SlideShare uma empresa Scribd logo

¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security

Transferir como PPTX, PDF
Panda Security
Panda Security

El pasado miércoles 31 de octubre tuvo lugar nuestro webinar "¿Qué es Threat Hunting y por qué lo necesitas?", donde te mostramos las claves sobre: 1. Qué es Threat Hunting. 2. Por qué se está volviendo tan popular y qué tipos de ataques lo están haciendo necesario. 3. Cuáles son los retos. 4. Servicio de Threat Hunting e Investigación de ataques. 5. Casos Prácticos. Descubre más en https://www.pandasecurity.com/spain/business/adaptive-defense/?utm_source=slideshare&utm_medium=social&utm_content=SM_ES_WEB_adaptive_defense&track=180715

Tecnologia
1 de 28
¿Qué es Threat Hunting? Y por qué es necesario Conrado Crespo Country Partners Presales Manager Panda Security HQ
Agenda • ¿Qué es Threat Hunting? • ¿Por qué se ha popularizado? • ¿Cuáles son los desafíos? • Panda T.H.I.S. • Caso práctico • Resumen • Q & A
¿Qué es Threat Hunting?
Definición de “Threat Hunting” “…es el proceso de búsqueda interactiva y proactiva a través de las redes para detectar y aislar amenazas avanzadas capaces de evadir las soluciones de seguridad existentes.” En contraste con las medidas tradicionales de gestión de amenazas como firewalls, intrusion detection systems (IDS), malware sandbox (computer security) y sistemas SIEM, los cuales implican investigación después que se haya producido una alerta de ataque potencial o se haya producido un incidente de seguridad.
Características del “Threat Hunting” • Un enfoque Proactivo vs. al Reactivo frente a las amenazas. • Threat hunting no es Respuesta ante Incidentes, pero sí están conectados. • Threat hunting suple lo que las herramientas actuales no pueden ver. • No reemplaza a otras estrategias como Threat Detection.
Diferencias según Gartner Desplegar condiciones de detección (reglas, algoritmos) Recepción de alertas cuando se producen detecciones Triage alertas Respuesta al incidente Threat Detection Formular hipótesis de ataque Búsqueda evidencias Si se confirma, pivotar y extender el ámbito de la búsqueda Threat Hunting Respuesta al incidente Creación de una nueva condición de detección Si no se confirma, volver Gartner 2017 How to Hunt for Security Threats. Anton Chuvakin, 6 April 2017. ID: G00327290.
¿Por qué se ha popularizado el Threat Hunting?
La Proactividad es tendencia • Soluciones • De EPP a EDR  ofrece telemetría necesaria para threat hunting • Productos de ciberataque y engaño (cyber-deception) • Prácticas • Intuición y escucha  cazadores en la Red • Penetration testing (imitar a los atacantes) caja negra, caja blanca • Red team contra Blue Team (juegos de guerra)
Las trazas son valiosas • Los atacantes dejan tras de sí valiosas trazas • Ataques fallidos • Sondas • Descubrimiento de debilidades • Descubrir actividades antes que supongan un desastre
*IBM/Ponemon 2018 Cost of Data Breach Study ¡Las brechas de seguridad son costosas! • El coste medio de una brecha de seguridad en EEUU es de $7.9M • El coste medio de una brecha de seguridad global es de $3.8M • Se tarda una media de 197 días en identificar una brecha de seguridad • Se require de un periodo medio de 69 días para contener una brecha de seguridad
Las infecciones por malware se están reduciendo • 2016 tuvo un 40% menos de infecciones que en 2015 • La mejora en 2017 es del 70% • En 2018 las infecciones reportadas por malware tienden a cero
Las infecciones por malware se están reduciendo El Nuevo problema son los Hackers • Entrenados por gobiernos, empresas de seguridad y organizaciones criminals. • Elaboran ataques dirigidos con malware propietario. • Utilizan aplicaciones legítimas y goodware para pasar desapercibidos. • Es necesaria una respuesta equivalente a este tipo de amenaza.
¿Cuáles son los desafíos?
El tiempo necesario a dedicar a la tarea • Si eres el administrador TI, el técnico y el CISO a la vez: • El tiempo es un bien escaso • Probablemente no tenga tiempo para dedicar a tareas de threat hunting • Se require tiempo para una efectiva búsqueda de amenazas: • Recoger datos, crear hipótesis, validarlas • Se requiere tiempo para investigar: • Indicadores de ataque • IOAs • IOC • Patrones de ataque: • Grupos de amenazas
Recursos • Herramientas: • Recolección de datos (SIEM, endpoints, etc) • Logs, logs, logs • Presupuesto: • Herramientas • Equipo humano • Respuesta ante incidentes • $$$$$
Conocimiento ¿Sabes lo que estás mirando? ¿Sabes qué es lo que estás buscando?
¿Qué hacer entonces? Si no dispones del tiempo, los recursos o el conocimiento, ¿cómo puedo beneficiarme de threat hunting..?
