Download CyberSOC Respuesta ante incidentes Rápida, precisa y decisiva

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
Document related concepts
no text concepts found
Transcript 
CyberSOC
Respuesta ante
incidentes
Rápida, precisa
y decisiva
Febrero 2014 – PIC
Victor M. Hernández Gómez
Senior Manager Deloitte CyberSOC
vhernandezgomez@deloitte.es
1
Índice
1. Entendiendo tus necesidades
2. Nuestra respuesta
3. Nuestro equipo
4. Alcance global
5. Credenciales
© 2014 Deloitte Advisory, S.L.
2
Nuestra respuesta
Nuestra respuesta
Alcance de nuestros servicios
El servicio de CIR es un enfoque organizado para la gestión de una brecha de seguridad o ataque (también conocidos como
incidentes). El objetivo es gestionar la situación de manera que se limite el daño y permita al negocio retomar su operativa
normal tan pronto como sea posible. Algunos de los servicios que abarca la investigación de CIR pueden ser captura
forense de datos para uso en procedimientos legales, pruebas de intrusión de un sistema para detectar el punto de entrada
y la deconstrucción y análisis del malware detectado en cualquier sistema.
La siguiente lista muestra una amplia gama de algunos de los servicios de CIR ofrecidos por nuestras firmas miembro:
• Gestión de incidentes – Capacidad para gestionar y
priorizar múltiples flujos de trabajo, limitar la disrupción
de negocio y comunicarse con el cliente durante un
incidente.
• Análisis de malware – Capacidad para detectar y
analizar muestras de malware (troyanos, binarios,
infecciones…), que puedan suponer una amenaza para
la infraestructura del cliente.
• Análisis de logs – Capacidad para recolectar y analizar
grandes volúmenes de logs de datos desde varias
fuentes del sistema.
• Análisis forense de red – Capacidad para monitorizar
y analizar tráfico de red para la recolección de
información o detección de intrusiones.
• Análisis de registros – Capacidad para recolectar,
preservar y analizar la información recogida de sistemas
operativos de Microsoft.
• Gestión de epidemias – Capacidad para realizar un
análisis, contención y desinfección de epidemias
minimizando el impacto en el entorno.
Nuestra respuesta
Alcance global
El siguiente mapa muestra la amplitud de capacidades en 38 países. Para ver detalles, consulte la sección “Alcance global”.
Países bajos
Bélgica
11 miembros
IM, MA, LFA, NF, RA, PT
25 miembros
IM, MA, LFA, NF, RA, PT
Suiza
4 miembros
IM, MA, LFA, NF, RA, PT
Europa central
10 miembros
IM, MA, LFA, NF, RA, PT
Austria
2 miembros
IM, LFA, PT
República checa
10 miembros
IM, MA, LFA, NF, RA, PT
Dinamarca
4 miembros
IM, MA, LFA, NF, RA, PT
Noruega
4 miembros
PT
Suecia
4 miembros
IM, MA, LFA, NF, RA, PT
Finlandia
10 miembros
PT
Turquía
Alemania
5 miembros
IM, MA, LFA, NF, RA, PT
2 miembros
IM,LFA, PT
Rusia
10 miembros
IM, MA, LFA, NF, RA, PT
China
Canadá
50+ miembros
IM, MA, LFA, NF, RA, PT
Reino Unido
7+ miembros
IM, MA, LFA, NF, RA, PT
20 miembros
IM, MA, LFA, NF, RA, PT
Corea del sur
8 miembros
IM, PT
Francia
50 miembros
IM, MA, LFA, NF, RA, PT
EEUU
100+ miembros
IM, MA, LFA, NF, RA, PT
Japón
50 miembros
IM, MA, LFA, NF, RA, PT
España
50 miembros
IM, MA, LFA, PT
México
Taiwán
40 miembros
IM, MA, LFA, NF, RA, PT
Portugal
40+ miembros
IM, MA, LFA, NF, RA, PT
15 miembros
IM, MA, LFA, PT
Hong Kong
Italia
Colombia
12+ miembros
IM, MA, LFA, NF, RA, PT
16 miembros
IM, MA, LFA, NF, RA, PT
40+ miembros
IM, MA, LFA, RA, PT
India
100+ miembros
IM, MA, LFA, NF, RA, PT
Brasil
40+ miembros
IM, PT
Singapur
Argentina
15 miembros
IM, MA, LFA, NF, RA, PT
40+ miembros
IM, MA, LFA, NF, RA, PT
Malasia
IM - Incident management
MA - Malware analysis
LFA - Log file analytics
NF - Network forensics
RA - Registry analysis
PT - Penetration testing
30 miembros
IM, MA, LFA, NF, RA, PT
Sudáfrica
10 miembros
IM, MA, LFA, NF, RA, PT
Tailandia
8 miembros
IM, PT
Australia
16+ miembros
IM, MA, LFA, NF, RA, PT
Nueva Zelanda
15 miembros
IM, MA, LFA, NF, RA, PT
Proceso de recepción de incidentes
Respuesta en 24x7
Servicios CIR solicitados por nuestro
cliente al eCIC en 24x7
eCIC completa el formulario captura
de datos para el incidente
eCIC notifica a Duty CIR SME de
guardia que completa la fase de
“Análisis y planificación”
¿Se necesitarán recursos in situ?
Sí
Contactar firma miembro local
para confirmar disponibilidad y
recursos apropiados
¿Están disponibles los
recursos?
