COHERENCIA PEDAGÓGICA Y PRÁCTICA DOCENTE EN LA
Ciber Inteligencia y Respuesta Coordinada de Incidentes 7 de Octubre 2014 R. Fabian Garzón, CISM InfoSec Engineer IQ Information Quality CONFERENCISTA –BIOGRAFÍA Ronald Fabian Garzón, CISM: Ingeniero en Telecomunicaciones, egresado de la Universidad Piloto de Colombia. Estudiante adepto de SANS Institute. Es instructor autorizado por SEI (Software Engineering Institute) CERT/CC, de Carnegie Mellon University, para los cursos de Creación y Gestión de Equipos de Respuesta a Incidentes de CiberSeguridad (CSIRTs) y Manejo Avanzado de Incidentes (AIH). En los últimos seis años se ha desempeñado como consultor de la firma IQ Information Quality, participando en importantes proyectos de seguridad de la información y cumplimiento PCI DSS, para distintas compañías del sector financiero, BPO y procesamiento transaccional, en Colombia y varios países de Latinoamérica. La experiencia de más de 13 años de Ronald Fabian Garzón incluye Seguridad en Operaciones, Valoración de Riesgos, Respuesta a incidentes, Seguridad en Redes y Sistemas de Gestión de Seguridad de la Información. Habitual instructor de profesionales en cursos de Respuesta a Incidentes, PCI DSS, Seguridad en Redes e ISO 2700x. Coordinador del grupo PCI LAC (en LinkedIN) con más de 390 miembros discutiendo sobre seguridad en medios de pago bajo el contexto PCI DSS. No es ajeno a las certificaciones internacionales en seguridad de la información, y mantiene credenciales como: CISSP, CISM, CRISC, GCIA, PCI QSA, CCNA Sec, (IRCA) Auditor 27001, entre otras. LOS ADVERSARIOS http://www.fbi.gov/wanted/cyber ¿Lo Reconocen ? http://www.ajc.com/news/business/lawsuit-filed-against-home-depot-inpossible-data-/nhGbb/ ¿Las Reconocen ? http://www.techtimes.com/articles/14717/20140907/apple-denies-icloud-find-my-iphonesecurity-breach-only-very-targeted-attacks.htm ¿Los Reconocen ? http://www.scmp.com/news/asia/article/1419333/south-korean-finance-firms-face-3month-ban-after-credit-card-breach ¿Los Reconocen ? http://www.nydailynews.com/news/national/target-executive-apologies-retailer-action-security-article-1.1601733 ¿Lo Reconocen ? http://www.forbes.com/sites/greatspeculations/2014/05/08/targets-ceo-steps-down-following-themassive-data-breach-and-canadian-debacle/ SECTOR FINANCIERO COMO OBJETIVO PRINCIPAL http://www.businessweek.com/articles/ 2014-07-17/how-russian-hackers-stolethe-nasdaq SECTOR FINANCIERO COMO OBJETIVO PRINCIPAL http://www.bloomberg.com/news/2014-08-29/jpmorgan-hack-said-to-span-monthsvia-multiple-flaws.html Un CSIRT como consecuencia http://www.rila.org/rcisc/Home/Pages/default.aspx ACLARACIÓN DE TÉRMINOS Computer Security (Seguridad Informática) IT Security (Seguridad Informática ó Seguridad en TI) Safety Security •Network Security •Internet Security •Application Security Information Security (Seguridad de la Información) Information Assurance (Seguridad de la Información ó Aseguramiento de la Información) Assurance Resilience Resilience y Survivality CIBERSEGURIDAD (CYBERSAFETY vs CYBERSECURITY) EL QUINTO DOMINIO DE LA GUERRA In 2010, William J. Lynn, U.S. Secretario de Defensa, declara que: “como asunto de doctrina, el Pentágono reconoce formalmente al ciberespacio como un nuevo dominio en la guerra. . . llegará a ser tan crítico para las operaciones militares como en tierra, mar, aíre y espacio TIERRA AIRE CIBERESPACIO MAR ESPACIO •Plano físico/natural •Defensa Nacional: Gobierno •Ataque, Defensa, Espionaje, Sabotaje, Subversión •Plano artificial •Defensa Nacional: ¿Sector Privado? •Ataque, Defensa, Espionaje, Sabotaje, Subversión CIBERSEGURIDAD Y OTROS DOMINIOS DE SEGURIDAD Information Security Cybercrime Application Security CyberSafety INTERNET