be aware webinar - qué hacer antes durante y después de un ataque

Anticipando la Brecha: Qué hacer Antes, Durante y Después de un Ataque.

Pedro OliverosSolution SE | SE Online Specialists (SOS)

2

Pedro OliverosSolution SE | SE Online Specialists (SOS)

Pedro Oliveros es integrante del equipo de Ingeniería de SOS, un equipo deespecialistas online que se encargan de recomendar y resolver todo tipo deproblemas de seguridad con clientes en toda América Latina y el Caribe.Tiene dos años con Symantec y está ubicando en las oficinas de la Ciudad de México.

Pedro es originario de la Ciudad de México, es egresado de la UniversidadLasalle y cuenta con más de 8 años de experiencia en el área de seguridaddesempeñando distintos roles con canales, distribuidores y fabricantes.También ha sido ponente en distintos eventos y congresos de seguridad en laciudad de México y en el interior de la República Mexicana

Copyright © 2015 Symantec Corporation

Agenda

3

Panorama de Amenazas1

Preparación2

Detección3

Respuesta4

¿Cómo puede ayudar Symantec?5

Q&A6


EL PANORAMA GENERAL

• Las amenazas siempre están evolucionando, cada vez más sofisticadas y más específicas.

• Las organizaciones están migrando rápidamente a las aplicaciones y servicios basados en la nube.

• Software redefine todo en nuestra vida del día a día.

• Los dispositivos conectados se están multiplicando y diversificando.

• El poder de generar información está en las manos del usuario - la gente necesita ayuda para administrar y defender las redes ahora más que nunca

LA INFORMACION REQUIERE PROTECCION

4Copyright © 2015 Symantec Corporation

Copyright © 2015 Symantec Corporation5

EL ESTADO ACTUAL DE LA DEFENSA CONTRA LOS ADVERSARIOSEstado reactivo constanteUn ataque ya no es un SI, sino un CUANDO. La detección toma demasiado “Las firmas financieras tardan un promedio de 98 días en detectar una brecha de seguridad y las empresas de retail hasta 197 días” - Ponemon, 2015 Falta de ciber habilidades “35 por ciento de las organizaciones no son capaces de cubrir posiciones laborales disponibles de seguridad, a pesar del hecho de que el 82 por ciento espera ser atacado este año” – ISACA La Respuesta impacta al negocio“El costo promedio de una brecha de seguridad es de $3.8 millones de dólares, contra $3.5 millones de dólares del año pasado” - Ponemon 2015

ISTR: El Panorama de Amenazas

6

Atacantes Moviéndose Rápido Extorsión digital a la alza

El Malware se vuelve más inteligente

Amenazas Zero-Day Muchos Sectores de la Industria Bajo Ataque

5 de 6 compañías

grandes atacadas

317M malware

nuevo creado

1M nuevas

amenazas diarias

60% de los

ataques dirigidos a

SMEs

113% incremento

en ransomware

45X más

dispositivos secuestrados

28% del malware

identificaba máquinasvirtuales

24 máximo histórico

Top 5 sin parchear por 295 días

24 Salud

+ 37% Retail+11%

Educación +10%

Gobierno+8%

Financiero+6%

Source: Symantec Internet Security Threat Report 2015


“Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberás temer el resultado de mil batallas”

Sun-Tzu, El Arte de la Guerra


Protección por equipos

72%90% 78%

56% 48%33%

ELIMINA EMAILS SOSPECHOSOS DE GENTE QUE NO CONOCE

UTILIZA AL MENOS UNA SOLUCIÓN ANTIVIRUS BÁSICA GRATIS

EVITA ALMACENAR ARCHIVOS CONFIDENCIALES EN LÍNEA

1Fuente, Symantec, Reporte Norton 2013


Usuarios Móviles en Riesgo

9

50%

38%

Source: Norton Report

No usan las precauciones básicas como una contraseña, software de seguridad o un respaldo de los archivos de su dispositivo móvil.

