Tendencias nuevas y emergentes en ciberInteligencia - ciberdrones - José Luis Pozo Valverde y Zan...

CCN

27 Dec 202320:53

Summary

TLDRLa presentación discute sobre tendencias emergentes en ciberseguridad, enfocándose en soluciones de inteligencia artificial que operan como 'drones' en el ciberespacio. Se destaca la importancia de la anticipación de ataques cibernéticos y la utilización de herramientas para descubrir las tácticas, técnicas y procedimientos (TTP) de los atacantes. Se mencionan cuatro soluciones específicas: CounterCraft, VMRay, SpyCloud y Corelight, cada una con su enfoque en la detección y análisis de amenazas, desde la emulación de infraestructuras hasta la recuperación de credenciales comprometidas y la integración con soluciones de NDR. Además, se ofrecen sorteos de un iPad y un dron como incentivo para la participación y se invita a los asistentes a visitar el stand de la empresa.

Takeaways

😀 La presentación trata sobre tendencias nuevas y emergentes en ciberseguridad, con un enfoque en soluciones de inteligencia que actúan como drones en el ciberespacio.
🎁 Se mencionan dos sorteos con códigos UCR para ganar un Apple iPad y un dron dForce, promovidos por la empresa dForce.
🇪🇸 dForce es una empresa con sede en España e Italia, fundada en 2006, que trabaja con varios fabricantes y proveedores en el sector de la ciberseguridad.
👤 El ponente tiene más de 40 años de experiencia en tecnología de la información y 26 años en ciberseguridad, habiendo fundado r Security en España e Italia.
🛡️ Se presenta la idea de usar herramientas para anticiparse a los ataques cibernéticos, en lugar de solo repelerlos, a través de la obtención de información sobre los TTPs (tactics, techniques, and procedures) de los atacantes.
🤖 Se habla sobre 'cyber drones', soluciones de inteligencia que emulan infraestructuras creíbles y realistas, pero simuladas, para engañar a los atacantes y obtener información sobre sus métodos.
🏢 Se destaca la importancia de la ciberseguridad personalizada, enfocándose en las particularidades de cada organización para protegerse de manera efectiva.
📊 Se menciona la utilización de la tecnología de 'deception' y se da una demostración de cómo se puede observar y aprender de los ataques simulados para fortalecer la seguridad.
🔬 Se aborda el uso de 'sandboxes' de nueva generación que operan a nivel de hipervisor para engañar a los malware y recopilar información sobre sus comportamientos.
🔎 Se discute la problemática de las infecciones de malware en dispositivos no gestionados por la propia organización y cómo ciertos 'cyber drones' pueden ayudar a detectar y recuperar credenciales comprometidas.
🌐 Se menciona SpyCloud, una solución que ayuda a recuperar credenciales robadas y detectar infecciones tempranamente, con una demostración de cómo se podría recuperar información comprometida.

Q & A

¿Qué es lo que se discute en la charla sobre tendencias nuevas y emergentes en ciberseguridad?
-La charla se enfoca en soluciones de inteligencia que actúan como drones en el ciberespacio para anticipar ataques cibernéticos y presentar herramientas para descubrir las tácticas, técnicas y procedimientos (ttps) utilizados por los ciberenemigos.
¿Qué se ofrece como premio en los sorteos al final de la charla?
-Se ofrecen dos sorteos, uno para ganar un Apple iPad y otro para ganar un dron de la empresa Force.
¿Qué empresa es mencionada como patrocinadora de la charla y cuáles son sus colaboradores?
-La empresa Force es mencionada como patrocinadora, y sus colaboradores son CounterCraft, VMRay, SpyCloud y Corelight.
¿Qué es 'the best response is no need to respond' y cómo se relaciona con la seguridad cibernética?
-Es una táctica que sugiere que la mejor respuesta ante un ataque cibernético es no tener que responder, es decir, evitar el ataque en primer lugar. Esto se logra mediante la anticipación y el conocimiento de las ttp de los atacantes.
¿Qué es CounterCraft y cómo ayuda en la ciberseguridad?
-CounterCraft es una empresa española que firma un tratado con el departamento de defensa de los Estados Unidos y se dedica a transformar el concepto de 'engaño' en inteligencia personalizada, ayudándonos a anticipar y aprender de los ataques simulando infraestructuras realistas.
¿Cómo VMRay ayuda a enfrentar los desafíos de los malwares que pueden detectar entornos de sandbox?
-VMRay ofrece una solución de sandbox de nueva generación que opera a nivel de hipervisor, evitando la detección por parte de los malwares y permitiendo observar su comportamiento en un entorno que simula ser de producción.
¿Qué es SpyCloud y cómo contribuye a la recuperación de credenciales robadas?
-SpyCloud es una empresa formada por ex empleados de la FBI que ayuda a recuperar credenciales y otros activos robados por malware, detectando infecciones en equipos que acceden a los recursos de la organización.
¿Qué es Corelight y cómo se relaciona con el análisis de tráfico de red?
-Corelight es una plataforma que analiza tráfico de red pasivamente, normaliza y correlaciona datos para facilitar la investigación y detección de actividades maliciosas en la red.
¿Cómo se puede participar en los sorteos mencionados en la charla?
-Para participar en los sorteos, los asistentes pueden escanear un código QR proporcionado durante la charla o visitar el stand de la empresa con el código QR y la contraseña secreta 'inteligencia personalizada'.
¿Qué se discute en relación con la exposición de empresas y la detección de infecciones de malware?
-Se ofrece la posibilidad de conocer la exposición de una empresa a infecciones de malware mediante SpyCloud, y se puede obtener esta información gratuita y sin compromiso en el stand de la empresa.