No
Cese de colaboración después
de “Análisis y planificación”
No
Determinar los recursos “no
locales” más apropiados
para tratar el incidente
Sí
Recursos locales apropiados
desplegados in situ con
“planificación”
Recurso no local desplegado
in situ con “planificación”
Comienzo de colaboración
Comienzo de colaboración
nuestro
cliente/Deloitte
Deloitte
Nuestra respuesta
Nuestro proceso de CIR
Proceso de integración del servicio CIR
Soporte de ciber incidentes
Dada la naturaleza de un incidente, se suelen requerir que las
comunicaciones sean rápidas y eficientes para ayudar a tratar
con el problema y reducir el impacto de las operaciones de
negocio.
1. Asistencia en el liderazgo
1. Línea de soporte de CIR en 24x7
Para facilitar una rápida respuesta, la línea de soporte de CIR en
24x7 estará disponible para actuar como único punto de contacto
para informar sobre cualquier incidente. Una vez que el incidente se
comunica al soporte de CIR, asistiremos con el diagnóstico del
incidente, prestaremos soporte por email y teléfono cuando sea
posible y empezaremos la siguiente fase del proceso de CIR.
2. Comité
El comité es una parte de nuestro servicio y un paso crítico para
cerciorarnos de que los recursos asignados al trabajo in situ
obtienen un conocimiento preciso del incidente, así como
asegurarnos de que las capacidades de respuesta de nuestra
firma son comprendidas por todas las partes involucradas.
Proporcionamos uno o más expertos para garantizar que las
cuestiones planteadas son adecuadas, tanto interna como
externamente, para facilitar cualquier investigación.
A través de las diferentes fases de gestión de un incidente, el
responsable es capaz de evaluar la situación y proceder a la
entrega informes actualizados para ayudar a comprender el estado
del incidente, su impacto actual y potencial en el negocio y transmitir
las posibles soluciones a adoptar. Esto se realizará de la manera
más apropiada (técnica/no técnica), por un profesional experto con
un gran conocimiento de su negocio.
En cada etapa del proceso, se pueden asignar más recursos en el
equipo de gestión de incidentes para proporcionar el soporte
necesario para superar los conflictos que pueda provocar el
incidente sobre el negocio. Diferentes expertos de Deloitte pueden
participar para informar mejor a la dirección de nuestro cliente sobre
su posición y sus posibilidades.
2. Gestión de proyecto
Todos los niveles de profesionales de respuesta ante ciber
incidentes pueden ser apoyados en la gestión de sus respectivas
partes de CIR. Gestores de proyecto pueden ser provistos para
ejecutar toda o parte de las diferentes etapas del proceso.
3. Comunicación
Para tomar las decisiones correctas durante un incidente, es crucial
conseguir la información correcta de la gente correcta en el
momento correcto. Durante un incidente, algunos canales de
comunicación pueden estar comprometidos o completamente
inutilizados. El equipo de gestión de incidentes puede ayudar a
implementar canales de comunicación seguros y en funcionamiento
para comunicaciones entre cliente y consultores y entre cliente y
stakeholders.
Nuestra respuesta
Nuestro proceso de CIR
Proceso de respuesta ante ciber incidentes
El proceso mostrado más abajo destaca la manera en la que
llevaríamos a cabo la segunda investigación a lo largo del proceso
de Análisis y Planificación, Despliegue y Contención y Recuperación
y Cierre. Todos nuestros profesionales de CIR han sido formados en
un amplio conjunto de capacidades necesarias para llevar a cabo
actividades in situ y remotas de respuesta y gestión ante incidentes.
Los contratos suelen entrañar riesgos legales y operativos notables
que podrían afectar a nuestro cliente, por lo que suelen llevarse a
cabo por un Senior Manager o Manager experimentados, trabajando
con recomendaciones establecidas por ACPO o NIST.
Manager de IT in
situ sospecha/es
alertado de un
ciber incidente
Incidente notificado
al director IT de la
división
Formación del
equipo de primera
investigación
Análisis y
planificación
Completadas
investigación
Primaria y
Clasificación
Para gestionar estos riesgos de forma apropiada para todos
los stakeholders, usaremos nuestra metodología estándar de
Respuesta ante Ciber Incidentes y nuestros estrictos
procedimientos de cadena de custodia cuando se necesite.
Cada caso específico puede requerir algunos, a veces todos,
de nuestros servicios de CIR más frecuentes ya que después
de nuestra fase inicial de análisis y planificación solemos
recomendar una recolección y preservación de datos forenses.
Informe preliminar
inicial al CIRC
Despliegue y
contención
Completada
investigación
Secundaria
Informe final al
CIRC
Recuperación y cierre
Completadas
acciones
posteriores a
investigación
Nuestra respuesta
Nuestro proceso de CIR
Investigación Secundaria
1. Análisis y planificación
Una vez finalizada la investigación primaria, nuestro equipo analizará
los hallazgos antes de usarlos para definir el plan para la investigación
secundaria que va a incluir la realización de cualquier actividad de
contención/erradicación apropiada y la remediación final del incidente.
Nuestro equipo hará uso de la información contenida en la
primera investigación de nuestro cliente para determinar:
•
•
•
1.1. Análisis
Durante esta fase, se realizará un análisis del incidente para ayudar a
determinar las circunstancias, los sistemas afectados y el impacto del
incidente en el negocio. En este punto transmitimos cualquier feedback que
tengamos de la investigación primaria a los stakeholders pertinentes para
que las actividades adicionales puedan comenzar inmediatamente si es
necesario.
De ser posible, también determinaremos la sensibilidad de la información
involucrada para garantizar que las autoridades regulatorias están
informadas en caso de que sea apropiado.
1.2. Planificación
Nuestro servicio se centrará entonces en desarrollar un plan estructurado
en base al trabajo realizado en la investigación primaria y en la fase de
análisis. El plan articulará un enfoque exhaustivo pero flexible de la gestión
del incidente. Primero validará lo que ha ocurrido en la investigación, luego
identificará la intención inicial del compromiso y cualquier otro dato
sensible o privado que pueda haberse comprometido. Seguidamente se
desarrolla la estrategia detallada de contención y erradicación que proteja
rápidamente a la organización ante futuros compromisos, recuperando
sistemas a su estado usual tan rápido (y seguro) como sea posible.