Panda T.H.I.S Threat Hunting & Investigation Service
Threat Hunting The Adaptive Defense Service • Monitorización continua del endpoint contra ataques de seguridad realizados por agentes internos y externos. • Localizar atacantes que no utilizan malware. Beneficios Detección hackers • Ataques Next-gen or malware-less • Movimientos laterales Identificación de empleados maliciosos • Modelado de comportamiento de ususarios • Control de identidad, control de datos
El proceso de Threat Hunting ¿Dónde se encuentra el ataque? Endpoints Almacén Eventos Cronología histórica 3. Confirmación Incidente • Service Orchestrator • Forensic Console Flujo de Eventos 1. Generación de hipótesis Back Testing Console 2. Lanzar Detonación Threat Engine
Telemetría de Eventos Principales eventos recogidos:  Process • Creation • Injections  Files • Creation • Modification • Open  Communications • IPs Origin and Destiny • Downloads ( URLs )  Registry • Creation • Modification  Administrative • Installation • Turn on/off CIFRAS GLOBALES (12 MESES) • ~4000 EVENTOS DIARIOS POR MAQUINA • ~4000M EVENTOS PROCESADOS EL BIG DATA • ~500,000M EVENTOS ALMACENADOS. • ~500 DETECTION CONTENTS • ~4 BILLONES DE APLICACIONES PERFILADAS • ~2,5 BILLONES DE WORKSTATIONS PERFILADOS • ~3,5 BILLONES DE ID´S PERFILADOS
Ejemplo de Threat Hunting Bondat: Estudio, Hipótesis, e Investigación de Threat Hunting
Estudio de una amenaza, generación de hipótesis y validación Threat Hunting: Bondat – el gusano invisible Paso 1: El Estudio: Un experto en threat hunting analiza la familia y estudia sus características, descubriendo lo siguiente: • Es un gusano (worm) escrito en JavaScript / VBScript • Se propaga a través de dispositivos extraibles (pendrives, hard drives, etc) mediante la creación de LNKs • Se implanta en el arranque de sistema • El servidor C & C actualiza su código • Incorpora medidas Anti-debug / anti-vm / anti-emulación • Código altamente ofuscado en sus últimas versiones • Muy difícil de detector estáticamente / firmas • Se propaga muy rapidamente en la red • La desinfección es complicada una vez se expande a través de la red
Generación de hipótesis : • Basadas en posibles comunicaciones con C&Cs • Basadas en el tipo de ocultación y tipo de ejecuciones (extended) • Basadas en los tipos de eventos Generación Hipótesis Threat Hunting: Bondat – el gusano invisible Back testing console Almacenamiento Retrospectivo de Eventos Validación de hipótesis: • Descubrimos que el gusano descarga y ejecuta scripts en Powershells (nunca visto anteriormente, nueva funcionalidad). • Vemos que descarga JavaScripts. • Descarga el intérprete PHP y realiza entonces otra consulta a otra web para obtener un Nuevo código PHP para ejecutar. Estudio de una amenaza, generación de hipótesis y validación
Ataques descubiertos: • Conociendo los detalles de comunicaciones con el C & C fue posible hacerse pasar por una máquina infectada y asi recojer los últimos payloads que los atacantes estaban utilizando. Estudio de una amenaza, generación de hipótesis y validación Threat Hunting: Bondat – el gusano invisible • Ataques de fuerza bruta sobre una lista de sitios en Wordpress para infectarlos con troyanos • Descarga e instalación de mineros para ganancia económica. • Ataque de DoS al NRA (National Association of the American Rifle). IOAs • Generación de nuevas IOAs. • Creación de nuevos contenidos de detección. • Notificación de incidentes a los clientes afectados.
. This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from Panda Security. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. • According to Gartner2: “Organizations should pay particular attention to solutions that include managed services like threat hunting or file classification. • Panda Security's unique value proposition is the classification or attestation of every single executable file and process on a protected endpoint device, and it is the only vendor to include a managed threat hunting service in the base purchase of its EPP. ” Panda Adaptive Defense 360 proporciona ambos servicios gestionados, sin coste adicional: Panda Security nominada como visionario en el Gartner Magic Quadrant 100% Attestation Service Threat Hunting & Investigation Service
• El Malware no es el único problema a resolver, hay que trasladar el foco para incluir ataques en tiempo real y hackers. • Los atacantes evolucionan y se adaptan a herramientas y servicios. Un análisis continuado y una labor de threat hunting es la solución. • La plataforma Panda Adaptive Defense 360 te proporciona todo esto simplemente instalando la protección. Resumen
¿Preguntas? conrado.crespo@pandasecurity.com

