forcepoint protegiendo los datos en la era de las amenazas ... globaltek.pdf · de estados unidos,...
TRANSCRIPT
Copyright © 2016 Forcepoint. All rights reserved.Copyright © 2016 Forcepoint. All rights reserved. | 1
Forcepoint
Protegiendo Los Datos En La Era De Las Amenazas
Internas
Alejandro Marthi
Sr. SE – Caribbean & SSA
PROTECTING THE HUMAN POINT
Copyright © 2016 Forcepoint. All rights reserved.Copyright © 2016 Forcepoint. All rights reserved. | 2
Agenda
• Vision de Amenazas
• Definicion de Amenaza Interna
• Escenarios
• Ejemplos de Amenazas Conocidos
• Tipos de Amenazas Internas
• Donde Encontramos Amenazas Internas?
• Que Debemos Proteger?
• Como Hacerlo?
• Programa de Control de Amenazas Internas
• Ejemplo Practico
• Consideraciones Finales
• Preguntas y Respuestas
Copyright © 2016 Forcepoint. All rights reserved.
Dueño
VULNERABILIDADES
valor
deseo de minimizar
reducir
RIESGO
ACTIVOS
AMENAZAS
conducen
a mayor
dan origen a
Desear abusar, robar y / o dañar
que
incrementan
CONTRAMEDIDASimponer
pueden ser concientes de
Que explotan
de
que pueden
ser reducidas
por
AgentesInternos
Copyright © 2016 Forcepoint. All rights reserved. | 5
Una Amenaza Interna según el CERT®, de la Universidad Carnegie Mellon, se
define como un empleado actual o anterior, contratista o socio comercial que cumpla
con los siguientes criterios:
• ha tenido o tiene acceso a la red, el sistema o los datos de una organización
• ha excedido intencionalmente o no sus permisos, afectando, confidencialidad,
integridad o disponibilidad de la información o los sistemas de información de una
organización.
Las amenazas internas están influenciadas por una combinación de problemas
técnicos, comportamentales y organizativos que deben ser abordados por políticas,
procedimientos y tecnologías.
DEFINICION DE AMENAZA INTERNA
Copyright © 2016 Forcepoint. All rights reserved. | 6
ENISA – ESCENARIO DE LAS AMENAZAS
Source: https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-
landscape/etl2015
Copyright © 2016 Forcepoint. All rights reserved. | 8
Una Encuesta de Vigilancia Cibernética en 2011,realizada por el Servicio Secreto
de Estados Unidos, el CERT Insider Threat Center, CSO Magazine, y Deloitte,
muestra:
el 21% por personal interno,
el 43% tuvo al menos un incidente de perdida o robo de información privilegiada de
forma maliciosa o deliberada.
46% de los encuestados pensaba que el daño causado por los ataques internos
era mucho mas severo que el daño de los ataques externos.
Los delitos más comunes fueron
• acceso no autorizado o uso de información corporativa
• exposición no intencional de datos confidenciales o criticos
• virus, gusanos u otros códigos maliciosos
• robo de propiedad intelectual (PI)
AMENAZAS
Copyright © 2016 Forcepoint. All rights reserved. | 9
• Robo de propiedad intelectual
• Fraude
• Sabotaje (administrador de sistemas
molesto crea una backdoor antes de ser
despedido y lo usa después para destruir
sistemas IT)
• Involuntario (cuenta de usuario de un
contratista usada por atacante para obtener
acceso)
• Misceláneo
‒ Soborno Violencia (amenazas y actos)
9
Fuente: The CERT Guide to
Insider Threats, 2012
TIPOS DE AMENAZAS INTERNAS
Copyright © 2016 Forcepoint. All rights reserved. | 10
• Ataques de bajo nivel, como la modificación o el robo de información
confidencial o para beneficio personal.
• Robo de secretos comerciales o información de clientes que se utilizaron para
obtener ventajas comerciales o para Gobiernos u organizaciones extranjeras
• Delitos técnicamente sofisticados que sabotearon los datos, sistemas o redes
de la organización
EJEMPLOS DE AMENAZAS VOLUNTARIAS
Copyright © 2016 Forcepoint. All rights reserved. | 13
Que es lo que mas debe proteger su
Organizacion?
Propiedad Intelectual
Datos Propios Informacion Financiera
Listas de Clientes Secretos Comerciales
Cumplimiento Datos de ClientesResponsabilidad LegalControles de InventarioAcceso de Usuarios Privilegiados
Cadena de Suministro Informacion Sensible
Empleados
Registros de Salud
Copyright © 2016 Forcepoint. All rights reserved. | 14
SITUACION ACTUAL
Las organizaciones implementan mecanismos de seguridad como firewalls,
sistemas de detección de intrusos y sistemas electrónicos de acceso a edificios,
principalmente para defenderse de las amenazas externas.
