CyberSOC IT-ERS Services ISACA Madrid Jornadas Técnicas JT14 David Montero Abujas 5 de Noviembre de 2014
Por qué existe la ciberseguridad?
Tipos Existen dos grandes grupos de amenazas tecnológicas en ciberseguridad que afectan a las empresas, tanto públicas como privadas: Amenazas lógicas. Fuga de información, robo de credenciales, phishing, malware,. Amenazas reputacionales. Menciones negativas, perfiles falsos,.
Cuántos habéis contemplado las ciberamenazas en vuestros análisis de riesgos?
Malware [C.1] La evolución del malware desde los tiempos del virus ping-pong ha sido exponencial: sigilo, criptografía, polimorfia, ataque, botnets, etc., hasta configurar hoy en día una rama de APTs que suponen un desafío para las organizaciones. Salvaguardas antiapt [DC], SIEM [MN] [DC], ciberinteligencia [DC] Acceso no autorizado (intrusión) [C.2] Una intrusión efectiva en la red corporativa implica un riesgo importante en la confidencialidad de la información, que puede provocar en cadena una serie de amenazas, como por ejemplo la alteración o robo de la información y cambios de configuración de sistemas. Las técnicas más usadas para una intrusión son explotación de vulnerabilidades comunes o día cero (0-day) en servidores para obtener shell remotos e ingeniería social. Salvaguardas Firewalls [PR], IDS [DC], IPS [PR], SIEM [MN][DC], Auditorías [DC], Concienciación [AW]
Divulgación de información [C.3] Las fugas de información son una de los principales amenazas que afectan a las organizaciones, y están provocadas por: malware, fallos de configuración y empleados, tanto de forma voluntaria (publicación de información técnica en redes sociales) o involuntaria. Salvaguardas DLP [DC], concienciación [AW], ciberinteligencia [DC],Auditorías[DC] Denegación de servicio [C.4] Los ataques de denegación de servicios (DoS && DDoS) son un grave problema para la disponibilidad de activos en Internet de las empresas. Colectivos como Anonymous o redes de ciberdelincuencia usan este tipo de ataques para reivindicar ideales o encubrir ataques complejos. Salvaguardas antiddos [PR], ciberinteligencia [DC], SIEM [MN] [DC]
Ingeniería social [C.5] El uso de técnicas de ingeniería social contra personal interno de una organización puede provocar importantes fugas de información que faciliten la ejecución de otras amenazas. Salvaguardas concienciación [AW], ciberinteligencia [MN][DC] Phishing [C.6] Una forma de ingeniería social empleada contra usuarios externos del sistema de información de determinadas empresas, con la intención de obtener sus credenciales de usuario. Salvaguardas concienciación [AW], ciberinteligencia [MN][DC], SIEM [MN][DC]
Menciones negativas [C.7] Las menciones negativas contra una organización provoca un daño directo contra el valor inmaterial de su marca. Las menciones negativas contra un cargo directivo de una organización provoca un daño indirecto contra la marca que representan. Perfiles falsos [C.8] Los perfiles falsos en social media son otro foco de riesgos reputacionales contra una organización, y las opiniones vertidas sobre sus productos en estos perfiles falsos pueden provocar un enorme daño a nivel de imagen y desinformación para la ciudadanía. Es una forma de suplantación de la identidad de usuario, pero en sistemas ajenos a la organización. Salvaguardas ciberinteligencia [MN] [DC]
Correlación de ciberamenazas CCyb Cód. MAGERIT Ciberamenaza Activos C.1 A.8 Malware SW C.2 A.11 Acceso no autorizado (intrusión) D,Keys,S,SW,HW,COM,Media,AU X,L C.3 A.19 Divulgación de información D,Keys,S,SW,COM,Media,L C.4 A.24 Denegación de servicio S,HW,COM C.5 A.30 Ingeniería social P[ui] C.6 Phishing P[ue] C.7 Menciones negativas S C.8 Perfiles falsos S