Cybersecurity CIBERESPACIO Network Security Internet Security CIIP (Critical Information Infrastructure Protection) • • • ISO 27032: 2012 ITU-T X.1200 – X.1299 Series Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Cyberspace security ITU-T X.1205 Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Overview of Cybersecurity PANORAMA ACTUAL Democratización de la Tecnología (Consumerización), BYOD Nativos Digitales (exceso de confianza en la Red) Comportamiento del Consumidor Tecnología “Anytime, Anywhere”, Any device Interés en usar nuevas formas y esquemas de interacción (gift cards, prepaid cards, Móviles, NFC, EMV, bitcoins, redes sociales, banca movil, monedero electrónico, etc) Sector Financiero Regulatorio Cambian de entidad si perciben que no hacen lo suficiente para protegerlos No regresan a entidades donde han ocurrido compromisos, fraudes o brechas PANORAMA ACTUAL del Consumidor Comportamiento Tecnología Sector atractivo para los Delincuentes informáticos Innovación en servicios y productos Organización (y su sector) Regulatorio Sector considerado Infraestructura Crítica de la nación PANORAMA ACTUAL del Consumidor Comportamiento Tecnología Directivas/Circulares de entes reguladores (SuperIntendencias Bancarias/Financieras) Ley de Notificación de Brechas Ley de Protección de Datos Personales Sector Financiero Regulatorio (I.E.ND) Regulación de Industria (PCI DSS, SOX, etc.) PANORAMA ACTUAL CHIP (EMV), NFC Tokenización del Consumidor Comportamiento Tecnología Esquemas de encripción Autenticación fuerte Virtualización Cloud Computing Sector Financiero Regulatorio BIG DATA Mobil Tecnologías sociales (Crowd-X) Hiperconectividad IoT Wearable devices La Ciberseguridad, asunto de Gobierno Corporativo • CISO son generalmente el “corazón y alma” de los programas de Seguridad de la Información en la mayoría de las organizaciones. • Comprender las actividades en torno a brechas de datos dentro de la industria, y como dicho conocimiento se aplica a la organización La Ciberseguridad, asunto de Gobierno Corporativo • Asegurar el organización. futuro de la • Anticiparse a los impactos de los eventos futuros: Los que afectan a la compañía Los que afectan a la industria completa La Ciberseguridad, asunto de Gobierno Corporativo 1. Cuales son el Top 5 de los riesgos en la organización relacionados con ciberseguridad? 2. Son las amenazas internas consideradas cuando se planean las actividades del programa de ciberseguridad? AMENAZAS INTERNAS La Ciberseguridad, asunto de Gobierno Corporativo • Está la seguridad de la información enfocada en proteger los activos que hacen dinero para nuestra compañía? • ¿Dónde sómos vulnerables? ¿Qué están haciendo otros compañías como nosotros? • ¿Tenemos la capacidad para detectar si hemos sido comprometidos? ¿Hemos sido comprometidos? Un Mundo Hiperconectado • Promover un marco de Colaboración, cooperación y coordinación entre varios stakeholders (Information Sharing) • Promover protocolos comunes para informar sobre amenazas e incidentes • Juegos de Ciberguerra para mejorar la capacidad de las instituciones para responder efectivamente en tiempo real • Los bancos son ligeramente más maduros que otros sectores en sus capacidades de Ciberresiliencia ¿Qué es un Incidente? Criterios comunes se deben establecer para determinar qué es y qué no es un incidente de seguridad de cómputo/informático/información •Evento adverso, real o sospechoso en relación a la seguridad de los sistemas y redes de la organización (CERT/CC) •Evento adverso en un sistema de información y/o red… ó la amenaza de ocurrencia de tal evento (SANS Guide) Acciones que resultan en daño o intento de daño. Desviaciones del estado normal de la seguridad de los sistemas y