3. Objetivo
• Conocer y utilizar las
políticas y medidas de
seguridad
● 3.1 . Inteligencia de amenazas
● 3.2. Comprensión de la defensa
Contenido
4. ODS
● 4.7: De aquí a 2030, asegurar que todos los alumnos
adquieran los conocimientos teóricos y prácticos
necesarios para promover el desarrollo sostenible, entre
otras cosas mediante la educación para el desarrollo
sostenible y los estilos de vida sostenibles, los derechos
humanos, la igualdad de género, la promoción de una
cultura de paz y no violencia, la ciudadanía mundial y la
valoración de la diversidad cultural y la contribución de la
cultura al desarrollo sostenible
Metas
6. Es el conjunto de actividades dirigidas a
proteger el ciberespacio contra el uso indebido
del mismo, defendiendo su infraestructura
tecnológica, los servicios que prestan y la
información que manejan.
Ciberseguridad
¿Cómo estamos?
Contexto general de ciberseguridad
Ecuador ocupa el puesto 80
de 128 países en el ranking global de ciberseguridad
Fuente: https://ncsi.ega.ee/country/ec/ - (Nov 2018)
Ecuador
Perú
Colombia
Chile
80
56
51
38
Ranking regional en ciberseguridad
7. Abonados con internet fijo
Internet fijo 1.8 MM
Ecuatorianos
17 292 715
Abonados con internet móvil al 2019
Internet móvil 8,6 MM
De hogares tienen acceso a internet
al 2017
Hogares internet 39%
Uso de internet en Ecuador
Fuente: Arcotel
Conexión al 2017
Velocidad promedio 6.2Mbps
Cobertura móvil 92%
Comercio electrónico aporta 0,7% al PIB
Fuente: Índice mundial de comercio electrónico
8. Delitos Informáticos
Fuente: Sistema Integrado de Actuación Fiscal – SIAF, 2018.
30
49 38
21
54
6
24
78
55
80
142
9
24
76 83
108
145
12 22
88
64
160
221
Oferta de servicios
sexuales con
menores de
dieciocho años por
medios electrónico
Revelación ilegal de
base de datos
Ataque a la
integridad de
sistemas informáticos
Interceptación ilegal
de datos
Contacto con
finalidad sexual con
menores de
dieciocho años por
medios electrónicos
Acceso no consentido
a un sistema
informático,
telemático o de
telecomunicaciones
Delitos Informáticos
2014 2015 2016 2017
9. Principales ciberamenazas en Ecuador
Fuente: NRD Cyber Security – Panorama de ciberamenazas en Ecuador
*Agencia Europea de Seguridad de las Redes y de la Información
Principales Ciberamenazas en Ecuador
Desviación de la clasificación
con respecto a las tendencias
internacionales
Principales Ciberamenazas 2018 de la *ENISA
1. Suplantación de identidad ↑ 1. Software malicioso
2. Correo no deseado ↑ 2. Ataques basados en la web
3. Software malicioso ↓ 3. Ataques de aplicaciones web
4. Fuga de información ↑ 4. Suplantación de identidad
5. Amenaza interna ↑ 5. Negación de Servicio
6. Manipulación física/daño/robo/pérdida ↑ 6. Correo no deseado
7. Robo de identidad ↑ 7. Redes de bots
8. Ataques de aplicaciones web ↓ 8. Violación de datos
9. Programa de secuestro de datos ↑ 9. Amenaza Interna
10. Negación de servicio ↓ 10. Manipulación física/daño/robo/pérdida
11. Ataques basados en la web ↓ 11. Fuga de información
12. Violación de datos ↓ 12. Robo de identidad
13. Redes de bots ↓ 13. Minería de criptomonedas maliciosa
14. Minería de criptomonedas maliciosa ↓ 14. Programa de secuestro de datos
15. Espionaje cibernético → 15. Espionaje cibernético
12. La situación
Mantenernos vivos
Mientras aumentamos nuestras capacidades
de pruebas del COVID-19, necesitamos
mantener un distanciamiento físico.
¿Cómo aumentar el distanciamiento
físico sin aumentar el distanciamiento
social?
13. Mantener la operación y
generar ingresos
Migrar a la nube y al teletrabajo
Desarrollar canales digitales de venta
y fortalecer presencia en la Web
Reducir dependencia a un
sector específico
Fortalecer relación con aliados y
distribuidores internacionales
Medir y decidir
continuamente
14. Las compañías públicas y grandes no se
quiebran por incidentes en ciberseguridad.
