estado de ciberseguridad por juan isaias calderón
DESCRIPTION
TRANSCRIPT
Estado de Ciberseguridad(Global -> LAC -> MX)
Juan Isaias Calderón,
GFCA, CISSP, ECSA, CEH, MCP
Trustwave SpiderLabs
Agenda
• Introducción
– Ponente / SpiderLabs
– Confidencialidad
– Objetivo
– Breve descripción de muestra
• Seguridad Física
• Seguridad en Red y Applicaciones
• Seguridad en Web
– Zone-h.org
• “Bonus Round” – Tendencias
• Recomendaciones y Q&A
¿Qué es SpiderLabs®?
SpiderLabs es el equipo élite de seguridad de Trustwave, ofrece la experiencia de losmejores especialistas en seguridad de la información disponibles hasta el día de hoy.
El equipo de SpiderLabs ha ejecutado más de 1,500 servicios de Respuesta a Incidentes eInvestigaciones Forenses a nivel mundial, así como más de 15,000 pruebas depenetración a redes y aplicaciones para clientes de Trustwave.
Ponentes en:
Proyectos:
CONFIDENCIALIDAD
• “El contenido de esta presentación y todo el material que la acompaña (imagenes, audio y video) de manera total o parcial es estrictamente confidencial y es utilizada con autorización explicita de los involucrados.”
• No soy abogado..
• Por favor: No tomar fotos, video ni audio…
– PERO preguntas “ilimitadas”
• Fomentar colaboración
• Versión “autorizada” será liberada
Objetivo
• Responder la pregunta más común:
“¿Los ataques o atacantes van mejorando o nosotros somos más débiles?”
• Crear consciencia de seguridad, entendiendo la importancia de los “Top 10” encontrados en infraestructura dentro de entornos: academicos, gubernamentales y comerciales.
“Una cabeza sin memoria es como una fortaleza sin guarnición”.
– Napoleón Bonaparte
Descripciónde la muestra
Descripción de la muestra
>450>2M>9M>20MM
FORENSES & IR
PRUEBAS DE VULN(RED & APPS)
INVESTIGACIÓNATAQUES EN WEB
CORREOS ELECTRÓNICOS ANALIZADOS (2007 – 2012)
>2500>5M~400>3M
SIMULACROSATAQUE (PENTEST)
SITIOS WEB MALICIOSOS
ATAQUES “PÚBLICOS” A WEB
CONTRASEÑASANALIZADAS
Problema global
Objetivos de ataques
10
ACTIVOS MÁS ATACADOS
Métodos de Acceso
ATMs
• MX: 850 ataques en 2012 – ABM
• LAC: Paises con menor “diversidad”
• USA / Global: ATM “Multifuncionales”
• Casinos / Juegos, Cine, Gasolinerias, ¿otros?
• Principalmente 3 tipos de ataques:
• Modificación Física – “skimmers”
• Red - Herramientas de acceso remoto
• “Malware” – Instalación via USB
Detección de Incidentes
13
Cronograma de un Ataque
14
– 450 Incidentes
– Detección Inicial: 6 a 12 meses
– Casos en 2012 extendieron hasta 48 meses
Seguridad Física
Seguridad en Red y Aplicaciones
Seguridad Red y Aplicaciones
• Caso de estudio: LAC
• ATMs “legacy”
• Instalador via USB
• Monitoreo de archivos con contenido de Track y transacciones
• Monitoreo de eventos en teclado y ratón (“keylogger”)
• Información disponible para extraer via USB (automático)
• USB especial con “firma”
• Si se encontraba la “firma” se copiaba la información
Seguridad Red y Aplicaciones
• Caso de estudio: LAC
• ATMs “legacy”
• Instalador via USB
• Monitoreo de archivos con contenido de Track y transacciones
• Monitoreo de eventos en teclado y ratón (“keylogger”)
• Información disponible para extraer via USB (automático)
• USB especial con “firma”
• Si se encontraba la “firma” se copiaba la información
ATMs – Ploutus (1/3)
ATMs – Ploutus (2/3)
ATMs – Ploutus (3/3)
Seguridad en Red y AplicacionesLos 10 Problemas Principales
22
Seguridad en Red y AppsContraseñas más usadas
23
POR PORCENTAJE
Seguridad en Web
Seguridad en Web
• Web Hacking Incident Database (WHID) que contiene 289 incidentes de 2011y aproximadamente 400 en 2012.
Seguridad en Web –Los 10 Problemas Principales
26
www.zone-h.org
www.zone-h.org
www.zone-h.org (Notifier)
www.zone-h.org (Domain)
www.zone-h.org (Notifier)
www.zone-h.org (Mirror)
Seguridad en Web – “Hacktivism”
42
Tendencia: Dispositivos Móviles
43
400%2012
Recomendaciones y Conclusiones
Recomendaciones
VISUALIZAR EVENTOS
CONSOLIDAR REGISTROS
INVENTARIO DE
ACTIVOS
CAPACITAR EMPLEADOS
IDENTIFICAR USUARIOS
PROTEGER
INFORMACIÓN
¿Dónde empezar?
Conclusiones
“¿Los atacantes / ataques son cada vez mejores o nosotros nos estamos volviendo débiles?”
• Almacenar información de usuarios convierte a cualquier organización en un objetivo de ataque.
• Los usuarios y administradores eligen contraseñas débiles.
• Tecnologías de “firewall” antiguas pueden ser vulnerables.
• Anti-virus por si solo no es suficiente.
• “Outsourcing” es todavía un riesgo importante asociado al acceso no autorizado de la información.
¿Preguntas?
• Referencias:
– Reporte GSR 2013: http://www.trustwave.com/GSR• Contacto:
Juan Isaias Calderón: jcalderon(at)trustwave.com
Blog: http://blog.spiderlabs.com
Twitter: @Trustwave / @SpiderLabs / @HL_MX
Facebook: http://www.facebook.com/Trustwave
LinkedIn: http://www.linkedin.com/company/trustwave
Google+: https://plus.google.com/103260594120163717290