Recomendados

Endpoint Security Solutions
Endpoint Security SolutionsEndpoint Security Solutions
Endpoint Security SolutionsThe TNS Group
 
Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersInfosec
 
Security analytics for dummies Securonix special edition
Security analytics for dummies Securonix special editionSecurity analytics for dummies Securonix special edition
Security analytics for dummies Securonix special editionMarusya Maruzhenko
 
QRadar Architecture.pdf
QRadar Architecture.pdfQRadar Architecture.pdf
QRadar Architecture.pdfPencilData
 
IBM QRadar UBA
IBM QRadar UBA IBM QRadar UBA
IBM QRadar UBA IBM Security
 
Symantec Data Loss Prevention 9
Symantec Data Loss Prevention 9Symantec Data Loss Prevention 9
Symantec Data Loss Prevention 9Ariel Martin Beliera
 
Event Viewer
Event ViewerEvent Viewer
Event ViewerMathi Vanan
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxInfosec
 

Recomendados

Endpoint Security Solutions
Endpoint Security SolutionsEndpoint Security Solutions
Endpoint Security SolutionsThe TNS Group
 
Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersInfosec
 
Security analytics for dummies Securonix special edition
Security analytics for dummies Securonix special editionSecurity analytics for dummies Securonix special edition
Security analytics for dummies Securonix special editionMarusya Maruzhenko
 
QRadar Architecture.pdf
QRadar Architecture.pdfQRadar Architecture.pdf
QRadar Architecture.pdfPencilData
 
IBM QRadar UBA
IBM QRadar UBA IBM QRadar UBA
IBM QRadar UBA IBM Security
 
Symantec Data Loss Prevention 9
Symantec Data Loss Prevention 9Symantec Data Loss Prevention 9
Symantec Data Loss Prevention 9Ariel Martin Beliera
 
Event Viewer
Event ViewerEvent Viewer
Event ViewerMathi Vanan
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxInfosec
 
FRIDA 101 Android
FRIDA 101 AndroidFRIDA 101 Android
FRIDA 101 AndroidTony Thomas
 
Windows Forensics
Windows ForensicsWindows Forensics
Windows ForensicsPrince Boonlia
 
Transforming Adversary Emulation Into a Data Analysis Question
Transforming Adversary Emulation Into a Data Analysis QuestionTransforming Adversary Emulation Into a Data Analysis Question
Transforming Adversary Emulation Into a Data Analysis QuestionMITRE - ATT&CKcon
 
Information Leakage & DLP
Information Leakage & DLPInformation Leakage & DLP
Information Leakage & DLPYun Lu
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for BeginnersSKMohamedKasim
 
What is Next-Generation Antivirus?
What is Next-Generation Antivirus?What is Next-Generation Antivirus?
What is Next-Generation Antivirus?Ryan G. Murphy
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28Shang Wei Li
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter HimselfSergey Soldatov
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopDigit Oktavianto
 
Crowdstrike .pptx
Crowdstrike .pptxCrowdstrike .pptx
Crowdstrike .pptxuthayakumar174828
 
Binders and crypters
Binders and cryptersBinders and crypters
Binders and cryptersTej Singh
 
Seguridad perimetral
Seguridad perimetralSeguridad perimetral
Seguridad perimetralAndreyJimenez12
 
Threat hunting in cyber world
Threat hunting in cyber worldThreat hunting in cyber world
Threat hunting in cyber worldAkash Sarode
 
Cyber Threat Intel : Overview
Cyber Threat Intel : OverviewCyber Threat Intel : Overview
Cyber Threat Intel : OverviewDeepak Kumar (D3)
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligenceMarlabs
 
Soc analyst course content
Soc analyst course contentSoc analyst course content
Soc analyst course contentShivamSharma909
 
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)Iftikhar Ali Iqbal
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligenceZaiffiEhsan
 
Cryptography-Known plain text attack
Cryptography-Known plain text attack Cryptography-Known plain text attack
Cryptography-Known plain text attack amiteshg
 
Security in the age of Artificial Intelligence
Security in the age of Artificial IntelligenceSecurity in the age of Artificial Intelligence
Security in the age of Artificial IntelligenceFaction XYZ
 
Apt malware
Apt malwareApt malware
Apt malwareJose Molina
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 

Mais conteúdo relacionado

Mais procurados

FRIDA 101 Android
FRIDA 101 AndroidFRIDA 101 Android
FRIDA 101 AndroidTony Thomas
 
Transforming Adversary Emulation Into a Data Analysis Question
Transforming Adversary Emulation Into a Data Analysis QuestionTransforming Adversary Emulation Into a Data Analysis Question
Transforming Adversary Emulation Into a Data Analysis QuestionMITRE - ATT&CKcon
 
Information Leakage & DLP
Information Leakage & DLPInformation Leakage & DLP
Information Leakage & DLPYun Lu
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for BeginnersSKMohamedKasim
 
What is Next-Generation Antivirus?
What is Next-Generation Antivirus?What is Next-Generation Antivirus?
What is Next-Generation Antivirus?Ryan G. Murphy
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28Shang Wei Li
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopDigit Oktavianto
 
Binders and crypters
Binders and cryptersBinders and crypters
Binders and cryptersTej Singh
 
Threat hunting in cyber world
Threat hunting in cyber worldThreat hunting in cyber world
Threat hunting in cyber worldAkash Sarode
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligenceMarlabs
 
Soc analyst course content
Soc analyst course contentSoc analyst course content
Soc analyst course contentShivamSharma909
 
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)Iftikhar Ali Iqbal
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligenceZaiffiEhsan
 
Cryptography-Known plain text attack
Cryptography-Known plain text attack Cryptography-Known plain text attack
Cryptography-Known plain text attack amiteshg
 
Security in the age of Artificial Intelligence
Security in the age of Artificial IntelligenceSecurity in the age of Artificial Intelligence
Security in the age of Artificial IntelligenceFaction XYZ
 