➔https://s2erc.georgetown.edu/sites/s2erc/files/docu
ments/breachwriteup_pdf_final.pdf
➔https://fluidattacks.com/web/blog/smbs-bankruptcy
Los incidentes son una realidad
Las pequeñas y medianas empresas sí
pueden quebrarse por un incidente de
ciberseguridad.
➔https://www.fbi.gov/coronavirus
➔https://www.cdc.gov/media/phishing.html
➔https://arstechnica.com/information-
technology/2020/03/the-internet-is-drowning-in-
covid-19-related-malware-and-phishing-scams/
Incidentes durante el COVID-19
15. Migrar a la nube
Ir a la nube, desmitificarla y adoptarla de forma masiva, aprovechando
su flexibilidad y economía.
● ¿Qué debemos tener en cuenta en la migración a la nube?
○ Proveedores confiables y certificados AWS, G+, Azure.
○ Entender las responsabilidades adquiridas y tener seguridad en el
despliegue.
○ Passphrases en vez de passwords para evitar hackeo de sistemas en
las consolas de administración.
○ Estrategias de backup continuas.
➔ https://fluidattacks.com/web/blog/remote-work/
16. Riesgos del teletrabajo
● El perímetro en ciberseguridad se difumina
cuando los colaboradores trabajan de forma
remota. La configuración de la
infraestructura debe ser entonces probada
para evitar vulnerabilidades que faciliten
ataques.
● Los empleados están en casa, con mayor
interacción en el correo electrónico, y sin
tener cerca a sus pares para confirmar si los
correos que reciben son de fuentes
confiables.
● Curiosidad en temas relacionados al COVID-
19 y falta de entrenamiento para identificar
correos fraudulentos, convierten a los
empleados en potenciales víctimas y
facilitadores de ataques a las compañías.
● Infraestructura insegura.
➔ https://fluidattacks.com/web/blog/phishing/
➔ https://fluidattacks.com/web/blog/ransomware/
17. Recomendaciones durante teletrabajo
Implementar medidas, en cuanto a ciberseguridad y
privacidad entre los colaboradores:
Capacitar a los colaboradores en phishing y
ransomware, y en cómo evitar ser víctimas o
facilitadores.
○Uso de passphrases en vez de passwords.
○Antivirus y Actualizaciones de los sistemas.
○Definición de usuarios privilegiados.
○Gestión de identidad y autenticación centralizada.
■OKTA, OneLogin.
○Directorio activo central como servicio.
■Jump Cloud, Azure.
○Proveedores seguros de intercambios de archivos.
■Box, Sharefile.
○VPNs.
18. ● Tenga un enfoque proactivo y no reactivo a la seguridad.
● Realice pruebas de seguridad sobre la tecnología desde
las etapas iniciales de desarrollo.
● Pruebe integralmente la tecnología: código fuente,
ambientes dinámicos y pruebas de composición de
software.
● Cierre las vulnerabilidades para ofrecer tecnologías
seguras a clientes y usuarios.
● La seguridad en tecnología es tan importante como la
funcionalidad.
Adopte los canales digitales
➔Cómo desarrollar productos a alta
velocidad sin sacrificar la seguridad.
19. ¿Qué llevarse?
➔Migre hacia la nube de manera proactiva y no reactiva en
cuanto a ciberseguridad.
➔Pruebe integralmente su tecnología como parte de su
proceso de desarrollo.
➔Implemente controles, en cuanto a ciberseguridad y
privacidad en sus sistemas.
➔Sensibilice a los colaboradores en temas de fraudes
electrónicos, pero tenga controles tecnológicos que obligan
a mantener comportamientos seguros.
20. ¿Qué es un centro de operaciones de
seguridad (SOC)?
SIEM
INCIDENT RESPONSE
22. NIVEL 2
Gestionar las
Incidencias de
seguridad
derivados de
los equipos
NIVEL 1
Gestionar y
monitorizar
equipos
clientes
¿Cómo funciona un SOC?
SOC
23. ¿Cómo funciona un SOC?
Gestionar las Incidencias de seguridad
derivados de los equipos
Prevención
Hacking ético
Vigilancia digital
Analisis de
Vulnerabilidades
Detección
Monitorización
Amenazas
Correlacion de
eventos
Respuesta de
incidentes
Corrección.
Hardening
Consultoría
Capacitación
25. ¿Que es un SIEM?
Security Information and Event Managenment
SIM + SEM = SIEM
SIM: Sistema Inteligente de Monitoreo
SEM: Sistema de Eventos de Monitoreo
26. INPUTS
Datos de eventos Datos de contexto
Sistema Operativo
Aplicaciones
BDD
Dispositivos
Escaner Vulnerabilidades
Información de usuarios
Información activos
Feeds Inteligencia
SIEM
OUTPUTS
Análisis
Informes
Monitorización
Esquema lógico de un SIEM.
