forcepoint protegiendo los datos en la era de las amenazas ... globaltek.pdf · de estados unidos,...

Copyright © 2016 Forcepoint. All rights reserved.Copyright © 2016 Forcepoint. All rights reserved. | 1

Forcepoint

Protegiendo Los Datos En La Era De Las Amenazas

Internas

Alejandro Marthi

Sr. SE – Caribbean & SSA

PROTECTING THE HUMAN POINT

Copyright © 2016 Forcepoint. All rights reserved.Copyright © 2016 Forcepoint. All rights reserved. | 2

Agenda

• Vision de Amenazas

• Definicion de Amenaza Interna

• Escenarios

• Ejemplos de Amenazas Conocidos

• Tipos de Amenazas Internas

• Donde Encontramos Amenazas Internas?

• Que Debemos Proteger?

• Como Hacerlo?

• Programa de Control de Amenazas Internas

• Ejemplo Practico

• Consideraciones Finales

• Preguntas y Respuestas

Copyright © 2016 Forcepoint. All rights reserved.

Dueño

VULNERABILIDADES

valor

deseo de minimizar

reducir

RIESGO

ACTIVOS

AMENAZAS

conducen

a mayor

dan origen a

Desear abusar, robar y / o dañar

que

incrementan

CONTRAMEDIDASimponer

pueden ser concientes de

Que explotan

de

que pueden

ser reducidas

por

AgentesInternos

Copyright © 2016 Forcepoint. All rights reserved. | 4

ALGUNA EXPERIENCIA?


Una Amenaza Interna según el CERT®, de la Universidad Carnegie Mellon, se

define como un empleado actual o anterior, contratista o socio comercial que cumpla

con los siguientes criterios:

• ha tenido o tiene acceso a la red, el sistema o los datos de una organización

• ha excedido intencionalmente o no sus permisos, afectando, confidencialidad,

integridad o disponibilidad de la información o los sistemas de información de una

organización.

Las amenazas internas están influenciadas por una combinación de problemas

técnicos, comportamentales y organizativos que deben ser abordados por políticas,

procedimientos y tecnologías.

DEFINICION DE AMENAZA INTERNA


ENISA – ESCENARIO DE LAS AMENAZAS

Source: https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-

landscape/etl2015


AMENAZAS


Una Encuesta de Vigilancia Cibernética en 2011,realizada por el Servicio Secreto

de Estados Unidos, el CERT Insider Threat Center, CSO Magazine, y Deloitte,

muestra:

el 21% por personal interno,

el 43% tuvo al menos un incidente de perdida o robo de información privilegiada de

forma maliciosa o deliberada.

46% de los encuestados pensaba que el daño causado por los ataques internos

era mucho mas severo que el daño de los ataques externos.

Los delitos más comunes fueron

• acceso no autorizado o uso de información corporativa

• exposición no intencional de datos confidenciales o criticos

• virus, gusanos u otros códigos maliciosos

• robo de propiedad intelectual (PI)

AMENAZAS


• Robo de propiedad intelectual

• Fraude

• Sabotaje (administrador de sistemas

molesto crea una backdoor antes de ser

despedido y lo usa después para destruir

sistemas IT)

• Involuntario (cuenta de usuario de un

contratista usada por atacante para obtener

acceso)

• Misceláneo

‒ Soborno Violencia (amenazas y actos)

9

Fuente: The CERT Guide to

Insider Threats, 2012

TIPOS DE AMENAZAS INTERNAS


• Ataques de bajo nivel, como la modificación o el robo de información

confidencial o para beneficio personal.

• Robo de secretos comerciales o información de clientes que se utilizaron para

obtener ventajas comerciales o para Gobiernos u organizaciones extranjeras

• Delitos técnicamente sofisticados que sabotearon los datos, sistemas o redes

de la organización

EJEMPLOS DE AMENAZAS VOLUNTARIAS


LAS AMENAZAS INTERNAS ESTÁN EN TODAS PARTES


Que es lo que mas debe proteger su

Organizacion?

Propiedad Intelectual

Datos Propios Informacion Financiera

Listas de Clientes Secretos Comerciales

Cumplimiento Datos de ClientesResponsabilidad LegalControles de InventarioAcceso de Usuarios Privilegiados

Cadena de Suministro Informacion Sensible

Empleados

Registros de Salud


SITUACION ACTUAL

Las organizaciones implementan mecanismos de seguridad como firewalls,

sistemas de detección de intrusos y sistemas electrónicos de acceso a edificios,

principalmente para defenderse de las amenazas externas.

