Warning, Advice Brokering and Reporting Point. Graciela Martínez Coordinadora WARP

Transcripción

1 Warning, Advice Brokering and Reporting Point Graciela Martínez Coordinadora WARP

2 Qué es WARP? Equipo coordinador y facilitador del manejo de incidentes de seguridad informática para los miembros de la LACNIC Sitio web: La comunidad objetivo esta constituida por todas las organizaciones miembros de LACNIC El reporte de incidentes podra realizarse: Correo electrónico: info-warp@lacnic.net Formulario web: Los no miembros también pueden reportar

3 Qué hacemos? Warning Alertas de Seguridad selecciondas (Filtered Warnings) - envío de advertencias de seguridad relevantes para la comunidad Advice Brokering - WARP provee un ambiente seguro y anónimo de intermediación para la búsqueda, discusión e intercambio de información de incidentes de seguridad y buenas prácticas (sanitise) Reporting Point - Reporte de incidentes

4 Autoridad LACNIC WARP no tiene autoridad para actuar sobre las operaciones de los sistemas de su comunidad, a excepción de los sistemas internos propios de LACNIC, por lo que no brindará asistencia directa remota ni in situ para la atención de incidentes de seguridad, aun cuando éstos involucren direcciones de Internet de Latinoamérica y el Caribe.

5 Incidente de Seguridad Informático No existe una única definición Un Incidente de Seguridad Informático, podría definirse como una actividad en una red o en un componente de una red, que compromete la información y/o las operaciones de una organización.

6 Ejemplos y Números Ejemplos de incidentes de seguridad Confidencialidad acceso a información no autorizada, plan de negocio Integridad modificación de datos, contables Disponibilidad servicio no disponible, red saturada. Los criminales se han enfocado donde está el dinero. Los estudios muestran que la economía de Internet genera anualmente entre 2 y 3 trilliones U$S, y se calcula que el cybercrimen se lleva entre 15% y 20%

7 Phishing Es un método de engaño a los usuarios diseñado para robar información sensible. Se presentan recursos fraudulentos como legítimos, y por lo general apuntan a robar las credenciales de acceso de un usuario a un sistema, con el fin de llevar a cabo fraudes monetarios. Puede ser introducido a los sistemas mediante correos electrónicos falsos o bien mediante visitas a sitios de dudosa reputación.

8 Phishing Una campaña de phishing es masiva JJOO Brasil, Terremoto en Ecuador Todos sabemos algo acerca de phishing, pero las estadísticas nos muestran que seguimos cayendo y somos víctimas

9 Phishing Conocen qué porcentaje representa el phishing con respecto al total de los incidentes que se reportan?

10 El phishing en nuestra región Esta gráfica muestra los incidentes notificados al WARP desde otras organizaciones diferenciados por tipo. PAC Proxy automatic configuration

11 Phishing gestionados por WARP Esta gráfica muestra los incidentes gestionados por WARP diferenciados por tipo. Tipos:

12 Tips de reconocimiento Patrón común: Nombre del dominio muy similar a la marca o a la URL del sitio legítimo. Ejemplo URL legítima: Posibles URLs usadas para phishing:

13 Tips de reconocimiento Correo electrónico - Esperaba este correo? - Conozco el origen? - Asunto - Generalmente son alarmistas porque esperan asustar al usuario para que tome acciones rápidas sin pensarlas mucho. - Contienen signos de puntuación excesivos - Logo Mala calidad, compañía falsa, cada vez mejor! - Sr. Usuario - Cuerpo del mensaje (Idioma, gramática) - Firma de mensaje puede ser genérica o una copia del original

14 Correo electrónico Ejemplo

15 He caído Qué hago? En caso de ser víctima de un fraude electrónico, reporte inmediatamente el problema a la organización involucrada y al centro de respuesta a incidentes de seguridad correspondiente.

16 OTROS TIPOS DE INCIDENTES Sextorsion es una forma de explotación sexual a través de Internet Chantaje: Fines económicos Otros fines pornografía No necesariamente es realizada por desconocidos Fuentes: cámara web, fotos de dispositivos, etc.