redes •Es una violación o inminente amenaza de violación de las políticas de seguridad, políticas de uso aceptable, o prácticas de seguridad estándar (NIST 800-61) Qué es un Incidente (cont…) Generalmente estas guías para desarrollar planes de respuesta a incidentes declaran: El término incidente y computer security incident son intercambiables Esta guía aborda solo eventos adversos que están relacionados con la seguridad de sistemas y redes, no aquellos causados por desastres naturales, fallas eléctricas (apagones, etc) Una definición más formal, más elaborada (ISO 27035/ISO 27000) Evento de Seguridad de la Información: Ocurrencia identificada en el estado de un sistema, servicio o red que indica una posible brecha de seguridad de información, política o falla de controles, o una situación previamente desconocida que puede ser relevante a la seguridad Incidente de Seguridad de la Información: Un evento o serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad de la información La Fácil… pero la menos conveniente Incidente: Cualquier evento que compromete la Confidencialidad, Integridad o Disponibilidad de la información ¿POR QUÉ OCURREN LOS INCIDENTES? Porque hay riesgo residual Porque no hay garantía de protección total Porque los controles pueden fallar Porque las amenazas evolucionan muy rápido Porque hay nuevos riesgos (riesgos no anticipados) Porque el entorno cambia Porque hay fallas humanas Porque hay mala suerte Porque a los atacantes no les importa si cumples con PCI DSS, SOX, CE 0XX, ISO 27001, COBIT ORGANIZACION UN CAMBIO DE VISION Las que han sufrido incidentes ¡No es si un incidente sucederá, sino cuando éste sucederá! Tarde o temprano sucederá, ¿usted sabe que hacer? Las que sufrirán incidentes Si hay ataques que no podemos evitar/prevenir, que al menos podamos responder y reaccionar oportunamente, o combatirlo SECTOR FINANCIERO COMO OBJETIVO PRINCIPAL SEVERO Riesgo Severo de Ciberataques Niveles INFOCON Operación PAYBACK. 2011 Abadil Operation (septiembre 2012) Project Blitzkrieg e-banking (Diciembre 2012) Operación Highroller (Junio 2012) Operación EuroGrabber (Segunda mitad 2012) AP Tweet White House Down (Abril 2013) ALTO • Riesgo Alto de Ciberataques ELEVADO Riesgo Significativo de Ciberataques PROTEGIDO Riesgo General de Ciberataques BAJO Riesgo Bajo de CIberataques NECESIDADES EN RESPUESTA A INCIDENTES Las organizaciones requieren la Capacidad para detectar, reportar, valorar y responder oportuna y efectivamente ante los incidentes, para minimizar su impacto Las organizaciones y/o sectores requieren una Capacidad efectiva para responder a incidentes mediante un Equipo especializado (CSIRT) QUÉ ES UN CSIRT Es un grupo o instancia especial dentro de una organización o sector, responsable por recibir, revisar y responder ante reportes y actividades que representan incidentes de seguridad informáticos Sus servicios son usualmente ejecutados para una circunscripción definida que puede ser una entidad corporativa, de gobierno, académica; una región, un país, una red de investigación o cliente específico. Formalizados Ad Hoc TIPOS DE CSIRTs Tipos de CSIRTs: Internal CSIRTs National CSIRTs Coordination Centers Vendor Teams (PSIRT) Analysis Centers RANGO DE SERVICIOS DE UN CSIRT Alertas y Advertencias Manejo de Incidentes Análisis Respuesta en sitio Soporte a la respuesta Coordinación Manejo de vulnerabilidades Análisis Respuesta Coordinación Manejo de Artefactos Análisis Respuesta Coordinación •Anuncios •Inspección de Tecnologías •Auditorías de seguridad •Configuración y mantenimiento de herramientas de seguridad, aplicaciones e infraestructura •Desarrollo de herramientas de seguridad •Servicios de Detección de Intrusos •Diseminación de información