Outlines

00:00

😀 Presentación de soluciones de inteligencia cibernética

La presentación inicia con una introducción a las nuevas tendencias en inteligencia artificial y drones, enfocándose en soluciones que operan en el espacio cibernético. Se menciona la oportunidad de ganar un Apple iPad o un dron dForce en un sorteo, y se presentan los oradores, Zan y Theo del dForce, quienes tienen amplia experiencia en tecnología y ciberseguridad. Se destaca la importancia de prevenir los ciberataques antes de que ocurran, utilizando herramientas para descubrir las tácticas, técnicas y procedimientos (TTP) que los ciberenemigos utilizan, en lugar de solo responder a ataques ya realizados.

05:00

😉 La inteligencia cibernética para evitar ser víctima

Se discute cómo evitar ser víctima de ciberataques a través del uso de la inteligencia cibernética, que es esencial para entender a los enemigos y sus tácticas. Se presenta el concepto de 'engaño' como una forma de obtener información valiosa sobre los atacantes al inducirlos a atacar infraestructuras simuladas. Se destaca el primer 'cyberdrone' que emula infraestructuras creíbles para que los atacantes prueben táticas como ransomware o phishing, lo que permite a los defensores aprender y fortalecer sus propias defensas. Se menciona a CounterCraft, una empresa española que trabaja en tecnologías de engaño y que firmó un contrato con el Departamento de Defensa de EE. UU.

10:03

😇 Sandbox de nueva generación y análisis de malware

Se aborda el problema de los malwares que pueden detectar si están en un entorno controlado como un sandbox. Para contornar esto, se introduce un sandbox de nueva generación que opera a nivel de hipervisor, evitando la detección por parte de los malwares y permitiendo a los defensores observar comportamientos reales de ataque. Se presenta VMRay, una solución de Alemania que es utilizada por varias organizaciones a nivel mundial para mejorar su inteligencia cibernética y se muestra una demostración de cómo se realiza el análisis estático y dinámico de documentos en el entorno de VMRay.

15:03

🤓 Recuperación de credenciales y malware en dispositivos no gestionados

Se discute cómo los problemas de seguridad a menudo comienzan con dispositivos infectados por malware, incluyendo aquellos que no son gestionados por la propia organización pero que afectan sus recursos y aplicaciones. Se presenta SpyCloud, una empresa formada por ex empleados del FBI, que ofrece soluciones para recuperar credenciales y detectar infecciones tempranamente. Se muestra una demostración de cómo SpyCloud recupera y proporciona información detallada sobre infecciones y robos de credenciales, lo que ayuda a organizaciones a reaccionar rápidamente y protegerse.

20:04

😁 Uso de inteligencia cibernética para soluciones de NDR

Se concluye la presentación enfocándose en cómo la inteligencia cibernética generada por los 'cyberdrones' mencionados puede ser aprovechada para soluciones de detección y respuesta de red (NDR). Se menciona Corelight, una plataforma de código abierto que ha recibido inversiones significativas y cuenta con el apoyo de empresas como CrowdStrike y Google. Se describe cómo Corelight ayuda a investigar y analizar tráfico de red, lo que permite a los investigadores obtener una imagen clara y detallada de las actividades en la red. Finalmente, se invita a los asistentes a participar en un sorteo utilizando códigos QR proporcionados en el stand de la empresa.

🙂 Aplauso y cierre de la presentación

El script finaliza con el agradecimiento de la audiencia y el aplauso por la presentación, subrayando la importancia de la innovación en el campo de la ciberseguridad y la necesidad de pensar como los atacantes para estar un paso adelante. Se cierra la sesión con una invitación a las preguntas y respuestas, y se señala la brevedad del tiempo, sugiriendo que hay mucho por aprender en el complejo mundo de la ciberseguridad.

