ejie - ¿por dónde empezar en ciberseguridad?
TRANSCRIPT
Mediterráneo, 14 01010 Vitoria-Gasteiz Posta-kutxatila / Apartado: 809 01080 Vitoria-Gasteiz Tel. 945 01 73 00* Fax. 945 01 73 01 www.ejie.eus
Ciberseguridad…
¿Por dónde empezar?
15 julio 2016
Entorno… 2
El ENTORNO
3
Papeles de Panamá: plugin de Wordpress y Drupal
antiguo.
Andrés Sepúlveda afirma haber alterado campañas
electorales durante ocho años dentro de
Latinoamérica.
Rusia ha sido acusada de dejar inoperativo el control
de tráfico aéreo sueco
El “Presbyterian Medical Center Hollywood” suspendió
sus servicios durante 10 días por infección con
“ransomware”.
US hospitals hacked with ancient exploits (The company
says the modern security systems in place at the hospitals did not eradicate the old
malware using vulnerabilities such as MS08-067 which was dangerous only to
Windows XP systems.) 28/6/2016
El ENTORNO
4
“Petya”: cifra MBR y pide rescate en “bitcoins”
– ….Descubierto cómo recuperar los datos cifrados por
“Petya”
Cryptoworm, un ransomware capaz de distribuirse por
sí mismo
Europol, 1/3/2016, detienen a 700 muleros.
Los ciberdelincuentes empiezan a organizarse ….."
disponen de amplios recursos y de un personal muy cualificado
a nivel técnico, que opera con tal eficiencia que incluso tiene un
horario laboral normal, se toma días libres los fines de semana
y coge vacaciones ... Hemos llegado a ver ciberdelincuentes de
bajo nivel que crean operativas de call center para incrementar
el impacto de sus estafas",
El ENTORNO
5
27/6/2016 “Hackeado” el jefe de Google
“El cibercrimen se duplica (El Mundo)”
“Ransomware” hasta en la TV
HummingBad, el último «terror» en Android
Piratas informáticos roban millones de euros a
varios bancos
Etc, etc, etc
El ENTORNO
6
Herramientas…
– www.maltego.com
– https://shodan.io, google dorks
– http://Insecam.com
– www.exploit-db.com , metaexploit,
armitage…
– http://www.volatilityfoundation.org/
– http://www.cellebrite.com/
Sólo es necesario tener tiempo (y ser un
inconsciente) o interés
Ecosistema… 7
COMPONENTES DEL ECOSISTEMA DE
¿CIBER?SEGURIDAD
8
Tecnología– Tenemos las “piezas”: NGFW, AV, CASB, SIEM, SWG, IDS/IPS,
DLP….¿Las sabemos “unir”? ¿Y “usar”?
Normativa– Legislación Protección de Datos
– Legislación AAPP: ENS/ENI, Procedimiento administrativo 39/2015
– Legislación Seguridad Privada
– ISO/PCI/SOX/Etc
Aplicaciones/productos/servicios
Personas
Seguridad física, lógica, ¿”integral”?
PREGUNTAS QUE DEBERÍAMOS HACERNOS
9
¿Tenemos servidores Windows 2003/2000/NT?
¿Equipos con XP?
¿Dropbox/GoogleDrive/etc?
¿Utilizamos programa para gestión credenciales?
¿Y autenticación multifactor?
¿Usamos WiFi no controladas?
¿Tenemos estrategia de realización de copias de
seguridad?
¿Y el plan de Continuidad de negocio?
¿Sabemos cuales son nuestros “tesoros”?
PERSONAS
10
“Veo personas que no se
preocupan por la seguridad”
¿Dónde está mi correo?
EMPECEMOS POR LAS PERSONAS
11
¿A quién le toca?
–Percepción de lejanía: “a mi no me toca”
–“Eso es de los de informática”… “ya me
lo arreglarán”
–Yo estoy “exento”/“modo jefe”/NIMBY
–Quiero el iPhone 10
– Instálame esto….
Y CONTINUEMOS POR LAS
APLICACIONES/SISTEMAS
12
“Internet de las cosas”, Aplicaciones,
servicios para terceros……
– ¿Hay credenciales por defecto?
– ¿Hacemos análisis de vulnerabilidades?
– ¿Bastionamos?
– ¿Hemos previsto cómo actualizar los
Sistemas? Parches, nuevas versiones…
– Aparte de precio, funcionalidad y plazo,
¿hemos tenido en cuenta otras cosas?
– “Privacy by design”
El ENTORNO
13
Niveles de “phishing”
– ¿”Aficionado”? (No, es professional):
• Faltas de ortografía / Traducción automática
• Diseño pobre
• Origen desconocido
• Pretextos poco trabajados
– “Avanzado” (“Spear phishing”, “whaling”):
• Diseño trabajado y creible
• Pretextos plausibles
• Datos de contexto adecuados
– Amenaza Persistente Avanzada (APT)
El ENTORNO
14
State of the Phish 2016
– Phishing en aumento exponencial: más
organizaciones, más ataques, más sofisticados,
multivector
– 85% han sufrido ataques
– 60% detectan más que el año anterior
– 67% han sufrido “spear phishing”
– 55% vía llamada telefónica o sms
– Etc.
El ENTORNO
15
State of the Phish 2016
EMPECEMOS POR…
16
Vamos a lo sencillo/fácil/barato,
(“Nosotros”):
– Contratar/realizar simulación de “phishing”,
con difusión interna de los resultados
– Complementar con Formación “online”:
píldoras interactivas
– Proponer/enseñar a TODOS sus usuarios
cómo implementar medidas básicas, tanto en
el ámbito corporativo como en el privado.
(Empiecen por ustedes mismos y la
Dirección de empresa)
EMPECEMOS POR…
17
AVISO: esto no significa
que no sea necesario
aplicar otras medidas
…
Tengan en cuenta los
aspectos de seguridad en
los proyectos y servicios
de sus clientes
EJIE 18
EJIE
19
En la casa:
– Servicios comunes para aplicaciones y servicios:
autenticación centralizada, tramitación, presencia en Internet,
pasarela de pagos, gestión documental, etc
– …. Proyectos convergencia en la AAPP
– Automatización, automatización, automatización
– Monitorización, monitorización, monitorización
– Reducción obsolescencia
En la casa… y para terceros:
– UDA (http://uda-ejie.github.io/)
– Arinbide
– Modelo SQA (aseguramiento de la Calidad)
Para todos: http://www.kzgunea.eus/
CONCLUSIONES
20
Estamos siendo atacados
No hemos interiorizado nuestra responsabilidad en la
gestión de la “ciberseguridad”. Ni exigimos
“privacidad por defecto” ni, a veces, la
proporcionamos
Estamos fallando en lo básico: empecemos en
primera persona y por lo más sencillo
Protéjanse en el ámbito particular
Ayuden a proteger su organización
Exijan protección
“Jueguen”, investiguen, “prueben” (con gaseosa)
¿Preguntas?
21
Muchas gracias…….
PARA “JUGAR”
22
“Inquietos” Ver página 6
https://pwsafe.org/
Activen autenticación multifactor en servicios de Google,
Office 365, Eversync, etc… Y verán como NO pueden en
Amazon.
https://www.grc.com/shieldsup
https://www.boxcryptor.com/es
https://veracrypt.codeplex.com/
http://www.axantum.com/axcrypt/
Microsoft Baseline Security Analyzer
Implementen en su casa copia de seguridad “off line”
Prueben https://metashieldanalyzer.elevenpaths.com/