Correlación de salvaguardas Otro punto fundamental en la gestión de riesgos en ciberseguridad es el establecimiento de salvaguardas. Código Salvaguarda Ciberamenazas S.1 AntiAPT C1 S.2 Firewalls C2 S.3 IDS C2 S.4 IPS C2 S.5 SIEM C1,C2,C4,C6 S.6 DLP C3 S.7 Concienciación C2,C3,C5,C6 S.8 Ciberinteligencia C1,C3,C4,C5,C6,C7,C8 S.9 Auditorías seguridad C2,C3 S.10 antiddos C4
Correlación de salvaguardas Otro punto fundamental en la gestión de riesgos en ciberseguridad es el establecimiento de salvaguardas. Código Salvaguarda Ciberamenazas S.1 AntiAPT C1 S.2 Firewalls C2 S.3 IDS C2 S.4 IPS C2 S.5 SIEM C1,C2,C4,C6 S.6 DLP C3 S.7 Concienciación C2,C3,C5,C6 S.8 Ciberinteligencia C1,C3,C4,C5,C6,C7,C8 S.9 Auditorías seguridad C2,C3 S.10 antiddos C4
Eficiencia de salvaguardas Por definición no hay sistema seguro, por lo que la salvaguarda perfecta en ciberseguridad no existe, y en su consecuencia, no es posible llegar al 100% de eficiencia. Factor Nivel Significado 0% L0 Inexistente L1 Inicial / Ad-hoc L2 Reproducible, pero intuitivo L3 Proceso definido L4 Gestionado y medible 99% L5 Optimizado
Cuántos calculan el riesgo mirando hacia el pasado?
Riesgo = Valor x Degradación x Frecuencia Frecuencia = Tasa de ocurrencia de una amenaza Número de sucesos o efectos en una unidad de tiempo definida Problemática Falta de información en el cálculo inicial de riesgos Incompletitud del atributo Frecuencia Aproximación estática hacia la probabilidad de ocurrencia Los actores que rodean la ciberseguridad constituyen un ecosistema dinámico
Definición Factor de exposición = Visibilidad de una organización ante una determinada amenaza Frecuencia = Tasa Ocurrencia x F e Se busca obtener un elemento dinámico predictivo que refleje la realidad del ecosistema de amenazas.
Criterios Cada organización tendría su propio factor de exposición, estando compuesto por diversos criterios generales y específicos por cada amenaza para configurar las tablas de coeficientes dinámicos: Generales País Sector Específicos Tamaño Clientes Proveedores Sucesos
Como aplicar Ejemplo: Banco en España que sufrió en 2012 quince casos de phishing, y en 2013 solamente cinco casos. Calculo de la frecuencia siguiendo ARO para 2014 se podría realizar sobre los datos de 2013 o una media de 2012 y 2013. Por industria y país su visibilidad ante una amenaza de ataques de phishing es elevada, por lo que aplicaríamos un coeficiente dinámico de 2 puntos sobre la tasa de ocurrencia calculada. Sin factor de exposición Frecuencia (2013) = 5 Frecuencia (Media) = 10 ARO = Normal ARO = Frecuente Con factor de exposición Frecuencia (2013) = 5 x 2 = 10 Frecuencia (Media) = 10 x 2 = 20 ARO = Frecuente ARO = Frecuente
For more information, please, visit www.deloitte.es Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms. Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte's approximately 182,000 professionals are committed to becoming the standard of excellence. This publication contains general information only, and none of Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, the Deloitte Touche Tohmatsu Verein, any of their member firms, or any of the foregoing s affiliates (collectively the Deloitte Network ) are, by means of this publication, rendering accounting, business, financial, investment, legal, tax, or other professional advice or services. This publication is not a substitute for such professional advice or services, nor should it be used as a basis for any decision or action that may affect your finances or your business. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this publication. 2014 Deloitte Advisory, S.L.