El Factor Humano, Seguridad En Tic

1. Info sensible vía email.
2. Carpetas compartidas en cloud.
3. Extracción vía medios móviles (USB).
4. Protocolo de transferencia de archivos (FTP).
5. Cambio de trabajo.

1. Mentalidad administración.
2. Suposiciones erradas de empleados (sin prontuario).
3. Entidades sin acceso.
4. Baja en la organización; Acceso a qué activos?, se borraron o deshabilitaron?.
5. Falta de información, monitoreo, complejidad de datos.
6. Poca experiencia, pocos profesionales en seguridad, entrenar, educar, outsourcing.
7. Parchado inexistente.
8. Bring Your Own Device (BYOD), dispositivos "enterpersonales".
9. Uso descuidado de WiFi, y con malas políticas de seguridad.
10. Software no asegurado adecuadamente, "solo accesible por intranet"; uso de sistemas para compartir archivos.
internos (FTP, SMB, DMS); cloud (Dropbox).

1. Falta de separación entre rol personal y organización.
2. Potencial filtración de información (malware, acción Humana).
3. Falta de control sobre información y dispositivos.

Info sensible compartida (resultados test de Elisa, Mujeres que solicitaron pastilla del día después; incluyen rut, nombre, dirección física), usando carpetas compartidas windows (accesible por toda la red).

En apps internas:
SQL injection.
Password débiles o en blanco.
Shell injection.
Manipulación de sesiones.

*Preocupación hacia apps expuestas a internet, no a internas.

Patrones de comportamiento:
1. Amenazas internas.
2. Ataques dirigidos.
3. Fraude financiero.

* Se puede automatizar "user behavior analytics".

1. Bajada de datos a discos externos o uso de dispositivos sin autorización.
2. Acceso de información confidencial irrelevante al rol de usuario.
3. Envío de emails con info sensible a una cuenta personal.
4. Intentions de bypassear controles de seguridad.
5. Ingresos frecuentes al lugar de trabajo fuera de Horatio de oficina.
6. Comportamiento irresponsable en redes sociales.
7. Comunicación con lenguaje negativo.
8. Acceso a info post-partida organización.
9. Visible descontento hacia empleadores/colegas o comportamiento hostil.
10. Violación cte de políticas de organización.
11. Declive en rendimiento.
12. Uso de móviles para fotografíar/grabar (pantallas, áreas comunes).
13. Uso excesivo de impresoras o scanners.
14. Instalación de software no aprobado.
15. Exploración de redes, recopilar info de repositorios internos.
16. Indicaciones que se vive más allá de los medios.
17. Discusiones sobre renuncias o emprendimientos.
18. Viajes a países con Alta tolerancia al robo de propiedad intelectual o que alberguen competidores.

1. Asegurarse de que empleados solo sepan lo que deben saber (Privilegio mínimo).
2. Monitorear posibles desertores.
3. Entrenar empleados para detectar comportamiento sospechoso.
4. Resguardar intereses denunciante.
5. Tomar acción pronta y adecuada.
6. Política de seguridad se aplica a todos.

1. Need to know (no se puede acceder a más info de la necesaria).
2. Privilegio Mínimo (control sobre lo que hace)
3. Separación de tareas.

1. Mayor Privilegio, mayor riesgo.
2. Monitorear creación de cuentas en el sistema.
3. Llevar registro de acciones y auditar.
4. Cambiar password/credenciales cuando administrador deja organización.
5. Usar " Two Man Rule".

Administrador después de ser despedido, mantuvo conexión VPN instalando software en los servidores y atacando sistemas ICS.

1. Mantener escritorio libre de papeles.
2. Bloquear equipo al alejarse.
3. Apagar equipo al terminar jornada.
4. Info confidencial o de uso interno debe guardarse.
5. Notebooks con candados.
6. Documentos confidenciales retirados de impresora.
7. Documentos que no se usen serán destruidos.

1. Qué datos tengo y quién accede a ellos??
2. Revisar periódicamente cuentas de usuario.
3. Atentos con Salida de Datos (DLP).
4. Extraer info para predecir eventos de seguridad (SIEM).

Tecnología que permite detectar filtración de datos monitoreando, detectando y bloqueando datos: en uso, en tráfico, en reposo.
Atacan filtración maliciosa o equivocaciones inadvertidas.