relacionada con seguridad Valoración de riesgos BCP /DRP Consultorías de seguridad Construcción de Concientización Educación/ Entrenamiento Evaluación de productos /Certificación ¿Y QUÉ DE LAS VULNERABILIDADES DE LAS APLICACIONES HECHAS EN LATINOAMERICA? NACIONES COMPRAN CUANDO HACKERS VENDEN FALLAS EN SOFTWARE http://www.nytimes.com/2013/07/14/world/europe/nations-buying-ashackers-sell-computer-flaws.html?partner=rss&emc=rss&_r=0 RESILIENCIA NACIONAL Un país que tenga la capacidad de: 1) Adaptarse a contextos cambiantes 2) Soportar/Resistir repentinos colapsos/conmociones 3) Recuperarse a un equilibrio deseado, ya sea un equilibrio previo o un Nuevo equilibrio, mientras se preserva la continuidad de sus operaciones RESILIENCIA NACIONAL 1. 2. 3. 4. 5. Economic Environmental Governance Infrastructure Social ESTRATEGIAS DE CIBERSEGURIDAD Y CIBERDEFENSA A NIVEL GLOBAL Executive Order 13636 CARACTERÍSTICAS DE LAS ESTRATEGIAS DE CIBERSEGURIDAD Enfoques a largo plazo Alineado con la agenda de defensa del país Define una Política de Ciberdefensa para alcanzar un mínimo nivel aceptable de Ciberseguridad Protección de la Infraestructura Crítica Nacional Colaboración entre el sector público y sector privado Entrenamiento Perspectiva de sostenibilidad y crecimiento económico Programa de gestión de riesgos nacional No todas hablan de Resilience Colaboración Internacional No todas hablan de Actividades Educación al ciudadano Ciber Militares Respuesta a Incidentes Actividades contra el CiberCrimen • No todas hablan de Manejo de Crisis CIberInteligencia y Contra(Ciber)-Inteligencia Fuente: National Cyber Security Framework manual. NATO.2012 LOS DILEMAS DE LAS ESTRATEGIAS DE CIBERSEGURIDAD NACIONAL Estimular la Economía vs Mejorar la Seguridad Nacional Modernización de la Infraestructura vs Protección de la Infraestructura Crítica Sector Privado vs Sector Público Protección de Datos vs Compartición de Información Libertad de Expresión vs Estabilidad Política Fuente: National Cyber Security Framework manual. NATO.2012 La Seguridad afecta la productividad? Funcionalidad (Características) Seguridad (restricciones) Usabilidad (GUI) La Seguridad afecta la productividad? Objetivos 2014 + Desarrollo de CSIRT Sectoriales Ministerio de Seguridad Pública. Sector Financiero. Autoridad del Canal de Panamá. Sector Energético. Incidents Information Sharing and Coordination Situational Awareness y Soporte a Decisiones. Inteligencia Medidas Predictivas Information Sharing (Compartición de Información) y Análisis Inter sectorial COLCert /CC Sector Público Riesgos Sector Privado Defensa Colaborativa CSIRT sector Financiero Regulador Bancos con presencia en un país Latino PROCESADORES ACH PASARELAS DE PAGO Banco Central ATMs Financial Col CSIRT (7x24) ASOBANCARIA Mejorar la capacidad del sector financiero en su capacidad de respuesta y prevención a ciber amenazas, vulnerabilidades e incidentes, y servir como el canal de comunicación principal para el sector. PROVEEDORES OTROS COORDINACIÓN DE INCIDENTES INTERNA Y EXTERNA Unidades Internas: •Cargos directivos medios y altos •Directores de funciones de negocios •Áreas de redes y telecomunicaciones •Administradores de sistemas •Grupo de seguridad física /Seguridad Bancaria •Monitoreo Transaccional •Unidad Legal •Comunicaciones (Relaciones Públicas) •RRHH •Unidades investigativas internas •Gestión de riesgo y auditoría Con partes externas: •Afiliados •Contratistas •Competencia •Proveedores •ISPs •Fuerzas de la ley •Agencias de gobierno •Proveedores de infraestructura crítica •ISAC •CSIRTS regional, nacional •Algunas organizaciones está obligadas legalmente a contactar a sus clientes COORDINACIÓN DE INCIDENTES CON OTROS CSIRTs Source: NIST 