Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

Transcripción

1 Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas Armando Carvajal Arquitecto de Seguridad - Globaltek Security armando.carvajal@globalteksecurity.com Msc en seguridad informática de la Universidad Oberta de Catalunya - España Especialista en construcción de software para redes Uniandes, Colombia Ing. Sistemas Universidad Incca de Colombia CISM de Isaca Auditor Líder ISO27001:2013

2 Agenda 1. Antecedentes 2. Amenazas internas 3. Riesgos internos 4. Big Data 5. SIEM, DLP 6. Analítica con UBA, UEBA 7. Conclusiones

3 Póliza de ciberriesgos

4 Encuesta de SANS

5 Encuesta de SANS

6 Diagrama de Riesgos

7 Agenda 1. Antecedentes 2. Amenazas internas 3. Riesgos internos 4. Big Data 5. SIEM, DLP 6. Analítica con UBA, UEBA 7. Conclusiones

8 Amenazas ISO27001:2013 Evento externo, causa potencial de incidente no deseado, el cual puede resultar en daño al Sistema o a la Organización. [Fuente: ISO 27000] Tipo de activo Información Software Hardware Personas Amenazas aplicables Divulgación, modificación indebida, indisponibilidad, fuga de información Ataque informático, malware, alteración de la configuración, sobrecarga, acceso no autorizado, uso indebido, elevación de privilegios, instalación de software no autorizado, violación de derechos de autor Robo, fallas en el suministro eléctrico, temperatura por fuera del rango aceptable, alteración de la configuración, conexión de dispositivos no autorizados, fallas de los equipos Coacción, ingeniería social, suplantación de identidad, repudio, errores, indisponibilidad Infraestructura Terremoto, incendio, inundación, terrorismo, sabotaje

9 Vulnerabilidad Debilidad identificada sobre un activo, que puede ser aprovechada por una amenaza para causar una afectación sobre la confidencialidad, integridad o disponibilidad de la información. [Fuente: ISO 27000] Amenaza Divulgación Modificación indebida Indisponibilidad Repudio Robo Fallas en el suministro eléctrico Indisponibilidad de las personas Vulnerabilidades Ausencia de cifrado, insuficiente monitoreo y/o registro del acceso de lectura a los archivos. Ausencia de chequeo de integridad. Ausencia de copias de respaldo, falta de planeación de capacidad. Ausencia de registro, ausencia de una política de control de acceso, ausencia de firmas digitales. Fallas en el control de acceso físico, ausencia de una política de seguridad física, ausencia de video vigilancia, ausencia de cifrado. Ausencia de una planta eléctrica, ausencia de una UPS, mantenimiento insuficiente de la infraestructura para el servicio eléctrico. Ausencia de procedimientos documentados, falta de segregación de funciones, no contar con un rol de respaldo.

10 Mapa de Riesgos "La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar. H.James Harrington

11 Según ISO31000:2009

12 Agenda 1. Antecedentes 2. Amenazas internas 3. Riesgos internos 4. Big Data 5. SIEM, DLP 6. Analítica con UBA, UEBA 7. Conclusiones

13 Ejemplos de riesgos internos: Amenaza: Sabotaje de TI debido a un descontento previo o debido a la terminación del contrato Vulnerabilidad: Ausencia de procedimientos para eliminación de permisos Impacto: Perdida financiera Justificación: Este patrón enuncia el problema común de una Amenaza Interna que ataca el sistema de una organización después de la terminación del contrato. Este tipo de ataque no debería ser posible si se siguen los procedimientos estándar definidos, ya que por buena practica todos los accesos a los sistemas de información privilegiada deberían ser eliminados Riesgo: Perdida financiera por sabotaje a los sistemas de información debido a la ausencia de procedimientos para eliminación de permisos