Mais procurados (20)

FRIDA 101 Android
FRIDA 101 AndroidFRIDA 101 Android
FRIDA 101 Android
 
Windows Forensics
Windows ForensicsWindows Forensics
Windows Forensics
 
Transforming Adversary Emulation Into a Data Analysis Question
Transforming Adversary Emulation Into a Data Analysis QuestionTransforming Adversary Emulation Into a Data Analysis Question
Transforming Adversary Emulation Into a Data Analysis Question
 
Information Leakage & DLP
Information Leakage & DLPInformation Leakage & DLP
Information Leakage & DLP
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for Beginners
 
What is Next-Generation Antivirus?
What is Next-Generation Antivirus?What is Next-Generation Antivirus?
What is Next-Generation Antivirus?
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
 
Crowdstrike .pptx
Crowdstrike .pptxCrowdstrike .pptx
Crowdstrike .pptx
 
Binders and crypters
Binders and cryptersBinders and crypters
Binders and crypters
 
Seguridad perimetral
Seguridad perimetralSeguridad perimetral
Seguridad perimetral
 
Threat hunting in cyber world
Threat hunting in cyber worldThreat hunting in cyber world
Threat hunting in cyber world
 
Cyber Threat Intel : Overview
Cyber Threat Intel : OverviewCyber Threat Intel : Overview
Cyber Threat Intel : Overview
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
Soc analyst course content
Soc analyst course contentSoc analyst course content
Soc analyst course content
 
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)
McAfee - McAfee Active Response (MAR) - Endpoint Detection & Response (EDR)
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
Cryptography-Known plain text attack
Cryptography-Known plain text attack Cryptography-Known plain text attack
Cryptography-Known plain text attack
 
Security in the age of Artificial Intelligence
Security in the age of Artificial IntelligenceSecurity in the age of Artificial Intelligence
Security in the age of Artificial Intelligence
 

Semelhante a ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security

Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasBe Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasSymantec LATAM
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Módulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESETMódulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESETJesús Daniel Mayo
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 

Semelhante a ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security (20)

Apt malware
Apt malwareApt malware
Apt malware
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasBe Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive Defense
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Módulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESETMódulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESET
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Seguridad informatica 2 ximello
Seguridad informatica 2 ximelloSeguridad informatica 2 ximello
Seguridad informatica 2 ximello
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello Santiago
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadar
 

Mais de Panda Security

Entrevista a Juan Santamaria en El Pais Retina – Panda Security
Entrevista a Juan Santamaria en El Pais Retina – Panda SecurityEntrevista a Juan Santamaria en El Pais Retina – Panda Security
Entrevista a Juan Santamaria en El Pais Retina – Panda SecurityPanda Security
 
What is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityWhat is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityPanda Security
 
PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018
PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018
PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018Panda Security
 
Survival Guide for Million- Dollar Cyberattacks
Survival Guide for Million- Dollar Cyberattacks Survival Guide for Million- Dollar Cyberattacks
Survival Guide for Million- Dollar CyberattacksPanda Security
 
Panda Security: Protegemos la vida digital de nuestros clientes
Panda Security: Protegemos la vida digital de nuestros clientesPanda Security: Protegemos la vida digital de nuestros clientes
Panda Security: Protegemos la vida digital de nuestros clientesPanda Security
 
Panda Security: Protecting the digital life of our clients
Panda Security: Protecting the digital life of our clientsPanda Security: Protecting the digital life of our clients
Panda Security: Protecting the digital life of our clientsPanda Security
 
Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Panda Security
 
Ataques en tiempo real, la tendencia que marca la ciberseguridad
Ataques en tiempo real, la tendencia que marca la ciberseguridadAtaques en tiempo real, la tendencia que marca la ciberseguridad
Ataques en tiempo real, la tendencia que marca la ciberseguridadPanda Security
 
PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...
PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...
PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...Panda Security
 
How to prevent a Phishing attack - Panda Security
How to prevent a Phishing attack - Panda SecurityHow to prevent a Phishing attack - Panda Security
How to prevent a Phishing attack - Panda SecurityPanda Security
 
How can your information be kidnapped?
How can your information be kidnapped?How can your information be kidnapped?
How can your information be kidnapped?Panda Security
 
Traditional Antivirus VS Adaptive Defense
Traditional Antivirus VS Adaptive DefenseTraditional Antivirus VS Adaptive Defense
Traditional Antivirus VS Adaptive DefensePanda Security
 
Are (IoT) Smart Homes of the Future As Smart As They Say? - Infographic
Are (IoT) Smart Homes of the Future As Smart As They Say? - InfographicAre (IoT) Smart Homes of the Future As Smart As They Say? - Infographic
Are (IoT) Smart Homes of the Future As Smart As They Say? - InfographicPanda Security
 
Ataques informáticos contra el sector sanitario -Panda Security
Ataques informáticos contra el sector sanitario -Panda SecurityAtaques informáticos contra el sector sanitario -Panda Security
Ataques informáticos contra el sector sanitario -Panda SecurityPanda Security
 
Why cyber-criminals target Healthcare - Panda Security
Why cyber-criminals target Healthcare - Panda Security Why cyber-criminals target Healthcare - Panda Security
Why cyber-criminals target Healthcare - Panda Security Panda Security
 