© 2014 Deloitte Advisory, S.L.
•
Cualquier paso que deba tomar nuestro cliente
inmediatamente para limitar la exposición de la organización;
Los recursos (internos y externos) necesarios para investigar
y remediar el incidente;
Las actividades que se llevarán a cabo y en qué orden
dependiendo de la clasificación del incidente;
La cronología probable para el Despliegue y
contención/Recuperación y cierre.
Se construirá e implementará un plan de investigación
estructurado para garantizar que las actividades de contención y
mitigación se realizan de manera efectiva. Esto cubrirá todos los
flujos de trabajo relevantes, incluyendo, pero no limitándose a:
•
•
•
•
•
•
•
•
Actividades generales de gestión de incidentes;
Recolección de datos;
Análisis de registros;
Análisis de logs;
Análisis de malware;
Análisis forense de redes;
Pruebas de intrusión;
Soporte adicional de gestión de crisis.
9
Nuestra respuesta
Nuestro proceso de CIR
2. Despliegue y contención
2.2. Contención
Con un plan claro establecido, el equipo de CIR puede comenzar
el análisis del incidente y buscar la manera más rápida y
eficiente para contener dicho incidente y minimizar el impacto en
la operativa normal.
Durante esta fase, nuestro equipo de CIR ayudará a su personal
interno a limitar el daño del incidente y evitar que afecte otros
sistemas. Primero, Deloitte CIR llevará a cabo actividades de
contención para minimizar el daño inmediato causado por un ciber
incidente como la desconexión inmediata del negocio a Internet. A
esto le seguirá una serie de actividades de contención a largo plazo
incluyendo soluciones técnicas para minimizar el riesgo de más
incidentes.
2.1. Despliegue
Ya sea remotamente o in situ, nuestro despliegue comenzará con la
petición a la Seguridad IT de nuestro cliente para acceder al hardware
afectado y cualquier otro archivo log relevante (red, firewalls, IDS/IPS,
proxies web, eventos de sistema, antivirus). El éxito de una respuesta
de ciber incidentes depende en gran parte de los datos obtenidos en
esta etapa. Garantizaremos que todas las vías de recolección de
datos están cubiertas antes de proceder a la fase de análisis. Los
tipos y formatos de datos requeridos para estas investigaciones serán
determinados en la fase de implantación/integración de nuestro
servicio. También podemos volver a la fase de recolección de datos si
se identifica alguna nueva fuente de datos durante las etapas
posteriores de la investigación.
Después se seguirá de un análisis detallado que variará en función
del tipo y gravedad del incidente. Sin embargo, siempre vamos a
pretender:
• Descubrir la extensión de la brecha;
• Analizar cuánta información se comprometió (si hay);
• Entregar documentos de ejemplo a nuestro cliente para que se
pueda evaluar la sensibilidad de la información fugada.
Las actividades pueden regresar a la fase de recolección y análisis
para obtener información adicional, por ejemplo en situaciones
donde los hosts adicionales se infectaron con malware mientras se
erradicaban los artefactos del ciber incidente anterior.
Las actividades de contención pueden incluir actividades tales como:
•
•
•
•
•
•
•
•
© 2014 Deloitte Advisory, S.L.
Desactivación de cuentas de usuario;
Cambio de contraseñas del sistema;
Robustez adicional de la red o controles del host, etc.;
Desconexión de los sistemas o redes comprometidos para
realizar más investigaciones.
Asesoramiento en las medidas de mitigación para el tráfico crítico
de negocio de acuerdo con los managers de la línea de negocio;
Uso de reglas de firewall para bloquear vectores de ataque
entrantes;
Uso de firewalls/proxies web para bloquear el acceso a internet a
los hosts comprometidos;
Uso de herramientas de seguridad de red (IDS/IPS, Netflow, etc.)
para detectar el comportamiento malicioso e informar al personal
técnico en nuevos eventos.
10
Nuestra respuesta
Nuestro proceso de CIR
3. Recuperación y cierre
Los dos principales objetivos de una investigación de CIR son apoyar el
negocio tan pronto como sea posible y hallar la causa del incidente para que
cualquier amenaza existente se identifique y se cierre. Esta fase permite que
ocurran de manera efectiva y controlada, presentando un informe que ayuda a
la organización a entender la situación y estar mejor preparado para el futuro.
3.2. Cierre
Deloitte producirá un informe a modo de resumen tras la
finalización de la actividad, documentando el incidente desde
nuestra involucración hasta su cierre exitoso. Cada informe se
ajusta a la naturaleza del incidente partiendo de las siguientes
secciones comunes:
3.1. Recuperación
• Descripción general;
Entendemos la necesidad de devolver el negocio a su operativa normal en el
menor tiempo posible. Sin embargo, es vital verificar la seguridad y el
rendimiento del sistema antes de volver a ponerlo en marcha. Las actividades
de erradicación tienen que ser llevadas a cabo antes de recuperar los
sistema, es por ello que se tienen que realizar pruebas rigurosas para
garantizar que los sistemas están verificados antes de restaurar la operativa.
• Trasfondo y objetivos;
Las actividades de recuperación y mitigación en curso pueden incluir:
• Ejecución de scripts pare eliminar cualquier malware o artefacto presente
en la red;
• Confirmación de que el antivirus de la red y host puede detectar y eliminar
el exploit y que el SO vulnerable está actualizado o parcheado para que no
sea vulnerable;
• Restauración del tráfico de red o de los sistemas afectados a un estado
anterior o backup;
• Continuación de la actividad del sistema de logs, pero en general, retorno
de registro a un nivel más normal;
• Concienciar a los usuarios del estad de cualquier sistema comprometido
que puedan usar (si aplica);
• Asesoramiento al personal y organizaciones relevantes en cualquier
desarrollo importante que pueda afectarles.
