1. No category

Security
Intelligence
& Big Data
Presentada por:
Jamardo, Facundo
Director de Servicios de Cyber Risk, Deloitte Argentina
Cavanna Santiago
Especialista en Seguridad, IBM Argentina
Un panorama que cambia constantemente
El Cyber crimen ha evolucionado hacia un conjunto de productos y servicios criminales altamente especializados, capaces
de elegir como blanco de forma precisa y con capacidad de evadir muchos de los controles de seguridad actuales.
-2-
Copyright © 2015 Deloitte.
El antiguo enfoque en Cyber Seguridad - Reactivo
1
Reporte de
incidentes
de
seguridad
Los Incidentes de
Seguridad son
típicamente
reportados al área de
seguridad a través de
una variedad de
canales incluyendo
otros departamentos,
proveedores
externos,
reguladores, medios
de comunicación y
público.
 Foco en el perímetro de seguridad
 Mirada hacia adentro
 Silos de Organización
 Silos de Información
 Demasiadas alertas
 Restricción de recursos
 Controles basados firmas
 Demasiada Información
 Análisis Manual
2
3
Investigación
Amenaza
aislada y
contenida
Generalmente las
investigaciones
requieren de una
gran cantidad de
tiempo y a menudo
están plagadas de
información faltante o
extraviada, que
pudiera haber
asistido
significativamente a
entender lo ocurrido.
Encontrar y contener
rápidamente
dispositivos
comprometidos
puede ser un gran
desafío en entornos
en grandes redes.
Este proceso a
menudo involucra el
envío de
especialistas al sitio
para localizar
dispositivos.
-3-
4
5
Solución
Análisis de
las causas
primarias
La solución a
menudo involucra
reinstalar equipos, lo
cual puede requerir
mucho tiempo y
puede resultar en
pedida de datos y un
impacto negativo en
la productividad de
los empleados.
El análisis de las
causas primarias a
menudo involucra la
recolección y el
análisis de registros
de múltiples fuentes
internas. En algunos
casos, la verdadera
causa primaria no
puede determinarse
debido a la falta de
logs adecuados o la
falta de Cyber
Inteligencia.
Copyright © 2015 Deloitte.
Retos Actuales con el enfoque reactivo
En función a nuestra experiencia identificamos los siguientes desafíos para las organizaciones:
Los actuales controles de Seguridad
informática “basados en firmas” no
son efectivos contra las Cyber
amenazas y exploits cada vez más
sofisticados y en constante evolución.
¿Qué tipos de controles son
necesarios para detectar Cyber
amenazas actuales?
Un gran número de dispositivos de
Seguridad generan un número aún
mayor de falsos positivos y falsos
negativos.
¿Cómo recolectamos la información
de fuentes múltiples y dispares, y
generamos información normalizada,
enriquecida y aplicable?
Falta de capacidades automáticas
para una rápida detección,
contención, análisis y corrección de
dispositivos comprometidos.
¿Cómo nos aseguramos de
encontrar y contener rápidamente
los dispositivos comprometidos?
La información provista por las
diversas fuentes de inteligencia es a
menudo anticuada, de alto nivel y
complejo de aplicar.
¿Cómo recolectamos información de
Cyber Inteligencia oportuna,
relevante y aplicable?
Las organizaciones carecen de
capacidades tecnológicas y de
procesos para tomar medidas
necesaria a tiempo en base a datos
de inteligencia en tiempo real.
¿Cómo se puede utilizar la
información de Cyber Inteligencia
para evaluar o detener
automáticamente transacciones
fraudulentas?
-4-
Copyright © 2015 Deloitte.
El Nuevo enfoque en Cyber Seguridad - Proactivo
Inteligencia Externa
Datos sin
procesar
Inteligencia Interna
Una visión avanzada sobre las capacidades de
Inteligencia aplicadas a Cyber Amenazas
Normalización
1.
2.
3.
4.
Enriquecimiento
Fusión
Inteligencia
Práctica
Actualización de
Controles de seguridad
Decisiones de
Autenticación
Info de inteligencia para
el análisis de riesgos
Inversión en tecnología
Selección de
proveedores y
decisiones de RRHH
Investigar las amenazas emergentes.
Buscar socios para compartir información de inteligencia.
Definir las áreas de trabajo con foco en las amenazas.
Definir fuentes de información de Inteligencia “vivas y
dinámicas”.
5. Establecer un enfoque amplio para la identificación de cyber
amenazas.
6. Rastrear activamente actividades cyber criminales.
7. Revisar en forma diaria la existencia de amenazas
emergentes.
8. Estar al tanto del entorno dinámico de tecnología y el
contexto de negocio.
9. Actualizar periódicamente sistemas operativos, dispositivos y
controles de seguridad.
10. Implementar y mantener actualizados los controles basados
en firma Y comportamiento.
11. Generar métricas e información de tendencias de múltiples
indicadores de gestión de amenazas.
12. Mejorar continuamente las capacidades automáticas.
-5-
Copyright © 2015 Deloitte.
Marco de gestión de inteligencia en Cyber Amenazas
Se requiere un marco de gestión amplio para maximizar el valor de la información de cyber inteligencia,
basada en la recolección, correlación, enriquecimiento y distribución de datos.
•