Las Internas, sin embargo,

No sólo son conscientes de las políticas, procedimientos y tecnología de su

organización: a menudo son también conscientes de sus vulnerabilidades, tales

como políticas y procedimientos poco aplicados, o Fallas técnicas en redes o

sistemas de información y seguridad.


USUARIO COMPROMETIDO

• Victimas de:

• Cyber attaques

• Ingenieria social

• Soborno o chantaje

INTENCIONAL INTERNO

• Racional

• Abuso de privilegios y acceso

• Transfiere datos protegidos al

externo intencionalmente

ACCIDENTAL INTERNO

• Trabaja en torno a los

procesos de negocio rotos

• Errores cometidos durante la

transferencia de datos

• Entrenamiento mal

interpretado

Comportamientos que ponen en riego una organizacion


QUE HACER?

Las Amenazas Internas pueden ser detenidas, pero es un problema complejo.

Los Ataques Internos sólo pueden prevenirse a través de una estrategia de

defensa en capas:

Políticas

Procedimientos

Personas

Controles Tecnológicos.

Hay que Cambiar el Enfoque!


QUE NOS ESTA FALTANDO?


EL TIEMPO DE DESCUBRIMIENTO DE BRECHAS AUMENTA


Reducir “TIEMPO DE COMPROMISO” (cuando las amenazas están en la red)

para minimizar el robo y el daño

COMPROMISO

INICIAL

BRECHA

REPARADA

ROBADOROBADO

DETECCION &

REMEDIACION

VOLVER A OPERAR:

• DETECTAR

• DECIDIR

• DERROTAR

ADOPTAR CAMBIOS REQUIERE UN NUEVO ENFOQUE

Punto de partida

DEFENSA

OUTSIDE

ATTACKS

INSIDER

THREATS


• Identificar la/s Amenaza/s Interna/s

•Construir Coalición Legal / RRHH

•Revisión de políticas y estrategias de SI

Gente

•Definirrequiremientos

•PoC de deteccion

•Probar la teoría

Tecnologia•Aprender el comportamientonormal

• Identificador de roturas

•Medición de riesgo -amenaza vs. activo

Procesos

•Ofrecer educación

•Compartir métricas por dept. - Reclutarvoluntarios

•Politicas con Acuerdos

Gente•Aplicación

•Establecer acciones sobre el objetivo de victorias tácticas

•Administrar riesgo

Tecnologia

PROGRAMA DE CONTROL DE AMENAZA INTERNA


MADURANDO EL PROGRAMA DE AMENAZA INTERNA

1 2 3 4 5

Auditar

Comportamiento

Indicadores de

Riesgo

Puntuacion de

Riesgo

Contexto

ForenseRemediacion

Actividades

discretas de los

usuarios con

relaciones

Comportamientos de

usuarios

considerados

indicadores de riesgo

Priorización

relativa, basada en

el riesgo de la

actividad

Visibilidad y

contexto del

comportamiento

del usuario

Capacidad de manejar

comportamientos y

reducir el riesgo

relacionado

Coleccion Metadata

& Ensamble

• Endpoints

• Email gateways

• Web gateways

• Capturas de red

Ensamble Alertas

• DLP incidentes

• APT alertas

• CASB alertas

• WAF alertas

Analítica conductual

• Analisis Estadistico

• Anomaly detection

• Analisis Predictivo

• Análisis de conjunto

Recopilación de datos

contextuales

• Preste atención a la

fidelidad

• Gestión de riesgos/

Acumulación Comp.

Remediación integrada

y automatizada

• Remediacion x

Nivel Riesgo

• Metricas Educacion

‘¿Quién hace qué y con

qué frecuencia?

-¿Qué aspecto tiene el

comportamiento normal?

-¿Qué actividades parecen

inusuales?

‘¿Qué nos pueden decir

nuestros otros sistemas

informáticos existentes

sobre el perfil de riesgo

potencial de un usuario?

'¿Qué usuarios han

realizado las actividades

más potencialmente

riesgosas?'

-Usted ha identificado a un

usuario potencialmente de

riesgo, ¿y ahora qué?

"¿Cuál fue el contexto para

que sepamos cómo

responder mejor?"

'Hemos verificado que un

usuario ha realizado

actividades que nos

exponen a riesgo, ¿cómo

podemos ahora empezar

a manejar ese riesgo?'


