Presentació de Carles Fragoso (One eSecurity / SANS Institute) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.
1. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 2
2. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 3
3. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 4
admeten ciberatac
4. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 5
han patit ciberatac
5. CSUC · TAC 2017
Ciberseguretat:
“ja no és un
joc de nens”
Carlos Fragoso Mariscal
Barcelona, 21 de Juny 2017
Ciberseguretat a les xarxes acadèmiques i de
recerca
6. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 7
$ whoami
7. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 8
Ha arribat el moment
que vinguis a seure a la
taula dels “nens grans”!
8. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 9
Governs
Militars
Empreses
9. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 10
“The beauty of hackers is that they
force us to evolve and improve.
by exposing vulnerabilities, they push the Internet
to become stronger and healthier,
wielding their power to create a better world”
Keren Elazari - Ted Talk
“Hacker’s the internet’s immune system”
10. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 11
Impacte
11. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
Forat de seguretat
Reputacional
Econòmic
Indisponibilitat Desaparició
Destrucció
12. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
Anella Científica
• Universitats públiques i privades, sense ànim de lucre
• Org. Públics de Recerca (OPI) i Instal·lacions Científiques i Tècniques Singulars
• Centres i instituts tecnològics i de recerca, sense ànim de lucre
• Unitats docents o de recerca dels hospitals públics i privats, sense ànim de lucre
• Organismes gestors de programes d’R+D+I
• Institucions amb continguts digitals rellevants
• Parcs científics i tecnològics, sense ànim de lucre
• Centres d’educació no universitaris públics i privats, sense ànim de lucre
• Altres entitats d’especial interès per al sistema català de ciència i tecnologia
13. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 14
Verizon Data Breach Report 2017: Qui son les víctimes?
14. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
Data Breach Report 2017: actors i temps d’identificació
15. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 17
Recerca
Servei
Usuaris
$38 bilions
$11.2 milions
16. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 18
Raons
17. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
Amenaça: intenció, oportunitat i capacitat
Risc Vulnerabilitat
Impacte
Amenaça Intenció
Oportunitat
Capacitat
19
18. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 20
Tecnologia
Massa ràpid, massa insegur
19. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 21
Pegats de seguretat: setmanes i percentatge d’actius
20. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
21. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 23
Organitzacions i usuaris
Massa paper, poca realitat
Usuaris sense compromís
ni sensibilitat
Manca de coneixement de
les xarxes i actius crítics
22. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
• Mercat de vulnerabilitats
• Desenvolupament de codi maliciós
• Infraestructures i frameworks
• Compromís de tercers confiables
• Operadors / ”Proxies”
24
Professionalització del món criminal
Evolució criminal
Criminal Start-ups / Ventures
Crime as a Service
Crime Markets / Crimemazon
Criminal Universities / Crimersera
Crimautomation
23. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 25
Els Departaments d’IT i Ciberseguretat
Many investigated incidents
on advanced breach stages
The everlasting state of
“being-compromised”
40% limited present and
historical visibility of events
Incidents are now daily work
65% staffing and skills
shortage as key impediment
Reference: “SANS IR Capabilties 2016 Survey” – SANS Institute
24. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 26
Mercat de la seguretat: perímetre trencat i detecció que no detecta
25. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 28
Desig
26. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 29
27. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 30
28. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
“A good infrastructure is the one
able to answer intelligence
questions”
Robert M. Lee
SANS CTI Lead Instructor & Dragos Security CEO
29. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 32
30. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 33
“Every morning in Africa, a gazelle wakes up,
it knows it must outrun the fastest lion or it will be killed.
Every morning in Africa, a lion wakes up.
It knows it must run faster than the slowest gazelle, or it will starve.
It doesn't matter whether you're the lion or a gazelle
when the sun comes up, you'd better be running.”
African Proverb
31. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 34
32. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 35
Continuou
s
Monitoring
SIEM and
Analytics
Threat Intel
Consumptio
n
Host /
Endpoint
DFIR
Network
DFIR
Threat
Intel
Creation
Detection:
identification
of adversary
behaviour
Intelligence:
adversary
behaviour
TTPs,
signatures
SOC detecta
comportament
adversari
CSIRT observa i segueix
el comportament adversari
33. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 36
“If this is the 10-year study of where we’ve
come, the bad guys are winning at a faster
rate than the good guys are winning and
we’ve got to solve that; we’ve got to do
something different.”
Wade Baker – RSA Conference 2014
34. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 37
Solució
35. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 38
Canvi de paradigma
Defensa Activa
Intel·ligència
36. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 39
Escala lliscant de la Ciberseguretat
Reference: “Sliding Scale of Cybersecurity” – SANS Reading Room Rob.M.Lee
IR
CM
CTI
37. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 40
Enfocament centrat en l’adversari: intel·ligència
Reference: “Threat Intelligence and Operational Agility” Anton Chuvakin Blog - Gartner
Traditional Intelligence-Led
Wall Building Adversary Stopping
Containment Counteracting
Clean-up Kill-Chain Interruption
Detection Counterintelligence
Investigation Research and profiling
38. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 41
Impulsat per alerts vs Exploració
Alert Exploration
Incident Detection Incident Discovery
Wait and respond to Alert Look for and respond to actionable
info
Tech Support Approach Quality & Assurance approach
Response Hunting
Alert-centric Question-centric
Context for triage/verification Context to explore wider/deeper
Drill-down analysis Drill sideways analysis
Triage an entity Explore a direction
Goal is managing the alert Goal is understanding activity
Operations Research
Reference: “Alert-driven vs Exploration Driven Security Analysis” Anton Chuvakin Blog - Gartner
39. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
Ésser Proactiu: Caça d’amenaces (Threat Hunting)
42
Artifacts
Database
Analysis
Logic
Scripts
Powershell
WMIC
Operating Systems, Applications,
Databases, Contents
Front-end
40. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 43
41. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 44
Proactivitat: detecció primerenca vs tardana
Reference: “Intelligence-Driven CND” – Mike J.Cloppert and others (Lockheed Martin)
Complete worst first
Then complete backwards
42. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 45
Matriu “Course of Action”
45
Actions
KCPhases
Reference: “Intelligence-Driven CND” – Mike J.Cloppert and others (Lockheed Martin)
43. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 46
Category Tool
Intelligence Description OpenIOC
Yara
Threat Intel Platform (TIP) Malware Information Sharing Platform
(MISP)
Collective Intelligence Framework (CIF)
EndPoint Detection/Response (EDR) Google Rapid Response (GRR)
OSQuery
MIDAS
Mozilla Investigator (MIR)
Network Forensics/Full Packet
Capture
Bro
Moloch
Big-Data Security Analytics Elasticsearch Logstash Kibana (ELK Stack)
The Hive
Malware Sandboxing/Intelligence Cuckoo Sandbox
MALICE
Assistants/Automation/Playbooks Github CHATOPS
44. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens 47
Qui vols ser avui?
45. CSUC · TAC 2017 | Ciberseguretat: ja no és un joc de nens
Carlos Fragoso
cfragoso@one-esecurity.com
carlos@fragoso.eu