De los usuarios de smartphones han sido víctimas del cibercrimen en los últimos 12 meses



ANICIPANDO LA BRECHA: ANTES, DURANTE Y DESPUÉS

ANTES

DURANTE

DESPUÉS

DETECTARRESPONDER

PREPARAR

Agenda

11


Preparación2

Detección3

Respuesta4


Q&A6


Has sido elegido como el CISO, el rey te pide que protejas su reino.

Sir CISO


Análisis de Activos

Estos son nuestros activos:

Qué necesitamos proteger?

Identidades Infraestructura Información


14

AntivirusFirewallIPS / IDS

Fugas de InformaciónPérdida de Productividad

CumplimientoAutenticación

Administración de Endpoints / ServersPrivilegios de Acceso

CifradoCorreo Electrónico

Ambientes Virtuales….


15

Defensa Tradicional


Identificación de las Amenazas Quién podría tomar nuestros activos y cómo?

Espías

Soldados Armados

Personal Interno con buenas intenciones


Hackers

• Expertos en varias áreas de la informática, son los que usualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos.

• Script Kiddies: Obtienen las herramientas creadas por los hackers expertos, pero las ejecutan contra una víctima muchas veces sin saber lo que están haciendo. Son los que con más frecuencia realizan ataques serios.

Hackers vs CSO


Métodos de Ataque

18

Ataque Watering Hole

Infectar un sitio web, mentir y esperar

Spear Phishing

Enviar un e-mail a una persona de interés

Actualización Troyanizada

Infectar descargas de actualizaciones de

software

REPORTE DE AMENAZAS DE SEGURIDAD EN INTERNET 2015, VOL 20 Copyright © 2015 Symantec Corporation

Identificar Vulnerabilidades

• El foso es poco profundo

• No hay monitoreo de incidentes dentro de las paredes del castillo

• Los Guardias nunca revisan las identificaciones en el puente levadizo.

Quién podría tomar nuestros activos y cómo?



ANTES – CONSIDERACIONES DE PREPARACIÓN

Evitar• Creer que nunca tendremos una

brecha de seguridad

• No entender las habilidades y carencias de su equipo

• La insuficiencia de recursos para responder y continuar las operaciones diarias

• No integrar personas, procesos y tecnología

Mejores prácticas• Crear memoria muscular: es

necesario establecer, probar y refinar tanto los equipos como los procesos.

• Construir un equipo eficaz - crecer a su gente e identificar socios estratégicos

• Integrar inteligencia global - adelantarse a las amenazas emergentes


CREAR MEMORIA MUSCULARConvierta su plan en un programa

• De acuerdo con Ponemon Institute, el 73% de las empresas cuenta con un plan de respuesta– 37% no lo ha

revisado desde que se puso en marcha

– 68% no están seguros de que pueden hacer frente a las consecuencias de una brecha de seguridad

Planes específicos de escenarios probables

Planes técnicos de respuesta para todos los sistemas clave

Todos los papeles clave documentados

Todos entrenados en el desempeño de su funciónEnsayos de rutina de los planes a realizarse

"En 2020, el 60% de los presupuestos de seguridad de la información de la empresa se destinará para enfoques rápidos de detección y respuesta, frente a menos del 10% en 2013.“ -Gartner


CREAR MEMORIA MUSCULARLa preparación permite una acción rápida y decisiva

• Evaluar, probar y refinar su plan

• Entregar capacitación al equipo de Respuesta a Incidentes (cómputo forense, recopilación de datos, cadena de custodia y protección)

• Ejecutar ejercicios de simulación

Legal

Investigadores Externos

Proveedores de Servicios de

Negocio Externos

Proveedor de Ciber Seguros

Cumplimiento de la Ley

Comunicaciones Corporativas TI

CONSTRUIR UN EQUIPO EFICAZNuestra industria es limitada en empleados, habilidades y la preparación en curso - necesitamos Innovación


Los pilotos combinan aulas con simuladores de vuelo para

aprender y practicar continuamente de forma segura ...

... Mientras que la seguridad cibernética desarrolla habilidades

y prepara usando técnicas del siglo 20, tal vez una vez al año.