Commercial Feeds
Law Enforcement
Industry Associations
Underground Forums
Hash databases
GEOIP data






Fraud investigations
Security event data
Abuse mailbox info
Vulnerability data
Sandboxes
Human intelligence






Honeynets
Malware Forensics
Brand monitoring
P2P monitoring
DNS monitoring
Watchlist monitoring
Idealmente, la cyber inteligencia debería fluir
hacia una función central de inteligencia de
Cyber Amenaza, ser normalizada, enriquecida, y
luego distribuida a las funciones usando
automatización de ser posible.
Risk Acceptance
Process
External
Cyber Threat
Intelligence
Feeds
Internal
Threat
Intelligence
Feeds
Risk Assessment
Process
Cyber Threat Intelligence
Collection Research, and
Analysis Process
Risk
Mitigation &
Remediation
Urgent security
control updates
“All Source Fusion”
IP reputation data
for authentication
Line of Business
Teams
Proactive
Surveillance
Threat Intelligence
Reporting
Security, Fraud
and Operational
Risk Teams
3rd Parties,
Subsidiaries
-6-
Copyright © 2015 Deloitte.
Usando Inteligencia de Cyber Amenaza para tomar mejores decisiones de negocio
Raw Cyber Threat Intelligence
Commercial
Threat
Intelligence
Open Source
Threat
Intelligence
Corporate
Brand
Intelligence
Security
Research
Intelligence
Proactive
Threat
Surveillance
Law
Enforcement
Intelligence
Shared
Industry
Intelligence
Cyber
Criminal
Intelligence
Cyber Threat Intelligence Automation Layer
Data Parsing
Data Collection
Normalization
Enrichment
Correlation
Normalized and Enriched Cyber Threat Intelligence
IP Reputation
Data
Line of Business
Initiatives
Compromised
Accounts
Line of Business
Processes
Bad Actor
Data
Application
Logs
Insider Threat
Data
Vulnerable
Suppliers
Business Profile Information
Filtering & Correlation
Automation Layer
Fraudulent
Suppliers
Threats &
Vulnerabilities
Application
Data Elements
Security
Requirements
Key Partners
& Suppliers
Line of Business
Keywords
Business Supplied
Knowledge Base Profiles
Line of Business Decision Making Intelligence
Inteligencia de amenazas
emergentes
 Conocimiento de amenazas
emergentes que pueden tener
un impacto negativo en las
operaciones actuales o futuras.
 Un modelo de amenazas que
ayude al negocio a entender
como sus propias estrategias
pueden desencadenar riesgos
inesperados.
Prevención de Fraudes
 Información de cyber
inteligencia accionable que
permita controlar los procesos
de autenticación.
 Habilidad de cuantificar las
pérdidas evitadas al regenerar
cuentas comprometidas.
RRHH
 Habilidad de utilizar cyber
inteligencia para evaluar las
personas entrevistadas y su
conexión con actividades u
organizaciones fraudulentas.
 Habilidad de notificar en forma
proactiva antes de que los
empleados violen una norma.
-7-
Gestión de Proveedores
 Modificación de contratos con
proveedores en función a
información de cyber
inteligencia.
 Selección de terceros basada
en un análisis de riesgos
utilizando inteligencia de cyber
amenazas.
Inversión en Tecnología
 Selección de tecnología que
incluye capacidades de control
adecuadas.
Definición de un scoring de
fabricantes utilizando
información histórica de cyber
amenazas.
Copyright © 2015 Deloitte.
El Valor de la Inteligencia de Cyber amenazas

Datos de Cyber inteligencia “accionables” y basados en el riesgo

Monitoreo de la marca mejorado, basado en la realidad específica de la industria

Mejora de los controles de seguridad para alcanzar o exceder los requerimientos
regulatorios.