Panda Security - The Hotel Hijackers
Panda Security - The Hotel HijackersPanda Security - The Hotel Hijackers
Panda Security - The Hotel HijackersPanda Security
 
Panda Security - El ciberexpolio hotelero
Panda Security - El ciberexpolio hoteleroPanda Security - El ciberexpolio hotelero
Panda Security - El ciberexpolio hoteleroPanda Security
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Security
 
Panda Adaptive Defense 360 - Cyber Extortion Guide
Panda Adaptive Defense 360 - Cyber Extortion GuidePanda Adaptive Defense 360 - Cyber Extortion Guide
Panda Adaptive Defense 360 - Cyber Extortion GuidePanda Security
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónPanda Security
 

Mais de Panda Security (20)

Entrevista a Juan Santamaria en El Pais Retina – Panda Security
Entrevista a Juan Santamaria en El Pais Retina – Panda SecurityEntrevista a Juan Santamaria en El Pais Retina – Panda Security
Entrevista a Juan Santamaria en El Pais Retina – Panda Security
 
What is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda SecurityWhat is Threat Hunting? - Panda Security
What is Threat Hunting? - Panda Security
 
PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018
PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018
PandaLabs Reveals its Predictions for Cybersecurity Trends in 2018
 
Survival Guide for Million- Dollar Cyberattacks
Survival Guide for Million- Dollar Cyberattacks Survival Guide for Million- Dollar Cyberattacks
Survival Guide for Million- Dollar Cyberattacks
 
Panda Security: Protegemos la vida digital de nuestros clientes
Panda Security: Protegemos la vida digital de nuestros clientesPanda Security: Protegemos la vida digital de nuestros clientes
Panda Security: Protegemos la vida digital de nuestros clientes
 
Panda Security: Protecting the digital life of our clients
Panda Security: Protecting the digital life of our clientsPanda Security: Protecting the digital life of our clients
Panda Security: Protecting the digital life of our clients
 
Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017
 
Ataques en tiempo real, la tendencia que marca la ciberseguridad
Ataques en tiempo real, la tendencia que marca la ciberseguridadAtaques en tiempo real, la tendencia que marca la ciberseguridad
Ataques en tiempo real, la tendencia que marca la ciberseguridad
 
PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...
PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...
PandaLabs: Hacking Attacks Carried Out in Real Time is the Latest Cybersecuri...
 
How to prevent a Phishing attack - Panda Security
How to prevent a Phishing attack - Panda SecurityHow to prevent a Phishing attack - Panda Security
How to prevent a Phishing attack - Panda Security
 
How can your information be kidnapped?
How can your information be kidnapped?How can your information be kidnapped?
How can your information be kidnapped?
 
Traditional Antivirus VS Adaptive Defense
Traditional Antivirus VS Adaptive DefenseTraditional Antivirus VS Adaptive Defense
Traditional Antivirus VS Adaptive Defense
 
Are (IoT) Smart Homes of the Future As Smart As They Say? - Infographic
Are (IoT) Smart Homes of the Future As Smart As They Say? - InfographicAre (IoT) Smart Homes of the Future As Smart As They Say? - Infographic
Are (IoT) Smart Homes of the Future As Smart As They Say? - Infographic
 
Ataques informáticos contra el sector sanitario -Panda Security
Ataques informáticos contra el sector sanitario -Panda SecurityAtaques informáticos contra el sector sanitario -Panda Security
Ataques informáticos contra el sector sanitario -Panda Security
 
Why cyber-criminals target Healthcare - Panda Security
Why cyber-criminals target Healthcare - Panda Security Why cyber-criminals target Healthcare - Panda Security
Why cyber-criminals target Healthcare - Panda Security
 
Panda Security - The Hotel Hijackers
Panda Security - The Hotel HijackersPanda Security - The Hotel Hijackers
Panda Security - The Hotel Hijackers
 
Panda Security - El ciberexpolio hotelero
Panda Security - El ciberexpolio hoteleroPanda Security - El ciberexpolio hotelero
Panda Security - El ciberexpolio hotelero
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
 
Panda Adaptive Defense 360 - Cyber Extortion Guide
Panda Adaptive Defense 360 - Cyber Extortion GuidePanda Adaptive Defense 360 - Cyber Extortion Guide
Panda Adaptive Defense 360 - Cyber Extortion Guide
 
Guía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la CiberextorsiónGuía de Seguridad para prevenir la Ciberextorsión
Guía de Seguridad para prevenir la Ciberextorsión
 

Último

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 

Último (11)

