un soc avanzado para una respuesta eficaz al cibercrimen · •analiza los datos escaneados y...

Ignacio Berrozpe - Senior Presales Consultant

Un SOC avanzado para una

respuesta eficaz al cibercrimen

Identificación y confirmación de un incidente

@RSAEMEA #RSAEMEASummit

2 © Copyright 2015 EMC Corporation. All rights reserved.

• Una mirada al panorama de las amenazas

• Afrontar el problema tomando el toro por los cuernos

– RSA Security Analytics: cazar o ser cazado

– RSA ECAT: visibilidad, análisis, respuesta

– SecOps: orquestando el Security Operation Center

• Los beneficios de la aproximación ASOC RSA y las soluciones

Agenda


Una mirada al panorama de las amenazas


… y las defensas se mueven a un ritmo más lento

Source: Verizon’s data breach investigation report 2015


Afrontar el problema tomando el toro por los

cuernos


Positivo: ¡Bloqueamos ataques! Los controles preventivos bloquean los ataques de

patrón conocido

Negativo: Las intrusiones reportadas están al alza

A pesar de las inversiones crecientes en controles

Los ataques exitosos puentean los controles preventivos.

Cuentas de usuario válidas Trusted “command and control”

Nuevos exploits “Low and Slow”

Controles Preventivos “Defensa en Profundidad”

Malicious Traffic

Firewall

Amenazas

IDS/IPS

AntiVirus

DLP

Autenticación Fuerte

Activos

Whitespace Ataques con éxito


• Dificultad en identificar ataques con éxito

• La visibilidad actual se basa en logs

– Sólo dice lo que los controles preventivos detectan

• Más controles preventivos crean más alertas

– La información importante se ahoga en el ruido

La visibilidad actual es limitada

Malicious Traffic

Firewall

Amenazas

IDS/IPS

AntiVirus

DLP


Activos

Whitespace Ataques con éxito

S I E M

Sesión Bloqueada

Sesión Bloqueada

Sesión Bloqueada

Alerta

Alerta


La visibilidad completa es crucial

Malicious Traffic

Firewall

Amenazas

IDS/IPS

AntiVirus

DLP


Corporate Assets

Security Analytics

RSA Security Analytics

Plataforma unificada para la detección de incidentes,

investigaciones, informes, cumplimiento y análisis de seguridad avanzado

Sesión Bloqueada

Sesión Bloqueada

Sesión Bloqueada

Alerta

Alerta

RSA ECAT

Detección de amenazas de endpoint no basado en firmas que confirma en tiempo real infecciones y responde

con precisión


RSA Security Analytics Cazar o ser cazado


Security Analytics: cómo funciona

Malicious Traffic

Firewall

Actores

IDS/IPS

AntiVirus

DLP


Activos

Full Packet Capture

Sesión Bloqueada

Sesión Bloqueada

Sesión Bloqueada

Alerta

Alerta

Username: JSMith

FW Log

Auth Log

Network Session

IP: 192.173.1.21

Country: Brazil

Risk: High

Action: GET

Asset: SQL Server

Session Data:

HTTP/1.1 200 OK …

Agent: Firefox

...


Inteligencia Integrada Conocer qué es lo que se busca

AUTOMATIZAR LA OPERATIVA DE LA INTELIGENCIA: Reusar lo que otros han encontrado y aplicarlo automáticamente en nuestros

datos históricos y actuales

RSA LIVE INTELLIGENCE

Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions

3 2 1

Recoge inteligencia avanzada de

amenazas y su contexto

Agrega y consolida

datos

Distribuye la inteligencia, las

reglas de correlación,

parsers, reports, feeds


Contexto de Negocios Integrado

• Asset List • Device Type, Device

Content • CMDBs • Vulnerability data

IT Info

• Device Owner • Business Owner, Unit,

Process • RPO / RTO • Data Class

Contexto de Negocio

• Risk Level • IP Address • Asset Criticality Rating • Facility

Inteligencia de Activos


• Alertas unificadas, dirigidas por su nivel de riesgo, correladas

• Gestión de Incidentes

• Workflows integrados

– RSA Security Operations Management (SecOps)

– 3rd party ticketing systems

Automatización e Investigaciones

Crear alertas de/hacia activos críticos Unas docenas de alertas

Terabytes de datos 100% del total

Miles de datos 5% del total

Cientos de datos 0.2% del total

Todo el tráfico de red y Logs

Descargas de ejecutables

Descargado por Java

!


RSA ECAT Visibilidad, análisis, respuesta


La visibilidad completa es Crucial

Malicious Traffic

Firewall

Actores

IDS/IPS

AntiVirus

DLP

Autenticación fuerte

Activos

ECAT


Plataforma unificada para la detección de incidentes,

investigaciones, informes, cumplimiento y análisis de seguridad avanzado

Sesión Bloqueada

Sesión Bloqueada

Sesión Bloqueada

Alerta

Alerta

RSA ECAT

Detección de amenazas de endpoint no basado en firmas que confirma en tiempo real infecciones y responde

con precisión

16 RSA CONFIDENTIAL—INTERNAL USE ONLY

Determinar el alcance y actuar al instante

Detectar las amenazas rápidamente

Analizar y confirmar con rapidez

Análisis del Endpoint: requerimientos actuales


Cómo funciona RSA ECAT

Agente • Endpoints, Servers, VMs

• Windows & Mac OS

• Monitoriza la actividad sospechosa

• Inventario completo de sistema

• Identifica todos los ejecutables, DLL’s, drivers, etc.