17 OTROS TIPOS DE INCIDENTES RANSOMWARE un tipo de malware que encripta archivos digitales y pide una recompensa a cambio de la clave para desencriptarlos. Ejemplos: CryptoLocker (2013), Locky (Feb. 2016), CryptoXXX (Mar. 2016) Notas: $325 millones de ganancias al año Utilizan la red TOR para el anonimato Bitcoins divisa electrónica dificulta la trazabilidad Pagar la recompensa no garantiza obtener la clave Todo tipo de organización ha sido víctima de este ataque

18 OTROS TIPOS DE INCIDENTES Advanced Persistent Threats APT Malware altamente sofisticado Requiere individuos altamente calificados, con expertise en diferentes tecnologías Recursos financieros Utilizados en contra de organizaciones estatales, industriales y militares. Las técnicas utilizadas para atacar por lo general son Zero-Day exploit para la comunidad de seguridad Ejemplos: Stuxnet Pensado para atacar sistemas de control industrial. Se presume para sabotear el programa nuclear iraní. Infección inicial: desconocida. Propagación: Red, dispositivos removibles Duqu - Objetivo: espionaje. Infección inicial: MS Word, Keylogger. De acuerdo a lo que se sabe no infectó mas de 50 objetivos a lo largo del mundo

19 Algunos Problemas Mala legislación Vacío legal nacional e internacional Medidas de seguridad no adecuadas contraseñas DDoS ISP s no atacan el problema de las botnets de forma efectiva Falta de implementación de buenas prácticas BCP 38 antispoofing Educación de los usuarios: entiendan los riesgos DNSSEC RPKI Desarrolladores: no toman en cuenta la seguridad desde el diseño

20 Algunos problemas Falta de cooperación entre organizaciones Muchos usuarios no reportan los incidentes de seguridad Conocimiento de cybercrimen Dos mayores fuentes: Exposición a través de terceros se conoce a alguien que fue victima de hacking, fraude de tarjeta de crédito, etc Exposición a través de los medios artículos on-line, series de TV, películas, etc. Muchas veces las medidas se toman despues!

21 Medidas Administración adecuada de patches Sistemas Operativos Aplicaciones Efectos limitados ante Zero-Day exploits, pero previene que nuevos sistemas sean infectados Segregación de la red Estaciones de trabajo Hardeningde Servidores Aplicar políticas estrictas de acceso a internet, por ejemplo utilizando una white list de sitios Inspección granular de tráfico entrante y saliente Control del software a instalar y ejecutar en un sistema Control de cambios de configuraciones mediantes hashes Capacitación de usuarios

22 Medidas Trabajar para mejorar las comunicaciones: respuestas Las respuestas desde otros centros hacia los incidentes reportados son escasas, lo que genera dudas acerca de si fueron o no tratados o al menos recibidos para un triage. Se deberá trabajar en la región para mejorar las comunicaciones. SPAM Las cifras del SPAM son muy voluminosas, por más que este problema ya se conoce, se considera imperioso continuar el análisis de los datos con el fin de comenzar acciones más enfocadas a su reducción. Y también de generación de políticas regionales.

23 Otras actividades de WARP Lac-csirts Qué es? Sin coordinación todos nuestros esfuerzos son inútiles Procedimiento de ingreso Acuerdos con M3AAWG, APWG, LEVEL 3 Amparo La inclusión del Proyecto Amparo dentro de las actividades de WARP LACNIC, contribuye a la creación de la función de respuesta a incidentes de seguridad entre los miembros de LACNIC, forma parte de las actividades de capacitación y awareness que debe de contemplar un centro de respuesta.

24 Cooperación regional Nosotros creemos que la seguridad es responsabilidad de todos los actores de Internet. En este sentido seguimos realizando una serie de actividades: Reunión de CSIRTS de la región en nuestros eventos anuales LACNIC es hosting para el FIRST TECHNICAL COLLOQUIUM Todos los meses tenemos una reunión virtual de la lista de LAC-CSIRTS donde compartimos inquietudes, proyectos, etc.

25