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 

¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security

  • 1. ¿Qué es Threat Hunting? Y por qué es necesario Conrado Crespo Country Partners Presales Manager Panda Security HQ
  • 2. Agenda • ¿Qué es Threat Hunting? • ¿Por qué se ha popularizado? • ¿Cuáles son los desafíos? • Panda T.H.I.S. • Caso práctico • Resumen • Q & A
  • 3. ¿Qué es Threat Hunting?
  • 4. Definición de “Threat Hunting” “…es el proceso de búsqueda interactiva y proactiva a través de las redes para detectar y aislar amenazas avanzadas capaces de evadir las soluciones de seguridad existentes.” En contraste con las medidas tradicionales de gestión de amenazas como firewalls, intrusion detection systems (IDS), malware sandbox (computer security) y sistemas SIEM, los cuales implican investigación después que se haya producido una alerta de ataque potencial o se haya producido un incidente de seguridad.
  • 5. Características del “Threat Hunting” • Un enfoque Proactivo vs. al Reactivo frente a las amenazas. • Threat hunting no es Respuesta ante Incidentes, pero sí están conectados. • Threat hunting suple lo que las herramientas actuales no pueden ver. • No reemplaza a otras estrategias como Threat Detection.
  • 6. Diferencias según Gartner Desplegar condiciones de detección (reglas, algoritmos) Recepción de alertas cuando se producen detecciones Triage alertas Respuesta al incidente Threat Detection Formular hipótesis de ataque Búsqueda evidencias Si se confirma, pivotar y extender el ámbito de la búsqueda Threat Hunting Respuesta al incidente Creación de una nueva condición de detección Si no se confirma, volver Gartner 2017 How to Hunt for Security Threats. Anton Chuvakin, 6 April 2017. ID: G00327290.
  • 7. ¿Por qué se ha popularizado el Threat Hunting?
  • 8. La Proactividad es tendencia • Soluciones • De EPP a EDR  ofrece telemetría necesaria para threat hunting • Productos de ciberataque y engaño (cyber-deception) • Prácticas • Intuición y escucha  cazadores en la Red • Penetration testing (imitar a los atacantes) caja negra, caja blanca • Red team contra Blue Team (juegos de guerra)
  • 9. Las trazas son valiosas • Los atacantes dejan tras de sí valiosas trazas • Ataques fallidos • Sondas • Descubrimiento de debilidades • Descubrir actividades antes que supongan un desastre
  • 10. *IBM/Ponemon 2018 Cost of Data Breach Study ¡Las brechas de seguridad son costosas! • El coste medio de una brecha de seguridad en EEUU es de $7.9M • El coste medio de una brecha de seguridad global es de $3.8M • Se tarda una media de 197 días en identificar una brecha de seguridad • Se require de un periodo medio de 69 días para contener una brecha de seguridad
  • 11. Las infecciones por malware se están reduciendo • 2016 tuvo un 40% menos de infecciones que en 2015 • La mejora en 2017 es del 70% • En 2018 las infecciones reportadas por malware tienden a cero
  • 12. Las infecciones por malware se están reduciendo El Nuevo problema son los Hackers • Entrenados por gobiernos, empresas de seguridad y organizaciones criminals. • Elaboran ataques dirigidos con malware propietario. • Utilizan aplicaciones legítimas y goodware para pasar desapercibidos. • Es necesaria una respuesta equivalente a este tipo de amenaza.
  • 13. ¿Cuáles son los desafíos?
  • 14. El tiempo necesario a dedicar a la tarea • Si eres el administrador TI, el técnico y el CISO a la vez: • El tiempo es un bien escaso • Probablemente no tenga tiempo para dedicar a tareas de threat hunting • Se require tiempo para una efectiva búsqueda de amenazas: • Recoger datos, crear hipótesis, validarlas • Se requiere tiempo para investigar: • Indicadores de ataque • IOAs • IOC • Patrones de ataque: • Grupos de amenazas
  • 15. Recursos • Herramientas: • Recolección de datos (SIEM, endpoints, etc) • Logs, logs, logs • Presupuesto: • Herramientas • Equipo humano • Respuesta ante incidentes • $$$$$
  • 16. Conocimiento ¿Sabes lo que estás mirando? ¿Sabes qué es lo que estás buscando?
  • 17. ¿Qué hacer entonces? Si no dispones del tiempo, los recursos o el conocimiento, ¿cómo puedo beneficiarme de threat hunting..?
  • 18. Panda T.H.I.S Threat Hunting & Investigation Service
