2. WolfSellers2
“If you think technology can solve your
security problems, then you don't
understand the problems and you don't
understand the technology.“
Bruce Schneier
3. WolfSellers3
AGENDA
• Relevancia actual de la ciberseguridad.
• ¿A que nos referimos cuando hablamos
de Ciberseguridad?
• ¿A qué desafíos nos estamos
enfrentando?
• ¿Cómo hacer frente a los desafíos en
ciberseguridad?
• Conclusiones
4. Seguridad de la
información
Ciberseguridad
“Protección de activos de información,
a través del tratamiento de amenazas
que ponen en riesgo la información
que es procesada, almacenada y
transportada por los sistemas de
información que se encuentran
interconectados”.
Definición de ciberseguridad
Fuente: ISACA (Information Systems Audit and Control Association)
6. WolfSellers6
2019 Data Breach
Investigations Report
Verizon
• 43% involucraron a pequeñas empresas
• 33% incluyeron ataques sociales
• 56% tardó meses o más en descubrirse
Top técnicas de hacking:
• Correo electrónico principal método de entrega (spear
phishing, ataque del CEO)
http://wwwww.enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
Números
7. Naciones desarrollando capacidades ofensivas (ciberguerra)
• Incumplimientos continuos a estándares, leyes o normas por falta de rendición
de cuentas
La brecha entre la ampliación de habilidades técnicas de los atacantes y menos
expertos capacitados para llenar roles de seguridad en las compañías
• Falta de recursos, especialmente para pequeñas y medianas empresas
Los atacantes fijan nuevas superficies de ataque, así como procesos sustantivos de
negocio, como nuevos objetivos para sus operaciones.
• Ingeniería social, considerada por muchos como la amenaza más peligrosa
Cuando entramos en 2020, analistas e investigadores
especializados discuten una variedad de temas, que incluyen:
¿Qué retos tendremos en los
años siguientes?
9. Enfoque VICA de la Ciberseguridad
VoláEl
Incierta
Compleja
Ambigua
10. Principales obstáculos para la
detección y respuesta
La falta de visibilidad de aplicaciones, sistemas subyacentes y
vulnerabilidades.
Incapacidad para comprender y generar un baseline de
"comportamiento normal” con el fin de detectar
comportamientos anormales.
La falta de visibilidad en la red interna.
La falta de contexto para saber qué amenazas son
importantes con base a la criticidad de los activos.
La falta de perspectiva externa e inteligencia sobre nuevas
amenazas para detectar nuevos indicadores de compromiso.
Source: SANS Analytics and Intelligence Survey 2017
17. Gestión de
cuentas
privilegiadas
Detección y
respuesta a
incidentes de
seguridad
Proyectos
más
relevantes para
los CISOs*
Ingeniería
social
Seguridad
en la nube
(CASB)
Evaluación
continua de
riesgo y
seguridad
adaptativa
(CARTA)
Descubrimiento
de datos
“obscuros”
*Fuente:
https://www.gartner.com/smarterwithgartner/gartner-
top-10-security-projects-for-2019/
*CISO: Chief Information Security Officer
18. Tiempo Real /
Cercano a
tiempo real
Posterior al
compromiso
Red
Payload
Endpoint
Análisis
de Red
Análisis
forense
de Red
Análisis
de
payload
Análisis
de comportamiento
en el endpoint
Análisis
forense en el
endpoint
Estilo 1
Estilo 3
Estilo 2
Estilo 4 Estilo 5
TIEMPO
Dondebuscar
5 Estilos de defensa
de Gartner
20. Transición
Transición
Enfoque
Proactivo
Detección
Prevención
Valor
Zona de confort
Mayoría de las organizaciones
Estrategia basada en prevención
Controles basados en prevención
• Análisis de vulnerabilidades
• Correlación de eventos
• Seguridad perimetral (FW,
IDS)
• Antivirus tradicional
Controles basados en
detección proactiva
• Ciberinteligencia de
amenazas
• Análisis de comportamiento
de la red
• Análisis forense de la red
• Enfoque del engaño
• Detección y respuesta en el
punto final
• Análisis de comportamiento
de usuarios
Organizaciones con madurez
Estrategia orientada a la identificación proactiva
Enfoque
Proactivo
Detección
Prevención
Cambiando el enfoque
25. Threat hunting
Una premisa de los procesos de
threat hunting es establecer líneas
base, que permitan identificar la
diferencia entre normal y anormal
dentro del entorno.
El uso de inteligencia de amenazas
es clave, sin ella las búsquedas se
reducen a buscar “cosas raras”.
Enfoque proactivo para identificar
incidentes, orientado a reducir los
MTTD y MTTR en las
organizaciones.
El equipo de respuesta a
incidentes se involucra
activamente y busca IoC de
manera proactiva, que permitan
descubrir adversarios dentro del
entorno.
26. Ciber Kill Chain
PASO 1 PASO 3 PASO 4
InstalaciónEntregaArmamentizciónReconocimiento
Compromiso/ exfiltración
Misión COMPLETA
Comando y control
RED DE LA ORGANIZACIÓN (SUPERFICIE DE ATAQUE)
PASO 2 PASO 5 PASO 6 PASO 7
Sandbox
Consultor o externo no
supervisado
Oficina remota
*******
PASSWORD:
OFICINAS CENTRALES
Desktop del CFO
Servidor establece
comunicación con
el Masterbot
ACTIVOS CRÍTICOS
Firewalls, sandbox y otros
controles son evadidos
Explotación