Ver Presentación

BRECHAS E INCIDENTES DE
SEGURIDAD EN EL MUNDO Y
EN CENTRO AMERICA
Mauricio Nanne
CEO
SISAP
2014 DATA BREACH INVESTIGATIONS
REPORT
INSIDER MISUSE
PHYSICAL THEFT AND LOSS
PAYMENT CARD
SKIMMERS
MISCELLANEOUS
ERRORS
WEB-APP ATTACKS
DOS ATTACKS
POINT-OF-SALE
INTRUSIONS
CRIMEWAR
E
92
%
THE UNIVERSE OF THREATS MAY SEEM LIMITLESS,
BUT 92% OF THE 100,000 INCIDENTS WE’VE
ANALYZED FROM THE LAST 10 YEARS CAN BE
DESCRIBED BY JUST NINE BASIC PATERNS.
CYBER-ESPIONAGE
Conducted by Verizon with contributions
from 50 organizations from around the world.
Welcome to the Data Breach Investigations
Report, 2014
50 contributors
from around the world
DBIR 201 Contributors
Countries Represented
Security Incident vs. Data Breach
DECADE OF DBIR
4,217 Data Breaches over 10 years
External Actors
External Actor: Motive
Actions over Time
5 Years of Threat Actions:
5 Years of Threat Actions:
Phishing
5 Years of Threat Actions:
RAM Scrapers
5 Years of Threat Actions:
RAM Scrapers and Keyloggers
Assets
Time to Compromise
vs. Time to Discovery
Discovery Methods
¿Qué QUÉ ESTAMOS VIENDO EN C.A?
Laboratorio de Investigación de SISAP
¿Qué estamos viendo en
Centro América?
•
Denegación de Servicios Distribuida
•
Phishing
•
Phishing a Individuos
•
Spear Phishing a Empresas
•
Espionaje Industrial
•
Ransomware
•
Difamación
•
Impersonación
¿Qué estamos viendo en
Centro América?
DDOS Volumétricas
•
Ataques a varios Bancos
o
Tráfico multi-GB
o
Muy persistentes
DDOS Aplicativos
•
Ataques a varias Instituciones
o
Ataques a Servicios
Defensa
•
Volumétricos, alto en la nube
•
Aplicativos, herramientas
especializadas y/o nube
Phishing a Individuos
Pesca con Redes
Multiples Campañas de PhishinG
•Mejor calidad
•Abuso de marcas de terceros, no
hay contratos “take down”
•SAT 3 campañas
•Tecoloco 1 campaña
•Simán 1 campaña
•Bancos por lo menos dos
campañas
•Inyección de código malicioso,
que entre otras cosas es
“keylogger”
•Monetización vía transacciones
anónimas
Spear Phishing
Pesca con Lanza
•Investigación y perfilamiento de la
victima, típicamente con información
de redes sociales.
•Mail, con código malicioso o link a
sitio envenenado.
•Phish desde adentro a otros miembros
de la organización.
•Robo de credenciales para correo
corporativo.
•Abuso del correo, posible pérdida de
información.
•Intento de robo a través de enviar
correos “confiables” dentro de la
organización.
Espionaje Industrial
•No necesariamente empresas
“grandes”
•Casi siempre, ayuda de internos
•Se roban propiedad intelectual,
diseños, listas de clientes, contratos,
etc.
•Motivador: Dinero
Defensa:
•Inventario y Clasificación de la
Información
•Mínimo Privilegio
•Segmentación y “Data Loss
Prevention” (siempre y cuando
esté etiquetada la información)
Ransomeware
•Mensaje o visita a sitio contaminado
•Instalación del Ransomware
•Comunica a CyC y solicita llave
•Pago en XX horas o pierde la
información.
•El monto puede crecer con el tiempo.
Defensa
•Filtrado de Navegación con
seguridad / reputación
•Anti Malware al día
•Respaldos al día
Difamación por correo
electrónico o redes sociales
•Creación de una cuenta “anónima”
•Envío de mensajes a listas de
“interesados”
•Típicamente por personal interno (o
recientemente egresado) descontento.
Defensa e Investigación
•Limitar acceso a WebMail y
Redes Sociales
•Monitorizar tráfico de correo,
chat, webmail y redes sociales
•Análisis de contenido
•Análisis de tráfico
•Anlalisis de personas
Suplantación de Identidad en
Redes Sociales o Correo
Electrónico
•Robo o adivinar credenciales (puede
ser phishing)
•Individuos y Organizaciones
•NO
credenciales
•MalCOMPARTIR
uso de credenciales
para con
publicar
NADIE
información no verídica
•NO REUTILIZAR credenciales
•Renovar
•Motivos:credenciales periódicamente
•Usar•Robo
credenciales
no triviales
a personas
de confianza
•Pedir(…estoy
al Banco
seguridad
en XXXX y meseguridad
quedé sin
adicional
para transferencias.
plata…)
•Robo a través de Bancos o sitios
que “aprenden” las TC.
•Difamación (publicación de fotos
vergonzosas)