Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
.
McAfee Confidential
Wilmer Prieto Gómez | Practice Manager Foundstone Consulting Latin America
.
McAfee Confidential
Professional Services
Solution Services
Education Services
Strategic Security Partners McAfee Product Architects
Enterprise Training
.
McAfee Confidential
Acerca de Foundstone
Fundado en 1999, adquirido por McAfee en 2004
Presencia global en todas las verticales
Equipo Experto de Profesionales en Seguridad de la Información
.
McAfee Confidential
Pensamiento Líder
4
Contribución para la autoría de todas las ediciones de Hacking Exposed
blog.opensecurityresearch.com Foundstone.comFree Tools and Whitepapers!
Conferencistas e Instructores
Investigadores y Desarrolladores de Conocimiento
.
McAfee Confidential
Security OperationsVuln. Incident and Event Mgmt - BCP
Config.Mgmt – Identity & Access
Security ManagementCertification– Risk and Compliance – Training
Servicios Foundstone
Cobertura Completa de Consultoría en Seguridad
Business DriversFISMA – SOX – PCI DSS – DIACAP – ISO 27001 - ISO 27002 – HIPAA DISA – COBIT – ITIL – DISA - NIST
Security GovernancePolicy and Planning – Metrics & Reporting – SDLCStrategic
Consulting
TrainingTactical
Consulting
.
McAfee Confidential
Liderazgo, Seguridad y Gobernanza Digital
El reto actual para entornos TICs(IT/OT).
.
McAfee Confidential
7
El problema del hombre no está en la bomba atómica, sino en su corazón.
.
McAfee Confidential
8
Las tecnologías digitales y nuestra nación
Don't stop talking
http://www.elcomercio.com/tendencias/aplicacion-dontstoptalking-ganadora-concurso-microsoft.html
.
McAfee Confidential
9
Las tecnologías digitales y nuestra nación
Mission Street
http://www.eltiempo.com/tecnosfera/novedades-tecnologia/videojuego-para-ninos-con-sindrome-de-down/16706870
.
McAfee Confidential
10
Recordemos el pasado y veamos el presentePreparémonos a conciencia para el futuro cercano
OPERACIÓN AURORA
2009
Anatomía del
Ataque
Ataque tipo Phishing
+ día cero
Puerta trasera(Back Door)
Escalamiento de privilegios
Obtención de información Exfiltración
1 2 3 4 5
http://www.wired.com/images_blogs/threatlevel/2010/03/operationaurora_wp_0310_fnl.pdf
Un ataque de phishingdirigido a
ciertos usuariosPayload
(CVE-02011-0609)
La maquina del usuario es
accedida remotamente
Poison Ivy Tool
Compromiso de usuarios,
servicios, cuentas de
administración, y sistemas específicos
Se extrae la información por lotes desde los
sistemas comprometidos
La información
comprometida se extrae vía
ftp en archivos cifrados
.
McAfee Confidential
11
Recordemos el pasado y veamos el presentePreparémonos a conciencia para el futuro cercano
NIGHT DRAGON
2011
Anatomía del
Ataque
Compromiso de Web Servers
Externos
Obtener acceso a estaciones y
servidores internos
relevantes
Creación de nuevos usuarios y contraseñas
Habilitación directa de
comunicaciones desde las maquinas
infectadas a Internet
Compromiso de correos y otros tipos de información sensible
1 2 3 4 5
http://www.mcafee.com/us/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf
Ejecución remota de comandos
Toolkitcargado a
los servidores
(RATs)
Acceso a documentos
sensible
Deshabilitar las configuraciones
de IE
Compromiso de
computadores en C-Levels
.
McAfee Confidential
12
Recordemos el pasado y veamos el presentePreparémonos a conciencia para el futuro cercano
Black Energy
2015
Anatomía del
Ataque
Ataque tipo Phishing
+ Vulnerabilidad
explotable
Obtener acceso a estaciones y
servidores internos
relevantes
Habilitación directa de
comunicaciones desde las maquinas
infectadas a Internet
Infección de sistemas tipo
SCADA
Compromiso de las operaciones automatizadas
1 2 3 4 5
http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
Un ataque de phishingdirigido a
ciertos usuariosPayload
(CVE-2014-4114)
Toolkitcargado a
los servidores
Descarga de troyanos
adicionales
Compromiso de sistemas de
control industriales ICS
Destrucción de discos
KillDisk Trojan
.
