Caso de estudio usted es el CIO mensaje al CEO y al Comité Directivo evadir las defensas privilegios de administración

Transcripción

1 Caso de estudio Imagine que usted es el CIO de una compañía Fortune 100 y se está preparando para dar el siguiente mensaje al CEO y al Comité Directivo: A los atacantes les tomó sólo seis minutos evadir las defensas del perímetro. Desde ahí, lograron privilegios de administración de dominio en menos de 12 horas. En menos de una semana lograron comprometer nuestros 30 dominios a nivel global. Ellos cosecharon más de 200,000 credenciales, dándoles la habilidad de entrar en la red haciéndose pasar por cualquiera de nosotros - ellos pudieron incluso cambiar nuestras elecciones de inversión o transferir dinero al exterior. No había un solo lugar en nuestra red al que no pudieran entrar, excepto el 10% de nuestros equipos de manufactura que están detrás de firewalls, segregándolos de nuestra red. Los atacantes estaban en una posición para transferir electrónicamente millones de dólares fuera de nuestras cuentas bancarias a través de nuestro sistema de cuentas por pagar. Sus herramientas no detonaron ninguna alerta nuestro antivirus no detonó ninguna alerta. Obtuvieron acceso directo a nuestro ambiente de manufactura y pudieron afectar la calidad de nuestros procesos y la seguridad en el piso de producción. Ellos tuvieron acceso a nuestra propiedad intelectual más sensitiva, incluyendo nuestros planes pasados, actuales y futuros sobre adquisiciones mayores y desinversiones, así como a los resultados de millones de dólares que hemos invertido en una década de investigación y desarrollo. Finalmente, tuvieron la posibilidad de robarnos toda la información. No pudimos detenerlos, o siquiera verlos en nuestra red.

2 Respondiendo a ciberataques dirigidos 04-Jul-2013 Sergio Solís Eliud Elizondo Rey Tapia Asesoría EY

3 Contenido Antecedentes Fases de Respuesta Preparación Investigación Erradicación Post-erradicación Conclusión COBIT 5 en la transformación de la ciberseguridad Página 3

4 Caso de estudio Imagine que usted es el CIO de una compañía Fortune 100 y se está preparando para dar el siguiente mensaje al CEO y al Comité Directivo: A los atacantes les tomó sólo seis minutos evadir las defensas del perímetro. Desde ahí, lograron privilegios de administración de dominio en menos de 12 horas. En menos de una semana lograron comprometer nuestros 30 dominios a nivel global. Ellos cosecharon más de 200,000 credenciales, dándoles la habilidad de entrar en la red haciéndose pasar por cualquiera de nosotros - ellos pudieron incluso cambiar nuestras elecciones de inversión o transferir dinero al exterior. No había un solo lugar en nuestra red al que no pudieran entrar, excepto el 10% de nuestros equipos de manufactura que están detrás de firewalls, segregándolos de nuestra red. Los atacantes estaban en una posición para transferir electrónicamente millones de dólares fuera de nuestras cuentas bancarias a través de nuestro sistema de cuentas por pagar. Sus herramientas no detonaron ninguna alerta nuestro antivirus no detonó ninguna alerta. Obtuvieron acceso directo a nuestro ambiente de manufactura y pudieron afectar la calidad de nuestros procesos y la seguridad en el piso de producción. Ellos tuvieron acceso a nuestra propiedad intelectual más sensitiva, incluyendo nuestros planes pasados, actuales y futuros sobre adquisiciones mayores y desinversiones, así como a los resultados de millones de dólares que hemos invertido en una década de investigación y desarrollo. Finalmente, tuvieron la posibilidad de robarnos toda la información. No pudimos detenerlos, o siquiera verlos en nuestra red.

