cyber threat hunting - tacticaledge · • lpt, cei, ecsa, ceh, chfi, ecih, edrp • red hat : •...
TRANSCRIPT
Cyber Threat Hunting
Ramiro Pulgar
www.bluehatconsultores.com
http://tacticaledge.co
ramiro@bluehat:~# whoami
• Consultor Ciberseguridad
• Arquitecto de TI
• Certificaciones:• PCI SSC
• PCI Professional (PCIP)
• PCI Internal Security Assessor (PCI ISA)
• PECB:• ISO 27001 Senior Lead Implementer & Auditor
• ISO 27005 Lead Risk Manager
• EC-Council:• LPT, CEI, ECSA, CEH, CHFI, ECIH, EDRP
• Red Hat :• RHC{SA,E} ex Instructor/Examinador
• Miembro:• OWASP – Open Web Application Security Project
• ISA – International Society of Automation
• ACFE – Asociation of Certified Fraud Examiners
• HTCIA – High Technology Crime Investigation Association
• AECi - Asociación Ecuatoriana de CiberSeguridad
• PMI - Project Management Institute
• ISACA
Ciberseguridad
• La ciberseguridad es la prevención, detección y respuesta de ataques a activosdigitales, a través del tratamiento de amenazas que ponen en riesgo lainformación que es procesada, almacenada y transportada, y que se encuentranexpuestos antes amenazas persistentes avanzadas, cuyo origen del mismo puedeser conocido u oculto (ej: deep web) perpetrado por organizaciones criminales.
• Las amenazas que contrarrestan la ciberseguridad son:• Cibercrimen, persona o grupo de personas que dirigen ataques a sistemas para obtener
ganancias financieras
• Ciberguerra, que a menudo involucra recopilación de información con motivacionespolíticas
• Ciberterrorismo, cuyo propósito es comprometer los sistemas digitales y causar pánico otemor.
Nuestros enemigos
• ANTES • AHORA
Todos los días se conoce un nuevo caso
Todos los días se conoce un nuevo caso
Armas disponibles
Armas disponibles
Aprendemos a las malas
Aprendemos a las malas
http://docs.apwg.org/reports/apwg_trends_report_q2_2018.pdf
NIST Cybersecurity Framework
• Ante los ataques perpetrados en la última década a sistemas de infraestructuras críticas, empresas privadas con graves pérdidas y alimpacto que dichos ataques pudieran afectar la seguridad nacional de Estados Unidos, el 12 de febrero de 2013 el Presidente BarackObama redactó la Orden Ejecutiva de Mejora de Ciberseguridad de Infraestructuras Críticas (Executive Order 13636) en donde delegó aNIST el desarrollo de un marco de trabajo para la reducción de riesgos asociados con este tipo de entornos, con el soporte del Gobierno,la industria y los usuarios.
• El resultado fue la primera versión del documento “Framework for Improving Critical Infrastructure Cybersecurity”, conocido como “NISTCybersecurity Framework” , que se publicó el 12 de febrero de 2014 (v 1.0) y actualizado el 16 de abril de 2018 (v. 1.1)
• No es la única iniciativa, la OTAN ya había desarrollado el Manual del Marco de Trabajo de Ciberseguridad Nacional publicado en 2012, asícomo ISO ya contaba con su estándar ISO/IEC 27032:2012. Todos estos no son excluyentes, sino mas bien complementarios.
• No está destinado únicamente a infraestructuras críticas. Se asocia mucho a seguridad informática.
• Se requiere el compromiso inicial de alta gerencia ya que el trabajo coordinado de todas las áreas (ej: riesgos, auditoría, seguridad de lainformación, TI) es importante para poder implementarlo ya que las habilidades necesarias son multiples y especializadas para serasignado a una única persona o pequeño grupo.
• Está alineada con muchos estándares o frameworks internacionales según el giro del negocio (ej: NERC CIP, HIPAA, ISO, PCI DSS, CIS CSC,ISA 62443, CSA, NIST, ITIL, Cobit, etc)
NIST Cybersecurity Framework
NIST Cybersecurity Framework
NIST CSF – Componentes
Los niveles describen que grado tienenimplementado la gestión de riesgos deciberseguridad en la Organización, asícomo también comparte y recibeinformación de ciberseguridad conterceras partes.
No necesariamente representa un nivelde madurez, sino que la Organziacióndefine el nivel deseado, asegurandoseque el nivel cumpla los objetivosorganizacionales, reduzcan el riesgo, yque sea factible de implementar, ya queal ser multidisciplinario el trabajo enequipo representa un fuerte compromiso,un entrenamiento continuo y cambio decultura.
NIST CSF – Componentes - Core
NIST CSF – Componentes - Perfiles
NIST CSF - Implementación
1. Priorización y definición de alcance
2. Orientación e Identificación de
activos
3. Identificar la situación actual
4. Realizar un análisis de riesgos
5. Establecer objetivos
6. Determinar, analizar y priorizar las
brechas detectadas
7. Implementar el plan de acción
NIST CSF y la Defensa en Profundidad
Cómo entrenarse?
vs
MITRE ATT&CK
CIS Benchmarks
Cyber Kill Chain
Ciclo de vida de un ataque
War Gaming
Cómo entrenarse? – War Gaming
Cómo entrenarse? – War Gaming
Cyber Threat Hunting
Cyber Threat Hunting – Modelo de Madurez
Cyber Threat Intelligence
What Activity are
we seeing?
What Threats
should I be
looking for and
why?
Where has this
threat been Seen?
What does it Do?
What weaknesses
does this threat
Exploit?
Why does it do
this?
Who is
responsible for
this threat?
What can I do?
Compartir Información de CiberInteligencia
• Libre uso
• Las especificaciones técnicas (por la comunidad)
habilitan la compartición de información automatizada
• TAXII define servicios e intercambio de mensajes entre
partners.
• STIX es un lenguaje estructurado y estandarizado para
representar información de ciberamenazas.
• CybOX es un esquema estandarizado para la
especificación, caracterización y comunicación de
eventos de seguridad o estados de un sistema de
información que son observables en todas las
operaciones de los sistemas y de las redes de
comunicaciones.
Protección de terceros
Response Teams – Niveles de Madurez
Response Teams – Niveles de Madurez
Team Duties Operations
Level 0 Monitoring platform with automated filters and use cases to filter out false positives automatically
Platform
Level 1 24x7 SLA driven security analysis. Filter out additional false positives and
carry out basic security analysis on true incidents.
24x7
Level 2 Second level of analysis by senior team with access to threat intelligence
and business tools and systems for further business context enrichment.
8x5
Level 3 Advanced investigation of incidents escalated from Level 2.
Communications with the business unit stakeholders and Legal.
8x5
Level 4 Access to team of specialist incident responders providing malware reverse engineering, targeted threat hunting and forensic investigations
Retainer
Threat Intelligence
Access to threat intelligence from research carried out by specialist team. The TI will support operational, strategic, tactical and technical security analysis.
Subscription
Certificaciones para el equipo
