Analítica de Datos:

Su importancia en la

detección e inteligencia de

Ciber-Amenzas

Armando CarvajalArquitecto de Seguridad - Globaltek Security

armando.carvajal@globalteksecurity.comMsc en seguridad informática de la Universidad Oberta de Catalunya - España

Especialista en construcción de software para redes Uniandes, ColombiaIng. Sistemas – Universidad Incca de Colombia

CISM de IsacaAuditor Líder ISO27001:2013

1. Antecedentes

2. Amenazas internas

3. Riesgos internos

4. Big Data

5. SIEM, DLP

6. Analítica con UBA, UEBA

7. Conclusiones

Agenda

Póliza de ciberriesgos

Encuesta de

SANS

Encuesta de

SANS

Diagrama de Riesgos

1. Antecedentes

2. Amenazas internas

3. Riesgos internos

4. Big Data

5. SIEM, DLP

6. Analítica con UBA, UEBA

7. Conclusiones

Agenda

Amenazas ISO27001:2013

Evento externo, causa potencial de incidente no deseado, el

cual puede resultar en daño al Sistema o a la Organización.

[Fuente: ISO 27000]

Tipo de activo Amenazas aplicables

Información Divulgación, modificación indebida, indisponibilidad , fuga de información

SoftwareAtaque informático, malware, alteración de la configuración, sobrecarga, acceso no autorizado, uso

indebido, elevación de privilegios, instalación de software no autorizado, violación de derechos de autor

HardwareRobo, fallas en el suministro eléctrico, temperatura por fuera del rango aceptable, alteración de la

configuración, conexión de dispositivos no autorizados, fallas de los equipos

Personas Coacción, ingeniería social, suplantación de identidad, repudio, errores, indisponibilidad

Infraestructura Terremoto, incendio, inundación, terrorismo, sabotaje

Vulnerabilidad

Amenaza Vulnerabilidades

Divulgación Ausencia de cifrado, insuficiente monitoreo y/o registro del acceso de lectura a los archivos.

Modificación indebida Ausencia de chequeo de integridad.

Indisponibilidad Ausencia de copias de respaldo, falta de planeación de capacidad.

Repudio Ausencia de registro, ausencia de una política de control de acceso, ausencia de firmas digitales.

RoboFallas en el control de acceso físico, ausencia de una política de seguridad física, ausencia de video

vigilancia, ausencia de cifrado.

Fallas en el suministro eléctricoAusencia de una planta eléctrica, ausencia de una UPS, mantenimiento insuficiente de la infraestructura

para el servicio eléctrico.

Indisponibilidad de las personasAusencia de procedimientos documentados, falta de segregación de funciones, no contar con un rol de

respaldo.

Debilidad identificada sobre un activo, que puede ser

aprovechada por una amenaza para causar una afectación

sobre la confidencialidad, integridad o disponibilidad de la

información. [Fuente: ISO 27000]

Mapa de Riesgos

"La medición es el primer paso para el control y la mejora. Si algo no se

puede medir, no se puede entender. Si no se entiende, no se puede

controlar. Si no se puede controlar, no se puede mejorar.“

H.James Harrington

Según ISO31000:2009

1. Antecedentes

2. Amenazas internas

3. Riesgos internos

4. Big Data

5. SIEM, DLP

6. Analítica con UBA, UEBA

7. Conclusiones

Agenda

Amenaza: Sabotaje de TI debido a un descontento previo o debido a la

terminación del contrato

Vulnerabilidad: Ausencia de procedimientos para eliminación de permisos

Impacto: Perdida financiera

Justificación: Este patrón enuncia el problema común de una

Amenaza Interna que ataca el sistema de una organización después

de la terminación del contrato. Este tipo de ataque no debería ser

posible si se siguen los procedimientos estándar definidos, ya que

por buena practica todos los accesos a los sistemas de información

privilegiada deberían ser eliminados

Riesgo: Perdida financiera por sabotaje a los sistemas de información

debido a la ausencia de procedimientos para eliminación de permisos

Ejemplos de riesgos internos:

Amenaza: Eliminación de copias de respaldo debido a un empleado de

tipo director descontento debido a la terminación del contrato

Vulnerabilidad: Ausencia de procedimientos para eliminación de permisos

Impacto: Perdida financiera

Justificación: El director técnico de una organización

(CTO) fue despedido por mal desempeño. La semana

siguiente se conectó a una cuenta de administrador del

sistema de copias de seguridad y ejecuto un comando

diseñado para eliminar todas las copias de seguridad de

la organización

Riesgo: Perdida financiera por eliminación de copias de respaldo debido

a la ausencia de procedimientos para eliminación de permisos

Ejemplos de riesgos internos:

Amenaza: Fuga de información reservada

Vulnerabilidad: Ausencia de Cifrado de

Comunicaciones confidenciales

Impacto: Perdida financiera

Sustentación: La información sensible debe

cifrarse

Riesgo: Perdidas económicas por la fuga de

información debido a la ausencia de cifrado de los

datos sensibles

Ejemplos de riesgos internos:

1. Antecedentes

2. Amenazas internas

3. Riesgos internos

4. Big Data

5. SIEM, DLP

6. Analítica con UBA, UEBA

7. Conclusiones

Agenda

Big Data

• Concepto que hace referencia

al almacenamiento de grandes

cantidades de datos y a los

procedimientos usados para

encontrar patrones repetitivos dentro

de esos datos

• El fenómeno del big data también se

denomina a veces datos a gran

escala

• Tomado de: Ensayo de Viktor

Schönberger big data: La revolución de los

datos masivos

1. Antecedentes

2. Amenazas internas

3. Riesgos internos

4. Big Data

5. SIEM, DLP

6. Analítica con UBA, UEBA

7. Conclusiones

Agenda

Security Information Event

Management (SIEM)

• Correlación avanzada y profunda de eventos de

seguridad e infraestructura

• SIEM se empieza a usar como un Data Warehouse de

BigData

• Actualmente se está usando para correlación

contra la analítica del comportamiento humano

(UBA)

• Se espera una nueva generación de herramientas

de seguridad basadas en analítica de usuarios y

correlación de eventos

1. Antecedentes

2. Amenazas internas

3. Riesgos internos

4. Big Data

5. SIEM, DLP

6. Analítica con UBA, UEBA

7. Conclusiones

Agenda

UEBA

• User Entity Behavor Analytics

• Significa analizar los

comportamientos de los funcionarios

de una organización (empleados), de

las personas externas conectadas a

sus redes (como terceros

contratistas) y señalar las

vulnerabilidades de seguridad a

través de los activos de las

organizaciones que contienen

datos confidenciales (reservados)

UEBA

• Además de analizar el

comportamiento de los usuarios,

UEBA también evalúa el punto final

(portátiles, móviles) y aplicaciones

para identificar comportamientos

inusuales que el usuario no tiene

conciencia de haberlos realizado

(entidad)

• Se interconecta con el SIEM y con el

DLP

UEBA

• Finalmente: UEBA conecta los

datos recolectados de usuarios y

entidades que lo han suplantado

para descubrir los riesgos de

seguridad que los criminales

pueden explotar

• Se muestran análisis y estadísticas

para evidenciar la probabilidad de

que una amenaza se aproveche de

una vulnerabilidad e impacte a

procesos del negocio

• Riesgo = Probabilidad x Impacto

Que hacer?

Que hacer?

Solución

Solución

1. Antecedentes

2. Amenazas internas

3. Riesgos internos

4. Big Data

5. SIEM, DLP

6. Analítica con UBA, UEBA

7. Conclusiones

Agenda

Conclusiones

• Viene un uso intensivo de Analítica del

comportamiento del usuario (UBA=User

Behavior Analytics)

• Analítica del comportamiento del usuario y sus

entidades (UEBA=User and Entity Behavior

Analytics)

Conclusiones

• La alta gerencia tendrá una visión de

seguridad de la información enfatizando

en las amenazas internas de la

organización

• Existen nuevas tecnologías para

descubrir a los usuarios más riesgosos

y hasta viendo su comportamiento

cuando ocurren incidentes, viendo sus

actividades del pasado con videos si

es necesario para investigaciones

forenses

Preguntas y Aportes