Omar Lira Rangel (omar.lira@sura am.com) Director Regional de Tecnología y Operaciones SURA Asset Management 9ª Semana de 9ª Seguridad Semana de Seguridad
Bienvenidos, esta es su casa. Bienvenidos a la función. con
Hace unos años
Los atacantes. Script Kiddies, N00bies y Aficionados (hobbyists). Hacker, Crackers. Empleado disgustado. Interno ayudando a otros. Ladrones/Defraudadores/Extorsionadores. Espías (industriales, extranjeros). Hacktivistas. Terroristas. Ataques patrocinados por El Estado. EXTERNOS INTERNOS SOCIOS PROVEEDORES COLUDIDOS
Los atacantes; La amenaza ha incrementado
Los atacantes; Titulares (de lo que nos enteramos )
Los eventos. 1. Date: March 2008 Impact: 134 million credit cards exposed through SQL injection to install spyware on Heartland's data systems. 2. TJX Companies Inc. Date: December 2006 Impact: 94 million credit cards exposed. 3. Epsilon Date: March 2011 Impact: Exposed names and e mails of millions of customers stored in more than 108 retail stores plus several huge financial firms like CitiGroup Inc. and the non profit educational organization, College Board. 4. RSA Security Date: March 2011 Impact: Possibly 40 million employee records stolen. 5. Stuxnet Date: Sometime in 2010, but origins date to 2007 Impact: Meant to attack Iran's nuclear power program, but will also serve as a template for real world intrusion and service disruption of power grids, water supplies or public transportation systems. 6. Department of Veterans Affairs Date: May 2006 Impact: An unencrypted national database with names, Social Security numbers, dates of births, and some disability ratings for 26.5 million veterans, active duty military personnel and spouses was stolen. 8. ESTsoft Date: July August 2011 Impact: The personal information of 35 million South Koreans was exposed after hackers breached the security of a popular software provider. 9. Gawker Media Date: December 2010 Impact: Compromised e mail addresses and passwords of about 1.3 million commenters on popular blogs like Lifehacker, Gizmodo, and Jezebel, plus the theft 10. Google/other Silicon Valley companies Date: Mid 2009 Impact: Stolen intellectual property 11. VeriSign Date: Throughout 2010 Impact: Undisclosed information stolen 12. CardSystems Solutions Date: June 2005 Impact: 40 million credit card accounts exposed. CSS, one of the top payment processors for Visa, MasterCard, American Express is ultimately forced into acquisition. 13. AOL Date: August 6, 2006 Impact: Data on more than 20 million web inquiries, from more than 650,000 users, including shopping and banking data were posted publicly on a web site. 7. Sony's PlayStation Network Date: April 20, 2011 Impact: 77 million PlayStation Network accounts hacked; Sony is said to have lost millions while the site was down for a month. 14. Monster.com Date: August 2007 Impact: Confidential information of 1.3 million job seekers stolen and used in a phishing scam.
Los ataques. Web Applications Security: SQL Injection, XSS Cross Site Scritpting, Blind SQL Injection, Server Side Includes (SSI), Path Disclosure, Information Disclosure, Arbitrary File, Local File Include, Code Execution, Buffer Overflow, Memory Corruption. Malware (infected attachments, botnets, rootkits, virus, worms, zombies, toolkits). Dynamic Trojans. Denial of Service. Zero day and New Spreading Exploits. Phishing (mail and web malicious). Social Engineering. Social Media Scam and behaviours. Mobile Device Attacks. Physical Asset Theft, Stolen or lost. Persistent Attacks. Indentity Theft. Point of Sale (POS) Intrusions. Multi vector attacks. Watering Hole (ej.) RSA TM Etc. Etc. Etc. Etc. Etc......
9ª Semana de Seguridad Los ataques.
Los ataques y los atacantes. Aptitud Conocimientos Tiempo Recursos Acceso Habilidades Destreza Privilegios
The truth is out there. "There are only two types of companies: those that have been hacked, and those that will be. Even that is merging into one category: those that have been hacked and will be again, FBI Director, Robert Swan Mueller III @2012
Los atacados; Motivadores Intereses Cuál es la finalidad última del atacante? Económicos/Comerciales Propiedad intelectual Extorsión Tráfico de Datos Personales Fraude/Robo Espionaje Reputación Políticos/Ideológicos Sabotaje Reputación Espionaje Hacktivismo Terrorismo & Cyber terrorismo Salud y Seguridad Secretos de estado Datos Diversión Información Qué tan atractivas son nuestras organizaciones?
9ª Semana de Seguridad Los números.
El mensaje de la película Las defensas tradicionales no son suficientes, no funcionan por completo para amenazas emergentes, pero es importante tenerlas. Contar con una postura y una política de seguridad implantada, consistente (estable/sólida) y constante (persistente/durable), recuerden que un ataque dirigido puede durar varios años. Implantar una cultura de la seguridad y de riesgos fortalecida. Identificar y tener claro el nivel de importancia y el valor de la información que maneja su organización. Recordemos que son la joyas de la corona. Tener claros los riesgos e impactos de la organización, entorno y contexto. Perfilar nuestros posibles atacantes con base a nuestro rol de organización y la información que maneja. Llevar el nivel de solidez de los controles con base y en relación al nivel de ambición de riesgos de la organización. Los eventos van existir, la organización corre riesgos porque eso es parte de hacer negocios, tenemos que estar preparados para tener la menor probabilidad de ocurrencia de los casos, identificar y contener los mas rápido posible para tener la menos perdida calculada.
Conclusión, g{x XÇwR. Nuevos ataques? Sí Nuevos atacantes? Sí, los mismos y más The neverending story
Referencias. http://www.csoonline.com/article/2130877/data protection/the 15 worst data security breaches of the 21st century.html http://www.blackhat.com/presentations/bh usa 03/bh us 03 parker.pdf http://www.theblackvault.com/documents/trans.pdf http://money.cnn.com/2012/03/02/technology/fbi_cybersecurity/in dex.htm?iid=el https://www.rsaconference.com/writable/presentations/file_upload/ spo1 r31_spo1 r31.pdf http://www.symantec.com/content/en/us/enterprise/other_resourc es/b istr_main_report_v19_21291018.en us.pdf http://www.verizonenterprise.com/dbir/ http://cybermap.kaspersky.com/ http://map.ipviking.com/ http://www.fireeye.com/cyber map/threat map.html