridos han evidenciado fallos ocasionados por la ausencia de medidas de seguridad, métodos, procedimientos, productos y herramientas debidamente implementados y certificados PRINCIPALES CIBERAMENAZAS BARRERAS: CONCIENCIA Y FORMACION

10 Ciberamenazas AMENAZAS POR EL ORIGEN Amenazas Internas Amenazas Externas AMENAZAS POR EL EFECTO Robo o Destrucción de información Anulación del funcionamiento de los sistemas Suplantación de la identidad Robo de dinero AMENAZAS POR EL TIPO DE ATAQUE Virus o Malware Informático APT o Malware Avanzado Ataque Aplicativo Denegación de Servicio DDoS Ingenieria Social

11 Estrategias de Defensa Protección Anti DDoS Protección Malware Avanzado SOC Avanzado + CSIRT Protección Perimetral y Aplicativa Protección CIBERSEGURIDAD, es un ecosistema que integra procedimientos, procesos, tecnologías y servicios encaminados a proteger estratégicamente los activos (físicos, lógicos, o de servicios) de una organización

12 Estrategias de Defensa Capas de Protección para ataque Perimetral y Aplicativo: Nivel 1: Firewall Nivel 2: IPS Nivel 3: WAF Web Application Firewall Nivel 4: FW de Base de Datos Equipo infectado Internet Equipo Cliente ISP Equipo infectado Firewall IPS Balanceador WAF Red Empresa Firewall DB Base de Datos

13 Estrategias de Defensa Capas de Protección para ataque Perimetral y Aplicativo: Nivel 1: Firewall Nivel 2: IPS Nivel 3: WAF Web Application Firewall Nivel 4: FW de Base de Datos Capas de Protección para ataque a EndPoint: Nivel 1: Anti-Virus Anti Malware Nivel 2: End Point Protection (Incluye MDM) Equipo infectado Internet Equipo Cliente ISP Equipo infectado Firewall IPS Balanceador WAF Red Empresa Firewall DB Base de Datos

14 Estrategias de Defensa Capas de Protección para ataque Perimetral y Aplicativo: Nivel 1: Firewall Nivel 2: IPS Nivel 3: WAF Web Application Firewall Nivel 4: FW de Base de Datos Capas de Protección para ataque a EndPoint: Nivel 1: Anti-Virus Anti Malware Nivel 2: End Point Protection (Incluye MDM) Equipo infectado Internet Cloud Signaling Equipo Cliente ISP Equipo infectado Anti-DDoS Firewall IPS Balanceador WAF Capas de Protección para ataque DDoS: Nivel 1: Anti-DDoS en Perímetro Nivel 2: Contención DDoS en ISP Nivel 3: Contención DDoS Volumétrico en Cloud Nivel 4: Contención DDoS a DNS en Cloud Red Empresa Firewall DB Base de Datos

15 Estrategias de Defensa Capas de Protección para ataque Perimetral y Aplicativo: Nivel 1: Firewall Nivel 2: IPS Nivel 3: WAF Web Application Firewall Nivel 4: FW de Base de Datos Capas de Protección para ataque a EndPoint: Nivel 1: Anti-Virus Anti Malware Nivel 2: End Point Protection (Incluye MDM) Equipo infectado Internet Cloud Signaling Equipo Cliente ISP Equipo infectado Anti-DDoS Firewall IPS Balanceador WAF Capas de Protección para ataque DDoS: Nivel 1: Anti-DDoS en Perímetro Nivel 2: Contención DDoS en ISP Nivel 3: Contención DDoS Volumétrico en Cloud Nivel 4: Contención DDoS a DNS en Cloud Red Empresa Firewall DB Base de Datos Capas de Protección para ataque de Malware Avanzado: Nivel 1: Anti APT en tráfico a Internet Nivel 2: Anti APT en Correo Electrónico

16 Estrategias de Defensa Capas de Protección para ataque Perimetral y Aplicativo: Nivel 1: Firewall Nivel 2: IPS Nivel 3: WAF Web Application Firewall Nivel 4: FW de Base de Datos Capas de Protección para ataque a EndPoint: Nivel 1: Anti-Virus Anti Malware Nivel 2: End Point Protection (Incluye MDM) SOC Equipo infectado Internet Cloud Signaling Equipo Cliente ISP Equipo infectado Capas de Protección para ataque DDoS: Nivel 1: Anti-DDoS en Perímetro Nivel 2: Contención DDoS en ISP Nivel 3: Contención DDoS Volumétrico en Cloud Nivel 4: Contención DDoS a DNS en Cloud Anti-DDoS Firewall IPS Monitoreo Integrado: SOC 7x24 CSIRT Red Empresa Balanceador WAF Firewall DB Base de Datos Capas de Protección para ataque de Malware Avanzado: Nivel 1: Anti APT en tráfico a Internet Nivel 2: Anti APT en Correo Electrónico