1. Monitoreo de emails en busca de palabras claves, sensible contenido y archivos adjuntos.
2. Bloqueo de acceso a periféricos externos (USB, impresoras).
3. Etiquetados de contenidos y controles de acceso a archivos.
4. Encriptación endpoint (simétricas, llaves controlables por servidor y expirables).

Es una manipulación de personas para que realicen acciones que no desean.

Atacan bugs humanos como sesgos cognitivos e ingenuidad humana.

1. Pretextos
2. Phishing
3. Vishing
4. Cebos
5. Quid Pro Quo
6. Tailgating
7. shoulder surfing

1. Ilusión de invulnerabilidad ("esp nunca me pasará").
2. Tendencia a confiar en el resto.
3. Percepción de perdida de tiempo en protocolos de seguridad.
4. Subestimación del valor de la información.
5. Tendencia a ayudar a otros.
6. No darnos cuenta de las consecuencias de las acciones.

Estudio británico reveló:
70% de las personas revelarián su password por chocolate.
34% lo hicieron con solo preguntar.

Kevin Mitnick, acusado y condenado por violación de copyright.

4 ppios:
1. En la naturaleza ayudar a otros.
2. Primera reacción es de confianza.
3. No gusta decir "No".
4. Nos gusta que nos alaben.

1. Ppio Distracción (distraerte).
2. Ppio de conformidad (no cuestionar autoridad).
3. Ppio gregario (seguridad en números).
4. Ppio de la deshonestidad (hiciste algo malo?, busca ayuda).
5. Ppio del engaño (Hacerte creer otra cosa).
6. Ppio necesidad y avaricia (Te puede manipular).
7. Ppio del tiempo (no se toman buenas decisiones bajo presión).

1. Más fácil entrar a la mente que a in software/Hardware.
2. Funciona en todo.
3. Evada IDS/IPS.
4. No hay logs.
5. Falta concientización.

1. Reconocimiento organizacional (sitio web corporativo, diagrama organizacional, directorio telefónico/email, boletines de noticias, contrataciones).

2. Reconocimiento Personal (Teléfono, email; Título/Posición; Responsabilidades para acceso, Posteos en redes sociales).

3. Dumpster Diving (Correspondencia, info en papel, datos sensibles impresos).

4. Obtención de confianza (Establecimiento de identidad y rol; Generar Confianza; Compenetración mediante semejanzas; Desarrollar respuestas ante objeciones).

1. Online (email, web).
2. Vía Telefónica (Help Desk, Vishing)
3. Mediante manejo de desechos.
4. Móvil (Shoulder surfer, WiFi falso).
5. Personal (Persuación, intimidación).
6. Físico (Acceso no autorizado; Tailgating).

Es un intento de engaño realizado por un tercero para obtener información confidencial de un individuo, grupo, organización, usualmente en busca de beneficial económico (credenciales, números de tarjetas de crédito).

Ubicación real de links es escondida
1. Mediante uso de IP'S en vez de hostnames.
2. Utilizando DNS Cache poisoning.
3. Mediante typosquatting.
4. Incluso algunos tienen certificados SSL legítimos.
5. Acortadores de URL.
6. Códigos QR.

Atacante envió mails con un archivo "2011 Recruitment Plan.xls" a personas específicas en RSA.

El archivo contenía código que explotaba una vulnerabilidad zero-day en Adobe flash.

Atacantes tomarón control de los sistemas y robaron detalles de SecurID.

1. Respuesta social (verification mail desconocido).
2. Herramientas anti-phishing en línea e integradas en browsers.
3. Chequear URL.
4. Escribir dirección.
5. Desactivar autorellenados.

1. Peticiones inusuales o extrañas.
2. Contraparte se rehúsa a entregar información de contacto.
3. Uso de semejanzas o halagos.
4. Contraparte dice ser algún tipo de autoridad.
5. "guata".

1. Como en INFOSEC, que gerencia se involucre e invierta.
2. Educar personal.
3. Motivando explicándo cómo protocolo protege el negocio.
4. Modificar normas urbanas organizacional.
5. Incluir tema humano en plan de respuesta a incidentes.