2018SWIFT CUSTOMER
SECURITY
PROGRAMME
_____________________________
Mg. Ing. Mateo Martínez
KRAV MAGA HACKING+1 (217) 636 4450
www.kravmagahacking.com
www.kravmagahacking.com
Mateo Martinez
Máster en Seguridad Informática. Ingeniero en Sistemas computacionales. Cuenta con experiencia profesional como consultor, auditor,
pentester, responsable de seguridad informática y como gerente de seguridad de la Información en reconocidas empresas internacionales.
Cuenta con las certificaciones internacionales CISSP (Certified Information Systems Security Professional) de (ISC)2, C|EH (Certified Ethical
Hacker) de EC-Council, ISO 27001 Lead Implementer de PECB, ISO 27032 Lead Cybersecurity Manager e ITIL. Ha realizado la especialización en
respuesta ante Incidentes en la Universidad de León en colaboración con OEA e INCIBE y ha completado el certificado ejecutivo en Estrategia y
Liderazgo en Ciberseguridad en Florida International Unversity. Es Docente de las materias “Hacking Ético y Respuesta ante Incidentes” y
“Seguridad en el Desarrollo de Aplicaciones” de Universidad ORT del Uruguay desde el año 2014.
2
Mateo Martínez
www.kravmagahacking.com 4
SWIFT CSP
Fuente: https://www.swift.com/myswift/customer-security-programme-csp
Pronósticos 2018__________________________________
Un breve resumen de las regulaciones
y de los riesgos que enfrentamos en
este año 2018.
www.kravmagahacking.com 7
Pronósticos
● Migración en el comportamiento del Ransomware
● El Usuario como vector de incidentes
○ OSINT altamente automatizado. Alto uso de información de Redes sociales.
● Continuamos con creciente complejidad de ataques
○ Disponibles para cualquiera. Ataques incorporando Machine Learning
○ IoT e Infraestructuras Críticas, crecientes objetivos
● Estrategias DevOps empujan la necesidad de DevSecOps
www.kravmagahacking.com 9
Latinoamérica
Estrategias de Ciberseguridad
• Colombia (2011 y 2016)
• Panamá (2013)
• Paraguay (2017)
• Chile (2017)
• Costa Rica (2017)
• México (2017)
SWIFT CUSTOMER SECURITY PROGRAMME (CSP)
___________________________________
Tiene como objetivo mejorar el
intercambio de información en toda la red,
mejorar las herramientas relacionadas
con SWIFT y proporcionar un marco de
control de seguridad https://www.swift.com/myswift/customer-security-programme-csp
www.kravmagahacking.com 12
SWIFT CSP
Fuente: https://www.swift.com/myswift/customer-security-programme-csp
Reporte de autocumplimiento
• 89% respondieron
• 99% de todos los mensajes
• 11.000 instituciones
• 200 países
www.kravmagahacking.com 13
SWIFT CSP
Objetivos
• Asegurar el ambiente
• Conocer y limitar accesos
• Detección y respuesta
3
Objetivos
8
Principios
27
Controles
www.kravmagahacking.com 15
Controles
3 Objetivos
16 controles obligatorios
11 controles recomendados
“Plan de Respuesta a
Incidentes”
www.kravmagahacking.com 19
Controles2.4 A Seguridad en el Flujo de Datos
de Back Office
Asegurar la confidencialidad, integridad y mutua autenticidad del flujo de datos entre las
aplicaciones de back office (o middleware) y los componentes de SWIFT.
2.5 A Protección de Datos en
Comunicaciones Externas
Proteger la confidencialidad de los datos relacionados a SWIFT transmitidos y almacenados
fuera de la zona segura.
2.6 A Confidencialidad e Integridad
de la Sesión del Operador
Proteger la confidencialidad e integridad de las sesiones interactivas de operadores
conectados a la infraestructura local SWIFT.
2.7 A Escaneo de VulnerabilidadesIdentificar vulnerabilidades conocidas dentro del ambiente SWIFT implementar procesos de
escaneos de vulnerabilidades regularmente.
2.8 A Tercerización de Actividades
Críticas
Asegurar la protección de la infraestructura SWIFT local de riesgos debidos a la tercerización
de actividades críticas.
2.9 A Controles de Negocio en las
Transacciones
Restringir la actividad de transacciones a contrapartes validadas y aprobadas y dentro de
los límites de la operativa habitual del negocio.
5.3 A Proceso de Background Check
de Personal
Asegure la confiabilidad del personal que opera el entorno local de SWIFT realizando una
verificación de personal.
5.4 A Almacenamiento físico y lógico
de contraseñasProtege las contraseñas registradas física y lógicamente.
6.5 A Detección de Intrusos Detectar y prevenir actividades de red anómalas hacia y dentro del ambiente SWIFT.
7.3 A Penetration TestingValidar las configuraciones de seguridad operacionales e identificar brechas de seguridad a
través de la realización de pentration tests.
7.4 A Análisis de Riesgos de
Ciberseguridad a través de EscenariosEvaluar riesgos y preparación de la organización frente a escenarios de ciberataques.
