Security
Intelligence
& Big Data
Jamardo, Facundo
Director de Servicios de Cyber Risk, Deloitte Argentina
Cavanna Santiago
Especialista en Seguridad, IBM Argentina
Presentada por:
El Cyber crimen ha evolucionado hacia un conjunto de productos y servicios criminales altamente especializados, capaces de elegir como blanco de forma precisa y con capacidad de evadir muchos de los controles de seguridad actuales.
Un panorama que cambia constantemente
- 3 -
El antiguo enfoque en Cyber Seguridad - Reactivo
Reporte de incidentes
de seguridad
Investigación
Amenaza aislada y contenida 1
Solución
Análisis de las causas primarias
2 3 4 5
Foco en el perímetro de seguridad
Silos de Información
Controles basados firmas
Mirada hacia adentro
Demasiadas alertas
Demasiada Información
Silos de Organización
Restricción de recursos
Análisis Manual
Los Incidentes de Seguridad son típicamente
reportados al área de seguridad a través de una variedad de canales incluyendo otros departamentos, proveedores
externos,
reguladores, medios de comunicación y público.
Generalmente las investigaciones requieren de una gran cantidad de tiempo y a menudo están plagadas de información faltante o extraviada, que pudiera haber asistido
significativamente a entender lo ocurrido.
Encontrar y contener rápidamente
dispositivos comprometidos puede ser un gran desafío en entornos en grandes redes.
Este proceso a menudo involucra el envío de
especialistas al sitio para localizar dispositivos.
La solución a menudo involucra reinstalar equipos, lo cual puede requerir mucho tiempo y puede resultar en pedida de datos y un impacto negativo en la productividad de los empleados.
El análisis de las causas primarias a menudo involucra la recolección y el análisis de registros de múltiples fuentes internas. En algunos casos, la verdadera causa primaria no puede determinarse debido a la falta de logs adecuados o la falta de Cyber Inteligencia.
Retos Actuales con el enfoque reactivo
En función a nuestra experiencia identificamos los siguientes desafíos para las organizaciones:
Los actuales controles de Seguridad informática “basados en firmas” no son efectivos contra las Cyber amenazas y exploits cada vez más sofisticados y en constante evolución.
¿Qué tipos de controles son necesarios para detectar Cyber amenazas actuales?
Un gran número de dispositivos de Seguridad generan un número aún mayor de falsos positivos y falsos negativos.
¿Cómo recolectamos la información de fuentes múltiples y dispares, y generamos información normalizada, enriquecida y aplicable?
Falta de capacidades automáticas para una rápida detección,
contención, análisis y corrección de dispositivos comprometidos.
¿Cómo nos aseguramos de encontrar y contener rápidamente los dispositivos comprometidos?
La información provista por las diversas fuentes de inteligencia es a menudo anticuada, de alto nivel y complejo de aplicar.
¿Cómo recolectamos información de Cyber Inteligencia oportuna,
relevante y aplicable?
Las organizaciones carecen de capacidades tecnológicas y de procesos para tomar medidas necesaria a tiempo en base a datos de inteligencia en tiempo real.
¿Cómo se puede utilizar la
información de Cyber Inteligencia para evaluar o detener
automáticamente transacciones fraudulentas?