5 Antecedentes Caso de estudio La historia suena interesante?... Es un caso real. Afortunadamente, fue lo que el CIO reportó al CEO y el Comité Directivo después de un ejercicio complejo de Pruebas de Ataque y Penetración realizado por EY. Básicamente, las preguntas que se plantearon en la sesión, fueron: Qué pasa si alguien nos hace eso? Cómo nos iría? Cómo estamos posicionados para dificultar las acciones de un atacante, para detectar que un escenario de ataque está en proceso y para responder a los ataques que detectamos? Esta no fue una prueba típica donde se realiza un comparativo del cumplimiento con la política de seguridad o con prácticas líder/controles tecnológicos. Se realizaron pruebas enfocadas en valorar la postura de ciberseguridad de la compañía en respuesta a los ataques que otras compañías del Fortune 100 han recibido. Página 5

6 Antecedentes Caso de estudio 10 escenarios de evaluación Infiltrado Malicioso Denegación de servicio (DDoS) externa Hacktivismo Transferencia de Fondos No Autorizada Ataque Integrado en Sistema Automático Ataque al Sistema de Manufactura Ambiente de Control Actividades de Remediación Priorizadas Acceso Anticipado a Datos No Liberados APT (Ciberespionaje) Ataque a Aplicación con Datos Personales Ataque Vía Adquisición (Tercero) Página 6

7 Riesgo Antecedentes Evolución del panorama de las amenazas Script Kiddies Hackers Infiltrados APT Atacantes No Sofisticados (Script Kiddies) Eres atacado porque estás en la Internet y tienes una vulnerabilidad Atacantes Sofisticados (Hackers) Eres atacado porque estás en la Internet y tienes información de valor Espionaje Corporativo (Infiltrados) Tu empleado o ex-empleado busca una ganancia financiera al vender su propiedad intelectual Amenaza Persistente Avanzada (APT) Tu eres un objetivo por quien tú eres, por lo que haces, o por el valor de tu propiedad intelectual Espionaje y Armamentismo Ganancia Personal Dinero Entretenimiento Experimentación Molestia Recursos / Sofisticación del Atacante 1980 s/1990 s 2012 BrainBoot/Morris Worm Polymorphic Viruses Melisa Michelangelo I Love You Concepto Macro Virus Anna Kournikova Sircam Code Red y Nimda SQL Slammer Blaster Sobig MyDoom Netsky Sasser Storm botnet Koobface Conflicker Aurora Mariposa Stuxnet Wikileaks Anonymous LulzSec SpyEye/Zeus Duqu Flame Página 7

8 Antecedentes El Ciclo de Vida de los APT Reunión de Inteligencia Filtración de Datos Escalada de Privilegios Ciclo de Vida de los APT Explotación Inicial Comando y Control Reunión de Inteligencia Explotación Inicial Comando y Control Escalada de Privilegios Filtración de Datos Investigar antecedentes Ejecutar ataque inicial Establecer punto de apoyo Habilitar persistencia Realizar reconocimiento de la empresa Moverse lateralmente a otros sistemas Escalar privilegios Reunir y cifrar datos de interés Filtrar datos desde los sistemas de la víctima Mantener presencia persistente Página 8

9 Básico Intermedio Avanzado Antecedentes Qué están haciendo otros para responder? Desconexión de Internet Particionamiento de credenciales Servidores Salto Barrera de aire en datos sensitivos Operaciones de contrainteligencia Simulación regular de phishing Consolidación de gateway de salida Evaluaciones proactivas de APT Monitoreo continuo/soc Escaneo de propietario Esfuerzos reenfocados de parcheo y administración de configuración Repositorio de eventos (SIEM) Detección avanzada de malware Autenticación por Proxy Control de acceso mejorado (2FA, vaulting, HPA mgmt.) Instrumentación de red (full packet capture) Respuesta a incidentes/capacidades de investigación forense empresarial Complejidad de Respuesta Virtualización de PCs Lista de aplicaciones aprobadas (whitelist) Segregación de red/datos sensitivos SOC = Security operations center 2FA = Two factor authentication HPA = High profile asset SIEM = Security information and event management Página 9

