Resolución de problemas de DHCP en el switch Catalyst o en las redes corporativas e introducción. Contenido Introducción prerrequisitos Requisitos Com
Story Transcript
Seguridad en Redes Corporativas Detectando al Intruso
José Camacho Departamento de Teoría de la Señal, Telemática y Comunicaciones
Organiza: Grupo en Ciberseguridad de la UGR
ÍNDICE
Seguridad en Cifras Seguridad en Redes Corporativas Docencia: Laboratorio Virtual de Seguridad en Red
Investigación: Detectando al intruso con Análisis Multivariante Aplicación en Redes y Servicios Avanzados (Proyecto VERITAS) Seguridad en Redes Corporativas: Detectando al Intruso
2
SEGURIDAD EN CIFRAS
Seguridad en 2013 Enero • Red-October Cyber-Espionage Campaign • DDoS en EEUU
Febrero • Citadel Trojan en POS • Breaches en Facebook, Twitter, Apple, Microsoft…
Marzo • 5M Evernote • Cyberbunker-CloudFlare-Spamhaus – (85-300 Gbps)
• BlackPOS Verizon Data Breach Investigation Report 2014 Seguridad en Redes Corporativas: Detectando al Intruso
3
SEGURIDAD EN CIFRAS
Seguridad en 2013 Abril: • Syrian Electronic Army
Verizon Data Breach Investigation Report 2014 Seguridad en Redes Corporativas: Detectando al Intruso
4
SEGURIDAD EN CIFRAS
Seguridad en 2013 Abril: • Syrian Electronic Army
Mayo • Ciber-espionaje en EEUU, Pakistán, Tibet… • SEA – Twitter
Junio • Raley’s Breach • NetTraveller • Snowden Verizon Data Breach Investigation Report 2014 Seguridad en Redes Corporativas: Detectando al Intruso
5
SEGURIDAD EN CIFRAS
Seguridad en 2013 Julio • SEA • Breaches
Agosto • SEA – Twitter • Calc-Team – G20
Septiembre • Vodafone Breach (2M) • Espionaje • Cryptolocker Verizon Data Breach Investigation Report 2014 Seguridad en Redes Corporativas: Detectando al Intruso
6
SEGURIDAD EN CIFRAS
Seguridad en 2013 Octubre • Adobe Breach (38M) • Nordstrom • Silk Road
Noviembre •…
Diciembre • TARGET Breach (70M) Verizon Data Breach Investigation Report 2014 Seguridad en Redes Corporativas: Detectando al Intruso
7
SEGURIDAD EN CIFRAS
Seguridad Corporativa de 2013 en números 63.437 incidentes de seguridad 1.367 breaches 500-814 millones de registros (IBM, RBS)
En 2014… primera mitad
1.331 breaches 502 millones de registros 422 millones en sólo 3 incidentes (NYC Taxi, Adobe, Korea Credit Bur.) Un 78.7% de los registros fueron obtenidos por Hacking. Un 20.7% por fraude. Gasto estimado: 491 K M$ (IDM, SU, Microsoft)
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Seguridad en Redes Corporativas: Detectando al Intruso
8
SEGURIDAD EN CIFRAS IBM CyberSecurity Intelligence Index 2014
Seguridad en Redes Corporativas: Detectando al Intruso
9
SEGURIDAD EN CIFRAS
Verizon Data Breach Investigation Report 2014 Seguridad en Redes Corporativas: Detectando al Intruso
10
SEGURIDAD EN CIFRAS
ObserveIt Seguridad en Redes Corporativas: Detectando al Intruso
11
SEGURIDAD EN CIFRAS IBM CyberSecurity Intelligence Index 2014
Seguridad en Redes Corporativas: Detectando al Intruso
12
SEGURIDAD EN CIFRAS
Cisco: Security Experts Shortage 2014 1.000.000 Conocimientos valorados • Big Data • BYOD
Tendencias de contratación profesional 2014 Big Data Comunicaciones móviles La nube Seguridad Seguridad en Redes Corporativas: Detectando al Intruso
13
ÍNDICE
Seguridad en Cifras Seguridad en Redes Corporativas Docencia: Laboratorio Virtual de Seguridad en Red
Investigación: Detectando al intruso con Análisis Multivariante Aplicación en Redes y Servicios Avanzados (Proyecto VERITAS) Seguridad en Redes Corporativas: Detectando al Intruso
• Intrusion Detection System (IDSs) • Security Information & Event Management Systems (SIEMs)
Respuesta
• IRSs • Políticas y Procedimientos • Incident Response Teams
Seguridad en Redes Corporativas: Detectando al Intruso
15
SEGURIDAD EN REDES CORPORATIVAS SIEM: Integración de logs de seguridad (IDS/IPS, FWs, …)
Gestor Seguridad
Atacante Seguridad en Redes Corporativas: Detectando al Intruso
16
SEGURIDAD EN REDES CORPORATIVAS
Ej. RSA Security Analytics https://www.youtube.com/watch?v=RzscmZ-UtCY Splunk Symantec IBM ….