800-61 Relaciones de Coordinación Categoría Información Compartida CSIRT a CSIRT La información con más frecuencia compartida entre CSIRTs es táctica y técnica (indicadores técnicos de compromiso, acciones de remediación sugeridas) pero puede incluir también otros tipos de información (planes, procedimientos, lecciones aprendidas) CSIRT a CC Frecuentemente comparten información táctica y técnica así como información de amenazas, riesgos y vulnerabilidades de la comunidad (circunscripción) a la que sirve el CC. CC a CC El tipo de información compartida entre CC consiste de resúmenes periódicos, lecciones aprendidas Source: NIST 800-61 Beneficios de la Compartición y Coordinación de Información • Ayuda a las organizaciones a evitar o detectar ataques más rápido • Ayuda a las organizaciones a investigar y responder a incidentes • Ayuda a las organizaciones a mejorar sus prácticas de seguridad • Defensa compartida puede disuadir a los adversarios Beneficios de la Compartición y Coordinación de Información •Diferentes organizaciones comparten información de vulnerabilidades, ataques, amenazas, así el conocimiento de una organización beneficia a las otras •Colaboración con otras organizaciones puede permitir responder más rápido y eficientemente que una organización trabajando aislada •Optimización de recursos: si una organización por ejemplo no puede analizar un malware, otra organización más grande lo puede apoyar RETOS Y/O LIMITACIONES PARA COMPARTIR INFORMACION Alta Media Pobre calidad de la información Tipo de participantes Pobre gestión Incentivos económicos Baja Barreras legales (Libertad de Barreras legales (temor a información) sanciones o demandas) Anonimizar Datos Tamaño del grupo (Freeriding) Temor (Desconfianza) Barreras sociales Privacidad Rivalidad Sensibilidad de los datos Desequilibrio entre sector privado y sector público Falta de Estandares o protocolos ampliamente aceptados Enisa 2012. Incentives and Challenges for Information Sharing in the Context of Network and Information Security Componentes para Compartición y Coordinación de Información •Elementos claves para establecer confianza •Elementos claves para motivar y facilitar la coordinación •Requerimientos técnicos para la integración de sistemas e interoperabilidad entre distintos Involucrados •Los procesos necesarios para la colaboración y el intercambio de información Varios puntos a tratar de esta Iniciativa •Saneamiento de información •Automatización y normalización •Métodos comunes de compartición de información •Permisos para recolectar y diseminar información de ambas partes •Impedimentos legales •Incentivos para compartir •Protección de la información compartida •Permisos y responsabilidades de quienes ven la información •Formato de intercambio (ya existen modelos de industria) Framework of Information Sharing and Coordination Un marco que sea seguro, efectivo, confiable y eficiente Cuatro áreas de consideración dentro del marco de “Compartición y Coordinación” •Políticas •Métodos y Procesos •Personas •Elementos Técnicos POLITICAS IPO (Information Providing Organizations) • Clasificación y categorización de la información • Severidad de los incidentes • Forma de intercambio IRO (Information Receiving Organizations) • Protección de la información recibida • Procedimientos para recibirla Clasificación y categorización de información compartida • Eventos de seguridad • Amenazas de seguridad • Vulnerabilidades de seguridad • Perfiles de los perpetradores (confirmados, sospechosos) • Información de la víctima • Perfiles y categorías de los sistemas ICT afectados POLITICAS Minimización de Información • Precauciones y consideraciones para minimizar la información a ser distribuida • Para