Ver Presentación
Transcripción
Ver Presentación
BRECHAS E INCIDENTES DE SEGURIDAD EN EL MUNDO Y EN CENTRO AMERICA Mauricio Nanne CEO SISAP 2014 DATA BREACH INVESTIGATIONS REPORT INSIDER MISUSE PHYSICAL THEFT AND LOSS PAYMENT CARD SKIMMERS MISCELLANEOUS ERRORS WEB-APP ATTACKS DOS ATTACKS POINT-OF-SALE INTRUSIONS CRIMEWAR E 92 % THE UNIVERSE OF THREATS MAY SEEM LIMITLESS, BUT 92% OF THE 100,000 INCIDENTS WE’VE ANALYZED FROM THE LAST 10 YEARS CAN BE DESCRIBED BY JUST NINE BASIC PATERNS. CYBER-ESPIONAGE Conducted by Verizon with contributions from 50 organizations from around the world. Welcome to the Data Breach Investigations Report, 2014 50 contributors from around the world DBIR 201 Contributors Countries Represented Security Incident vs. Data Breach DECADE OF DBIR 4,217 Data Breaches over 10 years External Actors External Actor: Motive Actions over Time 5 Years of Threat Actions: 5 Years of Threat Actions: Phishing 5 Years of Threat Actions: RAM Scrapers 5 Years of Threat Actions: RAM Scrapers and Keyloggers Assets Time to Compromise vs. Time to Discovery Discovery Methods ¿Qué QUÉ ESTAMOS VIENDO EN C.A? Laboratorio de Investigación de SISAP ¿Qué estamos viendo en Centro América? • Denegación de Servicios Distribuida • Phishing • Phishing a Individuos • Spear Phishing a Empresas • Espionaje Industrial • Ransomware • Difamación • Impersonación ¿Qué estamos viendo en Centro América? DDOS Volumétricas • Ataques a varios Bancos o Tráfico multi-GB o Muy persistentes DDOS Aplicativos • Ataques a varias Instituciones o Ataques a Servicios Defensa • Volumétricos, alto en la nube • Aplicativos, herramientas especializadas y/o nube Phishing a Individuos Pesca con Redes Multiples Campañas de PhishinG •Mejor calidad •Abuso de marcas de terceros, no hay contratos “take down” •SAT 3 campañas •Tecoloco 1 campaña •Simán 1 campaña •Bancos por lo menos dos campañas •Inyección de código malicioso, que entre otras cosas es “keylogger” •Monetización vía transacciones anónimas Spear Phishing Pesca con Lanza •Investigación y perfilamiento de la victima, típicamente con información de redes sociales. •Mail, con código malicioso o link a sitio envenenado. •Phish desde adentro a otros miembros de la organización. •Robo de credenciales para correo corporativo. •Abuso del correo, posible pérdida de información. •Intento de robo a través de enviar correos “confiables” dentro de la organización. Espionaje Industrial •No necesariamente empresas “grandes” •Casi siempre, ayuda de internos •Se roban propiedad intelectual, diseños, listas de clientes, contratos, etc. •Motivador: Dinero Defensa: •Inventario y Clasificación de la Información •Mínimo Privilegio •Segmentación y “Data Loss Prevention” (siempre y cuando esté etiquetada la información) Ransomeware •Mensaje o visita a sitio contaminado •Instalación del Ransomware •Comunica a CyC y solicita llave •Pago en XX horas o pierde la información. •El monto puede crecer con el tiempo. Defensa •Filtrado de Navegación con seguridad / reputación •Anti Malware al día •Respaldos al día Difamación por correo electrónico o redes sociales •Creación de una cuenta “anónima” •Envío de mensajes a listas de “interesados” •Típicamente por personal interno (o recientemente egresado) descontento. Defensa e Investigación •Limitar acceso a WebMail y Redes Sociales •Monitorizar tráfico de correo, chat, webmail y redes sociales •Análisis de contenido •Análisis de tráfico •Anlalisis de personas Suplantación de Identidad en Redes Sociales o Correo Electrónico •Robo o adivinar credenciales (puede ser phishing) •Individuos y Organizaciones •NO credenciales •MalCOMPARTIR uso de credenciales para con publicar NADIE información no verídica •NO REUTILIZAR credenciales •Renovar •Motivos:credenciales periódicamente •Usar•Robo credenciales no triviales a personas de confianza •Pedir(…estoy al Banco seguridad en XXXX y meseguridad quedé sin adicional para transferencias. plata…) •Robo a través de Bancos o sitios que “aprenden” las TC. •Difamación (publicación de fotos vergonzosas)