17 Experiencias Reales OPERADORES (CARRIERS) Trabajo conjunto con Operadores, definiendo e implementando reglas de filtraje, lista de acceso, modelamiento por comportamiento en plataformas Anti DDoS Habilitación de un tercer Operador con Plataforma Anti DDoS e implementación de modelo y procedimiento de operación y escalamiento TRANSBANK Plataforma Anti DDoS implementando reglas de filtraje. Migración a proveedor de Servicios de Resolución de Nombres (DNS) en la nube. Cambio de Topología de Red Externa, ampliación de ancho de banda Mejoras en Control de Accesos: reglas adicionales en Firewall e IPS Conexión a la nube para limpieza de Tráfico APOYO TRANSVERSAL Monitoreo, soporte y atención 7x24 Transbank, Operadores y SOC especializados Apoyo en Proveedores Especializados de Seguridad Apoyo en Consultores especializados : NIC Chile y Experto de División Emegency Response Services

18 Experiencias Reales Líder Mantener informados a Ejecutivos de estado de servicios y potenciales ataques Decidir acciones para las mitigaciones según procedimientos Coordinación de equipos de soporte y proveedores Distribuir procedimiento a aplicar ante contingencia Servicios a monitorear Performance FW y Redes Activación de firmas IPS Ataques DDoS Ataques APT Equipos de trabajo 4 equipos Cobertura 7x24 En sala predefinida y habilitada Apoyo externo Turnos Sábado 14 Domin 15 Lu nes 16 Martes 17 Miercol 18 Jueves 19 Horarios a cubrir 02:00 08:00 Remoto Presente Presente Presente Remoto Remoto 08:00 14:00 Presente Presente Presente Presente Presente Presente 14:00 20:00 Presente Presente Presente Presente Presente Presente 20:00 02:00 Presente Presente Presente Presente Presente Remoto

19 Conclusiones post Incidente I. Los ataques de denegación de servicio pueden ser mitigados pero no evitados. II. III. Para los ataques volumétricos es relevante trabajar la cadena completa de servicios colaborativamente y coordinados con los Operadores de Comunicaciones y con los Operadores de los Operadores y con servicios especializados en la nube Cada vez que se produzca un ataque, dependiendo de sus características, podría haber pérdida de servicios. IV. Las estrategias de defensa, especialmente el monitoreo, control y equipos de Atención de Incidentes de Seguridad, deben ser permanentes. I. Equipos de Monitoreo y Correlación de Eventos II. III. Equipo de Acción Correctiva Equipo de Acción Preventiva : Inteligencia de Seguridad y Análisis V. Se deben programar regularmente ataques para probar tanto las defensas, como las estrategias de contención. VI. VII. Los planes de defensa y contención para los servicios de internet deben considerarse dentro de la estrategia de continuidad de servicios de Transbank, deben tener DRP para ataques y considerarse en el BCP. Comunicación Interna y Externa

20 Conclusiones ADEMÁS DE CONTINUAR REFORZANDO LA SOLIDEZ DE LA RED PARA PROTEGER LA INFRAESTRUCTURA DE TI Y SUS ACTIVOS, SE DEBE INVERTIR EN EL DESARROLLO E IMPLEMENTACIÓN DE DETECCIÓN Y RESOLUCIÓN DE INCIDENTES DE SEGURIDAD EVALUAR NIVEL DE MADUREZ ACTUAL EN DETECCIÓN Y RESPUESTA DE INCIDENTE DE SEGURIDAD LOGRAR UN NIVEL DE MADUREZ OBJETIVO DE 3 a 4 PARA DETECCIÓN Y RESPUESTA DE INCIDENTE DE SEGURIDAD TRAER KNOW HOW CON EXPERIENCIA QUE NOS PERMITA ACELERAR LA TRANSFORMACIÓN PARA MIGRAR A NIVEL DE MADURZ OBJETIVO DESARROLLAR ROAD MAP PRIORITARIO: EL DESARROLLO E IMPLEMENTACIÓN DE UN CENTRO DE OPERACIONES DE SEGURIDAD (SOC) EQUIPO DE REPUESTA A INCIDENTES DE SEGURIDAD (CSIRT) DESARROLLAR E IMPLEMENTAR UN PROCESO DE INTELIGENCIA DE SEGURIDAD QUE PERMITA LOGRAR UN ANÁLISIS OPORTUNO Y EFICAZ DE LA INFORMACIÓN DE SEGURIDAD

21 Mensajes Finales Utilizar Inteligencia en la Seguridad: Evitar comprar productos sin analizar la Estrategia de Seguridad. Evitar los Silos, productos no integrables, muchas consolas de administración y monitoreo. Integrar, Correlacionar. Cultura es el control más poderoso Capacitar a la Empresa en Seguridad Revisar el presupuesto de capacitación en Seguridad No ver en dos Reportes consecutivos el Mismo Problema

22 PREGUNTAS? Junio, 2016

23 Gracias Junio, 2016