• Recomendaciones detalladas, incluyendo recomendaciones
técnicas y controles de seguridad generales.
• Resumen del incidente;
• Enfoque y cronología de la investigación;
• Análisis detallada del incidente, análisis
hallazgos y acciones realizadas;
del origen,
Deloitte pretende hacer una “revisión post-incidente” junto con
los stakeholders internos clave de la organización después de
un incidente mayor y de manera periódica para mejorar sus
medidas de seguridad y ayudar a la organización en la mejora
de su propio proceso de gestión de incidentes.
La revisión también permitirá a su organización a refinar sus
prácticas de seguridad e identificar las mejoras necesarias de
los controles y prácticas de seguridad existentes para
minimizar el riesgo de que ocurran futuros ciber incidentes. La
información también se puede usar para manejar futuros
incidentes y para la formación del personal actual y del futuro.
Estas medidas se deben monitorizar regularmente para garantizar que
continúan siendo efectivas.
© 2014 Deloitte Advisory, S.L.
11
Cyber Intelligence Centre (eCIC)
eCIC es una plataforma que permite a nuestros clientes comprender por completo y responder a un ciber riesgo. Integra tecnología punta con la
experiencia en seguridad de nuestros analistas para proporcionar a las organizaciones inteligencia de negocio relevante y necesaria para ayudar a
protegerlas contra ciber amenazas.
1
2
MONITOR
3
WATCH
4
PROTECT
CHECK
5
RESPOND
6
GOVERN
Prestamos el mejor servicio mediante el uso de buenas prácticas de industria y nuestra percepción de práctica de asesoría.
Alertas de negocio críticas
Informe periódico
Comunicación continua
Gestión de servicio
Procesamiento de eventos
Análisis de riesgos y amenazas
Contextualización de negocio
Coordinación de proveedor e información
Servicios de asesoría
en tiempo real,
prestando experiencia
bajo demanda para
facilitar la reducción
de riesgos.
© 2014 Deloitte Advisory, S.L.
Toma de decisiones
mejorada mediante la
provisión de una
visión más holística de
las amenazas de la
organización
Mayor eficiencia y
utilización de recursos
de seguridad mediante
el uso de servicios
gestionados.
Le permite prestar
operaciones de
seguridad a nivel
industrial de una
manera acelerada.
12
Cyber Intelligence Centre (eCIC)
Los servicios de CIR soportados por Cyber Intelligence Centre (eCIC)
El servicio de CIR está soportado por nuestros profesionales experimentados y talentosos y tecnologías en el eCIC de Deloitte, permitiéndonos
prestar un servicio mucho más exhaustivo. El eCIC opera servicios de seguridad líderes 24 horas al día en un amplio espectro de sectores junto
con su práctica de asesoría global líder. Esta cobertura proporciona a Deloitte percepción de las amenazas existentes y emergentes desde el
primer momento de aparición hasta su evolución, pudiendo ser llamado para dar soporte a una investigación. El eCIC también está disponible para
soportar análisis exhaustivos, como minería de logs, análisis de malware e investigaciones a medida. El servicio de CIR utiliza tradicionalmente el
eCIC en dos maneras:
Soporte en paralelo/continuo. Durante un incidente, se puede solicitar al eCIC que soporte al equipo de CIR en materia de análisis de malware,
inteligencia de amenazas y análisis de logs. Esto suele permitir al equipo in situ de CIR centrarse en asuntos más urgentes y también permite que
se continúe el soporte por la noche si es necesario, presentando los hallazgos a la mañana siguiente.
Establecimiento
de
contexto de sector. El eCIC
puede proporcionar un valor
añadido en un incidente con
su gama de servicios de
seguridad
relacionados
prestados a sus clientes en
múltiples sectores. También
puede ayudar a añadir más
contexto al equipo de CIR en
el sector que están operando
y otras vías posibles para
investigar.
Una solución SIEM avanzada que consume y monitoriza tus
logs para la presencia de problemas de cumplimiento y ciber
seguridad, proporcionando análisis de amenazas y contexto
de negocio para habilitar respuesta.
Servicios de monitorización de amenazas avanzadas,
empleando inteligencia de amenazas y tecnología para
monitorizar canales online para amenazas activas o
emergentes dirigidas a su organización o fuga de información.
Una solución de prevención de pérdida de datos que
monitoriza información sensible en busca de flujos internos y
externos que te alerten de problemas de cumplimiento o ciber
seguridad.
Una solución de identificación y priorización de
vulnerabilidades que hace inventario y escanea sus activos e
informa de vulnerabilidades críticas en su entorno.
Una capacidad de respuesta ante incidentes bajo demanda o
de Retained externos, que puede coordinar actividades de
respuesta e incluye investigación de malware avanzado y
forense.
Una capacidad gestionada de gobierno, riesgos y
cumplimiento que puede capturar, coordinar y analizar riesgos
de seguridad y problemas de cumplimiento con la
organización.
© 2014 Deloitte Advisory, S.L.
13
Cyber Intelligence Centre (eCIC)
Cadena de custodia y estándares de seguridad
Gestión de crisis escalable
Los datos recolectados durante un ciber incidente suelen
contener datos estratégicos, sensibles o personales. Estos
datos requieren un manejo apropiado para garantizar la
integridad y confidencialidad de la información.