Las Internas, sin embargo,
No sólo son conscientes de las políticas, procedimientos y tecnología de su
organización: a menudo son también conscientes de sus vulnerabilidades, tales
como políticas y procedimientos poco aplicados, o Fallas técnicas en redes o
sistemas de información y seguridad.
Copyright © 2016 Forcepoint. All rights reserved. | 15
USUARIO COMPROMETIDO
• Victimas de:
• Cyber attaques
• Ingenieria social
• Soborno o chantaje
INTENCIONAL INTERNO
• Racional
• Abuso de privilegios y acceso
• Transfiere datos protegidos al
externo intencionalmente
ACCIDENTAL INTERNO
• Trabaja en torno a los
procesos de negocio rotos
• Errores cometidos durante la
transferencia de datos
• Entrenamiento mal
interpretado
Comportamientos que ponen en riego una organizacion
Copyright © 2016 Forcepoint. All rights reserved. | 16
QUE HACER?
Las Amenazas Internas pueden ser detenidas, pero es un problema complejo.
Los Ataques Internos sólo pueden prevenirse a través de una estrategia de
defensa en capas:
Políticas
Procedimientos
Personas
Controles Tecnológicos.
Hay que Cambiar el Enfoque!
Copyright © 2016 Forcepoint. All rights reserved. | 18
EL TIEMPO DE DESCUBRIMIENTO DE BRECHAS AUMENTA
Copyright © 2016 Forcepoint. All rights reserved. | 19
Reducir “TIEMPO DE COMPROMISO” (cuando las amenazas están en la red)
para minimizar el robo y el daño
COMPROMISO
INICIAL
BRECHA
REPARADA
ROBADOROBADO
DETECCION &
REMEDIACION
VOLVER A OPERAR:
• DETECTAR
• DECIDIR
• DERROTAR
ADOPTAR CAMBIOS REQUIERE UN NUEVO ENFOQUE
Punto de partida
DEFENSA
OUTSIDE
ATTACKS
INSIDER
THREATS
Copyright © 2016 Forcepoint. All rights reserved. | 21
• Identificar la/s Amenaza/s Interna/s
•Construir Coalición Legal / RRHH
•Revisión de políticas y estrategias de SI
Gente
•Definirrequiremientos
•PoC de deteccion
•Probar la teoría
Tecnologia•Aprender el comportamientonormal
• Identificador de roturas
•Medición de riesgo -amenaza vs. activo
Procesos
•Ofrecer educación
•Compartir métricas por dept. - Reclutarvoluntarios
•Politicas con Acuerdos
Gente•Aplicación
•Establecer acciones sobre el objetivo de victorias tácticas
•Administrar riesgo
Tecnologia
PROGRAMA DE CONTROL DE AMENAZA INTERNA
Copyright © 2016 Forcepoint. All rights reserved. | 22
MADURANDO EL PROGRAMA DE AMENAZA INTERNA
1 2 3 4 5
Auditar
Comportamiento
Indicadores de
Riesgo
Puntuacion de
Riesgo
Contexto
ForenseRemediacion
Actividades
discretas de los
usuarios con
relaciones
Comportamientos de
usuarios
considerados
indicadores de riesgo
Priorización
relativa, basada en
el riesgo de la
actividad
Visibilidad y
contexto del
comportamiento
del usuario
Capacidad de manejar
comportamientos y
reducir el riesgo
relacionado
Coleccion Metadata
& Ensamble
• Endpoints
• Email gateways
• Web gateways
• Capturas de red
Ensamble Alertas
• DLP incidentes
• APT alertas
• CASB alertas
• WAF alertas
Analítica conductual
• Analisis Estadistico
• Anomaly detection
• Analisis Predictivo
• Análisis de conjunto
Recopilación de datos
contextuales
• Preste atención a la
fidelidad
• Gestión de riesgos/
Acumulación Comp.
Remediación integrada
y automatizada
• Remediacion x
Nivel Riesgo
• Metricas Educacion
‘¿Quién hace qué y con
qué frecuencia?
-¿Qué aspecto tiene el
comportamiento normal?
-¿Qué actividades parecen
inusuales?
‘¿Qué nos pueden decir
nuestros otros sistemas
informáticos existentes
sobre el perfil de riesgo
potencial de un usuario?
'¿Qué usuarios han
realizado las actividades
más potencialmente
riesgosas?'
-Usted ha identificado a un
usuario potencialmente de
riesgo, ¿y ahora qué?
"¿Cuál fue el contexto para
que sepamos cómo
responder mejor?"
