2016-06-09

CONFERENCIA – MANEJO DE

INCIDENTES

MIGUEL AREVALO

Quién Soy?

• Gerente de Consultoría – NOLAC (Norte de LAC)

• +15 años de experiencia en Seguridad

• +5 años de experiencia en PCI incluyendo:

– Entidades Financieras

– Proveedores de Servicio

– Comercios

CISSP / CISA / QSA / PA-QSA / Visa SA

OBJETIVO

Qué busca esta presentación?

• Entender los pasos para implementar un adecuado Manejo de Incidentes

Pasos

Generales

Existen varios estándares respecto al Manejo de Incidentes:

• SANS:

https://www.sans.org/reading-room/whitepapers/incident

• NIST:

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP

.800-61r2.pdf

Estándares en Manejo de Incidentes

Preparar Detectar Contener Erradicar RecuperarLecciones Aprendidas

Pasos a seguir – ”PDCERL”

Preparar

Pasos a seguir – ”PDCERL”

• Cual va a ser el equipo interdisciplinario

• Cómo lo preparo?

• Autoridades locales -> ColCert. Unidad de Delitos

• Otras entidades -> Visa / Master Card

• Expertos en Respuesta a Incidentes

• Jump Box

• Definición de planes a seguir en caso de incidentes

• Pruebas al Plan

Detectar

Pasos a seguir – ”PDCERL”

• Cómo identifico que tengo un Incidente?

• Análisis del Incidente

• Clasificación del Incidente

• Despliegue del proceso definido

Contener Erradicar Recuperar

Pasos a seguir – ”PDCERL”

• Analizar la estrategia de contención apropiada

• Obtención de evidencias

• Identificación del Host Atacante

• Erradicar el ataque

• Implementar acciones para que no se repita

• Recuperar el sistema

Lecciones Aprendidas

Pasos a seguir – ”PDCERL”

• Cuál fue la causa?

• Cómo lo pude evitar?

• Cuánto tiempo tuve de reacción?

• Cómo puedo mejorar los tiempos?

• Estaba mi equipo preparado y capacitado adecuadamente?

TRUSTWAVE SPIDERLABS

SpiderLabs Team

• Industry veterans and thought leaders in ethical

hacking and security research

• Over 150 experts across 17 countries, with average

12 years of experience

• Backgrounds in law enforcement, government and

military services

• Sought out industry speakers and published authors

EXPERT

TESTINGOffensive security testing

delivered on time, on

budget and on demand

INCIDENT READINESS

& RESPONSEServices designed to prevent

compromise and protect

integrity of business and data

FORENSICS

INVESTIGATIONS

Post-incident analysis

of actual security

breaches and data loss

The brains behind the report

SpiderLabs Research - Annual GSR Report

• Hundreds of investigations in 17 countries

• Billions of events each day – 8 Global SOCs

• 4 million vulnerability scans

• Tens of millions of web transactions

• Millions of malicious websites blocked

• Thousands of penetration tests

DATA COMPROMISE

COMPROMISES BY REGION

46%

45%

33%

27%

17%

15%

4%

13%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2014

2015

North America Asia-Pacific Europe, Middle East & Africa Latin America & Caribbean

Tomado del reporte de Seguridad Global de Trustwave de 2016:

https://www2.trustwave.com/GSR2016.html

DATA COMPROMISE

MODE OF DETECTION

3%

12%

7%

58%

19%

3%

11%

11%

36%

41%

0% 10% 20% 30% 40% 50% 60%

Consumer

Attacker

Law Enforcement

Third Party

Regulatory Bodies,Card Brands orMerchant Banks

Self Detected

2015 2014

Gracias!

Preguntas ?