Premio accésit en el Reto ISACA de Jóvenes profesionales 2014
El objetivo de la presentación.portancia de dar a conocer el cambio en las amenazas que sufren las empresas, así como explicar la evolución que han sufrido y la situación actual, en un idioma de escuela de negocios, con el fin de que lo pueda entender personal de dirección que no tengan por qué tener conocimientos técnicos pero que requieren comprender POR QUÉ y PARA QUÉ pueden atacar a su empresa..
Una vez entendido esto, y conociendo que hay más amenazas de las que una empresa media puede contener, propongo un modelo que se centre en priorización de amenazas en base a sus motivaciones. Para ello, en necesario conocer sus modelos de negocio dando a conocer que podemos ser tanto objetivos como medio para un ataque.
Presentación guía sencilla en Microsoft Excel.pptx
Modelos de negocio de la "ciber-inseguridad"
1. Modelos de negocio de la
ciber-inseguridad
David Matesanz Ureña d_matesanz@yahoo.com
2. 1. Situación actual
2. Modelos de negocio
3. Mercado
4. Clasificación de amenazas y caso
práctico
Índice de la sesión
3. x Probabilidad
Dependencia
de las TIC
Globalización /
Internet
Profesionalización
de las amenazasDependencia de
la información
Falta de
conocimiento de las
amenazas
=RIESGOImpacto
Necesidad de
gestionar el
riesgo, recursos y
flexibilidad
David Matesanz Ureña
1. Situación actual
¿Por qué a mi?
5. 1. Situación actual
2. Modelos de negocio
3. Mercado, producto, precios.
4. Clasificación de amenazas y caso
práctico
Índice de la sesión
David Matesanz Ureña
6. David Matesanz Ureña
2. Modelos de negocio
El modelo de negocio hace referencia al “qué hacemos, cómo lo
hacemos y cómo generamos ingresos en nuestra actividad”.
Explica quiénes son tus clientes y cómo, a través de una clara
propuesta de valor, tu modelo generará ingresos.
Otros modelos
de negocio,
competencia
7. 2. Modelos de negocio: Un APT
Reconocimiento
obtención de
información
Infección
inicial
intrusión
Persistencia y
borrado de
huellas
Extracción de la
información
para su venta o
monetizacion
Decisión sobre si
comprar u obtener
con técnicas de
hacking
Decisión sobre si
hacer o comprar
Malware, phising,
como servicios o
como productos para
mi uso
Decisión sobre
control panel,
rootkits y
servicios de
cifrado
Decisión sobre si
usar mi
infraestructura o
infraestructura
alquilada, decisión
de como explotar yo
mismo o vender
esta infromación
Ingresos GastoObjetivo:
David Matesanz Ureña
• Al alcance de cualquiera
• Altamente competitivo
8. 1. Situación actual
2. Modelos de negocio
3. Mercado, producto, precios.
4. Clasificación de amenazas y caso
práctico
Índice de la sesión
David Matesanz Ureña
9. *Estimated cost of cybercrime (Trend Micro)
Tamaño y datos:
• Mercado antivirus
falsos 34 M€ al mes
• Entrevista a un
blackhat SbD: “unos
ingresos aproximados
mensuales de entre
1.700 a 3.000 euros”
• APT1 : ¿empresa
publica?
MERCADO
• Creciente a ritmos muy altos
• Las superpotencias: China y Rusia
• Materia Prima: Europa y EEUU
3. Mercado, producto, precios
10. David Matesanz Ureña
Datos
Servicios
Productos
v
• Ataques D0S de servicio: de 54 a 250 €
• Malware para evasión de antivirus o firma
de código: entre 60 y 180 € al mes.
• Servidores (bullet proof): 15 y 150 $ mes,
incluso anti DoS
• Distribución de software malicioso
• Botnets entre 0,2 y 0,36€ por host.
• Troyanos o RATS: 48 y 72 €.
• Kits de phising 120€.
• Webshells: de 26 a 62€ Blackhat SEO.
• Credenciales: yahoo, gmail, amazon… entre
20€ y 100€.
• Tarjetas de crédito entre 20 y 100€.
• Datos personales y docs escaneados 5 €.
3. Mercado, producto, precios
Ej. TARGET 70m tarjetas robadas X 30€ 2100 m€
11. 1. Situación actual
2. Modelos de negocio
3. Mercado, producto, precios.
4. Clasificación de amenazas y caso
práctico
Índice de la sesión
David Matesanz Ureña
12. 1. Identifica tus activos o tu información relevante
2. Identifica quién te puede atacar
3. Qué acciones podrían realizar y cómo
4. Elimina las menos posibles
5. Selecciona los más preocupantes: por impacto por ocurrencia…
6. Analizar qué controles las contrarrestan
4. Clasificación de amenazas
Atacante
(ej crimen
organizado)
Acción
Ej: Roba
realiza mediante
Vector de ataque
Explotado de SW
Ingeniera social
Infección de
malware
…
Extorsión
*Using Threat Modelling as a Key Pillar of a Robust and Agile Information
Security Framework: a Case Study from Credit Suisse – Daniel Barriuso
Datos
Controles
Vulnerabilidad
Infección de
malware
13. David Matesanz Ureña
1. Identificación de Atacantes, Acciones y V. Ataque
5. Un ejemplo práctico
Valoración
Muchas
veces
Alguna
vez Nunca
Ocurrido en Correos 10 8 1
Ocurrencias en sector 8 5 1
Previsiones 5 1 0
2. Valoración
Atacante
Crackers/hackers
Ciber Crimen Organizado
Competencia/Espía
Empleados/Ex- empleados
Ciber activista
Clientes
Acción
Abuso de imagen
Robo de información
Fraude
Sabotaje
Vandalismo
Vectores de ataque
Infección de malware
Inyección de código/comandos
Fuga de Información
Acceso no autorizado/Suplantación de identidad
Phishing
Abuso de privilegios de acceso
Error Humano
Ejecución de comandos/código
Alteración de la configuración/integridad
DoS
Ingeniería Social
Escucha de red
Muy preocupante
Preocupante
Poco preocupante
3. Clasificación
14. Beneficios
4. Clasificación de amenazas
Eficiencia: permite priorizar
recursos y aportar
inteligencia a la gestión de
amenazas y vulnerabilidades
Mejora en la respuesta
ante incidentes. Entender
por qué
Método objetivo y
repetible de cálculo de la
probabilidad
Fácil de cambiar y
actualizar en función de la
evolución de las amenazas
Rápido y sencillo, lenguaje
común y entendible con la
dirección y con otros
empleados
Esto provoca dos cosas:
Que cualquiera con dinero tiene al alcance hacer un ataque avanzado
Que es un entorno altamente competitivo
Aquí pintar tabla de riesgos valorados y clasificados
Venta de bots para hacer publicidad
Valores añadidos: garantía, pruebas gratis, saldos garantizados
Otros ejemplos que se pueden poner durante la presentacion:
Competencia comete sabotaje mediante DoS
Cracker comete sabotaje mediante malware
Crimen organizado comete abuso de imagen mediante phising