McAfee Confidential
13
Ataque BlackEnergy
• País afectado: Ucrania.• Equipo de respuesta: Computer Emergency Response Team of
Ukranie (CERT-UA).• Infraestructura afectada: mas de 57 estaciones eléctricas fuera de
servicio.• Población afectada: mas de 230.000 personas.• Impacto: pocas horas sin energía, pero un impacto a largo plazo
debido al daño de componentes críticos en diferentes sub estaciones.
http://www.irishtimes.com/news/world/europe/ukraine-blames-russian-hackers-for-airport-attack-1.2501363
.
McAfee Confidential
14
Ataques a la red SWIFT
http://www.abc.es/economia/abci-unos-hackers-atacan-swift-millonarias-transferencias-interbancarias-201604271644_noticia.html
.
McAfee Confidential
15
PCI DSS v3.1 SSL/Early TLS
https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls
.
McAfee Confidential
16
.
McAfee Confidential
17
Diferencias entre TI y OT
Atributo IT OTConfidencialidad Alta BajaIntegridad del mensaje Baja/Media Muy AltaDisponibilidad del sistema Baja/Media Muy AltaAutenticación Media/Alta AltaNo repudio Alta Baja/MediaCriticidad en tiempo Varios días CriticoDowntime del sistema Tolerable No AceptableFuente: ISACA CSX The merging of Cybersecurity and Operational Technology
IT1
2
3
Confidencialidad.
Integridad.
Disponibilidad.
.
McAfee Confidential
18
Diferencias entre TI y OT (Cont)
Atributo IT OTHabilidades en Seguridad Buenas PobresCiclos de vida del sistema 3-5 años 15-25 añosInteroperabilidad del sistema No Critico CriticoRecursos de computo “Ilimitados” Muy limitadosCambios de software Frecuentes RarosPeores casos de impacto Perdida frecuente
de datosDestrucción de equipos
Fuente: ISACA CSX The merging of Cybersecurity and Operational Technology
OT1
2
3 Confidencialidad.
Integridad.
Disponibilidad.
.
McAfee Confidential
19
Talento humano – desarrollo y fortalecimiento
.
McAfee Confidential
http://www.threattracksecurity.com/resources/white-papers/chief-information-security-officers-misunderstood.aspx
CISO “Baja apreciación y mal entendimiento en C-Level”
“61% de los ejecutivos no creen que su CISO tendría éxito en un papel de liderazgo fuera de la seguridad de la
información “
¿Cómo califica al CISO de su organización?A – Excelente 23%B – Por Encima del Promedio 42%C – En el Promedio 30%
“28% de los ejecutivos dicen que la decisión de su CISO ha perjudicado sus resultados de negocio "
Encuesta de ThreatTrack Security a 203 Ejecutivos C-Level
de diferentes organizaciones en USA
.
McAfee Confidential
http://www.threattracksecurity.com/resources/white-papers/chief-information-security-officers-misunderstood.aspx
CISO “Bajo aprecio y mal entendimiento en C-Level”
Solo el 26% de los ejecutivos C-Levelconcuerdan en que los CISOs debenser parte del equipo senior deliderazgo de la organización.
SiNo
¿Qué CISOs tienen lo que se necesita?
Cerca de la mitad de los CISOs aun lereportan a los CIOs de la organización,lo cual potencialmente puede limitar laefectividad de estos lideres deseguridad.
CIOCEOOTHER
¿A quien le reportan los CISOs?
45%
47%
8%
26%
74%
.
McAfee Confidential
http://www.threattracksecurity.com/resources/white-papers/chief-information-security-officers-misunderstood.aspx
CISO “Bajo aprecio y mal entendimiento en C-Level”
Como los ejecutivos ven al CISOLos CISOs deben ser responsables y rendir cuentas por todas las estrategias y decisiones relacionadas con las estrategias de seguridad de la información y tecnologías de ciberseguridad.
46%
Los CISOs deben rendir cuentas por toda brecha de seguridad asociada a la información de la organización. 44%
Los CISOs son contratados para direccionar brechas criticas relacionadas con las capacidades de la organización para proteger su información.
31%
Los CISOs contribuyen de una forma importante en mejorar día a día las practicas de seguridad de la información en la organización. 27%
.