• Bajo impacto en el sistema (2MB on disk, 10-20MB in memory)

Servidor • Analiza los datos

escaneados y destaca las anomalías

• Mantiene repositorio de correlación global

• Descarga automáticamente ficheros desconocidos para su análisis adicional


Monitorizar el comportamiento del Endpoint

Usuario abre adjunto de correo malicioso

.exe descargado, explota una

vulnerabilidad

Malware abre un navegador y conecta

con C2 para instrucciones

Atacante navega hasta datos

confidenciales

Atacante usa FTP para exfiltrar

datos

RSA ECAT Behavior Tracking

• Monitoriza la operaciones realizadas y busca actividad sospechosa

• Identifica todo fichero nuevo desconocido que se carga

• Alerta de la actividad sospechosa


Pivotar entre Endpoint, Red y Logs


• Botón derecho y pivota a SA • Envía alertas de actividades sospechosas • Enriquecimiento de datos (riesgo,

usuario)

RSA ECAT • Botón derecho y pivota a ECAT • Agrega alertas en un solo incidente


RSA SecOps Orquestando el Security Operation

Center


Marco para prepararse, investigar y responder ante amenazas, alineando personal, procesos y tecnología

Security Operations Management (SecOps)

People

Technology

Process


SecOps: cómo funciona

Respuesta a incidentes

Agregar Alertas

Proporcionar contexto de negocio

Prioriza Incidentes

Gestiona Investigaciones

Tracear la Remediación

Respuesta a Intrusiones

Desarrolla planes de respuesta a intrusiones

Identifica y reporta fuga de datos

Estima el impacto de la intrusión

Gestiona Notificaciones y flujos de llamadas

SOC Program Management

Gestiona el equipo del SOC

Mide la efectividad del control de seguridad

Documenta las políticas y procedimientos de respuesta

Enlaza con las aplicaciones GRC de negocio


RSA Live – Threat Intelligence Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions


RSA ECAT

RSA Security Operations

Management Hosts

Repuesta a Incidentes

Respuesta a Intrusiones

SOC Program Mgmt.

Vulnerability

CMDB/Assets

Data Discovery/DLP

Servers

Identity

El portfolio RSA ASOC


Los beneficios de la aproximación y las soluciones de RSA ASOC

Detecta y analiza antes que el ataque impacte al negocio

Investiga, prioriza y remedia incidentes

Desbloquea el potencial de su equipo de seguridad existente

Evoluciona las herramientas actuales con mejor visibilidad y workflow

EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.


Caso de Uso Juntando todo


SOC con tecnología RSA: un caso de uso realista

• Se identifica actividad sospechosa en base a:

– Reputación del servidor destino

– Modo de la comunicación

– Payload de la communicación

• Objetivo:

– Identificar y reconstruir un ataque complejo de manera rápida y efectiva

– Estimar el riesgo de la amenaza basándose en:

• Identificar el perímetro de ataque

• Medir el impacto en el negocio


Operador recibe un incidente de prioridad alta


Procedimiento de clasificación y respuesta a amenaza


Drill Down a los Eventos


SA muestra “beaconing” sospechoso


Reconstrucción del Beaconing


Reconstrucción de toda la sesión


Evidencia de acceso a datos confidenciales


Identificado vector de ataque de exfiltración


Qué hemos encontrado de momento

• Actividades tipo Botnet network beaconing en John-WinXP


Usando ECAT para Investigar “John-Winxp”


Detalles de la máquina infectada


Malware “hakou.exe” encontrado ….


Qué hemos encontrado


• Malware “hakou.exe” en John-WinXP


Buscamos otras máquinas infectadas


Alice y Bob también infectados





• Malware en Bob-PC y Alice-laptop


Usando SA para investigar a “bob-pc”


(Signature-less) alertas sospechosas


Visibilidad completa de datos intercambiados


Múltiples indicadores de compromiso






• Data exfiltration de APJ_forecast_Y13Q3_v1.xls desde Bob-PC


Usando SA para investigar a “alice-laptop”


Usernames sospechosos identificados


Logs que apoyan la investigación


Habilidad para reenfocar rápidamente el análisis


Evaluación de la extensión del ataque






• Data exfiltration de APJ_forecast_Y13Q3_v1.xls desde Bob-PC

• Backdoor administrator account “admin1strator” creada en Alice-laptop y otros PCs


Finalmente todo junto …

Atacante

Actividad maliciosa

Data leakage

Acceso persistente a múltiples sistemas

malware

malware

malware


Evidencia forense y remediación


Dashboard Coordinación de Incidentes

Shift Handover Analyst Workload

Incident Trends


Dashboard Coordinación Intrusiones

Intrusiones Actuales, Impacto y Registros Afectados


Dashboard Operaciones IT

Current Breaches, Impact and Records Affected Acciones IT Help Desk


SOC Manager / CISO Dashboard

Vista General del Security Operation Center

EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.

un soc avanzado para una respuesta eficaz al cibercrimen · •analiza los datos escaneados y...

Documents