CONSTRUIR UN EQUIPO EFICAZRequiere más que una “capacitación en el empleo”

• Asegurar las personas están preparadas• Piensa como un atacante• Evaluar y avanzar en su equipo• Identificar socios estratégicos


Utilice un servicio de inteligencia de amenazas comercial para desarrollar tácticas informadas de las amenazas actuales, y planificar las amenazas que puedan existir en el futuro a medio plazo ".McMillan & Pratap

Gartner Research, 10/14/14, Market Guide for Security Threat Intelligence Services


LOS BENEFICIOS DE LA INTELIGENCIA DE SEGURIDAD5 consejos de Inteligencia

Construir un

programa y proceso definido

de inteligenc

ia.

Utilice la información sobre

amenazas apropiada

Mantenga a los

ejecutivos

informados

Inteligencia

accionable de valor

Mire más allá de

los ataques básicos

1 2 3 4 5

Agenda

27


Preparación2

Detección3

Respuesta4


Q&A6


28

DETECCIÓN -> DURANTE

Evitar• Demasiada tecnología, demasiado

ruido

• Niveles inadecuados tanto de conocimiento como del personal.

• Centrarse en lo obvio

• Mantenerse reactivo, no proactivo

Mejores Prácticas• Amplíe su equipo: Asóciese con un

MSSP para proporcionar monitoreo 24x7x365 y experiencia en priorización

• Trabajar con funciones colaborativas: los analistas de seguridad deben trabajar con inteligencia y equipos de respuesta

• Haga su infraestructura inteligente: aplicar la inteligencia sobre amenazas para trabajar más rápido y eficaz



AMPLÍE SU EQUIPOConcéntrese en los eventos críticos

• Asóciese con un MSSP para contar con analistas expertos y experimentados

• Monitoreo contra amenazas de forma global 24x7x365

• Identificar los eventos críticos y atraviese el ruido

• Garantizar la cobertura personalizada

¿Sabrías si fuiste atacado hoy?


Trabajar con funciones colaborativasEnfoque integral para ofrecer una respuesta eficaz y gestión de riesgos

Alertas Priorizadas/CorrelacionadasClasificación automatizada de flujo de

trabajo Clasificación colaborativa

Clara línea de visión Actualizaciones en tiempo real Respuesta colaborativa


HAGA SU INFRAESTRUCTURA MÁS INTELIGENTEConsumir inteligencia global de amenazas

• Integrar la inteligencia de amenazas en tiempo real en la infraestructura clave de seguridad

• Identificar oportunidades para la automatización– GRC systems, vulnerability management

systems, SIEMs

• Reducir el tiempo de la investigación con el contexto

• Reduzca los falsos positivos con la inteligencia de alta calidad

Agenda

32


Preparación2

Detección3

Respuesta4


Q&A6



RESPUESTA - DESPUÉS

Evitar• No tener implicados a los equipos

interdisciplinarios adecuados

• Olvidar las implicaciones legales

• No tener los recursos disponibles para investigar efectivamente el incidente

• No aprender del incidente

Mejores Prácticas• Tener a la gente adecuada:

tener confianza en su equipo interno y externo de respuesta.

• Obtener un servicio anticipado de respuesta: trabaje con un socio de confianza - no pierda el tiempo con los contratos y documentos legales

• Defina mejor su programa de respuesta: aplicar las lecciones aprendidas a su plan de respuesta y equipos interdisciplinarios


TENGA LA GENTE ADECUADA"Debe tener" ADN de respuesta

El montaje, gestión y preparación de un equipo de RI no es tarea fácil

Habilidades técnicas de expertos:

• Sistemas operativos

• Redes• Aplicaciones• Métodos de

ataque• Herramientas• Análisis de Logs• Forense• Respuesta en

Vivo

Capacidades expertas de gestión:

• Prosperar bajo presión

• Guiar las decisiones de gestión de riesgos

• Comprender las implicaciones legales y reglamentarias de diversos escenarios de brechas de seguridad


EL VALOR DE UN SERVICIO ANTICIPADO DE RESPUESTAPlanificación proactiva

• Cambiar de enfoque reactivo de alto costo a un enfoque preventivo y programado de Respuesta a Incidentes:– Convierta los planes en programas

optimizados– Mejorar / aumentar las

capacidades de RI– Gestión de servicios

especializados– Plazos y tasas pre-negociadas

para una acción más rápida cuando se producen incidentes


ACOTAR EL PROGRAMA DE RESPUESTA

Proceso:Bien construido,

detallado, planes de respuesta

perfectamente ensayados

Personal:Calificado, bien entrenado,

equipo multidisciplinario

Tecnología :Ecosistema coherente

para impulsar la detección temprana y

respuesta rápida

Agenda

37


Preparación2

Detección3

Respuesta4


Q&A6


Entonces, ¿Qué hace Symantec exactamente?