Un ciber incidente debe ser manejado de manera eficiente
y diligente pero con un mínimo impacto y riesgo en la
operativa del negocio. Los clientes afectados por una
brecha suelen carecer de la experiencia para manejar
estas situaciones, ya que se sitúan fuera del alcance de la
actividad de negocio normal. Dado que no siempre es fácil
determinar el alcance e impacto completos de un
incidente, se necesita una gestión de crisis escalable.
Dado que estos datos pueden a veces usarse en una fase
posterior por cumplimiento reglamentario, o en procedimientos
judiciales, todas las salvaguardas necesitan tenerse en cuenta
para garantizar la cadena de custodia.
Deloitte ha desarrollado sus propios procedimientos
operativos estándar para una sólida recolección de
evidencias. Estos procedimientos tienen en cuenta los
requisitos definidos en el “good practice guide lines for digital
evidence” de ACPO.
Esto incluye formas estrictas de cadena de custodia, el uso
de bolsas de evidencias selladas y todos los datos que se
llevan a las instalaciones de Deloitte para mayores análisis se
almacenarán de manera segura en laboratorios forense
certificados con la ISO 27001. Los datos solo son accesibles
para los investigadores del caso asignados y para el cliente.
© 2014 Deloitte Advisory, S.L.
El equipo de CIR de Deloitte puede dar soporte de
liderazgo, gestión de proyecto, soporte de comunicación y
soporte a stakeholders necesarios para gestionar
efectivamente un incidente. Adicionalmente, también es
capaz de crear conexión eficiente entre el personal del
cliente y los consultores, gestionando la información y las
peticiones de datos que sean necesarios para permitir que
la investigación prosiga sin retraso.
14
Nuestro equipo
Nuestro equipo
Liderazgo experto junto a nuestro cliente
Responsable de
servicio
La gestión y el liderazgo de proyecto
diario lo realizará el, jefe del servicio de
respuesta ante ciber incidentes de
Deloitte.
Senior Manager
Líder CIR de área
Recomendamos encarecidamente tener
conexiones cercanas entre el equipo de
Deloitte y nuestro cliente, incluso en
períodos de bajos números de incidentes.
Control de calidad
Senior Manager de Area
Director
Manager
Dichas conexiones nos permite compartir
inteligencia, discutir los resultados de sus
sistemas de monitorización de incidentes y
eventos de seguridad, para que las
amenazas
emergentes
se
puedan
identificar tan pronto como sea posible.
© 2014 Deloitte Advisory, S.L.
USA
UK
Turkey
Thailand
Taiwan
Switzerland
Sweden
Spain
South Africa
Slovenia
Singapore
Russia
Poland
Malaysia
Japan
South Korea
Norway
Portugal
Germany
New Zealand
El Socio responsable de Deloitte dirige
el servicio de respuesta y prevención
de ciber amenazas y asegurará el
control de calidad en los servicios de
respuesta ante ciber incidentes.
Romania
India
Hungary
Mexico
Netherlands
Italy
France
Finland
Denmark
Czech Republic
China
Colombia
Canada
Brazil
Belgium
Austria
Australia
Argentina
Manager
16
Alcance global
Alcance global
La siguiente tabla muestra la amplitud de los servicios ofertados por Deloitte en cada uno de los 38 países en donde nuestro cliente tiene una
presencia significativa. Aquellos países que tienen capacidad limitada o que no tienen capacidad 24x7 serán soportados por el CyberSOC o países
vecinos cuando sea conveniente.
País
Los números
mencionados en la
descripción
corresponden a
expertos reales en el
ámbito de CIR y análisis
forense. En nuestra
práctica global de ciber
riesgos, contamos con
15.000 profesionales
(3.500 en EMEA) que
tienen grandes
capacidades en ciber
seguridad con
certificaciones
relevantes. Este
colectivo cualificado
puede ser de gran
importancia en caso de
un incidente mayor.
Estos profesionales
forman parte del
extenso equipo en cada
uno de los países.
Ampliable a
24x7
Servicios ofertados
•
•
Argentina
9-6pm
Sí
•
•
•
•
•
•
Australia
9-6pm
Sí
•
•
•
•
Austria
Bélgica
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Descripción
+ 40 expertos en Respuesta ante Ciber Incidentes,
miembros de una práctica mayor compuesta por +200
consultores y expertos en ciber riesgos (CISSP, CEH).
+ 250 proyectos de análisis de vulnerabilidades y
Hacking Ético durante los últimos 5 años para empresas
locales, regionales y globales. +20 proyectos de
respuesta ante incidentes y análisis forense de redes.
Gestión de Incidentes General
Análisis y eliminación de
malware
16 expertos en Respuesta ante Ciber Incidentes con
Análisis de logs
variedad de capacidades y tecnologías de soporte.
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Soportado por Alemania
•
•
Brasil
© 2014 Deloitte Advisory, S.L.
Horario
8-6pm
9-6pm
No
Sí
•
•
•
•
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
11 (5 dedicados) miembros de equipo (CISSP, CFA,
CCU, CFE) Especial enfoque en Pruebas de
intrusión y respuesta ante incidentes.
Experiencia con respuesta ante ciber incidentes de gran
escala en infraestructura nacional de
telecomunicaciones, transporte público, sector
financiero. Gran relación de trabajo con Reino Unido y
Países Bajos.
+ 40 expertos en Respuesta ante Ciber Incidentes,
miembros de una práctica mayor compuesta por +200
consultores y expertos en ciber riesgos (CISSP, CEH).
Gestión de Incidentes General
+ 250 proyectos de análisis de vulnerabilidades y
Pruebas de intrusión
Hacking Ético durante los últimos 5 años para empresas
locales, regionales y globales. +20 proyectos de
respuesta ante incidentes y análisis forense de redes.