10 Antecedentes Respondiendo a Ciberataques Una brecha de seguridad eventualmente SERÁ aprovechada y la mejor opción para las organizaciones es estar preparadas para lo peor. A continuación presentaremos las actividades que recomendamos llevar a cabo para estar preparados para responder ante un Ciberataque; dichas actividades están divididas en las siguientes fases: Preparación Investigación Erradicación Post-erradicación Página 10

11 Preparación Construir un equipo, Crear un plan Por qué gastar mis recursos en prepararme para responder ante un Ciberataque, cuando puedo invertir en mantener a los atacantes fuera? No importa la fortaleza de las defensas Medios y determinación acompañan a los atacantes sofisticados Si un ataque tiene éxito, Cómo va a responder la organización? Me preparo? No Si Las organizaciones que invierten tiempo y recursos en prepararse para una brecha le irá mucho mejor en los esfuerzos de respuesta y erradicación. Página 11

12 Preparación 6 actividades para administrar las brechas Establecer relaciones clave Externas Internas Determinar autoridades Patrocinio del equipo para actuar Complemento liderado por el CIO y personal clave del negocio Entendimiento de la misión, metas, objetivos, autoridad y responsabilidad del equipo de respuesta Inventario de tecnología existente Inventario completo ayuda durante la investigación y erradicación Permite al equipo de investigación seguir cada una de las posibles pistas y examinar a fondo cada indicator of compromise (IoC) Página 12

13 Preparación 6 actividades para administrar las brechas Estandarizar proceso de investigación Entrenamiento y gobierno Establecer capacidades críticas Construir un plan de investigación y erradicación Adaptable a la luz de nueva información y descubrimientos Que ayude a determinar, analizar, categorizar, calificar, priorizar y dar seguimiento Prueba de capacidades de equipos de investigación y erradicación Pruebas a gran escala, simulación teórica o seminario Revisar y actualizar, anualmente, el programa de seguridad Determinar el alcance de la brecha es crítico para la investigación. Preparar un análisis de brechas de las capacidades existentes Desarrollar un plan para cerrar brechas Capacidades de gente, procesos y tecnología Página 13

14 Preparación Capacidades básicas Establecer capacidades críticas Determinar el alcance de la brecha es crítico para la investigación. Preparar un análisis de brechas de las capacidades existentes Desarrollar un plan para cerrar brechas Las capacidades básicas y más críticas que deben tener las organizaciones son las siguientes: Conciencia de actividad a nivel host Conciencia de actividad a nivel red Búsqueda de bitácoras Cómputo forense Análisis de malware Inteligencia de amenazas Identificación de vulnerabilidades Capacidades de gente, procesos y tecnología Página 14

15 Preparación Capacidades básicas Inteligencia de amenazas Puntos de detección potencial con una inteligencia de amenazas robusta Puntos en donde la mayoría de los objetivos son notificados de un ataque Reunión de Inteligencia Explotación Inicial Comando y Control Escalada de Privilegios Filtración de Datos Investigar antecedentes Ejecutar ataque inicial Establecer punto de apoyo Habilitar persistencia Realizar reconocimiento de la empresa Moverse lateralmente a otros sistemas Escalar privilegios Reunir y cifrar datos de interés Filtrar datos desde los sistemas de la víctima Mantener presencia persistente Página 15

16 Investigación Proceso de Respuesta a Incidentes El componente principal de cualquier investigación es la recolección y análisis de la evidencia de los hechos. En un ataque de APT, el propósito principal de la investigación es proveer información para la elaboración del plan de erradicación y remediación. El proceso de investigación o respuesta a incidentes (IR) puede descomponerse en 5 fases. Marco Página 16

17 Investigación Ciclo de Respuesta a Incidentes Existen otros modelos de respuesta a incidentes An Incident Handling Process for Small and Medium Bussiness (SANS). Computer Security Incident Handling Guide (NIST). El modelo de NIST considera 4 fases: Fuente: Computer Security Incident Handling Guide, National Institute of Standards and Technology (NIST), SP Página 17

