Estado de Ciberseguridad(Global -> LAC -> MX)

Juan Isaias Calderón,

GFCA, CISSP, ECSA, CEH, MCP

Trustwave SpiderLabs

Agenda

• Introducción

– Ponente / SpiderLabs

– Confidencialidad

– Objetivo

– Breve descripción de muestra

• Seguridad Física

• Seguridad en Red y Applicaciones

• Seguridad en Web

– Zone-h.org

• “Bonus Round” – Tendencias

• Recomendaciones y Q&A

¿Qué es SpiderLabs®?

SpiderLabs es el equipo élite de seguridad de Trustwave, ofrece la experiencia de losmejores especialistas en seguridad de la información disponibles hasta el día de hoy.

El equipo de SpiderLabs ha ejecutado más de 1,500 servicios de Respuesta a Incidentes eInvestigaciones Forenses a nivel mundial, así como más de 15,000 pruebas depenetración a redes y aplicaciones para clientes de Trustwave.

Ponentes en:

Proyectos:

CONFIDENCIALIDAD

• “El contenido de esta presentación y todo el material que la acompaña (imagenes, audio y video) de manera total o parcial es estrictamente confidencial y es utilizada con autorización explicita de los involucrados.”

• No soy abogado..

• Por favor: No tomar fotos, video ni audio…

– PERO preguntas “ilimitadas”

• Fomentar colaboración

• Versión “autorizada” será liberada

Objetivo

• Responder la pregunta más común:

“¿Los ataques o atacantes van mejorando o nosotros somos más débiles?”

• Crear consciencia de seguridad, entendiendo la importancia de los “Top 10” encontrados en infraestructura dentro de entornos: academicos, gubernamentales y comerciales.

“Una cabeza sin memoria es como una fortaleza sin guarnición”.

– Napoleón Bonaparte

Descripciónde la muestra

Descripción de la muestra

>450>2M>9M>20MM

FORENSES & IR

PRUEBAS DE VULN(RED & APPS)

INVESTIGACIÓNATAQUES EN WEB

CORREOS ELECTRÓNICOS ANALIZADOS (2007 – 2012)

>2500>5M~400>3M

SIMULACROSATAQUE (PENTEST)

SITIOS WEB MALICIOSOS

ATAQUES “PÚBLICOS” A WEB

CONTRASEÑASANALIZADAS

Problema global

Objetivos de ataques

10

ACTIVOS MÁS ATACADOS

Métodos de Acceso

ATMs

• MX: 850 ataques en 2012 – ABM

• LAC: Paises con menor “diversidad”

• USA / Global: ATM “Multifuncionales”

• Casinos / Juegos, Cine, Gasolinerias, ¿otros?

• Principalmente 3 tipos de ataques:

• Modificación Física – “skimmers”

• Red - Herramientas de acceso remoto

• “Malware” – Instalación via USB

Detección de Incidentes

13

Cronograma de un Ataque

14

– 450 Incidentes

– Detección Inicial: 6 a 12 meses

– Casos en 2012 extendieron hasta 48 meses

Seguridad Física

Seguridad en Red y Aplicaciones

Seguridad Red y Aplicaciones

• Caso de estudio: LAC

• ATMs “legacy”

• Instalador via USB

• Monitoreo de archivos con contenido de Track y transacciones

• Monitoreo de eventos en teclado y ratón (“keylogger”)

• Información disponible para extraer via USB (automático)

• USB especial con “firma”

• Si se encontraba la “firma” se copiaba la información

Seguridad Red y Aplicaciones

• Caso de estudio: LAC

• ATMs “legacy”

• Instalador via USB

• Monitoreo de archivos con contenido de Track y transacciones

• Monitoreo de eventos en teclado y ratón (“keylogger”)

• Información disponible para extraer via USB (automático)

• USB especial con “firma”

• Si se encontraba la “firma” se copiaba la información

ATMs – Ploutus (1/3)

ATMs – Ploutus (2/3)

ATMs – Ploutus (3/3)

Seguridad en Red y AplicacionesLos 10 Problemas Principales

22

Seguridad en Red y AppsContraseñas más usadas

23

POR PORCENTAJE

Seguridad en Web

Seguridad en Web

• Web Hacking Incident Database (WHID) que contiene 289 incidentes de 2011y aproximadamente 400 en 2012.

Seguridad en Web –Los 10 Problemas Principales

26

www.zone-h.org

www.zone-h.org

www.zone-h.org (total - special)

*Fuente: www.zone-h.org

www.zone-h.org (.mx)

*Fuente: www.zone-h.org

www.zone-h.org (.mx - Notifier)

*Fuente: www.zone-h.org

www.zone-h.org (.mx - Domain)

*Fuente: www.zone-h.org

www.zone-h.org (.mx - Mirror)

*Fuente: www.zone-h.org

www.zone-h.org (Notifier)

www.zone-h.org (Domain)

www.zone-h.org (Notifier)

www.zone-h.org (Mirror)

www.zone-h.org (.com.mx)

*Fuente: www.zone-h.org

www.zone-h.org (.gob.mx)

*Fuente: www.zone-h.org

www.zone-h.org (.org.mx)

*Fuente: www.zone-h.org

www.zone-h.org (.edu.mx)

*Fuente: www.zone-h.org

Seguridad en Web – “Hacktivism”

42

Tendencia: Dispositivos Móviles

43

400%2012

Recomendaciones y Conclusiones

Recomendaciones

VISUALIZAR EVENTOS

CONSOLIDAR REGISTROS

INVENTARIO DE

ACTIVOS

CAPACITAR EMPLEADOS

IDENTIFICAR USUARIOS

PROTEGER

INFORMACIÓN

¿Dónde empezar?

Conclusiones

“¿Los atacantes / ataques son cada vez mejores o nosotros nos estamos volviendo débiles?”

• Almacenar información de usuarios convierte a cualquier organización en un objetivo de ataque.

• Los usuarios y administradores eligen contraseñas débiles.

• Tecnologías de “firewall” antiguas pueden ser vulnerables.

• Anti-virus por si solo no es suficiente.

• “Outsourcing” es todavía un riesgo importante asociado al acceso no autorizado de la información.

¿Preguntas?

• Referencias:

– Reporte GSR 2013: http://www.trustwave.com/GSR• Contacto:

Juan Isaias Calderón: jcalderon(at)trustwave.com

Blog: http://blog.spiderlabs.com

Twitter: @Trustwave / @SpiderLabs / @HL_MX

Facebook: http://www.facebook.com/Trustwave

LinkedIn: http://www.linkedin.com/company/trustwave

Google+: https://plus.google.com/103260594120163717290