Mindmap

Keywords

💡Inteligencia artificial

La inteligencia artificial (IA) se refiere a la capacidad de una máquina de realizar tareas que normalmente requieren inteligencia humana, como la toma de decisiones, el aprendizaje y la percepción sensorial. En el video, se discute cómo la IA se aplica en drones cibernéticos para anticipar y prevenir ataques cibernéticos, actuando como una herramienta de inteligencia para proteger infraestructuras y sistemas.

💡Ciberespacio

El ciberespacio es el dominio virtual compuesto por todas las redes y sistemas de información relacionadas con Internet. En el contexto del video, el ciberespacio es donde operan los 'drones de IA' mencionados, buscando anticipar y contrarrestar las amenazas cibernéticas antes de que se materialicen en ataques reales.

💡Ciberataque

Un ciberataque es cualquier intento de comprometer la integridad, disponibilidad o confidencialidad de un sistema de información utilizando medios digitales. El video trata sobre cómo las soluciones de IA pueden ayudar a prever y evitar este tipo de ataques, proporcionando ejemplos de cómo funcionan los 'drones de IA' en el ciberespacio para proteger contra tales amenazas.

💡Deception technology

La tecnología de decepcción es un método de seguridad cibernética que implica la creación de entornos ficticios para engañar a los atacantes,使之reveal su estrategia y tácticas. En el video, se menciona cómo esta tecnología permite a las organizaciones 'observar y aprender' de las tácticas de los atacantes, mejorando así su capacidad para prevenir futuros ataques.

💡Ciberinteligencia

La ciberinteligencia es la práctica de recopilar y analizar información relacionada con amenazas cibernéticas para proteger a una organización. El video destaca la importancia de la ciberinteligencia personalizada, enfocándose en la recolección de datos específicos que son relevantes para una organización y no solo información genérica.

💡ttps (tactics, techniques, and procedures)

Los ttps son tácticas, técnicas y procedimientos empleados por los atacantes cibernéticos. En el video, se resalta la importancia de conocer los ttps de los enemigos para poder prevenir ataques, y se describe cómo las soluciones de IA pueden ayudar a identificar estos patrones de comportamiento en tiempo real.

💡Sandbox

Un sandbox es un entorno de seguridad controlado utilizado para analizar archivos o programas sospechosos en aislamiento. En el video, se discute cómo los atacantes pueden detectar y evitar sandboxes tradicionales, y se presenta una solución de 'sandbox de nueva generación' que opera a nivel de hipervisor para evitar la detección por malwares avanzados.

💡Malware

El malware, o software malicioso, es cualquier programa o código diseñado para causar daño a un sistema de computadora o a sus usuarios. El video menciona cómo los 'cyber drones' pueden ayudar a detectar y recuperar credenciales y datos comprometidos por malware, incluso en dispositivos no gestionados por la organización.

💡SpyCloud

SpyCloud es una solución mencionada en el video que permite la recuperación de credenciales robadas y la detección de infecciones de malware en dispositivos que acceden a los servicios de una organización. Se destaca cómo esta herramienta, creada por ex empleados de la FBI, puede mejorar significativamente la capacidad de una organización para protegerse de ataques cibernéticos.

💡Corelight

Corelight es una solución de análisis de tráfico de red mencionada en el video, basada en el código abierto de Zeek (anteriormente conocido como Bro). Se utiliza para la detección de amenazas y la investigación forense en redes, correlacionando y normalizando datos de tráfico para facilitar la identificación de actividades anómalas y maliciosas.

Highlights

Presentación de soluciones de inteligencia que actúan como drones en el ciberespacio para anticipar ataques.

Oportunidad de ganar un Apple iPad o un dron d Force en dos sorteos.

Introducción de la empresa d Force, fundada en 2006 en España e Italia, y sus colaboraciones con fabricantes como CounterCraft, VMRay, SpyCloud y Corelight.

Experiencia del ponente de más de 40 años en el sector de TTIC y 26 años en ciberseguridad, incluyendo la fundación de r Security.

La táctica de 'The best response is no need to respond' para evitar respuestas a ataques cibernéticos.

Importancia de descubrir los TTPs (Tactics, Techniques, and Procedures) utilizados por los ciberenemigos.

Desarrollo de herramientas para anticipar y evitar ciberataques en lugar de solo repelerlos.

Necesidad de enfocar la ciberseguridad en las particularidades de cada organización.

Uso de 'cyber drones' para emular infraestructuras creíbles y simular ataques para observar y aprender de los enemigos.

Introducción de CounterCraft, una empresa española que trabaja con el departamento de defensa de EE.UU. en tecnología de 'deception'.

Demostración de cómo engañar a los atacantes para recolectar información sobre sus métodos y objetivos.

Evolución de los malwares capaces de detectar entornos de sandbox y la necesidad de soluciones de nueva generación.

VMRay, una solución alemana que permite funcionar a nivel de hipervisor para engañar a los malwares.