McAfee Confidential
http://www.veracode.com/blog/2015/10/5-key-qualities-ciso-sw
Cinco cualidades vitales en un CISO
23
Experiencia y Capacidades Técnicas.
Tomador de Riesgos.
Experto en Comunicación en Tiempos de Crisis.
Fortalezas de Comunicación.
Un verdadero CISO.
Perspicacia de Negocio.
Encuesta de NYSE GovernanceServices y Veracode a 200
Directores de Diferentes Organizaciones a Nivel GlobalLiderazgo formal e informal.
Pasión por la investigación y desarrollo de nuevo conocimiento.
.
McAfee Confidential
24
Evaluar, dirigir, y monitorizarGobernanza Digital
Objetivos Organizacionales a Alto Nivel
Gob
erna
nza
Dig
ital
Estructuras de Gobernanza Organizacional
Alineación OT Alineación IT
Recursos de Tecnologías de Información y Tecnologías Operacionales de la Organización
.
McAfee Confidential
25
La Gobernanza digital asegura una alineación efectiva con los objetivos de negocio.
Planeación Estratégica
Caracterización del Entorno
Caracterización del Entorno
Identificación de Riesgos asociados
al Entorno
Identificación de Riesgos asociados
al Entorno
Marco Teórico y Propuesta de Valor
(RoadmapEstratégico)
Marco Teórico y Propuesta de Valor
(RoadmapEstratégico)
Desarrollo del Programa
de Gobierno
Desarrollo del Programa
de Gobierno
Medición , Efectividad y Seguimiento
Medición , Efectividad y Seguimiento
.
McAfee Confidential
26
Definición de Estrategia y TácticaActividades a Alto Nivel
El Roadmap debe ser:
• Basado en Buen Gobierno.
• Auditable.
• Medible.
Entorno Organizacional
Análisis de Riesgos
Análisis Normativo y Contractual
RoadmapEstratégico
.
McAfee Confidential
27
Ciberseguridad y CiberdefensaReferencias Internacionales
.
McAfee Confidential
28
Security Frameworks from the Department of Homeland Security
Chemical Sector http://www.dhs.gov/chemical-sector
Dams Sector http://www.dhs.gov/dams-sector
Financial Services Sector http://www.dhs.gov/financial-services-sector
Commercial Facilities Sector http://www.dhs.gov/commercial-facilities-sector
Defense Industrial Base Sector http://www.dhs.gov/defense-industrial-base-sector
Food and Agriculture Sector http://www.dhs.gov/food-and-agriculture-sector
Communications Sector http://www.dhs.gov/communications-sector
Emergency Services Sector http://www.dhs.gov/emergency-services-sector
Government Facilities Sector http://www.dhs.gov/government-facilities-sector
Critical Infrastructuring Sector http://www.dhs.gov/critical-manufacturing-sector
Energy Sector http://www.dhs.gov/energy-sector
Healthcare and Public Health (HPH) Sector http://www.dhs.gov/healthcare-and-public-health-sector
Water and Wastewater Systems Sector http://www.dhs.gov/water-and-wastewater-systems-sector
Nuclear Reactors, Materials, and Waste Sector http://www.dhs.gov/nuclear-reactors-materials-and-waste-sector
Transportation Systems Sector http://www.dhs.gov/transportation-systems-sector
Infraestructuras Criticas
.
McAfee Confidential
29
Alineación Estratégica
FísicoEnlace
RedTransporte
SesiónPresentación
Aplicación
Seguridad Inform
ática
Seguridad de la Inform
ación
Usuario
Organización
Seguridad O
rganizacional
Nación.Ciberseguridad
Ciber-Defensa
Ciber-Ofensa
Ciber-Normativa
Ciber-Diplomacia
Ciber-Bienestar
Ciber-Comunidad
.
McAfee Confidential
30
Basado en Priorización y EnfoqueModelo de Ciberseguridad para entornos IT y OT
Entorno Organizacional
Organización/Infraestructura CriticaPerfiles y Objetivos
Identificación de ActivosTalento Humano, Procesos y
Tecnologías
Desarrollo, Implementación e Implantación de Programas de Protección y Estrategias de Resiliencia
Organización/Infraestructura CriticaRiesgos asociados al Entorno
Priorización de la InfraestructuraModelo de Priorización de Activos
.