'Hemos verificado que un
usuario ha realizado
actividades que nos
exponen a riesgo, ¿cómo
podemos ahora empezar
a manejar ese riesgo?'
Copyright © 2016 Forcepoint. All rights reserved. | 23
EJEMPLO
IDENTIFICACION
Estadísticamente sabemos:
Sabotaje de TI debido a un descontento previo o debido a la terminación del
contrato.
Este patrón enuncia el problema común de una Amenaza Interna que ataca el
sistema de una organización después de la terminación del contrato. Este tipo de
ataque no debería ser posible si se siguen los procedimientos estándar definidos, ya
que por buena practica todos los accesos a los sistemas de información privilegiada
deberían ser eliminados.
Copyright © 2016 Forcepoint. All rights reserved. | 24
EJEMPLO
El director técnico de una organización (CTO) fue despedido por mal desempeño.
La semana siguiente se conectó a una cuenta de administrador del sistema de
copias de seguridad (backups) y ejecuto un comando diseñado para eliminar todas
las copias de seguridad de la organización.
Cómo detener el acceso de los empleados a los sistemas de la organización
después de la terminación del contrato?
La solución a este patrón puede ser un procedimiento de terminación que debe
ser implementado por RRHH – Legal y adicionalmente la Eliminación de Accesos
por IT.
Minimizar este riesgo puede limitar la vulnerabilidad de la organización a este
tipo de Amenaza Interna.
Copyright © 2016 Forcepoint. All rights reserved. | 25
EJEMPLO
Posible Solución: Eliminar métodos de acceso después de la terminación.
Asegurar que se use un procedimiento de terminación integral en toda la
organización con las posibles siguientes características:
a. Ser bien conocido en toda la organización
b. Incluya recuperar hardware y tokens de acceso remoto por ej.
c. Requiere el cierre de todas las cuentas de acceso y las conexiones. Ej VPN’s
d. Incluya cambios de contraseña en todas las cuentas restantes, incluidas cuentas compartidas,
dispositivos de red y cuentas de test.
e. Eliminar completamente el acceso, incluyendo claves y usuario.
f. Asegurar que terminación sea comunicada a todos los compañeros de trabajo
g. Establecer un proceso que rastree todas las cuentas asignadas.
h. Autorizar explícitamente y rastrear las rutas de acceso remoto.
i. Monitorear el acceso remoto y local e usuarios internos.
Copyright © 2016 Forcepoint. All rights reserved. | 26
EJEMPLO
Esperamos que las consecuencias de la implementación de un procedimiento de
terminación integral en combinación con el seguimiento de cuentas y control de
acceso y monitoreo, sea la prevención y detección de intentos de sabotaje internos
de TI después de la terminación de un contrato y la disminución del riesgo de este
tipo de ataques.
Hay un costo para la Organizacion? Si.
El ex-CTO intentó acceder a su cuenta de administrador del sistema, pero no pudo
iniciar sesión porque la organización removió completamente el acceso total a todas
sus cuentas como parte del procedimiento de terminación integral. Se envió una alerta
al actual administrador del sistema y a la administración, quienes alertaron a los
funcionarios encargados de hacer cumplir la ley sobre la cuestión del intento de acceso
ilícito.
USERS
NETWORKS
EN LA NUBE, EN LA CALLE, EN LA OFICINA
LOS NEGOCIOS MODERNOS REQUIEREN CONECTAR CON SEGURIDAD
A LOS USUARIOS Y LOS DATOS
DATA
Cloud Apps
Corp Servers
Websites
EndpointMedia
Mobile
Office
OtherLocations
Partners &Supply Chain
Customers
+
RETORNO DE INVERSION: CASO DE EXITO
SureView Insider Threat:
• Permite la captura de
indicadores de riesgo
conductual, que son señales
de advertencia que conducen
a un incidente de seguridad
• Proporciona una reducción
inigualable del riesgo
Worldwide Sales Conference 2016, Proprietary & Confidential | 29
Establecer una línea de base del comportamiento
típico del usuario
Identificar comportamientos potencialmente
anómalos
DLP Data Monitoring and Protection Monitorear Proteger IP y PII en todos lados
Insider Threat Behavioral Audit
Insider Threat Focused Investigation Recopilación completa de datos cronológicos
Aprender de los incidentes
INSIDER THREAT + DLP
Copyright © 2016 Forcepoint. All rights reserved. | 30
Las amenazas
internas es un
problema para
todas las
organizaciones
El seguimiento
de los
empleados
puede
justificarse /
Regulaciones
Venga y hable
con nosotros y
podemos
ayudarle a
construir un caso
de negocios
PUNTOS PRINCIPALES
Copyright © 2016 Forcepoint. All rights reserved. | 31
GRACIAS
Preguntas?
PROTECTING THE HUMAN POINT