Las ciberamenazas como wannacry y mirai han alertado a todas las organizaciones a nivel mundial. En la presentación se explica la anatomía de wannacry y la propuesta de controles de ciberseguridad de la ISO/IEC 27032.

1. Las nuevas ciberamenazas que
enfrentamos el 2017
1
MBA Ing. Raúl Díaz Parra | CRISC, CISA, CISM, CEH, CHFI, ECSA, ECSP, CPTE,
ITIL, ISF ISO/IEC 27002 | raul.diaz@strategoscs.com | +51-994521461

2. Agenda
• Predicciones de Ciberamenazas
• Ciberamenazas del 2017
– Wannacry y Ciberarmas de Shadow Brokers
• Aplicación de ciberseguridad según
ISO/IEC 27032:2012
• Conclusiones
2

3. Predicciones de Ciberamenazas
3

4. Predicciones
• Ransomware
• Amenazas móviles
• Machine Learning
• Exploits de vulnerabilidades Windows
• Dronejacking
• Ciberespionaje
• Hacktivismo
4
Fuente: Mc Affee Labs

5. Ciberamenazas del 2017
5

6. Robo de ciberarmas a la
NSA
6

7. 7

8. Ciberataque Wannacry
• Shadow Brokers extrae
ciberarmas de la NSA
• 12 de Mayo 2017 inicia el
ataque Wannacry
• + 230k ordenadores en 150
países (Rusia, Ucrania,
India y Taiwán)
• NHS, Telefónica, FedEx,
Latam, ISA, Banco de
China, Banco Nacional de
India
• Exploit EternalBlue (CVE-
2017-0144) - smb
• Parche ms17-010
• Secuestro de información
por 300 USD en bitcoins
8

9. 9

10. Anatomía de ataque
Wannacry
10Fuente: Panda

11. Proceso de Gestión de
Parches
1. Evaluar
2.
Identificar
3. Planear
4.
Desplegar
11

12. Mapa Wannacry
12
https://intel.malwaretech.com/WannaCrypt.html

13. 13

14. 14

15. 15

16. 16

17. 17

18. Wannacry vs Lazarus APT
18

19. Swift Hack
19
Fuente: BAE Systems

20. 20
Marcus Hutchins

21. Wannacry Kill Switch
21
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

22. Exploit MS17-010
22

23. Demo
• Explotación de vulnerabilidad CVE-2017-
0144 con Metasploit en:
– Win7
– Win2008Server R2
23

24. ¿Qué controles se vulneraron en el ciberataque
Wannacry?
24

25. Botnet MIRAI
25

26. Mirai: escaneo, infección y
ataque
26
Fuente: Imperva

27. Passwords por defecto
utilizados por Mirai
27
Fuente: https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/

28. Shodan
28

29. Autenticación débil
29

30. Se libero código fuente de
MIRAI y evolucionó el 2017
30

31. 31

32. Aplicando Ciberseguridad según
ISO/IEC 27032:2012
32

33. Relación de la
ciberseguridad y otros
dominios de seguridad
33
Fuente: ISO/IEC 27032:2012

34. 27001 vs 27032
• 27001 aplicado a la
protección de activos
digitales y no digitales. Es
auditable.
• 27032 aplicado a la
protección de activos
digitales. Es no auditable.
34

35. Relaciones de conceptos de
seguridad
35
Fuente: Adaptado de la ISO/IEC 15408-1:2005 para la ISO/IEC 27032

36. Enfoque ISO/IEC 27032
36

37. Controles de la ISO/IEC
27032
• La ISO/IEC 27032 se focaliza en los
controles técnicos:
37
Controles a
nivel de
aplicación
(12.2)
Protección del
Servidor (12.3)
Controles del
usuario final
(12.4)
Controles
contra ataques
de ingeniería
social (12.5)
• Preparación para la ciberseguridad (12.6) – Anexo A
• Otros Controles (12.7)

38. 38
• Mostrar una notificación de la
compañía en los servicios online
• Asegurar la gestión de sesiones
• Asegurar el manejo de entradas
para prevenir inyecciones SQL
• Prevenir el XSS
• Realizar revisiones de entrada
• HTTPs / SSL
Controles
a nivel de
aplicación

39. 39
• Hardening
• Implementar un sistema para probar e
implementar actualizaciones de seguridad
• Realizar seguimiento del desempeño de
seguridad del servidor a traves de registros de
auditoría
• Revisar la configuración de la seguridad
• Ejecutar controles anti software malicioso
(spyware o malware)
• Escanear todo el contenido alojado y subido
utilizando software antimalware actualizado
• Realizar evaluaciones de vulnerabilidades y
pruebas de seguridad de manera constante
Protección
al servidor

40. 40
• Utilizar Sistemas Operativos con soporte
• Utilizar aplicaciones en su ultima versión
• Usar antivirus y antimalware
• Habilitar bloqueos de script
• Utilizar filtros contra la suplantación de
identidad
• Utilizar otros elementos de seguridad
disponible en los navegadores
• Habilitar un firewall y un HIDS
• Habilitar actualizaciones automáticas
Controles
para
usuarios
finales

41. 41
• Políticas
• Métodos y procesos
• Categorización y clasificación de
información
• Concientización y
entrenamiento
• Pruebas
• Personas y organización
• Técnico
Controles
contra
ataques
de
ingeniería
social

42. Controles a nivel de
aplicación
42

43. Caso Wannacry:
Script ms17-010 para Nmap
43
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

44. Colocar en la ruta
/usr/share/nmap/scripts
44

45. Ejecutar el siguiente
comando
nmap –p 445 --script smb-vul-ms17-010 192.168.152.0/24
45

46. Conclusiones
46

47. Conclusiones
• Wannacry y Mirai son solo muestras de los
próximos ciberataques.
• La demora de la aplicación del parche de seguridad
es aprovechado por los cibercriminales para
explotar vulnerabilidades.
– Con nmap podemos verificar fácilmente si se aplicaron
los parches para la vulnerabilidad CVE-2017-0144
• Evaluar si contamos con controles de
ciberseguridad necesarios para la protección
organizacional ante las nuevas ciberamenazas
– Fortalecer la estrategia de seguridad con el monitoreo
de ciberamenazas para prevenir próximos ciberataques
47

48. ¿Preguntas?
48

49. Gracias
49
MBA Ing. Raúl Díaz Parra
Socio Líder de Consultoría de Strategos
CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP,
CPTE, ITIL(F), ISO/IEC 27002
raul.diaz@strategoscs.com
+51-994521461
@rauldiazp