![Page 1: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/1.jpg)
Warning, Advice Brokering and Reporting Point
GracielaMartínezCoordinadoraWARP
![Page 2: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/2.jpg)
¿QuéesWARP?• Equipo coordinador y facilitador del manejo de
incidentes de seguridad informática para losmiembros de la LACNIC
• Sitio web: https://warp.lacnic.net/• La comunidad objetivo esta constituida por todas las
organizaciones miembros de LACNIC• El reporte de incidentes podra realizarse:
– Correo electrónico: [email protected]– Formulario web:
https://warp.lacnic.net/servicios/#reportar-incidente
– Los no miembros también pueden reportar
![Page 3: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/3.jpg)
¿Quéhacemos?• Warning – Alertas de Seguridad selecciondas
(Filtered Warnings) - envío de advertencias de seguridad relevantes para la comunidad
• Advice Brokering - WARP provee un ambiente seguro y anónimo de intermediación para la búsqueda, discusión e intercambio de información de incidentes de seguridad y buenas prácticas (sanitise)
• Reporting Point - Reporte de incidentes
![Page 4: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/4.jpg)
Autoridad
• LACNIC WARP no tiene autoridad para actuar sobre las operaciones de los sistemas de su comunidad, a excepción de los sistemas internos propios de LACNIC, por lo que no brindará asistencia directa remota ni in situ para la atención de incidentes de seguridad, aun cuando éstos involucren direcciones de Internet de Latinoamérica y el Caribe.
![Page 5: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/5.jpg)
Incidente deSeguridad Informático
• No existe una única definición
• Un Incidente de Seguridad Informático, podría definirse como una actividad en una red o en un componente de una red, que compromete la información y/o las operaciones de una organización.
![Page 6: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/6.jpg)
Ejemplos yNúmeros• Ejemplos de incidentes de seguridad
– Confidencialidad – acceso a información no autorizada, plan de negocio
– Integridad – modificación de datos, contables– Disponibilidad – servicio no disponible, red
saturada.• Los criminales se han enfocado donde está el
dinero.– Los estudios muestran que la economía de
Internet genera anualmente entre 2 y 3 trillionesU$S, y se calcula que el cybercrimen se lleva entre 15% y 20%
![Page 7: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/7.jpg)
Phishing
• Esunmétododeengañoalosusuariosdiseñadopararobarinformaciónsensible.
• Sepresentanrecursosfraudulentoscomolegítimos,yporlogeneralapuntanarobarlascredencialesdeaccesodeunusuarioaunsistema,conelfindellevaracabofraudesmonetarios.
• Puedeserintroducidoalossistemasmediantecorreoselectrónicosfalsosobienmediantevisitasasitiosdedudosareputación.
![Page 8: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/8.jpg)
Phishing
• Unacampañade phishing esmasiva• JJOOBrasil,TerremotoenEcuador• Todossabemosalgoacercadephishing,perolasestadísticas nosmuestranqueseguimoscayendoysomosvíctimas
![Page 9: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/9.jpg)
Phishing
¿Conocenquéporcentajerepresentaelphishing conrespectoaltotaldelosincidentesquesereportan?
https://warp.lacnic.net/estadisticas/
![Page 10: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/10.jpg)
Elphishing ennuestraregión
EstagráficamuestralosincidentesnotificadosalWARPdesdeotrasorganizacionesdiferenciadosportipo.PAC – Proxyautomatic configuration
![Page 11: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/11.jpg)
Phishing gestionadosporWARPEstagráficamuestralosincidentesgestionadosporWARP
diferenciadosportipo.
Tipos:
![Page 12: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/12.jpg)
Tips dereconocimiento
• Patrón común:NombredeldominiomuysimilaralamarcaoalaURLdelsitiolegítimo.
• Ejemplo– URLlegítima:
http://www.examplebank-uy.uy/– PosiblesURLs usadasparaphishing:
http://www.exampleatbank-uy.uy/http://www.examplectbank-uy.uy/
![Page 13: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/13.jpg)
Tips dereconocimiento
Correoelectrónico- ¿Esperabaestecorreo?- ¿Conozcoelorigen?- Asunto
- Generalmentesonalarmistasporqueesperanasustaralusuarioparaquetomeaccionesrápidassinpensarlasmucho.
- Contienensignosdepuntuaciónexcesivos- Logo– Malacalidad,compañíafalsa,cadavezmejor!- Sr.Usuario- Cuerpodelmensaje(Idioma,gramática)- Firmademensajepuedesergenéricaounacopiadeloriginal
![Page 14: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/14.jpg)
Ejemplo
Correoelectrónico
![Page 15: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/15.jpg)
Hecaído…¿Quéhago?
• Encasodeservíctimadeunfraudeelectrónico,reporteinmediatamenteelproblemaalaorganizacióninvolucradayalcentroderespuestaaincidentesdeseguridadcorrespondiente.
• https://warp.lacnic.net/mapa-csirts/
![Page 16: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/16.jpg)
OTROSTIPOSDEINCIDENTES
• Sextorsion – esunaformadeexplotaciónsexualatravésdeInternet– Chantaje:
• Fineseconómicos• Otrosfines– pornografía
– Nonecesariamenteesrealizadapordesconocidos– Fuentes:cámaraweb,fotosdedispositivos,etc.
