Búsqueda de anomalías en Correos - CCN-CERT
Transcript of Búsqueda de anomalías en Correos - CCN-CERT
![Page 1: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/1.jpg)
www.ccn-cert.cni.es
Búsqueda de anomalías en Correos
![Page 2: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/2.jpg)
www.ccn-cert.cni.es 2
• Jose Antonio Velasco Herrero
• Sociedad Estatal Correos y Telégrafos
![Page 3: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/3.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
3
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
![Page 4: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/4.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Correos
4
28 MILLONES Más de de hogares,
empresas e instituciones atendidos diariamente
55.000 EMPLEADOS
9.300 PUNTOS DE ATENCIÓN
670.000 KILÓMETROS diarios
14.000 VEHÍCULOS
![Page 5: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/5.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
5
Correos
![Page 6: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/6.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
6
Correos
![Page 7: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/7.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
7
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
![Page 8: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/8.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
• APT: Amenaza Persistente Avanzada
Enfoque Proactivo
o Protección
o Detección temprana
o Respuesta rápida
o Malware avanzado
Enfoque Reactivo
o Búsqueda de Anomalías
o Análisis de comportamiento
o CARMEN como herramienta para el analista
DEA: Detección de Anomalías
8
![Page 9: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/9.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
9
11
Detección
Comunicación y
valoración
Asignación
Notificación
Escalado
Contención
Resolución:
• Recolección de datos
• Análisis técnico
• Respuesta coordinada
Cierre
Notificación
Informe
Registro
Mejora Continua: Prevención
Mejora Continua: Reacción
IDS/IPS /SIEM
Servicios Antifraude
y vigilacina digital
At Cliente
CAU
Call centers
Soporte técnico
Auditoria
Autoridades…
Cualquiera!
VIP
Correo @
Teléfono
IPS/SIEM Antifraude
Seguridad
Soporte
Técnico
Seguridad
Soporte Técnico
Seguridad, Soporte Técnico,
comunicación, Atencion
cliente, CAUs
Seguridad
RRHH
Asesoría
Auditoría
DEA
![Page 10: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/10.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
10
Zona de Red 1
Zona de Red 2
Zona de Red 3
Zona de Red N
T
A
P
C
A
R
M
E
N
NetBios
DNS
HTTP
D. Público
Comprobación de IOC
Ejecución de analizadores
Honey Tokens
Indicadores
Volumetría • 544.000.000 comunicaciones HTTP • 364.340.000 peticiones DNS • 569.000 correos electrónicos *Datos mensuales
Inteligencia
Alertas
![Page 11: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/11.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
11
![Page 12: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/12.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CARMEN
12
• Estrategia
Malware sin relación con APT
o Rapidez en la detección
o Respuesta eficiente
o Resiliencia
o Mejora en los controles de seguridad
Malware relacionado con APT
o Observar y aprender
o Mejorar los reflejos
o Objetivo 1: atribución y motivación
o Objetivo 2: que no nos lo tengan que volver a repetir
![Page 13: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/13.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
13
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
![Page 14: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/14.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Caso Práctico: detección de anomalía
14
![Page 15: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/15.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Caso Práctico: vía de infección y forense
15
Nombre del fichero Hash MD5
WinHost32.exe 8d3bbcf3b950ac1aa7de65a65dbcb24e
![Page 16: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/16.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Caso Práctico: análisis del malware
16
![Page 17: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/17.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
17
1. Correos
2. CARMEN
3. Caso Práctico
4. Conclusiones
![Page 18: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/18.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
CONCLUSIONES
18
• Buscar anomalías como servicio de inteligencia. Lo más importante es el talento del analista.
• CARMEN es una buena herramienta para el analista, pero no es (ni debe ser) la única
• Es importante prever qué hacer si un día se localiza una Amenaza Persistente Avanzada
![Page 19: Búsqueda de anomalías en Correos - CCN-CERT](https://reader030.fdocuments.net/reader030/viewer/2022012418/61736cdc86bca2646a0cc79e/html5/thumbnails/19.jpg)
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
Síguenos en
www.ccn-cert.cni.es