- 5 -
El Nuevo enfoque en Cyber Seguridad - Proactivo
Inteligencia Externa
Inteligencia Interna Normalización Enriquecimiento
Fusión
Datos sin procesar
Inteligencia Práctica
1. Investigar las amenazas emergentes.
2. Buscar socios para compartir información de inteligencia.
3. Definir las áreas de trabajo con foco en las amenazas.
4. Definir fuentes de información de Inteligencia “vivas y dinámicas”.
5. Establecer un enfoque amplio para la identificación de cyber amenazas.
6. Rastrear activamente actividades cyber criminales.
7. Revisar en forma diaria la existencia de amenazas emergentes.
8. Estar al tanto del entorno dinámico de tecnología y el contexto de negocio.
9. Actualizar periódicamente sistemas operativos, dispositivos y controles de seguridad.
10. Implementar y mantener actualizados los controles basados en firma Y comportamiento.
11. Generar métricas e información de tendencias de múltiples indicadores de gestión de amenazas.
12. Mejorar continuamente las capacidades automáticas.
Una visión avanzada sobre las capacidades de Inteligencia aplicadas a Cyber Amenazas
Actualización de Controles de seguridad
Decisiones de Autenticación
Inversión en tecnología Info de inteligencia para el análisis de riesgos
Selección de proveedores y decisiones de RRHH
Marco de gestión de inteligencia en Cyber Amenazas
Risk Assessment Process
Threat Intelligence Reporting
Risk Acceptance Process
Risk Mitigation &
Remediation
Line of Business Teams
Security, Fraud and Operational
Risk Teams
3rd Parties, Subsidiaries Cyber Threat Intelligence
Collection Research, and Analysis Process
“All Source Fusion”
• Commercial Feeds
Law Enforcement
Industry Associations
Underground Forums
Hash databases
GEOIP data
Honeynets
Malware Forensics
Brand monitoring
P2P monitoring
DNS monitoring
Watchlist monitoring
Fraud investigations
Security event data
Abuse mailbox info
Vulnerability data
Sandboxes
Human intelligence
Urgent security control updates
IP reputation data for authentication
Proactive Surveillance
Internal Threat Intelligence
Feeds External Cyber Threat
Intelligence Feeds
Idealmente, la cyber inteligencia debería fluir hacia una función central de inteligencia de Cyber Amenaza, ser normalizada, enriquecida, y luego distribuida a las funciones usando
automatización de ser posible.
Se requiere un marco de gestión amplio para maximizar el valor de la información de cyber inteligencia,
basada en la recolección, correlación, enriquecimiento y distribución de datos.
- 7 -
Usando Inteligencia de Cyber Amenaza para tomar mejores decisiones de negocio
Gestión de Proveedores
Modificación de contratos con proveedores en función a información de cyber inteligencia.
Selección de terceros basada en un análisis de riesgos utilizando inteligencia de cyber amenazas.
RRHH
Habilidad de utilizar cyber inteligencia para evaluar las personas entrevistadas y su conexión con actividades u organizaciones fraudulentas.
Habilidad de notificar en forma proactiva antes de que los empleados violen una norma.
Normalized and Enriched Cyber Threat Intelligence
Prevención de Fraudes
Información de cyber inteligencia accionable que permita controlar los procesos de autenticación.
Habilidad de cuantificar las pérdidas evitadas al regenerar cuentas comprometidas.
Inversión en Tecnología
Selección de tecnología que incluye capacidades de control adecuadas.
Definición de un scoring de fabricantes utilizando información histórica de cyber amenazas.
IP Reputation Data
Compromised Accounts
Bad Actor Data
Insider Threat Data
Vulnerable Suppliers
Fraudulent Suppliers
Threats &
Vulnerabilities
Security Requirements
Line of Business Decision Making Intelligence Raw Cyber Threat Intelligence
Commercial Threat Intelligence
Open Source Threat Intelligence
Corporate Brand Intelligence
Security Research Intelligence
Proactive Threat Surveillance
Law Enforcement
Intelligence
Shared Industry Intelligence
Cyber Criminal Intelligence
Data Collection Data Parsing Normalization Enrichment Correlation Cyber Threat Intelligence Automation Layer
Line of Business Initiatives
Business Profile Information Filtering & Correlation Automation Layer
Line of Business Processes
Application Logs
Inteligencia de amenazas emergentes
Conocimiento de amenazas emergentes que pueden tener un impacto negativo en las operaciones actuales o futuras.
Un modelo de amenazas que ayude al negocio a entender como sus propias estrategias pueden desencadenar riesgos inesperados.
Key Partners
& Suppliers Application
Data Elements
Line of Business Keywords
Business Supplied Knowledge Base Profiles
Datos de Cyber inteligencia “accionables” y basados en el riesgo
Monitoreo de la marca mejorado, basado en la realidad específica de la industria
Mejora de los controles de seguridad para alcanzar o exceder los requerimientos regulatorios.