27. Capas lógicas de un SIEM.
Recolección
Correlación
Almacenamiento
Agente:
• Parseo
• Normalización
• Categorización
• Filtrado
Funciones:
• Recepción y almacenamiento de los
eventos
• Análisis de eventos
• Busqueda y notificación de alertas
Almacenamiento de logs:
• Tiempos almacenamiento
• Centralizado
• Logs consultables (Busqueda
/Reportes)
• Integridad
29. ¿Qué más tiene el SIEM?
SIEM
Control de usuarios.
27001.
Reporte centralizado.
Cuadros de mando.
30. Implementación de un SIEM.
1. Definir el
alcance.
2.Cumplimiento
3. Fuentes de
datos
4. Recursos
criticos.
5. Viabilidad
financiera.
31. Implementación de un SIEM.
1. Definir el alcance.
Actividad económica
¡¿para qué necesitan el SIEM?
Conocimiento real del
funcionamiento de la empresa
2. Cumplimiento.
¿Qué normativa debe cumplir?
¿Solución SIEM más adecuada?
Buena práctica, documentación
especifica.
3. Fuentes de datos
Listados de activos
Compatibilidad fuente SIEM
¿Solución SIEM mas adecuada?
4. Recursos criticos.
Necesidades de protección
estricta
Datos confidenciales
Ej: Legacy, sistemas SWITF
5. Viabilidad financiera.
Costes del Software
Costes del Hardware
Costes de ancho de banda
38. Casos de uso con método Sigma
Informes de
amenazas
con reglas sigma
junto con IOCs y
reglas de yara
Las reglas de Sigma
simplifican una migración
SIEM, requisitos de
documentación y control de
versiones.
Reglas sigma permite
especificar condiciones
críticas que deberían activar
alertas
Reglas Sigma permite
compartir reglas con
comunidades de intercambio
de amenazas MISSP
SIGMA hacer que la
supervisión de seguridad
sea excelente
39. Casos de uso con método Sigma
Categorías:
Ataques internos
/externos
DoS
DLPs
Tecnologías:
IPS/ IDS/ FW
AD/ WAF /DBF
VPN / Correlación
Afectación
Confiabilidad
Integridad
Disponibilidad
40. Threats intelligence data feeds
• Malware Reputation feed.
• Botnet C&C URL Feed.
• Malicious Hash Feed .
• IP Reputation Data Feed
• Domains Reputation Feed.
• Anti-phishing Reputation Feed.
• Web clasification Feed.
• Apps Mobile Reputation Data Feed.
• Mobile Botnet Data Feed.
41. Conclusiones.
• La defensa efectiva de ciberseguridad es un deporte de equipo. La confianza entre los
equipos de analistas y la administración es esencial.
• Cuida a tu personal. El agotamiento se debe en gran medida a la sobrecarga, pero
también al aburrimiento a través de tareas repetitivas.
• El personal del centro de operaciones de seguridad se encuentran entre los activos más
importantes de la lucha contra las ciberamenazas.
• Se tiene que proporcionar a los usuarios las habilidades para hacer frente a las
amenazas y el conocimiento de que un acto simple puede ser una protección efectiva.
• Inviertir en capacitación y crecimiento personal para concientizar frente al entorno de la
ciberseguridad.
• Tenemos que trabajar para crear “marca en Ecuador” en temas de ciberseguridad»
43. Compartiendo Información para la Ciberdefensa
1. ¿Qué está pasando?
1. Caracterización del Cibercrimen
2. Datos concretos HOY
3. Expectativas
2. Estrategias para la defensa
1. Métodos probados
2. Fortaleza de Buenas Prácticas
3. Compartir la información como punto
angular de la defensa
1. Mecanismos
2. Experiencias exitosas
3. Retos
4. Reflexión Final
46. Ciberdelincuencia
“Los ciberdelincuentes buscan constantemente nuevos vectores de ataque y disfrutan de esta ola de cambios. Sin embargo, para las
personas encargadas de proteger a las empresas y los consumidores de estos ataques, es un campo de batalla en constante cambio.”
“No siguen las reglas, y esto significa
que pueden actuar de una manera mucho más
ágil de lo que puede ser la contraparte.”.
Paul DeCoster Principal, Head of Practice – Risk, Legal, Compliance & Security
(North America), Marlin Hawk
48. Estado del Cibercrimen
• ▲ 15% cada año
• $6 trillion USD 2021,
• Pone en riesgo innovación e inversion
TxD
• Efecto Cibercrimen > Efecto desastres
naturales en un año.