EJEMPLO

IDENTIFICACION

Estadísticamente sabemos:

Sabotaje de TI debido a un descontento previo o debido a la terminación del

contrato.

Este patrón enuncia el problema común de una Amenaza Interna que ataca el

sistema de una organización después de la terminación del contrato. Este tipo de

ataque no debería ser posible si se siguen los procedimientos estándar definidos, ya

que por buena practica todos los accesos a los sistemas de información privilegiada

deberían ser eliminados.


EJEMPLO

El director técnico de una organización (CTO) fue despedido por mal desempeño.

La semana siguiente se conectó a una cuenta de administrador del sistema de

copias de seguridad (backups) y ejecuto un comando diseñado para eliminar todas

las copias de seguridad de la organización.

Cómo detener el acceso de los empleados a los sistemas de la organización

después de la terminación del contrato?

La solución a este patrón puede ser un procedimiento de terminación que debe

ser implementado por RRHH – Legal y adicionalmente la Eliminación de Accesos

por IT.

Minimizar este riesgo puede limitar la vulnerabilidad de la organización a este

tipo de Amenaza Interna.


EJEMPLO

Posible Solución: Eliminar métodos de acceso después de la terminación.

Asegurar que se use un procedimiento de terminación integral en toda la

organización con las posibles siguientes características:

a. Ser bien conocido en toda la organización

b. Incluya recuperar hardware y tokens de acceso remoto por ej.

c. Requiere el cierre de todas las cuentas de acceso y las conexiones. Ej VPN’s

d. Incluya cambios de contraseña en todas las cuentas restantes, incluidas cuentas compartidas,

dispositivos de red y cuentas de test.

e. Eliminar completamente el acceso, incluyendo claves y usuario.

f. Asegurar que terminación sea comunicada a todos los compañeros de trabajo

g. Establecer un proceso que rastree todas las cuentas asignadas.

h. Autorizar explícitamente y rastrear las rutas de acceso remoto.

i. Monitorear el acceso remoto y local e usuarios internos.


EJEMPLO

Esperamos que las consecuencias de la implementación de un procedimiento de

terminación integral en combinación con el seguimiento de cuentas y control de

acceso y monitoreo, sea la prevención y detección de intentos de sabotaje internos

de TI después de la terminación de un contrato y la disminución del riesgo de este

tipo de ataques.

Hay un costo para la Organizacion? Si.

El ex-CTO intentó acceder a su cuenta de administrador del sistema, pero no pudo

iniciar sesión porque la organización removió completamente el acceso total a todas

sus cuentas como parte del procedimiento de terminación integral. Se envió una alerta

al actual administrador del sistema y a la administración, quienes alertaron a los

funcionarios encargados de hacer cumplir la ley sobre la cuestión del intento de acceso

ilícito.

USERS

NETWORKS

EN LA NUBE, EN LA CALLE, EN LA OFICINA

LOS NEGOCIOS MODERNOS REQUIEREN CONECTAR CON SEGURIDAD

A LOS USUARIOS Y LOS DATOS

DATA

Cloud Apps

Corp Servers

Websites

Email

EndpointMedia

Mobile

Office

OtherLocations

Partners &Supply Chain

Customers

+

RETORNO DE INVERSION: CASO DE EXITO

SureView Insider Threat:

• Permite la captura de

indicadores de riesgo

conductual, que son señales

de advertencia que conducen

a un incidente de seguridad

• Proporciona una reducción

inigualable del riesgo

Worldwide Sales Conference 2016, Proprietary & Confidential | 29

Establecer una línea de base del comportamiento

típico del usuario

Identificar comportamientos potencialmente

anómalos

DLP Data Monitoring and Protection Monitorear Proteger IP y PII en todos lados

Insider Threat Behavioral Audit

Insider Threat Focused Investigation Recopilación completa de datos cronológicos

Aprender de los incidentes

INSIDER THREAT + DLP


Las amenazas

internas es un

problema para

todas las

organizaciones

El seguimiento

de los

empleados

puede

justificarse /

Regulaciones

Venga y hable

con nosotros y

podemos

ayudarle a

construir un caso

de negocios

PUNTOS PRINCIPALES


GRACIAS

Preguntas?

[email protected]

PROTECTING THE HUMAN POINT

forcepoint protegiendo los datos en la era de las amenazas ... globaltek.pdf · de estados unidos,...

Documents