  • 19. Threat Hunting The Adaptive Defense Service • Monitorización continua del endpoint contra ataques de seguridad realizados por agentes internos y externos. • Localizar atacantes que no utilizan malware. Beneficios Detección hackers • Ataques Next-gen or malware-less • Movimientos laterales Identificación de empleados maliciosos • Modelado de comportamiento de ususarios • Control de identidad, control de datos
  • 20. El proceso de Threat Hunting ¿Dónde se encuentra el ataque? Endpoints Almacén Eventos Cronología histórica 3. Confirmación Incidente • Service Orchestrator • Forensic Console Flujo de Eventos 1. Generación de hipótesis Back Testing Console 2. Lanzar Detonación Threat Engine
  • 21. Telemetría de Eventos Principales eventos recogidos:  Process • Creation • Injections  Files • Creation • Modification • Open  Communications • IPs Origin and Destiny • Downloads ( URLs )  Registry • Creation • Modification  Administrative • Installation • Turn on/off CIFRAS GLOBALES (12 MESES) • ~4000 EVENTOS DIARIOS POR MAQUINA • ~4000M EVENTOS PROCESADOS EL BIG DATA • ~500,000M EVENTOS ALMACENADOS. • ~500 DETECTION CONTENTS • ~4 BILLONES DE APLICACIONES PERFILADAS • ~2,5 BILLONES DE WORKSTATIONS PERFILADOS • ~3,5 BILLONES DE ID´S PERFILADOS
  • 22. Ejemplo de Threat Hunting Bondat: Estudio, Hipótesis, e Investigación de Threat Hunting
  • 23. Estudio de una amenaza, generación de hipótesis y validación Threat Hunting: Bondat – el gusano invisible Paso 1: El Estudio: Un experto en threat hunting analiza la familia y estudia sus características, descubriendo lo siguiente: • Es un gusano (worm) escrito en JavaScript / VBScript • Se propaga a través de dispositivos extraibles (pendrives, hard drives, etc) mediante la creación de LNKs • Se implanta en el arranque de sistema • El servidor C & C actualiza su código • Incorpora medidas Anti-debug / anti-vm / anti-emulación • Código altamente ofuscado en sus últimas versiones • Muy difícil de detector estáticamente / firmas • Se propaga muy rapidamente en la red • La desinfección es complicada una vez se expande a través de la red
  • 24. Generación de hipótesis : • Basadas en posibles comunicaciones con C&Cs • Basadas en el tipo de ocultación y tipo de ejecuciones (extended) • Basadas en los tipos de eventos Generación Hipótesis Threat Hunting: Bondat – el gusano invisible Back testing console Almacenamiento Retrospectivo de Eventos Validación de hipótesis: • Descubrimos que el gusano descarga y ejecuta scripts en Powershells (nunca visto anteriormente, nueva funcionalidad). • Vemos que descarga JavaScripts. • Descarga el intérprete PHP y realiza entonces otra consulta a otra web para obtener un Nuevo código PHP para ejecutar. Estudio de una amenaza, generación de hipótesis y validación
  • 25. Ataques descubiertos: • Conociendo los detalles de comunicaciones con el C & C fue posible hacerse pasar por una máquina infectada y asi recojer los últimos payloads que los atacantes estaban utilizando. Estudio de una amenaza, generación de hipótesis y validación Threat Hunting: Bondat – el gusano invisible • Ataques de fuerza bruta sobre una lista de sitios en Wordpress para infectarlos con troyanos • Descarga e instalación de mineros para ganancia económica. • Ataque de DoS al NRA (National Association of the American Rifle). IOAs • Generación de nuevas IOAs. • Creación de nuevos contenidos de detección. • Notificación de incidentes a los clientes afectados.
  • 26. . This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from Panda Security. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. • According to Gartner2: “Organizations should pay particular attention to solutions that include managed services like threat hunting or file classification. • Panda Security's unique value proposition is the classification or attestation of every single executable file and process on a protected endpoint device, and it is the only vendor to include a managed threat hunting service in the base purchase of its EPP. ” Panda Adaptive Defense 360 proporciona ambos servicios gestionados, sin coste adicional: Panda Security nominada como visionario en el Gartner Magic Quadrant 100% Attestation Service Threat Hunting & Investigation Service
  • 27. • El Malware no es el único problema a resolver, hay que trasladar el foco para incluir ataques en tiempo real y hackers. • Los atacantes evolucionan y se adaptan a herramientas y servicios. Un análisis continuado y una labor de threat hunting es la solución. • La plataforma Panda Adaptive Defense 360 te proporciona todo esto simplemente instalando la protección. Resumen