18
Alcance global
País
Horario
Ampliable a
24x7
Servicios ofertados
•
•
Canadá
24x7
N/A
•
•
•
•
•
•
China
9-5pm
No
•
•
•
•
•
•
Colombia
9-6pm
Sí
•
•
•
República
Checa
Dinamarca
Descripción
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
7 expertos de respuesta ante ciber incidentes con gran conocimiento
de pruebas de intrusión y ataques.
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Práctica madura abarcando todo el país. Nuestro equipo tiene
todas las certificaciones necesarias en el área de la ciber
seguridad y servicios forense. Nuestro equipo está formado por
+50 profesionales.
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis de registros
Pruebas de intrusión
+ 40 expertos en Respuesta ante Ciber Incidentes, miembros de una
práctica mayor compuesta por +200 consultores y expertos en ciber
riesgos (CISSP, CEH).
+ 250 proyectos de análisis de vulnerabilidades y Hacking Ético
durante los últimos 5 años para empresas locales, regionales y
globales. +20 proyectos de respuesta ante incidentes y análisis
forense de redes.
Soportado por Hungría
24x7
© 2014 Deloitte Advisory, S.L.
N/A
•
•
•
•
•
Gestión de Incidentes General
Análisis y eliminación de malware
Análisis forense de redes
4 miembros de equipo dedicados (CISSP, GIAC, CISM).
Análisis de registros
Pruebas de intrusión
19
Alcance global
País
Horario
Ampliable a
24x7
Finlandia
9-6pm
No
Francia
8-8pm
(24x7 desde
1er cuatr.
2015)
Sí
Alemania
9-6pm
No
Hungría
9-6pm
Sí
Servicios ofertados
•
Pruebas de intrusión
Servicios orientados a pruebas de intrusión. Puede estar soportado
por países vecinos.
•
•
•
•
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
50 miembros de equipo dedicados (CISSP, CISM, GSEC, CISA),
principalmente orientados a pruebas de intrusión. Con acreditación
gubernamental
•
•
•
Gestión de Incidentes General
Análisis de logs
Pruebas de intrusión
2 miembros de equipo dedicados (CISSP) disponibles en todo el
mundo.
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
10 miembros de equipo (CHFI, GIAC) divididos entre clientes de
CIR e Intrusión Retainer en el sector público y financiero. Da
servicio a República Checa, Polonia, Rumanía y Eslovenia.
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Tenemos una práctica que abarca todo el país y también EEUU en
determinadas áreas. En nuestras instalaciones, contamos con
más de 100 expertos en el área de análisis forense y respuesta
ante ciber incidentes. El equipo de servicios de ciber riesgos es
mucho mayor con más de 500 profesionales.
•
•
•
•
•
•
India
24x7
© 2014 Deloitte Advisory, S.L.
N/A
Descripción
•
•
•
•
20
Alcance global
País
Horario
Ampliable a
24x7
Servicios ofertados
•
•
Italia
9-6pm
No
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Fuerte equipo local centrado en gestión de incidentes y pruebas de
intrusión y colaboración a largo plazo con firma especialista local
en las otras áreas de análisis forense y respuesta ante ciber
incidentes. El equipo de Deloitte en gestión de incidente y pruebas
de intrusión está formado por 16 profesionales y poseen las
certificaciones requeridas como CISM, CISSP, SANS, etc.
•
•
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
50 miembros de equipo dedicados (CISSP, CISM, CISA, etc.)
principalmente centrados en servicios de ciber seguridad.
El año pasado llevamos a cabo en torno a 50 proyectos y
continuamos prestando servicios a grandes compañías globales en
el sector automovilístico, electrónico, tecnológico, gubernamental y
financiero.
•
•
Gestión de Incidentes General
Pruebas de intrusión
30 miembros de equipo dedicados (CISSP, CISA, CEH),
principalmente centrados en Seguridad y análisis IT. Actualmente,
realizan análisis de vulnerabilidades para las dos entidades
bancarias más grandes de Malasia.
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
+ 40 expertos en Respuesta ante Ciber Incidentes, miembros de una
práctica mayor compuesta por +200 consultores y expertos en ciber
riesgos (CISSP, CEH).
+ 250 proyectos de análisis de vulnerabilidades y Hacking Ético
durante los últimos 5 años para empresas locales, regionales y
globales. +20 proyectos de respuesta ante incidentes y análisis
forense de redes.
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
25 miembros de equipo (CISSP, CISM, CEH, OSCP, CFE, ACE,
GREM, OSWP) disponibles en todo el mundo. 10 proyectos de CIR
completados el año pasado. 3 clientes Retainer (gran banco
internacional, compañía tecnológica y de gobierno). Fuerte relación
de trabajo con Reino Unido, Suiza y Bélgica.
•
•
•
•
•
•
Japón
Malasia
México
9-6pm
9-6pm
9-6pm
No
Sí
Sí
•
•
•
•
•
•
Países
Bajos
24x7
© 2014 Deloitte Advisory, S.L.
N/A
Descripción
•
•
•
•
21
Alcance global
País
Horario
Ampliable a
24x7
Servicios ofertados
•
•
Nueva
Zelanda
9-6pm
Sí
•
•
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Noruega
8-4pm
Sí
•
Pruebas de intrusión
15 miembros de equipo dedicados (CISSP, CISM, GSEC, GPEN,
QSA, PA QSA, respuesta y gestión de incidentes, análisis forense y
adquisición de datos, CISA) centrados en respuesta ante incidentes de
seguridad físicos, gestión de seguridad, y gestión y respuesta de
crisis. Con acreditación gubernamental, 1 de los únicos 5 proveedores
gubernamentales del servicio completo. 57 proyectos completados el
año pasado y somos el principal proveedor de respuestas para 5
clientes.
