1

Amenazas que
pueden pasar
desapercibidas
Securonix Latinoamérica

Luis Guzmán
Senior Sales Engineer

Javier Rodríguez
Sales Director

© 2018 Securonix. All Rights Reserved. Confidential.

 2

Estamos realmente midiendo el riesgo?

Un proceso representa un riesgo inherente…

Un usuario o un grupo de personas…
Los eventos que los pueden involucrar…

© 2018 Securonix. All Rights Reserved. Confidential.

 3

La realidad de nuestra región

Seguridad basada en
politicas

“Hay fisuras que aparentemente no

representan ningún riesgo”

© 2018 Securonix. All Rights Reserved. Confidential.

 4

Estado actual de la industria

• Los plazos de detección de brechas promedio se
siguen midiendo en meses; .... todavía alrededor de
la marca de 200 dias
• 83% de toda pérdida de datos a través de
credenciales legítimas comprometidas credenciales y
ataques con motivación financiera
• Los Insiders de la companía están detrás de 1 en 4
brechas de datos

Los perímetros son porosos.

¡Debemos defender los datos!
© 2018 Securonix. All Rights Reserved. Confidential.
 5

Con Securonix…

1.) Un compromiso real con nuestros clientes en

ciberseguridad….100% de enfoque.

2.) Medición del riesgo con un alto factor de confianza

© 2018 Securonix. All Rights Reserved. Confidential.


Riesgos iniciados por usarios INTERNOS
Espionaje o el
Sabotaje
El uso de la tecnología o
datos internos para dirigir
el daño específico a una
organización. ( Ponemon pone
el costo minimo de $489K)
6
Robo de propiedad
Fraude
intelectual
Roba de propiedad Modificación, adición o
intelectual de la supresión de los datos de
organización para una organización para
beneficio personal, ganancia personal, o robo
político o idealista. de información que
conduzca a un robo de
identidad.
© 2018 Securonix. All Rights Reserved. Confidential.
 7

Tipos de usario internos

Negligente Malicioso Cuentas Robadas

Empleado sin saberlo o Empleado que Una cuenta de empleado

compromete intencionalmente compromete comprometida y mal utilizada
accidentalmente los datos los datos y abusa los para fines maliciosos por un
privilegios actor externo

Usuario Interno: Empleados actuales, empleados terminados, contratistas, vendedores, proveedores, etc.

© 2018 Securonix. All Rights Reserved. Confidential.

 8

Amenaza Interna: Ejemplos del mundo real

• Un ingeniero robó secretos comerciales valorados en $ 100- $ 200M
En cada uno de estos
mientras trabajaba en una subsidiaria - ha sido sentenciado a dos años de
casos, el usuario está
libertad condicional (1 + TB de datos)
utilizando credenciales
legítimas, lo que hace
• Un empleado de una compañía farmacéutica se une a la competencia y
que sea extremadamente
envía un correo electrónico de propiedad intelectual a su correo electrónico
difícil para las soluciones
personal
basadas en reglas
detectar tales amenazas.
• Un usuario a punto de abandonar la empresa emite un gran número de
archivos confidenciales justo antes del último día de trabajo

© 2018 Securonix. All Rights Reserved. Confidential.

 9

Amenaza Interna: ejemplos del mundo real

.
En este caso, el usuario
está utilizando
credenciales legítimas, lo
que hace que sea
extremadamente difícil
para las soluciones
basadas en reglas
detectar tales amenazas.
Cuanto se demoro Apple
para saber que el robo
paso?

© 2018 Securonix. All Rights Reserved. Confidential.

 10

Amenaza Interna: ejemplos del mundo real

.

© 2018 Securonix. All Rights Reserved. Confidential.

 11

Detección de amenazas internas: Enfoque

Non-Tech Indicators

Prevenir Detectar Responder

(patrones) (evidencia) (Acciones)

Tech Indicators

El contexto de la entidad es crítico para la amenaza interna

© 2018 Securonix. All Rights Reserved. Confidential.

 12

Análisis de Exfiltración de Datos - Securonix

Recursos Humanos (Emp/Cont) Otras Fuentes…
>Performance Review >Email and DLP Alerts
>Upcoming Termination >Physical access logs
>Employee code of conduct >SharePoint/Document access logs
>VPN
Egress

Subidas a una
Correo USB CD/DVD Imprimir
Red Externa

Analytical Approach
Quien? (Personal Risk
Indicator)
• Watch list Users
• Bad performance review
• Upcoming termination
• Flight risk users
• Employee code of conduct
• Employee Type (Contractor
Vs. Employee)
Que? (Risk Boosters)
• Internal Sensitive Documents
• Critical files downloaded from
SharePoint
• Blueprints
+ • High value extension files
• Source code
Donde? (Exfiltration) Behavior Analytics
• Recipient analysis • Flight Risk: predictive
• Personal Email address analytics
• Competitor domain • Behavior algorithms:
• Non-business domain • Event Rarity
+ • Non approved USB devices • Peak Usage
• Mass storage • Peer outlier
• BCC and Forwards • Cross channel data egress
• Document Discovery

© 2018 Securonix. All Rights Reserved. Confidential.

 13

Análisis de Exfiltración de Datos - Modelado de Amenazas

• Higher than • Personal email /
• Forwarding • Flight risk /
• SSN normal DLP Non business
behavior Exiting
• PII alerts accounts
• Encrypted / behavior
• CCN • Higher than • Unauthorized
compressed file • Disgruntled
• Source Code normal amount removable
attachments users
• IT assets/ of data egress media
• Circumvention • Upcoming
Network • Anomalous • File storage
of controls terminations
diagrams activity domain uploads
• Privilege abuse • Contractors
• … compared to • Cross channel
• … • ….
peer attempts

RISK BOOSTERS PERSONAL RISK

CONTENT BEHAVIOR ANOMALY DESTINATION
(INTENT) (INTENT)

Higher risk, lower false positives

© 2018 Securonix. All Rights Reserved. Confidential.

 14

Análisis de Cuenta Privilegiada

HR Data (Emp/Cont) Other Data Sources
>CMDB Data >Application logs
>Asset Owner info >Database logs
>Service account owner >Server logs
info >VPN
>Geolocation >PIM/PAM
Privileged activity on
>Other

Routers/ Business 3rd party

Servers Databases
Switches Applications applications

Analytical Approach
Who? (Inherent Risk
Indicator)
• Watch list Users
• Administrators
• High Privileged Users
• Flight risk users
• Non-privileged users
• Contractors
What? (Privileged activity)
• Privileged activity on Database
• Privileged activity on Servers
• Privileged activity on
Applications
+ • Authentication anomalies
• In-secure file transfer activity
• Circumventing IT controls
• Multiple host access within a
short time frame
Where? (Critical assets) Behavior Analytics
• Databases, applications, • Unusual authentication
servers and routers/switches anomaly
classified as critical due to • Behavior algorithms:
• SOX / HIPAA / PCI • Event Rarity
+ Compliance • Peak Usage
• Customer confidentiality • Peer outlier
• Intellectual property • Access Anomalies
• Critical business function • File transfer anomalies
© 2018 Securonix. All Rights Reserved. Confidential.
 15

DEMO de SNYPR

© 2018 Securonix. All Rights Reserved. Confidential.

 16

Gracias!

© 2018 Securonix. All Rights Reserved. Confidential.