![Page 17: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/17.jpg)
OTROSTIPOSDEINCIDENTES
• RANSOMWARE– untipodemalwarequeencriptaarchivosdigitalesypideunarecompensaacambiodelaclaveparadesencriptarlos.
• Ejemplos:CryptoLocker (2013),Locky (Feb.2016),CryptoXXX (Mar.2016)
• Notas:– $325millonesdegananciasalaño– UtilizanlaredTORparaelanonimato– Bitcoins – divisaelectrónica– dificultalatrazabilidad– Pagarlarecompensanogarantizaobtenerlaclave– Todotipodeorganizaciónhasidovíctimadeesteataque
![Page 18: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/18.jpg)
OTROSTIPOSDEINCIDENTES• Advanced Persistent Threats – APT
– Malwarealtamentesofisticado– Requiereindividuosaltamentecalificados,conexpertise en
diferentestecnologías– Recursosfinancieros– Utilizadosencontradeorganizacionesestatales,industrialesy
militares.– Lastécnicas utilizadasparaatacarporlogeneralson“Zero-Day
exploit”paralacomunidaddeseguridad
– Ejemplos:Stuxnet – Pensadoparaatacarsistemasdecontrolindustrial.Sepresumeparasabotearelprogramanucleariraní.Infeccióninicial:desconocida.Propagación:Red,dispositivosremovibles
– Duqu - Objetivo:espionaje.Infeccióninicial:MSWord,Keylogger.Deacuerdoaloquesesabenoinfectómasde50objetivosalolargodelmundo
![Page 19: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/19.jpg)
AlgunosProblemas
• Malalegislación– Vacíolegal– nacionaleinternacional
• Medidasdeseguridadnoadecuadas– contraseñas• DDoS – ISP´s noatacanelproblemadelasbotnets deforma
efectiva
• Faltadeimplementacióndebuenasprácticas– BCP38– antispoofing– Educacióndelosusuarios:entiendanlosriesgos– DNSSEC– RPKI– Desarrolladores:notomanencuentalaseguridaddesdeeldiseño
![Page 20: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/20.jpg)
Algunosproblemas
• Faltadecooperaciónentreorganizaciones• Muchosusuariosnoreportanlosincidentesdeseguridad
• Conocimientodecybercrimen– Dosmayoresfuentes:
• Exposiciónatravésdeterceros– seconoceaalguienquefuevictimadehacking,fraudedetarjetadecrédito,etc
• Exposiciónatravésdelosmedios– artículoson-line,seriesdeTV,películas,etc.
• Muchasveceslasmedidassetomandespues!
![Page 21: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/21.jpg)
Medidas
• Administraciónadecuadadepatches– SistemasOperativos– Aplicaciones– EfectoslimitadosanteZero-Dayexploits,peroprevienequenuevos
sistemasseaninfectados• Segregacióndelared
– Estacionesdetrabajo– HardeningdeServidores• Aplicarpolíticasestrictasdeaccesoainternet,porejemplo
utilizandounawhite list desitios• Inspeccióngranulardetráficoentranteysaliente• Controldelsoftwareainstalaryejecutarenunsistema• Controldecambiosdeconfiguracionesmediantes hashes• Capacitacióndeusuarios
![Page 22: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/22.jpg)
Medidas• Trabajarparamejorarlascomunicaciones:respuestas– Lasrespuestasdesdeotroscentroshacialosincidentesreportadossonescasas,loquegeneradudasacercadesifuerononotratadosoalmenosrecibidosparauntriage.Sedeberátrabajarenlaregiónparamejorarlascomunicaciones.
• SPAM– LascifrasdelSPAMsonmuyvoluminosas,pormásqueesteproblemayaseconoce,seconsideraimperiosocontinuarelanálisisdelosdatosconelfindecomenzaraccionesmásenfocadasasureducción.Ytambiéndegeneracióndepolíticasregionales.
![Page 23: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/23.jpg)
OtrasactividadesdeWARP
• Lac-csirts– ¿Quées?• Sincoordinación todos nuestros esfuerzos soninútiles
– Procedimientodeingreso• AcuerdosconM3AAWG,APWG,LEVEL3• Amparo– LainclusióndelProyectoAmparodentrodelasactividadesdeWARPLACNIC,contribuyealacreacióndelafunciónderespuestaaincidentesdeseguridadentrelosmiembrosdeLACNIC,formapartedelasactividadesdecapacitaciónyawareness quedebedecontemplaruncentroderespuesta.
![Page 24: Warning, Advice Brokering and Reporting Pointslides.lacnic.net › wp-content › themes › slides › docs › onthemove › 2… · • El reporte de incidentes podrárealizarse:](https://reader033.vdocuments.site/reader033/viewer/2022060417/5f1522af13233c1682285468/html5/thumbnails/24.jpg)
Cooperaciónregional
NosotroscreemosquelaseguridadesresponsabilidaddetodoslosactoresdeInternet.Enestesentidoseguimosrealizandounaseriedeactividades:• ReunióndeCSIRTSdelaregiónennuestroseventosanuales
• LACNICeshostingparaelFIRSTTECHNICALCOLLOQUIUM
• TodoslosmesestenemosunareuniónvirtualdelalistadeLAC-CSIRTSdondecompartimosinquietudes,proyectos,etc.