McAfee Confidential
31
Gobierno de SeguridadGobierno de Seguridad
Planeación de Políticas & Procesos Métricas & Reportería Integración SDLC
Control de Inversión & Planeación de
Proyectos
Gestión de Seguridad
Certificación & Acreditación
Análisis de Riesgo & Cumplimiento
Implementación e Integración de Controles de
Seguridad
Entrenamiento & Concienciación en
Seguridad
Operaciones de Seguridad de TI/OTAseguramiento de
Activos & Gestión de la Configuración
Administración de Identidad & Accesos
Administración de Vulnerabilidades,
Eventos e Incidentes
Planeación en Continuidad de
Negocio
• Arquitectura de Seguridad Empresarial
• Definición & Diseño de configuraciones seguras
• Verificación & Auditoria de configuración segura de activos
• Estado de Cuentas, Inventario, Activos y configuración de identidades
• Control de Autenticación & Acceso
• Integración de Controles Físicos & Lógicos
• Gestión de Sistemas de Emisión de Credenciales
• Servicios de Directorio• Administración del
ciclo de vida y aprovisionamiento.
• Administración de Identidad Tercerizada.
• Administración de Seguridad en Dispositivos
• Detección & Prevención de Intrusos
• Administración de Vulnerabilidades
• Administración y Monitorización de Eventos
• Respuesta ante Incidentes & Análisis Forense
• Planeación de Contingencias
• Análisis de Impacto de Negocio
• Planeación de Recuperación de Desastres
• Planeación de Continuidad de Operaciones
• Ejercicios de Verificación & Pruebas COOP/DRP
Habilitadores
• Normativas Internacionales
• Normativas Nacionales
• Requerimientos Contractuales
• NERC
• SOX
• PCI DSS
• DIACAP
• Mass 201.CMR17
• UK IHT (CoCo)
• HSPD-12
• ISO 27001/ ISO 27002
• DISA STIGs
• HIPAA
• COBIT
• ITIL
.
McAfee Confidential
32
No olvidemos al Ciber…Ciudadano
.
McAfee Confidential
33
Cosas a destacarMesa de Trabajo de TIC e Infancia
http://www.redpapaz.org/
http://www.google.com.co/landing/protectchildren/
http://www.teprotejo.org/index.php/es/ http://www.enticconfio.gov.co/
.
McAfee Confidential
01000200030004000500060007000
20122013201420152016
Cosas a destacar – (Denuncias a Red Papaz)Mesa de Trabajo de TIC e Infancia Del 08 al 14 de Octubre
de 2016 la DIJIN ha dado orden
de bloqueo a 33 sitios web con pornografía infantil para un
total de 6.709 URLs desde la puesta en marcha de Te Protejo
http://www.teprotejo.org/index.php/es/
ESCNNA Explotación Sexual Comercial de Niños, Niñas y Adolescentes
.
McAfee Confidential
35
Denuncias a RedPapazTeProtejo
http://www.teprotejo.org/index.php/es/
486
1028
74
2312
151
28
812 reportes procesados en Septiembre de 2016
Pornografía Infantil
ESCNNA
Intimidación Escolar
Ciberacoso
Contenidos inapropiados
Venta de alcohol y otras SPA
Maltrato, trabajo y abuso infantil
Otros
ESCNNA Explotación Sexual Comercial de Niños, Niñas y Adolescentes
.
McAfee Confidential
36
Primeros 6 meses de operación en ArgentinaMissing Children
Captcha Solidario
http://www.noencontrado.org/
.
McAfee Confidential
37
Beneficios de la convergencia IT/OT
1. Reducción de los costos de operación al eliminar procesos y recursos redundantes.
2. Incremento de los controles sobre las operaciones distribuidas.3. Mejoramiento de la seguridad al utilizar un enfoque integral de
ciberseguridad IT/OT.4. Gestión de riesgos consistente en todos los dominios tecnológicos de la
organización.5. Mejoramiento de la gobernanza y gestión de los sistemas IT/OT.6. Mejoramiento de la seguridad en los entornos operacionales (seguros y
salvos).7. Un proceso integral y continuo de análisis, implementación, mantenimiento,
y repetición.8. Nuevamente (La clave del éxito esta en el factor humano).
.
McAfee Confidential
38
¿Preguntas?
Wilmer Prieto GómezPractice Manager, Foundstone Latin [email protected]