38

LaSeguridad

AlmacenamientoDisponibilidad

ProtecciónInnovadoresConsejerosInfluyentes

Lideres

AutoridadDatos

SistemasIdentidades

Interacciones

Informaciónde lade


La Mayor Red Civil Global de Inteligencia • Identifica más amenazas, toma una acción más rápida y evita el impacto

Protección de la InformaciónAlertas de seguridad preventiva Acciones activadas por las amenazas

Alcance Global y EscalabilidadCobertura Mundial Registo de Eventos 24x7

Detección Rápida

Actividad del Ataque • 240,000 sensores• 200+ países y territorios

Inteligencia de Malware• 133M clientes, servidores

y gateways monitoreados• Cobertura Global

Vulnerabilidades 35,000+ vulnerabilidades

• 11,000 fabricantes• 80,000 tecnologías

Spam/Phishing• 5M cuentas señuelo• 8B+ mensajes de email /día• 1B+ peticiones web /día

Austin, TXMountain View, CACulver City, CA

San Francisco, CA

Taipei, Taiwan

Tokyo, Japan

Dublin, IrelandCalgary, Alberta

Chengdu, China

Chennai, IndiaPune, India


¿Cómo puede ayudar Symantec?

Pero no solo basta con tener la mejor tecnología

implementada, también hay que contar con el mejor

personal capacitado para tener proyectos exitosos.

Ingeniería de Symantec: el mejor equipo para ser

exitosos

En Symantec contamos con la mejor tecnología y somos

lideres en el mercado.



• No damos recetas solo por entregarlas.

41

• Analizamos la situación, Buscamos los síntomas y damos la solución adecuada


CYBER SECURITY SERVICES

42

Seguridad Integrada de Punto-a-PuntoDe Reactivo a ProactivoExperiencia de Clase

Mundial

MANAGED SECURITY SERVICES

INCIDENTRESPONSE

SECURITYSIMULATIO

N

DEEPSIGHTINTELLIGENC

E

Rastreo y Análisis de eventos de Seguridad, Creación de Inteligencia Procesable

Protección contra Ataques Dirigidos, Amenazas Avanzadas y Campañas

Respuesta Rápida y efectiva a incidentes y Amenazas

Fortalezca su estrategia de seguridad para prevenir los ataques sofi


• 15 años de servicio en monitoreo de seguridad y administración de logs

• 248 años totales en investigación forense

• 15 en promedio de experiencia en investigación activa en campo

• Profesionales elegidos de Agencias de Gobierno y Organizaciones alrededor del Mundo

• 500+ Profesionales certificados en Ciberseguridad

• Expertos líderes en Respuesta a Incidentes, monitoreo e inteligencia

• Programa de “Ciberguerra” más grande del mundo

• Autoridad en Ciberseguridad, Investigación Forense, Hacking, Análisis e investigación

Cyber Security Services – Una extensión de tu equipo

43

CONOCIMIENTOEXPERIENCIA



• Buscamos ser un aliado en la estrategia de seguridad y no solo un fabricante más dentro de todo el ecosistema.

• Podemos revisar actuales Objetivos de seguridad y crear una postura acorde a los resultados (Consulting Services)

• Obtenga ayuda proactiva de un experto no solo en nuestras soluciones sino también en la infraestructura de tu empresa y que además entienda sus necesidades de negocio (BCS)

44Copyright © 2015 Symantec Corporation

Pedro Oliveros Solution SE | SE Online Specialists (SOS) [email protected]

@poliverosb

http://www.linkedin.com/in/poliverosb

Q&A


be aware webinar - qué hacer antes durante y después de un ataque

Technology