14 Ejemplos de riesgos internos: Amenaza: Eliminación de copias de respaldo debido a un empleado de tipo director descontento debido a la terminación del contrato Vulnerabilidad: Ausencia de procedimientos para eliminación de permisos Impacto: Perdida financiera Justificación: El director técnico de una organización (CTO) fue despedido por mal desempeño. La semana siguiente se conectó a una cuenta de administrador del sistema de copias de seguridad y ejecuto un comando diseñado para eliminar todas las copias de seguridad de la organización Riesgo: Perdida financiera por eliminación de copias de respaldo debido a la ausencia de procedimientos para eliminación de permisos

15 Ejemplos de riesgos internos: Amenaza: Fuga de información reservada Vulnerabilidad: Ausencia de Cifrado de Comunicaciones confidenciales Impacto: Perdida financiera Sustentación: La información sensible debe cifrarse Riesgo: Perdidas económicas por la fuga de información debido a la ausencia de cifrado de los datos sensibles

16 Agenda 1. Antecedentes 2. Amenazas internas 3. Riesgos internos 4. Big Data 5. SIEM, DLP 6. Analítica con UBA, UEBA 7. Conclusiones

17 Big Data Concepto que hace referencia al almacenamiento de grandes cantidades de datos y a los procedimientos usados para encontrar patrones repetitivos dentro de esos datos El fenómeno del big data también se denomina a veces datos a gran escala Tomado de: Ensayo de Viktor Schönberger big data: La revolución de los datos masivos

18 Agenda 1. Antecedentes 2. Amenazas internas 3. Riesgos internos 4. Big Data 5. SIEM, DLP 6. Analítica con UBA, UEBA 7. Conclusiones

19 Security Information Event Management (SIEM) Correlación avanzada y profunda de eventos de seguridad e infraestructura SIEM se empieza a usar como un Data Warehouse de BigData Actualmente se está usando para correlación contra la analítica del comportamiento humano (UBA) Se espera una nueva generación de herramientas de seguridad basadas en analítica de usuarios y correlación de eventos

20 Agenda 1. Antecedentes 2. Amenazas internas 3. Riesgos internos 4. Big Data 5. SIEM, DLP 6. Analítica con UBA, UEBA 7. Conclusiones

21 UEBA User Entity Behavor Analytics Significa analizar los comportamientos de los funcionarios de una organización (empleados), de las personas externas conectadas a sus redes (como terceros contratistas) y señalar las vulnerabilidades de seguridad a través de los activos de las organizaciones que contienen datos confidenciales (reservados)

22 UEBA Además de analizar el comportamiento de los usuarios, UEBA también evalúa el punto final (portátiles, móviles) y aplicaciones para identificar comportamientos inusuales que el usuario no tiene conciencia de haberlos realizado (entidad) Se interconecta con el SIEM y con el DLP

23 UEBA Finalmente: UEBA conecta los datos recolectados de usuarios y entidades que lo han suplantado para descubrir los riesgos de seguridad que los criminales pueden explotar Se muestran análisis y estadísticas para evidenciar la probabilidad de que una amenaza se aproveche de una vulnerabilidad e impacte a procesos del negocio Riesgo = Probabilidad x Impacto

24 Que hacer?

25 Que hacer?

26 Solución

27 Solución

28 Agenda 1. Antecedentes 2. Amenazas internas 3. Riesgos internos 4. Big Data 5. SIEM, DLP 6. Analítica con UBA, UEBA 7. Conclusiones

29 Conclusiones Viene un uso intensivo de Analítica del comportamiento del usuario (UBA=User Behavior Analytics) Analítica del comportamiento del usuario y sus entidades (UEBA=User and Entity Behavior Analytics)

30 Conclusiones La alta gerencia tendrá una visión de seguridad de la información enfatizando en las amenazas internas de la organización Existen nuevas tecnologías para descubrir a los usuarios más riesgosos y hasta viendo su comportamiento cuando ocurren incidentes, viendo sus actividades del pasado con videos si es necesario para investigaciones forenses

31 Preguntas y Aportes