4 miembros de equipo dedicados( CISM, CISSP, CCLP, GPEN,
CEH, ISO 27005, ISO 27001 OSWP, CCSP).
Soportado por Hungría
Polonia
•
Portugal
Descripción
9-6pm
No
•
•
Rumanía
© 2014 Deloitte Advisory, S.L.
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Pruebas de intrusión
15 miembros de equipo con capacidades de CIR en Lisboa, Oporto y
Luanda. Clientes en áreas de TMT, energía y recursos y público.
Soportado por Hungría
22
Alcance global
País
Horario
Ampliable a
24x7
Servicios ofertados
•
•
Rusia
9-6pm
Sí
•
•
•
•
•
•
Singapur
9-5pm
Sí
•
•
•
•
•
•
Corea del
Sur
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
10 profesionales de seguridad con amplia experiencia en respuesta
ante incidentes y análisis forense. Más de 150 proyectos realizados en
materia forense.
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Práctica forense que cubre principalmente la región de Asia
sudoriental, principalmente en Singapur, Malasia, Indonesia y
Tailandia. Hay 15 expertos (incluidos socios) en los servicios forenses
en la oficina de Singapur. También contamos con un equipo de 4
situado en Indonesia, un Manager trabajando en Malasia y Socio
Director en Tailandia.
Soportado por Hungría
Eslovenia
Sudáfrica
Descripción
9-6pm
9-6pm
© 2014 Deloitte Advisory, S.L.
Sí
Sí
•
•
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
10 miembros de equipo (CISSP, CISM) con sede en Ciudad del Cabo
y Johannesburgo.
•
•
Gestión de Incidentes General
Pruebas de intrusión
Tenemos 30 miembros del equipo de ciber seguridad dedicado
s(CISSP, CISM, GSEC, CISA). 8 de ellos se centran principalmente en
pruebas de intrusión y gestión de incidencias. 8 proyectos de pruebas
de intrusión realizados el año pasado..
23
Alcance global
País
Horario
Ampliable a
24x7
Servicios ofertados
•
•
España
24x7
N/A
•
•
Suecia
50 miembros de equipo (CEH, CISSP, SIEM, CHFI, CISA) disponibles.
5 + proyectos de CIR en todo el mundo durante el año pasado en
todos los sectores.
Soportado por Dinamarca
•
•
Suiza
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Pruebas de intrusión
Descripción
9.30-5.30pm
No
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
4 miembros de equipo (CISSP) disponibles a nivel internacional.
•
•
•
•
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
40 miembros de equipo profesionales (CISSP, CISM, CISA, CEH,
CHFI, CCNA) dedicados en 24x7 a servicios de CIR. Nuestra base de
clientes la forman múltiples industrias como gobierno, tecnología,
finanzas y sanidad. Completamos más d15 proyectos el año pasado y
tenemos varios Retainers actualmente..
•
•
Gestión de Incidentes General
Pruebas de intrusión
Contamos con 8 profesionales de pruebas de intrusión con
certificaciones CISSP, CISM, CISA, CEH, CompTIA Security+, OSSA
etc.
•
•
•
•
•
•
Taiwán
24x7
N/A
Tailandia
8.30-5.30pm
Sí
© 2014 Deloitte Advisory, S.L.
24
Alcance global
País
Horario
Ampliable a
24x7
Servicios ofertados
•
•
Turquía
24x7
N/A
•
•
•
•
•
•
Reino
Unido
24x7
N/A
•
•
•
•
•
•
Estados
Unidos
24x7
© 2014 Deloitte Advisory, S.L.
N/A
•
•
•
•
Descripción
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
5 miembros de equipo dedicados (OSCP, CEH) disponibles a nivel
nacional. 50 proyectos de intrusión completados el año pasado en
todos los sectores.
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
20 miembros de equipo (CISM, CISSP, CREST, EnCe, ACE,
GCFA, GCIH) disponibles a nivel mundial. 3 clientes retainer
(gran compañía energética, compañía aseguradora y gran
proveedor de servicios profesionales).
Gestión de Incidentes General
Análisis y eliminación de
malware
Análisis de logs
Análisis forense de redes
Análisis de registros
Pruebas de intrusión
Nuestros equipos en los Estados Unidos tienen una larga
trayectoria en ciber incidentes y servicios forenses. A nivel nacional,
el equipo en los Estados Unidos tiene más de 100 profesionales
dedicados a estos servicios.
25
Algunas
Credenciales
Credenciales
Organización Europea de Servicios Financieros
Necesidad
identificada
El cliente hizo frente a un compromiso interna y
externamente combinado con la pérdida de
información altamente sensible como
consecuencia de actividades sospechosas de
insiders.
Requisitos
Nuestro cliente expresó la necesidad de
cumplir con los siguientes requisitos:
• Proteger los sistemas IT de ataques externos
y back doors;
• Verificar que los sistemas están libres del
malware que haya podido ser introducido por
un “super-usuario” interno o parte externa;
• Recuperar el hardware y los datos perdidos.
Servicio
prestado
Deloitte desplegó un experto en gestión de
incidentes para coordinar actividades de
recuperación y gestionar el programa de
respuesta diario, completando el rol de Jefe de
Personal. Trabajaron expertos en gestión de
vulnerabilidades, análisis forense, recuperación
de desastres IT y gestión de redes con el
personal de comunicaciones del cliente y los
equipos de RRHH para apoyar tomas de
decisiones de la junta directiva.
Beneficio
obtenido
El equipo pudo estabilizar la situación y evaluar
los riesgos. Pudieron recuperar y proteger los
sistemas y rastrear y recuperar el hardware y
los datos robados.
© 2014 Deloitte Advisory, S.L.
