Hardening de usuarios:

la gestión de la capa faltante

Mauro Graziosi, CEO de

Temario

Estado actual de las

corporaciones

Desafíos organizacionales

Soluciones propuestas

Estado actual

de las

corporaciones

Evolución de

los ataques

Fuente: Attack sophistication vs Intruder Knowledge. Carnegie Mellon University

[A]pache’s

Phishing Kit

Advertisement

Fuente: https://research.checkpoint.com/wp-content/uploads/2018/04/Tracking_Down_Apache_Phishing_Brochure_180424.pdf

[A]pache’s

Phishing Kit

Advertisement

Fuente: https://research.checkpoint.com/wp-content/uploads/2018/04/Tracking_Down_Apache_Phishing_Brochure_180424.pdf

Números del

Phishing

Durante la primera mitad de 2017,

se crearon alrededor de 8 millones

de sitios únicos de Phishing

El phishing estuvo presente en

el 90% de los ataques exitosos

Fuentes:

https://www-cdn.webroot.com/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf

https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_execsummary_en_xg.pdf

https://blog.segu-info.com.ar/2016/02/phishing-de-visa-paso-paso-alojado-en.html

Kit de Phishing

de VISA

Fuente: https://blog.segu-info.com.ar/2016/02/phishing-de-visa-paso-paso-alojado-en.html

Fuente: https://blog.segu-info.com.ar/2016/02/phishing-de-visa-paso-paso-alojado-en.html

Kit de Phishing

de VISA

Fuente: APWG Phishing Attack Trends Reports - http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf

Evasión de las

medidas de

protección

291.000

8.000.000

Sitios únicos de Phishing en la primera mitad del 2017

Detectados

Creados

Técnicas de

evasión

Se encuentran disponibles

entre 4 y 8 horas

Utilizan certificados SSL

Utilizan dominios muy similares

al dominio real

Fuente:

Webroot Quarterly Threat Trends

https://www-cdn.webroot.com/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf

Fuente: Webroot Quarterly Threat Trends - https://www-cdn.webroot.com/8415/0585/3084/Webroot_Quarterly_Threat_Trends_September_2017.pdf

Evolución de

los ataques de

Phishing

Fuente: Enterprise Strategy Group, 2017

Comparativa

entre Phishing

y otras

amenazas

Ataques

cada vez más

sofisticados El Phishing dirigido y el Whaling

han generado pérdidas por 5.3

billones de dólares entre 2013 y

2016 (sólo en USA)

El 91% de los ataques de

Phishing en 2017 derivaron en

un ataque de Ransomware y

Malware

Fuente:

https://www.vadesecure.com/en/ransomware-statistics-2017/

Números del

Ransomware

Se espera que en 2019 una

empresa sea víctima del

Ransomware cada 14 segundos

Fuentes:

https://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/

https://www.csoonline.com/article/3153707/security/top-5-cybersecurity-facts-figures-and-statistics.html

5

11,5

2017 2019

Costos asociados al Ransomware en

Billones de Dólares

Ejemplos de

Spear Phishing

Ejemplos de

Spear Phishing

Desafíos

organizacionales

Área de

Seguridad de

la Información

como

obstaculizador

Cumplimiento

Normativas externas

Firma + Actualización

de información

Requisitos sobre logs/registros

Fallo 1

Elementos: Consentimiento – Fallo Z.G.A. c. Total Austral S. A. -

CNTrab., sala X, Año 2005.

“Resulta excesivo e injustificado el despido del trabajador por la causal

de utilización del sistema informático para fines personales y

extralaborales, si durante el tiempo de prestación de servicios no

tuvo conocimiento ni le fue entregado ningún material

relativo a política ni seguridad informática ni fue

notificado de ningún código de ética informática de la

empresa. Resulta también injustificado si la implementación de una

política de control de Internet y de intranet por parte del empleador,

para impedir a los dependientes la utilización del sistema para los fines

mencionados, se habría llevado a cabo con posterioridad al despido del

trabajador.”

Fallo 2

Fallo Romero Walter Daniel c/Comsat Argentina SA s/despido - CNTRAB – SALA III –

2007. “La demandada se agravia porque entiende que la sentenciante, sobre la base de una

errónea apreciación de los hechos y de las pruebas producidas en la causa, concluyó que la

medida dispuesta fue desproporcionada y que debería haber aplicado una sanción menor, antes

que recurrir al despido. No asiste razón al apelante en lo principal de su queja porque no

probó que el actor violara la política interna de la compañía sobre el uso de tecnología y

recursos, y pusiera en peligro la seguridad informática y el patrimonio de la misma. La

empresa demandada no logró probar que había un reglamento interno sobre el uso que debía

darse a los equipos informáticos, ni que ese reglamento hubiera sido

puesto en conocimiento del personal en forma fehaciente, toda

vez que las pruebas aportadas no son suficientes a tal fin, pues el testigo García (fs.129) dijo

que todas las computadoras tienen acceso a Internet y conexión entre ellas, que la única

reglamentación que circuló una vez por mail fue una especie de

memo interno con una determinada política de la compañía

que hacia hincapié en cuestiones comerciales de licitaciones.”

Soluciones

propuestas

Suministrar

regularmente

información

Política de uso aceptable

Acuerdo de confidencialidad

Tratamiento de datos personales

Monitoreo laboral

Establecer

una línea base

de riesgo

Sirve como punto de entrada

para un proceso de mejora

continua

Permite conocer el estado de

riesgo actual de nuestra

organización

Usos de la

línea base o

fotografía de

riesgo

Brindar un estado de situación

Establecer objetivos, metas e

hitos

Evaluar en el tiempo la efectividad

de nuestras acciones

Demostrar la utilidad de la

inversión realizada

Indicadores

de riesgo

Comportamiento del

usuario

Fuga de información

Ejecución de Software

Malicioso

Opinión de los usuarios para

con el área de seguridad

Conocimiento de las

políticas de la organización

Conocimiento de la

organización

¿Y una vez

establecida?

Definir el estado deseado

Volver a tomar la fotografía

de riesgo

Comenzar con las acciones de

concientización y entrenamiento

Mejorar la

imagen del

área con una

comunicación

de valor

Contenidos adecuados a la

realidad de la organización

Comunicación cómoda y de

corta duración

Cambio de hábitos

VS cumplimiento

Refuerzo positivo

Por qué se implementan

las medidas

Gamificación

Vida privada y en

familia del usuario

Después Ahora

Políticas

Controles técnicos

Transparencia

Acceso / comunicación

Entrega de valor

Alcance

Reglas que prohíben hacer lo

que quiero como quiero

Estorbo que no permite hacer

lo que quiero como quiero

Baja

Bajo

¿?

Dentro de la organización

Pautas para trabajar de la

mejor manera

Medidas que me dan

tranquilidad y protección para

enfocarme en hacer mi trabajo

Media/Alta

Medio/Alto

Media/Alta

Dentro de la organización,

fuera de ella y para la vida

cotidiana

Siguientes

pasos

-

Preguntas

/mauro_graziosi

/in/mgraziosi/

mauro.graziosi@smartfense.com

blog.smartfense.com