Métodos de Detección de

nuevas Amenazas y medias

de seguridad preventiva

Área de Ingenieria
CONTENIDO DE LA PRESENTACIÓN

• ¿Qué es un Ciberataque?
• ¿Que tipos de Ciberataque
existen?
• ¿Cuáles son la fases de un
ciberataque?
• ¿Cómo analizamos un
ciberataque?
• Ciberataques en la situación
actual
 SISTEMA INFORMATICO
Personal y equipos tecnológicos trabajando juntos.

- Dispositivos
- Programas
- Datos de Usuario

- Input: datos, materiales.

- Output: Información, productos/servicios.
DATOS E INFORMACION

Símbolos, números, Datos procesados, adquieren

registros. valor tras la correlación e
interpretación del usuario.
CARACTERISTICAS DE LA INFORMACION

Se almacena y procesa en ordenadores.

Esta a disposición de los usuarios del
sistema.
Se puede relacionar con otra información a
través de redes de comunicación.

Puede ser vulnerada.

Puede utilizarse para fines poco éticos.
Puede divulgarse sin autorización de su
propietario.
Puede estar sujeta a robos, sabotaje o fraudes.
SEGURIDAD INFORMATICA
PRINCIPIOS DE LA SEGURIDAD INFORMATICA
RIESGO
FACTORES DE RIESGO
¿Qué es un
ciberataque?
 ¿Qué es un Ciberataque? Actos que se realizan
por medio de las
tecnologías y las
NIST telecomunicaciones con
la finalidad de
comprometer la
Un ataque, a través del confidencialidad,
Cambridge ciberespacio, dirigido al integridad o
uso del ciberespacio por disponibilidad de los
parte de una empresa con dispositivos, sistemas,
el propósito de redes, comunicaciones
Un intento ilegal de interrumpir, inutilizar, o datos, aprovechando
dañar el sistema de destruir o controlar fallas que se puedan
computación de alguien maliciosamente un producir en el software,
o la información en él, entorno/infraestructura hardware o las
usando el internet informática; o destruir la personas que lo
integridad de los datos o integran.
robar la información
controlada. Miguel Martín
¿Que tipos de
Ciberataque existen?
¿Que tipos de Ciberataque existen?
Malware

Ataque DoS o
DDoS Ransomware Adware
Malware Spoofing

Análisis de
Ataque Social
redes
Virus Troyano

Ataque Man in
Grooming Tipos Ciberataques the Middle

Gusano Scareware
Vulnerabilidad
Sexting
de día cero

Puntos de
acceso
ATP (amenaza
persistente Rootkit Cryptojacking
avanzada)
Phishing
¿Como se clasifican?

Según el origen del

Según la victima Según el objetivo
ataque

Personas
Interno • Individualizado Social
• Masivo

Organizaciones
Externo • Empresarial Económico
• Gubernamental
¿Cuáles son la fases
de un ciberataque?
Cyber Kill Chain
• En 2011, el Departamento de Defensa de
EE. UU. Incorporó oficialmente el
ciberespacio como un componente del
quinto dominio de la guerra, Operaciones
de información; los primeros cuatro
consisten en tierra, mar, aire y espacio.

• El contratista de defensa, Lockheed

Martin , amplió el concepto militar de una
cadena de muerte y lo adaptó a la
ciberseguridad. La Cyber Kill Chain,
como se la denomina actualmente, divide
una intrusión en una secuencia bien
definida de siete fases, desde el
reconocimiento hasta las acciones sobre
objetivos

• Cuenta con 7 Fases.

Cyber Kill Chain
 MITRE ATT&CK®

▪ MITRE Corporation , una organización sin fines de lucro

que administra los FFRDC , lanzó el marco ATT & CK
en 2015. ATT & CK es un marco vivo y en crecimiento
de tácticas, técnicas y procedimientos comunes (TTP)
que utilizan las amenazas persistentes avanzadas
(APT) y otros ciberdelincuentes.
▪ ATT & CK son las siglas de Tácticas, Técnicas y
Conocimiento Común Adversarios. El marco es una
matriz de técnicas de intrusión clasificadas en 12
tácticas diferentes.
▪ ATT & CK mapea e indexa prácticamente todo lo
relacionado con una intrusión tanto del lado de ataque
como de la defensa
▪ ATT & CK tiene actualmente cuatro matrices
principales: PRE-ATT & CK , Enterprise , Mobile y
ICS(Sistemas de Control Industrial)
MITRE ATT&CK®

▪ ATT & CK incluye datos sobre grupos de amenazas, sus TTP e incluso proporciona referencias y ejemplos
▪ Se pueden emplear múltiples técnicas para lograr la misma táctica y, según el objetivo principal del atacante,
no es necesario emplear las 12 tácticas
 Initial Credential
Discovery Impact
Access Access

Defence Lateral Command

Execution
Evasion Movement and control

Privilege
Persistence escalation Collection Exfiltration
 Initial Access Execution Defence Evasion Credential Access Discovery

• Phishing • Command-Line Interface
• Compiled HTML File
• Execution through API
• Scripting
• Usingned Process
• User Execution
• Disabling security tools
• Network share connection
removal
• Compiled HTML File • System information • Data from local system
• Scripting discovery • Data compressed
• Private Keys
• Process Discovery
• Abuse Elevation Control
Mechanism
• Valid Accounts

Lateral Movement Exfiltration Coman and control Impact

• Explotation of remote services • Inhibit system recovery • Data Encoding • Service stop
• Exfiltration Over web Service • Protocol tunneling • Data Encrypted for impact
¿Cómo analizamos un
ciberataque?
MITRE ATT&CK®
o
Cyber Kill Chain
CYBER KILL CHAIN

Reconnaissance
DEPENDE
Explicación alto nivel

Weaponization

Delivery ▪ Menos fases

▪ Bases mas concretas
Explotation ▪ Detalle a alto nivel
▪ Visión holística del ataque
Installation ▪ Explicación y entendimiento rápida

Command & control

Actions on Objectives
 MITRE ATT&CK

Initial Access

Execution
DEPENDE
Explicación técnica
Persistence

Privilege escalation

Defence Evasion
▪ Mayor granularidad, a nivel técnico
▪ Fases mas detalladas
Credential Access
▪ Asociado a técnicas y tácticas
Discovery
▪ Explicación a detalle a cada técnica y
Lateral Movement táctica.
Collection ▪ Asociados a ATP’s
Exfiltration

Command and control

Impact
 ¿Una fusión?

▪ Según la necesidad de
pueden utilizar los dos
▪ Para poder mostrar de una
forma rápida usamos el Kill
Chain y associators a cada
una de las fases las
tácticas y técnicas que
MITRE nos otorga.
Ciberataques en la situación actual

▪ Publicaciones sin las practicas de seguridad

▪ Llevar a usuarios fuera de la red sin protección
▪ No contar con licenciamiento de seguridad para el trabajo
▪ Conexiones VPN, Doble autenticación
▪ Abuso de cuenta privilegiadas, todos son administradores.
▪ Falta de políticas y herramientas de backups
▪ Falta de políticas y herramientas de gestión de parches(aplicación y SO)
▪ No se tienen inventarios de software
▪ Mala gestión de los activos críticos de la organización
▪ Uso de software ilegales (la utilizado de crack)
MEDIDAS DE PROTECCION
MEDIDAS DE PREVENCION