warning, advice brokering and reporting pointslides.lacnic.net › wp-content › themes › slides...
TRANSCRIPT
Warning, Advice Brokering and Reporting Point
GracielaMartínezCoordinadoraWARP
¿QuéesWARP?• Equipo coordinador y facilitador del manejo de
incidentes de seguridad informática para losmiembros de la LACNIC
• Sitio web: https://warp.lacnic.net/• La comunidad objetivo esta constituida por todas las
organizaciones miembros de LACNIC• El reporte de incidentes podra realizarse:
– Correo electrónico: [email protected]– Formulario web:
https://warp.lacnic.net/servicios/#reportar-incidente
– Los no miembros también pueden reportar
¿Quéhacemos?• Warning – Alertas de Seguridad selecciondas
(Filtered Warnings) - envío de advertencias de seguridad relevantes para la comunidad
• Advice Brokering - WARP provee un ambiente seguro y anónimo de intermediación para la búsqueda, discusión e intercambio de información de incidentes de seguridad y buenas prácticas (sanitise)
• Reporting Point - Reporte de incidentes
Autoridad
• LACNIC WARP no tiene autoridad para actuar sobre las operaciones de los sistemas de su comunidad, a excepción de los sistemas internos propios de LACNIC, por lo que no brindará asistencia directa remota ni in situ para la atención de incidentes de seguridad, aun cuando éstos involucren direcciones de Internet de Latinoamérica y el Caribe.
Incidente deSeguridad Informático
• No existe una única definición
• Un Incidente de Seguridad Informático, podría definirse como una actividad en una red o en un componente de una red, que compromete la información y/o las operaciones de una organización.
Ejemplos yNúmeros• Ejemplos de incidentes de seguridad
– Confidencialidad – acceso a información no autorizada, plan de negocio
– Integridad – modificación de datos, contables– Disponibilidad – servicio no disponible, red
saturada.• Los criminales se han enfocado donde está el
dinero.– Los estudios muestran que la economía de
Internet genera anualmente entre 2 y 3 trillionesU$S, y se calcula que el cybercrimen se lleva entre 15% y 20%
Phishing
• Esunmétododeengañoalosusuariosdiseñadopararobarinformaciónsensible.
• Sepresentanrecursosfraudulentoscomolegítimos,yporlogeneralapuntanarobarlascredencialesdeaccesodeunusuarioaunsistema,conelfindellevaracabofraudesmonetarios.
• Puedeserintroducidoalossistemasmediantecorreoselectrónicosfalsosobienmediantevisitasasitiosdedudosareputación.
Phishing
• Unacampañade phishing esmasiva• JJOOBrasil,TerremotoenEcuador• Todossabemosalgoacercadephishing,perolasestadísticas nosmuestranqueseguimoscayendoysomosvíctimas
Phishing
¿Conocenquéporcentajerepresentaelphishing conrespectoaltotaldelosincidentesquesereportan?
https://warp.lacnic.net/estadisticas/
Elphishing ennuestraregión
EstagráficamuestralosincidentesnotificadosalWARPdesdeotrasorganizacionesdiferenciadosportipo.PAC – Proxyautomatic configuration
Phishing gestionadosporWARPEstagráficamuestralosincidentesgestionadosporWARP
diferenciadosportipo.
Tipos:
Tips dereconocimiento
• Patrón común:NombredeldominiomuysimilaralamarcaoalaURLdelsitiolegítimo.
• Ejemplo– URLlegítima:
http://www.examplebank-uy.uy/– PosiblesURLs usadasparaphishing:
http://www.exampleatbank-uy.uy/http://www.examplectbank-uy.uy/
Tips dereconocimiento
Correoelectrónico- ¿Esperabaestecorreo?- ¿Conozcoelorigen?- Asunto
- Generalmentesonalarmistasporqueesperanasustaralusuarioparaquetomeaccionesrápidassinpensarlasmucho.
- Contienensignosdepuntuaciónexcesivos- Logo– Malacalidad,compañíafalsa,cadavezmejor!- Sr.Usuario- Cuerpodelmensaje(Idioma,gramática)- Firmademensajepuedesergenéricaounacopiadeloriginal
Ejemplo
Correoelectrónico
Hecaído…¿Quéhago?
• Encasodeservíctimadeunfraudeelectrónico,reporteinmediatamenteelproblemaalaorganizacióninvolucradayalcentroderespuestaaincidentesdeseguridadcorrespondiente.
• https://warp.lacnic.net/mapa-csirts/
OTROSTIPOSDEINCIDENTES
• Sextorsion – esunaformadeexplotaciónsexualatravésdeInternet– Chantaje:
• Fineseconómicos• Otrosfines– pornografía
– Nonecesariamenteesrealizadapordesconocidos– Fuentes:cámaraweb,fotosdedispositivos,etc.