18 Investigación Preparación Los ataques APT en muchos casos no son detectados por las empresas. Estos, han sido identificados por alguna agencia de inteligencia externa. Una vez que sea ataque ha sido identificado ya sea por agencia externa o por alguna alerta interna (IPS, reporte de usuario, análisis de registros). La empresa tendrá que responder a muchos cuestionamientos como parte de la investigación. Las empresas deben contar con una estrategia y procesos de seguridad maduros, así como con las herramientas y la capacidad para dar respuesta a dichos cuestionamientos. Página 18

19 Investigación Quién nos atacó? Debe ser el cuestionamiento inicial y desprenderá las siguientes preguntas en la investigación: Los atacantes pertenecen a un grupo hacktivista? Son patrocinados por alguien (competidor, gobierno, tercero, etc.)? Es un individuo o un grupo colaborando en conjunto para realizar el ataque? Estos ataques pueden ser identificados por alguna entidad de gobierno o de inteligencia? Tienen apoyo por alguien interno de la organización? Están realizando el ataque desde las instalaciones de la empresa? Están utilizando algún proveedor o tercero como un vector de ataque? Página 19

20 Investigación Cuáles fueron los blancos objetivo? Identificar los sistemas que son atacados pueden ayudar a identificar qué tipo de información están buscando. Los atacantes alcanzaron sus objetivos? Qué equipos fueron comprometidos? Qué información fue comprometida? Existen equipos o servidores infectados con malware? La administración debe estar preparada para dar respuesta a las siguientes preguntas: Qué información se llevaron? Qué impacto tiene si la información es divulgada? Qué tipo de declaraciones se manejarán ante la prensa en caso de que el ataque se haga público? Página 20

21 Investigación De dónde provinieron los ataques? Las siguientes preguntas ayudarán a tener un mejor entendimiento del ataque: Cuál fue el vector inicial de ataque? Qué otras rutas de ataque fueron consideradas? Qué puertas traseras (backdoors) pudieron dejar habilitadas? Qué otros recursos exploraron? Qué repositorios de información pudieron dejar habilitados? La administración de la empresa debe reconsiderar los siguientes cuestionamientos: Dónde somos vulnerables? Dónde están nuestros datos sensitivos? Cuándo fue la última vez que se actualizaron los inventarios de datos? Página 21

22 Investigación Qué atacaron? Los siguientes cuestionamientos ayudarán a determinar el motivo de los ataques: Qué tipo de información buscaban? El patrón del ataque puede decirnos cuáles fueron sus motivos? Por qué no se identificó el ataque inicial? Por qué no se identificaron las actividades subsiguientes del ataque? Página 22

23 Investigación Los atacantes siguen dentro de la organización? Contestar esta pregunta es uno de los retos más significativos y requiere investigadores experimentados con habilidades en redes, análisis forense, ingeniería de reversa, etc. Qué tipos de servicios fueron atacados? Qué accesos lograron? Qué tipo de información expuesta pudo ayudar a realizar el ataque? Pueden tener acceso persistente a los sistemas? Qué información están obteniendo? Cómo están sacando información de la organización? Página 23

24 Erradicación Comúnmente, cuál es la primer actividad que hacemos al identificar un ataque? Desconectar Apagar Bloquear Son actividades suficientes para erradicar la causa raíz de un incidente de seguridad? Entendemos realmente el alcance del ataque y lo que ha sido comprometido? Las 3 grandes fases que una organización preparada debe realizar para la erradicación de un ciberataque son: Planear la erradicación Ejecutar el plan Monitorear los reintentos de acceso Página 24

25 Erradicación Planear la erradicación Una erradicación bien coordinada y planeada debe considerar los detalles de la operación (calendario de trabajo, tiempos, etc.) Crear al equipo de erradicación del evento Desarrollar el plan de erradicación del evento Determinar la fecha de erradicación del evento Establecer un cuarto de guerra (war room) Establecer protocolos de comunicación Conocer las técnicas, tácticas y procedimientos del atacante Establecer mecanismos de comunicación y transferencia de información segura Página 25

