El Malware no es Magia - Information Technology · Historia del Crimen Empresario ... industria del...

Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

IX CONGRESO ISACA COSTA RICA 2016

Gobierno, gestión y aseguramiento de las tecnologías de información.

El Malware no es Magia

Angel [email protected]

TM Centroamérica

[Restricted] ONLY for designated groups and individuals

mailto:[email protected]



Síganos

¿Que es la Seguridad?

¿Qué nos tiene hoy aquí?




Síganos

SEGURIDAD




Síganos

Historia del Crimen

Empresario• Inversión de inicio:

• Una Pistola o Cuchillo• Un Callejón obscuro

• Oportunidad:• Encontrar Una víctima

• Horario flexible• Problemas? Como escalar y

crecer el negocio. Incluso el más hábil ladrón podría robar 5 o 6 personas al día.


“El Bueno termina feliz, y el malo termina en desgracia. Eso es ficción.”

R. Dawkins, The Magic of Reality



Síganos

• 2005 / 2007 , TJX 94M records (170M)

• Abril 2011, SPN 77M records• Diciembre 2013, Target 40M

records

Historia del Crimen




Síganos

Algúnos Números…


• LOC (lines of Code)– Apollo 11 (145,000 LOC) – Microsoft Office 2013 (45M LOC)– LHC (50M LOC)



Síganos

Probabilidades• Entre 20 y 30

Bugs por cada 1k LOC

• 50M de líneas tienen entre 1M y 1.5M errores potenciales para ser explotados.



Síganos [Restricted] ONLY for designated groups and individuals

Preguntas importantes• ¿Cuál es el costo de falta de seguridad que

podría impactar su negocio ?• ¿Cuál es el impacto, por falta de seguridad, en la

productividad de la empresa ?• ¿Qué impacto tendría una brecha de seguridad

catastrófica en su empresa?• ¿Cuáles son las soluciones más rentables ?• ¿Qué impacto tendrían las soluciones de

seguridad en la productividad?



Síganos

Decisiones? Reducir Costos?

Deepwather Horizon DisasterFallo en un sistema• 4.9 Barriles de Petroleo derramados• En 2014 la corte federal penalizó con

$18B a BP“BP tomó medidas para reducir los costos a pesar de los riesgos de seguridad. Algunas de estasdecisiones "evidencian una desviación extrema de la norma de cuidado y una indiferencia conscientede los riesgos conocidos", escribió el juez Barbier, que tiene su sede en Nueva Orleans.



Síganos

¿Cuál es el impacto de la falta de seguridad en su negocio?

Según Sara Peters de Dark Reading

“El Ciber Crimen puede dar hasta el 1,425% de Retorno de Inversión”

“Usted no es el cliente, usted es EL PRODUCTO”

Jonathan Zittrain




Síganos

El Valor de los restos de un Ordenador.Bryan Krebs




Síganos

Point and Click




Síganos

AMSC (American Superconductor)

Dan McGahn, AMSC CEO

Fundada en 1987, en Deven, Masachusets.Especialistas en el diseño y manufactura de sistemas de energía y superconductores


Liaoning,China. Marzo del 2012

SINOVEL WIND GROUP,

Es el cliente más grande de AMSC

Canceló más de $700M en ordenes pendientes

Repentinamente!


La Bolsa no perdona.

Luego de la cancelaciónAMSC sufrió una caída de40% en su valoración enun mismo día.

Y un 84% a finales deseptiembre del mismoaño.


Subject: “A HarshWinter for China´s WindIndustry and its LeadingTurbine Manufacturer: Sinovel”

©2015 Check Point Software Technologies Ltd.

20[Protected] Non-confidential content[Protected] Non-confidential content



Esto puede animar a otroshackers…

Espero que no continue….


22

Additional Ransomware attacks at:

[Protected] Non-confidential content


Cuál es el impacto de esos ataques?



El Staff del Hospital

utilizandopapel , lapiz

y fax



Ambulanciasredireccionadas a otros hospitales

ProcedimientosMédicos

reagendados o cancelados

DiagnosticosMédicos Detenidos



Síganos

¿Cuál es el costo de una brecha de seguridad?

2016 Ponemon Institute:Cost of a Data BreachStudy

• 10 meses• 383 organizaciones• 12 Paíseshttps://securityintelligence.com/media/2016-cost-data-breach-study/

“El costo promedio de cada record robado va de $154 a $158”


Ponemon Institute

https://securityintelligence.com/media/2016-cost-data-breach-study/



Síganos

¿Como se calcula el costo de una brecha de seguridad?

Las actividades típicas para el descubrimiento y la respuesta inmediata a la violación de los datos incluyen:• La realización de investigaciones y análisis forense para

determinar la causa de la violación de los datos• La determinación de las posibles víctimas de la

violación de los datos• La organización del equipo de respuesta a incidentes• La realización de la comunicación y las relaciones

públicas de alcance• Preparación de los documentos de notificación y otras

revelaciones debida a las víctimas de violación de datos y reguladores



Síganos


Las siguientes son las actividades típicas realizadas en las consecuencias del descubrimiento de la violación de los datos:• Auditoría y consultoría• Servicios legales para la defensa• Servicios legales para el cumplimiento• Los servicios gratuitos o con descuento a las

víctimas de la violación• Los servicios de protección de identidad• Pérdida de negocios del cliente basado en el

cálculo de la pérdida de clientes o el volumen de negocios

• Los costes de adquisición de clientes y programas de fidelidad



Síganos


Una vez que la empresa estima un rango de costos para estas actividades, se categorizan como costos directos, indirectos y de oportunidad como se define a continuación:• Costo directo - el desembolso de gastos directos para

llevar a cabo una determinada actividad.• costos indirectos - la cantidad de tiempo, esfuerzo y

otros recursos de la organización realizados, pero no como un gasto en efectivo.