Organización de Reino Unido de Online Media
Necesidad
identificada
La página web del cliente fue hackeada por una
tercera parte desconocida que tuvo acceso a
datos personales sensibles.
Requisitos
Nuestro cliente expresó la necesidad de cumplir
con los siguientes requisitos:
• Proteger los sistemas IT de ataques externos y
e identificar y cerrar “back doors”;
• Verificar que los sistemas están libres del
malware que se haya podido introducir por una
parte externa;
• Identificar todos los datos comprometidos o
robados;
• Mejorar el código existente para asegurar que
no se vuelva a repetir el incidente.
Servicio
prestado
Deloitte desplegó un equipo de expertos en CIR,
pruebas de intrusión, exámenes forenses y
comunicaciones para ayudar lo más rápidamente
posible a mantener activos los principales
servicios. El personal también para soportar la
creación de código seguro para nuevos servicios.
Beneficio
obtenido
El equipo pudo ayudar a regresar a la actividad
normal los servicios, con seguridad adicional
sobre nuevo código desarrollado.
27
Credenciales
Organización Europea de Servicios Financieros
Necesidad
identificada
El cliente hizo frente a un ataque DDoS en una de
sus redes clave en Europa Central.
Aparentemente, este ataque también causó un
efecto perjudicial en el resto de la red.
Requisitos
Nuestro cliente solicitó soporte de nuestro servicio
de CIR para asistir en la recuperación de los
servicios normales, incluyendo:
• Explicación y comprensión de la naturaleza e
impacto completo del ataque, incluyendo áreas
de compromiso potenciales;
• Recomendaciones para recuperación y/o
mitigación incluyendo soluciones inmediata y
soluciones estratégicas a largo plazo.
Servicio
prestado
Beneficio
obtenido
Deloitte trabajó con el cliente durante y después
del ataque para reducir sus efectos. La principal
prioridad de la actividad era facilitar la
transferencia de servicios a un experto en
seguridad ante DDoS externos en cloud. Para
garantizar que la organización estaba
adecuadamente protegida, enviamos a un gestor
de incidentes experto a las instalaciones del
cliente para que asistiera en la identificación de
otras posibles vías de ataque.
El equipo fue capaz de estabilizar la situación y
evaluar los riesgos en cuestión de unas pocas
horas. Se recuperó rápidamente la totalidad de
los servicios y se implementaron medidas para
evitar recurrencias.
© 2014 Deloitte Advisory, S.L.
Organización Global de Servicios Financieros
Necesidad
identificada
El cliente hizo frente a una campaña arrolladora de
email phishing con emails conteniendo archivos con
malware. Los filtros de email de la organización
fallaron durante el ataque y una gran cantidad de
emails se enviaron a los usuarios.
Requisitos
Nuestro cliente solicitó soporte de nuestro servicio
de CIR para asistir en la recuperación, incluyendo:
• Identificación de toda la escala del ataque:
• Migración a un servicio mejorado de filtrado de
email en cloud;
• Comprensión del comportamiento de los archivos
maliciosos;
• Aplicación de las acciones de bloqueo necesarias;
• Eliminación de todos los emails maliciosos
enviados.
Servicio
prestado
Deloitte trabajó con el cliente para identificar el
alcance completo y la causa del ataque. La principal
prioridad fue restaurar la conectividad de email a los
usuarios tan rápido como fuera posible, enterarse de
si hubo más compromisos en la red y,
subsecuentemente, eliminar todos los emails
maliciosos enviados.
Beneficio
obtenido
El equipo ayudó a que los servicios se recuperasen
rápidamente y a que se implementaran las medidas
necesarias para que este incidente no se volviera a
repetir.
28
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited ("DTTL"), sociedad del Reino Unido no cotizada limitada por
garantía, y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica
propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página www.deloitte.com/about si
desea obtener una descripción detallada de DTTL y sus firmas miembro.
Esta publicación es para su distribución interna y para uso exclusivo del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus
entidades asociadas (conjuntamente, la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier
persona que actúe basándose en esta publicación.
© 2014 Deloitte Advisory, S.L.
29
Related documents
la plataforma para El análisis dE la sEgUridad
la plataforma para El análisis dE la sEgUridad
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Tesis Bernal - Varea... - Repositorio Académico UPC
Tesis Bernal - Varea... - Repositorio Académico UPC
Brochure Formación SANS
Brochure Formación SANS
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Ciberataques Estamos Preparados
Ciberataques Estamos Preparados
Gestión de Incidentes - Análisis Forense
Gestión de Incidentes - Análisis Forense
informática forense
informática forense
La necesidad de la Informática Forense SAFE Consulting Group
La necesidad de la Informática Forense SAFE Consulting Group
Guía Metodológica para el análisis forense
Guía Metodológica para el análisis forense
Análisis Forense en Sistemas Windows Escenario de una
Análisis Forense en Sistemas Windows Escenario de una
Metodología para realizar el manejo de
Metodología para realizar el manejo de
IBM Security Systems
IBM Security Systems
ELIMINACIÓN DE LAS BRECHAS DE SEGURIDAD
ELIMINACIÓN DE LAS BRECHAS DE SEGURIDAD
Solución de gestión de amenazas de seguridad
Solución de gestión de amenazas de seguridad
no toda amenaza es inmediata o está a la vista. el
no toda amenaza es inmediata o está a la vista. el
TRITON® RiskVision™ OBTENGA VISIBILIDAD SOBRE EL ROBO
TRITON® RiskVision™ OBTENGA VISIBILIDAD SOBRE EL ROBO
ironjack - JaCkSecurity
ironjack - JaCkSecurity
acá - NextVision
acá - NextVision
¡ CUPO SUBSIDIADO PARA 80 ALUMNOS !
¡ CUPO SUBSIDIADO PARA 80 ALUMNOS !