26 Erradicación Ejecutar el plan Mientras se ejecuta el plan: Mantener a los miembros del equipo enfocados Etiquetar apropiadamente la información en las comunicaciones Apegarse al plan de erradicación Cerrar los temas de coordinación Ejecutar un cambio de contraseñas Bloquear los comandos y el control de atacante Reconstruir los sistemas comprometidos Enviar malware a los proveedores de antivirus Página 26

27 Erradicación Monitorear los reintentos de acceso Acciones tomadas a cabo Efecto deseado El equipo de erradicación debe pensar acerca de lo siguiente: Cuáles son los efectos secundarios de las acciones de erradicación y las acciones futuras de prevención? Qué suposiciones dentro del plan podrían estar mal? Cuáles podrían ser las consecuencias? El equipo de investigación encontró suficientes indicadores para cubrir todas las actividades del atacante? La negación de acceso al atacante fue lo suficientemente rápida y antes de que pudiera establecer un segundo acceso? Se debe monitorear y vigilar el comportamiento de un atacante para entender sus tácticas e identificar mecanismos de persistencia. Página 27

28 Post-Erradicación Mantenerse en un estado de alerta Si se realiza una planeación apropiada, la erradicación puede realizarse rápidamente, pero es importante mantener un proceso de monitoreo constante sobre la red. El tema de concientización es muy importante en esta fase. Evaluar continuamente el ambiente de TI. Estar familiarizado con el indicator of compromise (IoC). Revisar que los equipos comprometidos están libre del malware tanto en memoria como en disco. Identificar cualquier tráfico sospechoso dentro de la organización. Revisar las bitácoras y entender el comportamiento de los eventos. Página 28

29 Post-Erradicación Transformación de Ciberseguridad - Estrategia de cambio Uno de los resultados más importante como parte del seguimiento y de lecciones aprendidas es elaborar una estrategia de seguridad para poder enfrentar futuros ataques. Establecer la PMO de Ciberseguridad. Desarrollar un programa efectivo de concientización. Realizar evaluaciones de seguridad periódicas. Desarrollar la capacidad de investigación. Optimizar el uso de herramientas de seguridad. Establecer un proceso de monitoreo a través de un SOC. Página 29

30 Conclusiones Página 30

31 COBIT 5 en la transformación de la ciberseguridad CONTENIDO Impacto del Cibercrimen y Ciberguerra en los Negocios y la Sociedad Amenazas, Vulnerabilidades y Riesgo asociado Gobierno de Seguridad Administración de la Ciberseguridad Aseguramiento de la Ciberseguridad Estableciendo y Evolucionando la Seguridad Sistemática Principios Guía para Transformar la Ciberseguridad Página 31

32 COBIT 5 en la transformación de la ciberseguridad PRINCIPIOS GUÍA PARA TRANSFORMAR LA CIBERSEGURIDAD Principio 1. Conocer el impacto potencial del cibercrimen y la ciberguerra. Principio 2. Entender a los usuarios finales, sus valores culturales y patrones de comportamiento. Principio 3. Establecer claramente el caso de negocio para la ciberseguridad, y el apetito al riesgo de la empresa. Principio 4. Establecer el gobierno de la ciberseguridad. Principio 5. Administrar la ciberseguridad usando principios y catalizadores. Principio 6. Conocer el universo de aseguramiento y objetivos de la ciberseguridad. Principio 7. Proveer aseguramiento razonable sobre la ciberseguridad. Principio 8. Establecer y evolucionar la ciberseguridad sistemática. Página 32

33 Preguntas Página 33

34 Gracias! Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA Eliud Elizondo ISE, CISSP, ISO 27001LA Rey Tapia IE, MTI, CISA, ITIL V3F, ISO 27001LA Página 34