• El costo de oportunidad - el costo resultante de la pérdida de oportunidades comerciales, como consecuencia de los efectos negativos de reputación después de que la violación se ha informado a las víctimas (y públicamente revelado a los medios de comunicación).



Síganos

¿Cuáles son las soluciones más rentables ?

IMPERVA & The TechnionIsraeli Institute of

Technology Assessing the Effectiveness

of Antivirus Solutions

Diciembre 2012

“The initial detection rate of a newly

created virus is less than 5%.”

IMPERVA & The Thechion Israeli Institute of Technology



Síganos

La Ilusión de Seguridad• Según Gartner Group el gasto en software de Seguridad en 2012 fue

de $20 Billones , de ellos $7.4B fue en Anti Virus.• La predicción para 2017 es de un total de $94 Billones.

• Mikko Hipponen, Experto de F-Secure ycolumnista muy respetado por la industria dijo:

• Luego de el descubrimiento de Flame, queeste puede ser considerado una falla en laindustria del antivirus y admitió que quizás él ysus colegas están fuera de combate en supropio juego.

EL MALWARE ESTÁ

Y CON ÉL, EL TIPO DE AMENAZAS

EVOLUCIONANDO



Síganos

¿EN DONDE ESTÁN LAS INVERSIONES?


INVERSIONESHOY EN DÍA PREVENCIÓN CONTRA

AMENAZAS AVANZADAS

$19B

Firewall

VPN

IPS

Anti-Spam

URL FilteringAnti-Virus

DDoS SIEM

Sandboxing

Threat Intelligence

APT / Anti-bot

Mobile Security

Forensics

$0.6B

Día Cero? Segundo Cero?



Síganos

¿Hacia donde estamos viendo?

"En cuanto a la estrella más cercana,Proxima Centauri, si nos fijamos enque en 2012, lo que está viendo queestá sucediendo en el año 2008.“Richard Dawkins, The Magic of Reality

https://www.goodreads.com/author/show/1194.Richard_Dawkins



Síganos

Observaciones Importantes

• Estrategia de Seguridad• Arquitectura y Diseño• Asesoría• Implementaciones• Operación / Gestión• Respuesta a Incidentes

• AV Tradicional no Basta• Sandbox 1ª Generación

Evadido• Mercado Hacker• Propagación Lateral• 2014 – Año Tarjetas de

crédito• 2016 – Año del

Ransom…?



Síganos

Malware+Ingeniería Social= PWNED

Solo necesitan una…

• Estrategia de Ingeniería Social bien pensada

• Email Falso de razonable buena calidad

• Lista de direcciones de cientos o más empleados

Alguien hará click en el enlace o en el adjunto



Síganos

ROSI (Return on Security Investment)


Las organizaciones necesitan herramientas prácticas para evaluación

comparativa, de seguridad informática, con el fin de planificar la seguridad

efectiva estrategias



Síganos

ROSI (Return on Security Investment)


• ¿Cuánto es el costo de falta de seguridad que podría impactar su negocio ?• ¿Cuánto es el impacto, por falta de seguridad, en la productividad de la empresa ?• ¿Qué impacto tendría una brecha de seguridad catastrófica en su empresa?• ¿Cuáles son las soluciones más rentables ?• ¿Qué impacto tendrían las soluciones de seguridad en la productividad?




Riesgo




Cálculo del ROSI




ROSI (Return on Security investment)

Ejemplo:

Risk Exposure: $25,000, 4x per year = $100,000Risk Mitigated: 75%Solution Cost: $25,000




Cuantificando el Riesgo




Risk Exposure = ALE = SLE * ARO

SLE : Single Loss Exposure ARO: Annual rate of occurrenceALE : Annual Loss Exposure

Exposición al riesgo




VS

1000 employees* 44 Hours/year security related “downtime”

* $20 per hour average wage= $880,000 per year in lost productivity




El impacto es multidimensinal




Monetizando los beneficios esperados




Estimando las perdidas

financieras




Conclusiones



Síganos

RANSOMWARERecomendaciones Importantes para prevenir el




Síganos

Backup Regularly




Síganos

Don’t be Admin




Síganos

Patch




Síganos [Protected] Non-confidential content[Protected] Non-confidential content



Síganos [Protected] Non-confidential content

Sandblast - Check Point Threat Emulation

Looking for

malicious behaviors

T H R E AT C O N T AI N E D

Open files in a Sandbox




Sandblast - Check Point Threat Extraction

Clean potentially malicious content from documents




DEMO

El Malware no es Magia - Information Technology · Historia del Crimen Empresario ... industria del...

Documents

Transcript of El Malware no es Magia - Information Technology · Historia del Crimen Empresario ... industria del...