Limitar o reducir tanto el alcance como el impacto de las brechas de seguridad
Reducir las pérdidas operativas causadas por Cyber criminales
Reducir la frecuencia y alcance de los incidentes de seguridad
Identificar usuarios, socios y proveedores que pueden estar comprometidos
Reducir el tiempo necesario para detector y localizar APT.
Mejorar el retorno de la inversión por la compra de tecnología de seguridad, plataformas de gestión y fuentes de Inteligencia.
El Valor de la Inteligencia de Cyber amenazas
- 9 -
Modelo de madurez de inteligencia de Cyber amenazas
Indicadores de una práctica líder en la gestión de cyber amenazas
• Recursos destinados a la revisión y análisis de amenazas emergentes
• Presupuesto anual para actualizaciones de controles de seguridad, herramientas de detección y fuentes de inteligencia
• Existencia de un Cyber SOC
• Revisión y comunicación diaria de amenazas emergentes
• Matriz de amenazas
• Planeamiento del escenario
• Posibilidad de recoger rápidamente y revisar la información forense de dispositivos sospechosos
• Monitoreo de información saliente de la red
• Capacidad de registro y reconstrucción de
“conversaciones de red”
6. Métricas y reporte
1. Organización 2. Proceso
3. Capacidad Forense para detección de Malware 4. Monitoreo del Perímetro
5. Integración de fuentes
• Fuentes de información automatizadas y controladas con algoritmo de envejecimiento
• Intercambio bidireccional de inteligencia entre múltiples industrias
• Planes de contingencia para evitar pérdidas de fuentes de inteligencia
7. Modelado de Amenazas
• Capacidad para modelar y analizar la probabilidad que una amenaza emergente impactará a la organización e identificar dónde están las debilidades que serán aprovechadas
• Actualizaciones periódica de boletines de cyber amenazas
• Reporte de amenazas de la línea del negocio
• Alertas personalizadas basadas en umbrales
8. Gestión del ciclo de vida de la amenaza
• Herramientas de gestión de casos para coordinar cyber incidentes a través de múltiples áreas de negocios y proveedores especialistas
9. Investigación y Desarrollo
• El equipo de inteligencia de cyber amenazas debe trabajar en conjunto con los equipos de seguridad interna para identificar nuevas estrategias y soluciones para probar y mejorar la situación de seguridad de los
10. Capacidades adicionales
• Gestión de actualizaciones
• Gestión de vulnerabilidades
• Respuesta ante incidentes
• Gestión de configuraciones
• Gestión de eventos de seguridad
- 11 -
Estableciendo una Capacidad organizacional integrada en Inteligencia de Cyber Seguridad
Cyber Threat Intelligence
Database
Security Control Data
Technology Configuration
Data Replica
Technology Vulnerability Data Replica
Application Log Data Infrastructure
Log Data
Shared Intelligence Data Architecture
SIEM &
Database Management
Real-Time Security Monitoring
Security Operations & Monitoring Threat Intel
Acquisition
Cyber Criminal Profiling
Cyber Threat Intelligence & Analytics
Correlation Engine Enrichment Engine
Fusion Engine Playbook
Development
Intelligence Collection Engine IntelligenceDistribution Engine
eCommerce Team Fraud Team
Brand Intelligence
Development
& Integration
Incident Detection Red
Team
Risk Assessment
Incident Escalation
Supplier Threat Monitoring
Monitoring Requirements
Operational Procedures
New Threat Intel Sources
Security Incident Escalation
Security Controls
Emerging Threat Definitions
Near real-time intelligence
Rapid deployment of security control updates
Data Normalization
Application Team
Analytics &
Investigations Threat Prevention
Security Operations & Monitoring Proactive Monitoring
Investigations Investigations
Involving Law Enforcement
Incident Response
Malware Analysis
Phishing Takedowns
Security Event Management
Portal Threat
Modeling
Emerging Threat Research
Investigation Intelligence Threat
Intelligence Analysis
Portal