evitar sobrecarga de información en las IRO • Para el uso eficiente del sistema de compartición sin afectar su efectividad • Para omitir información sensible • Determinar el nivel deseado de detalles Audiencia limitada • Mínimos contactos a quien se le entrega Protocolo de coordinación • Para coordinar las solicitudes y distribuciones • Para la verificación y autenticación de IPO e IRO TLP Clasificación Audiencia Rojo Restringida a un grupo definido dentro del CSIRT Amarillo Confidencial. Compartida con todos los miembros del CSIRT Verde Compartida con miembros del CSIRT y aliados (COLCERT, SIF, otras agencias). No será compartida en foros públicos Blanco Compartida libremente MÉTODOS Y PROCESOS Clasificación y Categorización de la información • Fuentes abiertas vs Fuentes cerradas (Ciberinteligencia, OSINT, HUMINT) Acuerdos de No Divulgación NDA • Para el adecuado manejo y protección de la información compartida entre IPO y IRO • Condiciones de uso, y distribución adicional MÉTODOS Y PROCESOS Código de práctica • Que cubra procedimientos detallados • Responsabilidades • Compromisos en respuestas y acciones ISO/IEC 27010:2012 Information technology -- Security techniques -Information security management for inter-sector and inter-organizational communications ISO/IEC 29147:2014 Information technology -- Security techniques -Vulnerability disclosure MÉTODOS Y PROCESOS Pruebas y simulacros • Escenarios de prueba (RED TEAMS vs BLUE TEAMS, CYBER RANGE, CYBERGAMES, CBEST) Tiempos y programación de la Compartición de Información • Proactivamente • Durante un incidente PERSONAS Y ORGANIZACIONES Quienes ejecutan los métodos y procesos •Contactos autorizados (personas de cada entidad determinados) de acuerdo a la Audiencia limitada •Alianzas (basadas en áreas de interés) •Entrenamiento ELEMENTOS TÉCNICOS Estandarización de los datos intercambiados • (tráfico de red, updates de seguridad, datos de vulnerabilidades, malware, información interceptada, payloads) Procedimientos para sanear Direcciones IP y otra información sensible Visualización de datos • Como se presenta la información Intercambio de llaves criptográficas Herramientas de intercambio de archivos EXCESO DE INFORMACIÓN A COMPARTIR • • • • • • Domains Host names Emails IP addresses Malicious URLs File and malware signatures • • • • • Threat actor profiles Attack advance warning Testing of targeted malware Mitigation practices and strategies Security practices and mitigating actions Security contacts or tools that can help customers Phishing emails data Phishing or malicious website data (for example, full-site copy) Threat campaign data Exploited vulnerability data Host, application or network signatures and behaviors or anomalies that are indicative of a threat • Raw incident data • Static and dynamic malware analysis results Desarrollo de Estándares para compartir Información relacionada con Incidentes No hay un estándar general ampliamente aceptado Y Mientras tanto uno de los más grandes Ciberataques a Wall Street… …pero no se preocupen, es solo un simulacro, llamado Amanecer Quantum 2 Cybersecurity Exercise: Quantum Dawn 2 (Julio 2013) Securities Industry and Financial Markets Association (SIFMA) http://www.sifma.org/services/bcp/cybersecurity-exercise--quantum-dawn-2/ http://www.cbronline.com/news/security/uk-banks-stress-test-defences-against-cyberattack-231111 ? PARADIGMAS DE GUERRA TRADICIONAL ADAPTADA A UNA GUERRA NO CONVENCIONAL Surveillance: monitoreo del comportamiento, actividades del adversario Reconnaissance: explorar más allá del área ocupada por las fuerzas amigas/aliadas para obtener información vital sobre el enemigo C4I C4ISR C5ISR C3I Comunicaciones: Canales, Redes Sociales, Email C2I