Notas do Editor

  1. Método científico ¡Una forma sistemática de resolver un problema! Es el proceso de buscar los rastros de atacantes (pasado y presente) en su entorno de TI. Ayuda a encontrar esos rastros antes de que los dispositivos de seguridad generen alertas de sus actividades. Algunos definen TH como "respuesta a incidentes de seguridad antes de que haya un incidente declaró“, otros como 'detección de amenazas utilizando las herramientas de respuesta a incidentes' o incluso 'la prueba de hipótesis de seguridad en el entorno de TI en vivo.' Otro modelo útil es '-1 día' detección - ¿suponiendo que la primera alerta sería el día "0" del incidente? EL Threat Detection era el estado del arte tradicional, ¡ahora es Threat Hunting! TH no se trata de esperar una alerta u otra señal; más bien, se trata de ir y buscar un intruso antes de que se generen las alertas. (Proactivo) También se trata de seguir pistas e ideas, no alertas de IOCs conocidos (además los resultados de búsqueda pueden convertirse más tarde en nuevas reglas de contenido de detección). Threat Hunting es una práctica centrada en el analista humano, no centrada en la herramienta. Se basa en el conocimiento del analista Threat Hunting se basa en la suposición de una brecha y rastros, aunque sutiles, que dejan los atacantes en su entorno de TI. Threat Hunting no reemplaza la detección de amenazas y la respuesta de alerta. Trabaja junto a ellos. En esencia, si puedes detectarlo con herramientas, no pasaremos el tiempo de nuestros cazadores de amenazas en él. Así que si consideramos dos ejemplos: un atacante que puede usar un binario con un hash SHA particular frente a un atacante que puede usar Microsoft PowerShell para el movimiento lateral. Ambos representan inteligencia de amenaza, pero el primero puede llevar a una alerta o a un bloqueo, mientras que el último es una pista decente para usar para cazar y tal vez perfilar un nuevo indicador de ataque.
  2. Un test de intrusión (“pentest”) pretende obtener una foto del estado de la seguridad de un conjunto acotado de activos en un momento y condiciones concretas La misión del Red Team de Tarlogic es simular un agente externo esponsorizado que realice un acceso no autorizado a los sistemas corporativos contemplando, además de la intrusión clásica, la persistencia a lo largo del tiempo, el escalado de privilegios en sistemas corporativos e incluso la alteración y robo de información estratégica para el negocio. El Red Team informa de forma periódica de los descubrimientos, acciones y movimientos futuros a un conjunto reducido de interlocutores del cliente, de tal forma que siempre tendrá conocimiento de los avances de la campaña e información de primera mano sobre el funcionamiento del equipo defensor del cliente (Blue team).
  3. Necesitamos información completa y trazabilidad de las acciones realizadas por los atacantes. A mayor muestra, más fiabilidad. Neceistamos alojamiento en la nube, Big Data Lake.
  4. Es indudable que la motivación de la mayoría de los ataques es de tipo económico: grupos criminales organizados, naciones estado, sabotage, extorsión, robo de patentes, robo de información Que es vendida en la Dark Web, etc. Y las consecuencias de las brechas son también muy costosas en términos de multas, desprestigio de marca, daño al negocio, seguridad nacional, etc.
  5. Estos datos son de Panda Labs. Antivirus Tradicional En 2016 PCOP tuvo 40% menos infecciones que en 2015 En 2017 la mejora fue del 70% A finales de 2017 el número total de incidente malware escalados a Panda Labs tiende a cero. Adaptive Defense 2018 – 3 infecciones por MW escaladas a Panda Labs hasta la fecha. NINGUNA infección MW en los 4 últimos meses
  6. Decenas de miles de hackers entrenados por gobiernos, compañías de ciberseguridad y hackers amateurs Creando ataques dirigidos con malware propietario (APT). Empleando incluso aplicaciones goodware y scripts para no ser detectados.
  7. Nuestro objetivo es identificar atacantes que estén usando formas completamente nuevas, un nuevo mecanismo para ejecutar sus ataques. Para detectar ataques para los cuales no hay IOC o IOA conocidos, por lo que esta no es una tarea de correlación simple en un SIEM, se trata de descubrir y crear nuevos indicadores de ataque. De hecho, estamos buscando hackers, en vivo, que se hacen pasar por administradores de sistemas, sin utilizar malware, sin herramientas personalizadas (que serían muy fáciles de identificar para nosotros), sino herramientas administrativas, scripts, powershells, etc. Y también estamos buscando empleados malintencionados o usuarios descuidados que intenten dañar a la empresa, intenten robar información o simplemente portarse mal de alguna manera. Por todo esto, estamos aprovechando los perfiles de identidad y nuestro plan es incluir también la identidad del usuario y el control de datos en la ecuación. Actualmente nuestro enfoque de ir al mercado es tanto directo como a través de partners. Directo como un servicio horizontal a todos nuestros clientes, aprovechando nuestra visibilidad global, detectando al menos los ataques más genéricos y tratando de perfilar cada empresa de forma más exhaustiva. O a través de MSSP y MDR (Servicios, API, Consolas). Creemos que para obtener el máximo beneficio de la plataforma, dichos servicios se deben ofrecer junto con los parteners que ya pueden proporcionar servicios de seguridad administrados o servicios de detección y respuesta administradas. Estos suelen ser servicios basados ​​en la visibilidad que permite una respuesta, aunque reactiva. Y aquí es donde podemos aprovechar su actividad utilizando nuestros servicios de certificación al 100%, lo que les permite aumentar sus capacidades de prevención, aumentando la detección temprana y las capacidades de respuesta. Pero también pasar de un servicio reactivo de Detección de Amenazas a un servicio proactivo de Caza de Amenazas basado en nuestra plataforma TH que permitirá a los analistas buscar de forma proactiva atacantes pasados ​​y latentes, tener acceso a la inteligencia de amenazas a través de nuestras herramientas TH, API o como servicio.
  8. Creación de hipótesis La tarea inicial a la hora de plantear una investigación es crear hipótesis enfocadas a encontrar evidencias de amenazas ante de que sean explotadas o que ya están siendo explotadas. Validación de las hipótesis Una vez definida la hipótesis, ha de verificarse que esta es valida y buscar la existencia de amenazas que cumplan con esta hipótesis, mediante el uso de herramientas de Threat Hunting. En esta etapa es muy habitual descartar hipótesis o priorizar unas investigaciones sobre otras debido a la probabilidad o criticidad. Encontrando evidencias De los resultados obtenidos en la búsqueda anterior verificar se existe realmente una amenaza. Separar falso positivos y fallos de configuración Descubrimiento de nuevos patrones Reconstrucción del ataque para encontrar nuevos patrones y tácticas empleadas para realizar este ataque. Notificación y enriquecimiento Realización del informe de la Investigación. A partir del conocimiento generado, se enriquecen y mejoran los sistemas de detección automatizada, de manera a que se mejore la seguridad global de la organización.