5. Gestión de Identidades y Segregación de funciones (y privilegios)
6. Detectar Actividad Anómala en sistemas o transacciones
7. Plan de Respuesta a Incidentes y Compartir información
Además, SWIFT provee 11 controles recomendados (para consideración):
Controles recomendados
2. Reducir superficie de Ataque y Vulnerabilidades
11 controles recomendados
“Análisis de riesgos de
ciberseguridad a través de
escenarios”
Puntos a Considerar_______________________________
Existen ciertas consideraciones que es
importante considerar para el cumplimiento a
partir de 2018.
Rol de los Equiposde Respuesta ante Incidentes de Seguridad___________________________________
Los equipos de respuesta
especializados cumplen un rol
fundamental en el proceso de defensa
activa y deben ser motivadores de
cambio.
www.kravmagahacking.com 23
Implementación
Obtener apoyo de la alta dirección y determinar el plan estratégico delCSIRT
Comunicar la visión del CSIRT y el Plan Operacional.
Recolectar Información relevante y Diseñar la vision delCSIRT. Comprender capacidades actuales
01
02
03
05
04
Iniciar la implementación del CSIRT y anunciar la operación del CSIRT.
Evaluar la efectividaddel CSIRT
www.kravmagahacking.com
Implementación
• Analizar motivadores y requerimientos para la creación del CSIRT• Seleccionar el modelo de CSIRT más adecuado• Definición de servicios• Definición e implementación de procesos• Análisis de clientes y planes de comunicación con terceros• Análisis FODA y PEST• Definir la estructura necesaria• Acompañar en la selección de personal• Definir herramientas tecnológicas• Desarrollo de políticas del CSIRT• Búsqueda de cooperación con otros CSIRTS• Creación de código de conducta y de ética• Creación de checklist para el CSIRT
www.kravmagahacking.com 25
Servicios
Servicios Core
• Gestión de alertas e incidentes
• Servicio 911 de respuesta a incidentes (en vivo)
• Coordinación de incidentes con terceros
• Análisis forense digital
• Gestión de vulnerabilidades y parches críticos de seguridad
• Ethical Hacking interno
• Innovación y desarrollo
• Monitoreo de sistemas críticos
• Gestión y comunicación de crisis
• Guías y auditorías de configuraciones de seguridad
• Entrenamientos y capacitación
Planificar,Preparar yCapacitar
Operación y
Mejoras
Pruebas y
simulacros
www.kravmagahacking.com 26
Servicios Planificar,Preparar yCapacitar
Operación y
Mejoras
Pruebas y
simulacros
Servicios de Colaboración
• Difusión de alertas de seguridad del mercado
• Acuerdos de colaboración con terceros
• Compartir información anónima de amenazas
• Generar lecciones aprendidas
• Monitoreo de Reputación
www.kravmagahacking.com 27
NIST SP800-61 Planificar,Preparar yCapacitar
Fuente: NIST Computer Security Incident Handling Guide
www.kravmagahacking.com
- Disponer de una coordinación centralizada
- Reaccionar a los incidentes relacionados con las TI
- Contar con conocimientos técnicos necesarios
- Tratar las cuestiones jurídicas y proteger evidencias
- Realizar un seguimiento de los progresos conseguidos
- Fomentar la cooperación en la seguridad de las TI
- Desarrollar investigación e innovación
28
Ventajas
Mitigación_______________________________
La mayor inversión en la capacidad de
respuesta ante incidentes de
ciberseguridad no radica solo en preparar
la contención y respuesta sino también
prevenir y prepararse.
www.kravmagahacking.com 30
TOP 10 (Mitigar 90% de Ataques):
• Listas Blancas de Aplicaciones.
• Gestión de Parches y vulnerabilidades en sistemas operativos y aplicaciones.
• Control de Integridad y control de cambios
• Minimizar permisos administrativos (a usuarios y administradores).
• Segmentación de la red.
• Control de dispositivos.
• Control de fuga de datos.
• Análisis de tráfico y Control de DDoS.
• Control de anomalías en estaciones de trabajo.
• Seguridad en el Desarrollo de Software
Prevenir
Conclusiones_______________________________
Un breve repaso de lo conversado,
conclusiones y algunas
recomendaciones prácticas
www.kravmagahacking.com
• No esperar a diciembre 2018 para responder al SWIFT CSP
• Trabajar en programas de respuesta ante incidentes
• Realizar simulacros de incidentes de ciberseguridad
• Incorporar aspectos de ciberseguridad en análisis de riesgos
• Incorporar aspectos de mitigación del Top 10 mencionado
• Buscar Integración entre ISO 27001, ISO 27002, ISO 27032, PCI-DSS, ISO
31000, ISO 27005, regulaciones y normativas locales para la mejora de la
seguridad de su organización.
32
Conclusiones
Muchas gracias.
_______________________________
Mg. Ing. Mateo Martínez
KRAV MAGA HACKING+1 (217) 636 4450
www.kravmagahacking.com
Top Related