Inteligencia: Recopilación de información sobre el adversario (espionaje) C&C Comando y Control: La capacidad de los comandantes de dirigir sus fuerzas (C2) CISO, CEO, CSO, CRO • Utiliza a tu enemigo para derrotar a tu enemigo. Si utilizas al enemigo para derrotar al enemigo, serás poderoso en cualquier lugar a donde vayas. • Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla. • Cuando el enemigo ofrece oportunidades, aprovéchalas inmediatamente. Entérate primero de lo que pretende, y después anticípate a él. Mantén la disciplina y adáptate al enemigo, para determinar el resultado de la guerra. • No será ventajoso para el ejército actuar sin conocer la situación del enemigo, y conocer la situación del enemigo no es posible sin el espionaje. CYBER INTELLIGENCE TRADECRAFT PROJECT (SEI CERT/CC) CiberInteligencia: La adquisición y análisis de información para identificar, rastrear y predecir ciber capacidades, intenciones y actividades que ofrecen cursos de acción para mejorar la toma de decisiones. Planeación y Dirección Recolección Procesamiento Diseminación Análisis y Producción Ciclo de Inteligencia Tradicional. https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-andmonographs/analytic-culture-in-the-u-s-intelligence-community/page_46.pdf https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-andmonographs/analytic-culture-in-the-u-s-intelligence-community/chapter_4_systems_model.htm Intelligence-driven Computer Network Defense es una estrategia de la gestión del riesgo que se enfoca en las amenazas. Incorpora análisis de adversarios, sus capacidades, objetivos, doctrinas y limitaciones. ISACA 2. Preparación 2.7 Establecer Capacidades Críticas 2.7.6 Inteligencia de Amenazas (Threat Intelligence) Cyberthreat intelligence: investigación dirigida a actores maliciosos para determinar sus capacidades, motivos y acciones probables. Entender sus TTP. CYBER INTELLIGENCE TRADECRAFT PROJECT (SEI CERT/CC) FUENTES DE INTELIGENCIA TRADICIONALES Google hack: site:pastebin OSINT nmap --script broadcast-listener IMINT TECHINT HUMINT Retos de OSINT: exceso de información, coordinación para evitar duplicación, difícil determinar que es lo importante, idioma (Ruso, Mandarin) Matices culturales Que sea Open/Free no quiere decir que sea fácil SIGINT DESAFIOS PARA UNA EFECTIVA CIBERINTERLIGENCIA Ruido Datos Información Inteligencia Inteligencia Accionable Ruido: TODO lo que es recopilado de acuerdo a requerimientos Datos: Ruido filtrado, agrupado de acuerdo a características definidas Información: Datos con propósito Inteligencia: Información con propósito estratégico para ganar ventaja. Actividad humana Inteligencia Accionable: Inteligencia dirigida, toma de decisiones, se actúa OSINT Fuente: SEI CERT/CC CyberIntelligence TradeCraft Project http://www.cbronline.com/news/security/uk-banks-stress-test-defences-against-cyberattack-231111 OSINT HUMINT Fuente: SEI CERT/CC CyberIntelligence TradeCraft Project COBIT 5 for Information Security Principles Principio Evaluar la información de amenazas actual y futura Analizar y evaluar amenazas emergentes. • Identificar amenazas a todas las partes de la empresa • Anticiparse a futuras amenazas a través de cibercrimen y ciberguerra • Recolectar datos y evidencia de incidentes, ataques y brechas Fuente: Transforming Cybersecurity using Cobit-5 Bibliografía • • • • • • • ISO 27032 APT1 MANDIANT REPORT 2014 Trustwave Global Security Report Verizon DBIR 2014 Responding to targeted Cyberattacks. ISACA & E&Y. 2013 Transforming Cybersecurity using COBIT 5. ISACA. 2013 SEI Innovation Center Report: CyberIntelligence Tradecraft Project. 2013 [email protected] R. Fabian Garzón, CISM InfoSec Engineer IQ Information Quality
© Copyright 2024