• + Rentable que el tráfico internacional
de Drogas.
• ▲ APT Advanced Persistent Threat
Source: Cybersecurity Ventures
49. Ataque de Ransomware / 11
seg (2021)
14.5 M de ataques / 2022
estafas + 500M 1Q 2020
+ 32 millones de intentos de
ciberataques 1Q 2020.
51. • Establecer un FW de Ciberseguridad
formal
• Proveer conocimiento/conciencia,
crear Cultura
• Monitoreo continuo de amenazas
• Evaluar y administrar las
vulnerabilidades
• Administrar los riesgos de las cadenas
de suministros
• Fortalecer la respuesta a incidentes
ESTRATEGIAS
52. • Modelo por capas
• Defensa en profundidad
• Zero Trust
• SASE (Secure Access Service Edge)
Arquitecturas
55. Motivación
• Toda la comunidad es objeto
de ciberataques
• La tasa y tipo de ciberataques
sigue en aumento
• Los recursos para responder a
los desafíos de la
ciberseguridad son limitados
• La cooperación entre todas
las partes interesadas es
esencial para la resiliencia
digital.
57. Esquemas de cooperación
• CiSP (Cyber Security Information Sharing Partnership) "CiSP es una iniciativa conjunta de la industria y el gobierno creada
para intercambiar información sobre amenazas cibernéticas en tiempo real, en un entorno seguro, confidencial y dinámico,
aumentando la conciencia situacional y reduciendo el impacto en los negocios del Reino Unido". [36]
• US-CERT Especificaciones para el intercambio de información para ciberseguridad presenta "TAXII, STIX y CybOX [...]
especificaciones técnicas impulsadas por la comunidad diseñadas para permitir el intercambio automatizado de información
para la conciencia situacional de ciberseguridad, la defensa de la red en tiempo real y el sofisticado análisis de amenazas."
• ISAC (Information and Sharing Analysis Center) Tanto el Reino Unido (CPNI Information Exchanges) [37] como Holanda
(NCSC ISAC) [38] utilizan el modelo del ISAC para facilitar el intercambio de información con partes públicas y privadas. El
grupo de expertos de la Estrategia Nacional de Ciberseguridad de ENISA ha identificado el modelo ISAC como una buena
práctica para el intercambio de información dentro de la UE [39, 40].
• Mejores prácticas del GCCS Para la Conferencia Mundial sobre el Ciberespacio 2015 (GCCS2015), los Países Bajos
presentaron un marco basado en las mejores prácticas holandesas en el intercambio de información sobre ciberseguridad
[41].
• ISAO (Information Sharing and Analysis Organization) El modelo ISAO [33, 34, 35] está en uso en los Estados Unidos para el
intercambio independiente de información sobre ciberseguridad.
• ECHO European network of Cybersecurity centres and competence HUB for Innovation and Operations. 2019.
58. Experiencias Exitosas
Tipo de
colaboración
Nivel de los
participantes Sector Arquetipo # de afiliados
CPNI.UK y el IE
(Information
Exchanges) Público-privado Táctico
Gobierno / 9
sectores CI
Tendencias -
Ejemplos de
incidentes 100 +
FS-ISAC Privado Táctico/Operativo Financiero
Ejemplos de
incidentes - Datos 300 +
Projecto Griffin Público-privado Operativo
Seguridad - Contra
terrorismo Datos 50 +
NIS-P Público-privado Operativo
Gobierno, CI
representantes de
varios paises.
Buenas prácticas -
necesidades 50 +
Dimensiones
Casos de Uso
59. Desafíos
• Motivar el interés común
• Crear un ambiente y mecanismos
para establecer confianza.
• Lograr interoperabilidad.
• Proteger la información sensible
y clasificada.
• Sobrecarga de información o
información escasa o inútil.
• Entendimiento y acuerdos sobre
las necesidades de información
de la comunidad.
• Considerar las implicaciones
legales.
• Legislación.
60. Recomendaciones
• Analizar si aplican o no acuerdos para compartir la información en función
del perfil de riesgos.
• Compartir entre organizaciones privadas puede aliviar preocupaciones
sobre la privacidad.
• Proteger la información personal.
• Construir sobre esfuerzos existentes y mecanismos para compartir
información.
• Determinar procedimientos directos y rápidos para compartir con las
entidades y sector privado información sobre amenazas.
• La información compartida con el gobierno debe estar protegida de su
divulgación y aplicarse solo para efectos de ciberdefensa.
• Identificar las formas para mostrar el valor de compartir la información.
• Se deben promover mecanismos centralizados y descentralizados para
compartir información.