Seguridad en Redes Corporativas: Detectando al Intruso
17
SEGURIDAD EN REDES CORPORATIVAS
Syslog
IDS
Traffic
Netflow
Firewalls
SNMP App logs
Seguridad en Redes Corporativas: Detectando al Intruso
18
SEGURIDAD EN REDES CORPORATIVAS
Syslog
IDS
Traffic
Netflow
Firewalls
SNMP App logs
Seguridad en Redes Corporativas: Detectando al Intruso
19
SEGURIDAD EN REDES CORPORATIVAS
estructurados y desestructurados
Seguridad en Redes Corporativas: Detectando al Intruso
20
PROPUESTA PROPIA
SIEM Visualizations
Visualización de Información de Seguridad y Eventos en Red
21
SEGURIDAD EN REDES CORPORATIVAS
Sys. logs IDS
Traffic
Netflow
Firewalls
SNMP SO logs
Seguridad en Redes Corporativas: Detectando al Intruso
22
ÍNDICE
Seguridad en Cifras Seguridad en Redes Corporativas Docencia: Laboratorio Virtual de Seguridad en Red
Investigación: Detectando al intruso con Análisis Multivariante Aplicación en Redes y Servicios Avanzados (Proyecto VERITAS) Seguridad en Redes Corporativas: Detectando al Intruso
23
LABORATORIO VIRTUAL DE SEGURIDAD
Virtualización + Hardware de interconexión
Seguridad en Redes Corporativas: Detectando al Intruso
24
LABORATORIO VIRTUAL DE SEGURIDAD
Virtualización + Hardware de interconexión
Seguridad en Redes Corporativas: Detectando al Intruso
25
LABORATORIO VIRTUAL DE SEGURIDAD
Virtualización + Hardware de interconexión
Seguridad en Redes Corporativas: Detectando al Intruso
26
ÍNDICE
Seguridad en Cifras Seguridad en Redes Corporativas Docencia: Laboratorio Virtual de Seguridad en Red
Investigación: Detectando al intruso con Análisis Multivariante Aplicación en Redes y Servicios Avanzados (Proyecto VERITAS) Seguridad en Redes Corporativas: Detectando al Intruso
27
DETECTANDO AL INTRUSO CON ANÁLISIS MULTIVARIANTE
MULTIVARIATE ANALYSIS Ventaja: ¡¡Maneja miles de variables!!
Interpretación: Ataques al servicio DNS desde el interior de la red Seguridad en Redes Corporativas: Detectando al Intruso
36
DETECTANDO AL INTRUSO CON ANÁLISIS MULTIVARIANTE
Time lines oMEDA
fw_iplog (54) fw_psyslog (55)
BOTNET
'fw_asa4' 'fw_syswarn' 'fw_pftp' 'fw_asa41'
Interpretación: intentos de conexión FTP bloqueado por el firewall Seguridad en Redes Corporativas: Detectando al Intruso
37
DETECTANDO AL INTRUSO CON ANÁLISIS MULTIVARIANTE
Time lines oMEDA BOTNET
fw_iplog (54) fw_psyslog (55)
'fw_asa4' 'fw_syswarn' 'fw_pftp' 'fw_asa41'
Interpretación: intentos de conexión FTP bloqueado por el firewall IBM CyberSecurity Intelligence Index 2014 Seguridad en Redes Corporativas: Detectando al Intruso
38
DETECTANDO AL INTRUSO CON ANÁLISIS MULTIVARIANTE
Seguridad en Redes Corporativas: Detectando al Intruso
39
DETECTANDO AL INTRUSO CON ANÁLISIS MULTIVARIANTE 2000
10.32.64.91
1500
PC 2
10.32.0.50
1000
500
0
10.32.41.128
10.32.0.13
-500 -2500
-2000
-1500
-1000
-500
0
500
PC 1
Seguridad en Redes Corporativas: Detectando al Intruso
Seguridad en Redes Corporativas: Detectando al Intruso
41
ÍNDICE
Seguridad en Cifras Seguridad en Redes Corporativas Docencia: Laboratorio Virtual de Seguridad en Red
Investigación: Detectando al intruso con Análisis Multivariante Aplicación en Redes y Servicios Avanzados (Proyecto VERITAS) Seguridad en Redes Corporativas: Detectando al Intruso
42
APLICACIÓN EN REDES Y SERVICIOS AVANZADOS: PROYECTO VERITAS
Seguridad en Redes Corporativas: Detectando al Intruso
43
APLICACIÓN EN REDES Y SERVICIOS AVANZADOS: PROYECTO VERITAS
Cortafuegos
Antivirus Estadísticas de red Logs S.O., aplicaciones
D-st & SPE
Estadísticas locales
Sensor PCA Seguridad en Redes Corporativas: Detectando al Intruso
44
APLICACIÓN EN REDES Y SERVICIOS AVANZADOS: PROYECTO VERITAS Cortfuegos
D-st & SPE
SIEM
D-st & SPE IDS
D-st & SPE
D-st & SPE Cortfuegos
Cortfuegos
D-st & SPE D-st & SPE
D-st & SPE D-st & SPE
Seguridad en Redes Corporativas: Detectando al Intruso
D-st & SPE
D-st & SPE D-st & SPE
45
APLICACIÓN EN REDES Y SERVICIOS AVANZADOS: PROYECTO VERITAS
Seguridad en Redes Corporativas Detectando al Intruso
José Camacho Departamento de Teoría de la Señal, Telemática y Comunicaciones