OTROSTIPOSDEINCIDENTES
• RANSOMWARE– untipodemalwarequeencriptaarchivosdigitalesypideunarecompensaacambiodelaclaveparadesencriptarlos.
• Ejemplos:CryptoLocker (2013),Locky (Feb.2016),CryptoXXX (Mar.2016)
• Notas:– $325millonesdegananciasalaño– UtilizanlaredTORparaelanonimato– Bitcoins – divisaelectrónica– dificultalatrazabilidad– Pagarlarecompensanogarantizaobtenerlaclave– Todotipodeorganizaciónhasidovíctimadeesteataque
OTROSTIPOSDEINCIDENTES• Advanced Persistent Threats – APT
– Malwarealtamentesofisticado– Requiereindividuosaltamentecalificados,conexpertise en
diferentestecnologías– Recursosfinancieros– Utilizadosencontradeorganizacionesestatales,industrialesy
militares.– Lastécnicas utilizadasparaatacarporlogeneralson“Zero-Day
exploit”paralacomunidaddeseguridad
– Ejemplos:Stuxnet – Pensadoparaatacarsistemasdecontrolindustrial.Sepresumeparasabotearelprogramanucleariraní.Infeccióninicial:desconocida.Propagación:Red,dispositivosremovibles
– Duqu - Objetivo:espionaje.Infeccióninicial:MSWord,Keylogger.Deacuerdoaloquesesabenoinfectómasde50objetivosalolargodelmundo
AlgunosProblemas
• Malalegislación– Vacíolegal– nacionaleinternacional
• Medidasdeseguridadnoadecuadas– contraseñas• DDoS – ISP´s noatacanelproblemadelasbotnets deforma
efectiva
• Faltadeimplementacióndebuenasprácticas– BCP38– antispoofing– Educacióndelosusuarios:entiendanlosriesgos– DNSSEC– RPKI– Desarrolladores:notomanencuentalaseguridaddesdeeldiseño
Algunosproblemas
• Faltadecooperaciónentreorganizaciones• Muchosusuariosnoreportanlosincidentesdeseguridad
• Conocimientodecybercrimen– Dosmayoresfuentes:
• Exposiciónatravésdeterceros– seconoceaalguienquefuevictimadehacking,fraudedetarjetadecrédito,etc
• Exposiciónatravésdelosmedios– artículoson-line,seriesdeTV,películas,etc.
• Muchasveceslasmedidassetomandespues!
Medidas
• Administraciónadecuadadepatches– SistemasOperativos– Aplicaciones– EfectoslimitadosanteZero-Dayexploits,peroprevienequenuevos
sistemasseaninfectados• Segregacióndelared
– Estacionesdetrabajo– HardeningdeServidores• Aplicarpolíticasestrictasdeaccesoainternet,porejemplo
utilizandounawhite list desitios• Inspeccióngranulardetráficoentranteysaliente• Controldelsoftwareainstalaryejecutarenunsistema• Controldecambiosdeconfiguracionesmediantes hashes• Capacitacióndeusuarios
Medidas• Trabajarparamejorarlascomunicaciones:respuestas– Lasrespuestasdesdeotroscentroshacialosincidentesreportadossonescasas,loquegeneradudasacercadesifuerononotratadosoalmenosrecibidosparauntriage.Sedeberátrabajarenlaregiónparamejorarlascomunicaciones.
• SPAM– LascifrasdelSPAMsonmuyvoluminosas,pormásqueesteproblemayaseconoce,seconsideraimperiosocontinuarelanálisisdelosdatosconelfindecomenzaraccionesmásenfocadasasureducción.Ytambiéndegeneracióndepolíticasregionales.
OtrasactividadesdeWARP
• Lac-csirts– ¿Quées?• Sincoordinación todos nuestros esfuerzos soninútiles
– Procedimientodeingreso• AcuerdosconM3AAWG,APWG,LEVEL3• Amparo– LainclusióndelProyectoAmparodentrodelasactividadesdeWARPLACNIC,contribuyealacreacióndelafunciónderespuestaaincidentesdeseguridadentrelosmiembrosdeLACNIC,formapartedelasactividadesdecapacitaciónyawareness quedebedecontemplaruncentroderespuesta.
Cooperaciónregional
NosotroscreemosquelaseguridadesresponsabilidaddetodoslosactoresdeInternet.Enestesentidoseguimosrealizandounaseriedeactividades:• ReunióndeCSIRTSdelaregiónennuestroseventosanuales
• LACNICeshostingparaelFIRSTTECHNICALCOLLOQUIUM
• TodoslosmesestenemosunareuniónvirtualdelalistadeLAC-CSIRTSdondecompartimosinquietudes,proyectos,etc.