Limitar o reducir tanto el alcance como el impacto de las brechas de seguridad

Reducir las pérdidas operativas causadas por Cyber criminales

Reducir la frecuencia y alcance de los incidentes de seguridad

Identificar usuarios, socios y proveedores que pueden estar comprometidos

Reducir el tiempo necesario para detector y localizar APT.

Mejorar el retorno de la inversión por la compra de tecnología de seguridad,
plataformas de gestión y fuentes de Inteligencia.
-8-
Copyright © 2015 Deloitte.
Modelo de madurez de inteligencia de Cyber amenazas
-9-
Copyright © 2015 Deloitte.
Indicadores de una práctica líder en la gestión de cyber amenazas
1. Organización
• Recursos destinados a la revisión y análisis de
amenazas emergentes
2. Proceso
• Revisión y comunicación diaria de amenazas
emergentes
• Presupuesto anual para actualizaciones de controles de
seguridad, herramientas de detección y fuentes de
inteligencia
• Matriz de amenazas
• Planeamiento del escenario
• Existencia de un Cyber SOC
3. Capacidad Forense para detección de Malware
4. Monitoreo del Perímetro
• Monitoreo de información saliente de la red
• Posibilidad de recoger rápidamente y revisar la
información forense de dispositivos sospechosos
5. Integración de fuentes
• Fuentes de información automatizadas y controladas con
algoritmo de envejecimiento
• Intercambio bidireccional de inteligencia entre múltiples
industrias
• Planes de contingencia para evitar pérdidas de fuentes de
inteligencia
7. Modelado de Amenazas
• Capacidad de registro y reconstrucción de
“conversaciones de red”
6. Métricas y reporte
• Actualizaciones periódica de boletines de cyber
amenazas
• Reporte de amenazas de la línea del negocio
• Alertas personalizadas basadas en umbrales
8. Gestión del ciclo de vida de la amenaza
• Capacidad para modelar y analizar la probabilidad que
una amenaza emergente impactará a la organización e
identificar dónde están las debilidades que serán
aprovechadas
• Herramientas de gestión de casos para coordinar cyber
incidentes a través de múltiples áreas de negocios y
proveedores especialistas
9. Investigación y Desarrollo
• El equipo de inteligencia de cyber amenazas debe
trabajar en conjunto con los equipos de seguridad interna
para identificar nuevas estrategias y soluciones para
probar y mejorar la situación de seguridad de los
dispositivos de los clientes y sistemas
- 10 -
10. Capacidades adicionales
• Gestión de actualizaciones • Gestión de configuraciones
• Gestión de vulnerabilidades • Gestión de eventos de
seguridad
• Respuesta ante incidentes
Copyright © 2015 Deloitte.
Estableciendo una Capacidad organizacional integrada en Inteligencia de Cyber Seguridad
Investigations
Cyber Threat Intelligence & Analytics
Threat Intel
Acquisition
Threat
Modeling
Red
Team
Risk
Assessment
Cyber
Criminal
Profiling
Emerging
Threat
Research
Playbook
Development
Brand
Intelligence
 Monitoring Requirements
Malware
Analysis
Fraud Team
Incident
Response
Phishing
Takedowns
Application
Team
 Investigation Intelligence
 Near real-time
intelligence
 Operational Procedures
 New Threat Intel Sources
Shared Intelligence Data Architecture
Infrastructure
Log Data
Investigations
Involving Law
Enforcement
Cyber Threat
Intelligence
Database
Intelligence
Distribution Engine
Intelligence
Collection Engine
Analytics &
 Emerging Threat
Investigations
Definitions
Threat Prevention
Threat
Intelligence
Analysis
Portal
eCommerce
Team
Data Normalization
Security
Control
Data
Fusion Engine
Enrichment Engine
Technology
Configuration
Data Replica
Technology
Vulnerability
Data Replica
Application
Log Data
Correlation Engine
Security Operations & Monitoring
Proactive Monitoring
 Security Incident
Escalation
SIEM &
Database
Management
Development
& Integration
Real-Time
Security
Monitoring
Incident
Detection
Incident
Escalation
Supplier
Threat
Monitoring
Security Event
Management
Portal
 Rapid deployment
of security control
updates
Security
Controls
Security Operations & Monitoring
- 11 -
Copyright © 2015 Deloitte.
Gracias por asistir a esta sesión…
Para mayor información:
Facundo Jamardo
[email protected]
Santiago Cavanna
[email protected]
Para descargar esta presentación visite
www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en