Un programa de amenazas internas es requerido en toda organización que desea transformar su SOC en un Centro de Ciberdefensa. La diferencia radica en la detección anticipada y respuesta automatizada a todo incidente de seguridad. Sea testigo de como mediante el Análisis del Comportamiento de Usuarios y Entidades es posible enfrentar desafíos modernos; deteniendo amenazas antes de que estas causen daño.

1. Aplicando el Análisis de
Comportamiento a la Detección
de Amenazas
Victor M Anda
Director LATAM
Exabeam
Ecuador 2018

2. Riesgo de amenazas internas en
continuo crecimiento
De los empleados que dejan una organización
toman información sensible a su partida 1
59%
La frecuencia se incrementa
De los empleados de TI, toman información
cuando son despedidos. 2
De las organizaciones tenían al menos un interno
malicioso durante el ultimo ano que representó
amenaza
De las violaciones a datos en 2017, se atribuyeron a
internos que por descuido y abuso; hicieron mal uso de
la información.³
90%
41%
39%
Tiempo promedio que tardaron las organizaciones en
resolver incidentes maliciosos.52days
1.
2.
3.
Employees in the CERT insider threat database (over 700 cases)
Surveyed for a study by Cyber-Ark software
Forrester: Hunting Insider Threats Forrester's Model For Establishing An Insider Threat Team
El comportamiento de los empleados fue señalado por
sus compañeros como sospechoso. 3
El promedio total de incidentes relacionados con información
privilegiada de acuerdo con un estudio del Instituto Ponemon.
$4.7M
Fueron precedidos por una terminación, disputa con
su jefe o colaboradores. 4
Tenia un historial de violar la seguridad de TI. 5
Existe un impacto financiero significativo
De los casos estudiados en un artículo de Symantec.4.
5.
Según un estudio realizado en 2012 por la revista CSO.
97%
92%
51%
El comportamiento adverte

3. Fuente - Ciberseguridad y privacidad: De la percepción a la realidad. © 2016 PricewaterhouseCoopers.

4. Fuente - Ciberseguridad y privacidad: De la percepción a la realidad. © 2016 PricewaterhouseCoopers.

5. Definiendo amenazas internas
5
Empleados Clientes
Proveedores y
Contratistas
Usuarios
Privilegiados
Internos Amenazas
Fraude
Engaño a la organización al abusar
de posiciones de confianza y acceso
Robo
Subversión de las medidas de seguridad
para abusar de posiciones de confianza y
acceso
Sabotaje
Destrucción de propiedades, sistemas
y datos
Espionaje
Explotación de sistemas para robar
secretos de la organización
Daño: Abuso de los accesos de un puesto de confianza, para obtener beneficios financieros o personales.
Descuido: Falta de conocimiento y/o comprensión de las responsabilidades de seguridad.

6. Construyendo un programa de
amenazas internas
4
Cross-disciplinary group to enhance working relationships, support the exchange of
information, and increase collaboration.
Governance &
Oversight
Employee Lifecycle
Management
Anticipate and manage negative
issues in the work environment.
Security Management &
Preventative Controls
Balanced preventative measures
to counter insider threats.
Continuous Behavioral
Monitoring
Monitor and respond to
suspicious or disruptive behavior.
Incident Response &
Recovery
Investigate insider incidents to
minimize the impact of
disruptions.
OperatingModelComponents
Trust but
verify
Identify most
sensitive data
Define risk
appetite
Look for
precursors
Set behavioral
expectations
Know high
risk assets
Leverage broad set
stakeholders
Connect the
dots
Un marco para guiar el despliegue de un programa de amenazas internas holístico,
proactivo, coordinado y basado en el riesgo.

7. UEBA (User and Entity Behavior Analytics) permite la detección
oportuna de ataques dirigidos, amenazas internas y fraudes
utilizando analíticos avanzados (Machine Learning).
Gartner 2015

8. 8
“Un empleado de recursos humanos inicia sesión en un equipo donde se
almacena propiedad intelectual y descarga 700 MB de información”
“Un programador inicia sesión en los sistemas corporativos de finanzas y
descarga reportes destinados a los inversionistas”
“Un analista subcontratado ingresa a la base de datos de clientes desde Mexico
y Brasil simultáneamente a las 2 AM”
“Un empleado de ventas edita un grupo de lineas de código en sistemas en
producción desde una ubicación donde no se tiene oficina”

9. 9
Análisis de Comportamiento
de Usuarios - UBA
Análisis de Comportamiento
de Entidades - EBA

10. Análisis de comportamiento de usuario
10
Auto construcción de sesiones para cada
usuario en la red, con base en logs
Compara todas las sesiones de todos los usuarios
para entender el comportamiento normal o anormal
de usuarios o entidades
Identifica comportamientos anómalos y asigna una
calificación de riesgo al usuario o entidad

11. El comportamiento normal pone las
anomalías en perspectiva

12. Análisis de comportamiento de
entidades
Entendiendo como las entidades normalmente se comportan, permite identificar
riesgos y actividades anómalas que pueden indicar compromiso
CCTV 1 comunicándose con destino en Puerto 80 (HTTP)
CCTV 1 comunicándose con destino en Puerto 80 (HTTP)
CCTV 1 comunicándose con destino en Puerto 80 (HTTP)
CCTV 1 comunicándose con destino en Puerto 443 (HTTPS)
CCTV 1 comunicándose con destino en Puerto 443 (HTTPS)
CCTV 1 comunicándose con destino en Puerto 7789 (HTTP)
Si repentinamente habló en un nuevo puerto por primera vez,
sería considerado una actividad anómala
Por ejemplo, un CCTV que habla con frecuencia en los mismos
Puertos

13. Detección automatica
Cada comportamiento anómalo agrega puntaje a la calificación de riesgo
de la entidad
Una vez que la entidad alcance el umbral de riesgo, es escalado a un analista
de seguridad para su atención.

15. De falsos positivos a verdades positivas