Importancia de la integración de soluciones de ciberseguridad y la API de VMRay para una implementación sencilla.

SpyCloud, una herramienta de contraespionaje para recuperar credenciales y MFA robadas y detectar infecciones tempranamente.

Demostración de cómo SpyCloud recupera y proporciona información detallada sobre infecciones de malware y credenciales comprometidas.

Corelight, una plataforma de análisis de tráfico de red que utiliza código abierto y se integra con soluciones de seguridad existentes.

Corelight's ability to normalize, correlate, and facilitate the investigation of network traffic with a detailed and long history.

Oportunidad para los asistentes de escanear un código QR para participar en un sorteo de un dron y un iPad.

Apertura a preguntas y discusión sobre las soluciones y herramientas presentadas.

Transcripts

00:00

[Música]

00:13

[Música]

00:26

[Música]

00:29

Pues bueno buenas tardes y bienvenidos a

00:31

todos esta

00:33

charla tendencias nuevas y emergentes en

00:36

ti inteligencia Tiber drones de hecho lo

00:39

que vamos a presentar hoy es unas

00:41

soluciones de de c inteligencia que de

00:45

hecho actúen como como drones pero en el

00:49

ciberespacio para que podamos digamos

00:53

anticiparnos a ataques que nos pueden

00:58

llegar antes de nada quería eh destacar

01:02

que al final de esta charla Ah vamos a

01:05

mostrar dos códigos ucr para entrar en

01:08

dos sorteos uno es para ganar un Apple

01:10

iPad o por cierto no tenemos aquí pero

01:12

un Apple iPad que lo tenemos en el stand

01:14

y también un

01:16

drone d Force es una empresa maista que

01:20

fundó en España e Italia en el año 2006

01:24

Ah con todos los proveedores que

01:26

trabajamos suministramos las soluciones

01:29

a través de partners de canal y mccp

01:32

Ah Hoy va Aquí se ve todos los

01:35

fabricantes con quien trabajamos pero

01:37

hoy estamos con cuatro fabricantes que

01:40

son cop patrocinadores con nosotros en

01:42

este evento que son countercraft vm Race

01:45

Spy Cloud y

01:47

cordl soy zan Ryan soy theo del do Force

01:52

tengo más de 40 años de experiencia en

01:54

el sector de ttic Ah tengo 26 años de

01:58

experiencia en la parte de

01:59

ciberseguridad de hecho en el año 2000

02:01

fundé r Security aquí en España e Italia

02:04

y aquí conmigo es es nuestro technical

02:06

wizard José Luis pozo que con quien

02:09

vamos a compartir a hacer esa

02:11

presentación que va a presentar más bien

02:13

la la parte técnica la parte más

02:15

interesante para vosotros José Luis está

02:18

certificado Microsoft también

02:21

certificado hacker ético por el ec

02:23

council pues habéis visto nuestro vídeo

02:26

the best response is no need to respond

02:30

alguno lo ha visto no sé durante las

02:32

pausas Vale pues

02:34

Ah eso quiere decir que la mejor

02:36

respuesta es no tener que responder

02:41

Ah descamente esta táctica con mi mujer

02:45

no funciona para nada Ah entonces la

02:49

idea que vamos a presentar hoy es con

02:51

herramientas que podéis usar para

02:53

descubrir los ttps que están utilizando

02:55

los los cibra enemigos para para

02:57

atacarnos ah seguramente muchos de

03:01

vosotros estáis preparados para repeler

03:04

ataques que pueden llegar pero no sería

03:06

aún mejor poder anticiparse para evitar

03:10

los ciberataques

03:12

así no hace falta Volver atrás

03:14

investigar lo que lo ha pasado entonces

03:17

lo que vamos a presentar es cuatro th

03:19

drones the best response no need

03:21

response tenéis el poder en vuestras

03:24

manos para proteger el

03:26

futuro y de hecho Ah Hay un montón de

03:31

ciberinteligencia

03:33

Ah gratuita de también de pago Ah pero

03:38

que pasa es que hay tanto que a veces es

03:40

muy genérica y y no se enfoque en la

03:45

parte que realmente nos preocupa como

03:46

una organización

03:48

Ah entonces el el reto es Cómo hacer

03:52

sentido de todo eso Ah en lugar de ver

03:55

demasiado rubido tener inteligencia que

03:57

realmente enfoque en lo que nos preocupa

04:00

en las particularidades de cada

04:03

organización

04:06

Ah De hecho yo estaba en conferencia de

04:09

ciberseguridad en Washington DC al

04:11

principios de octubre y me encontré ahí

04:13

con algunas personas expertos en en red

04:16

teaming y le hacía esa pregunta

04:19

eh podéis atacar a los ciberdelincuentes

04:22

una persona de un hospital me dijo no no

04:24

no no está prohibido por ley Ah Y

04:28

también había una persona del nsa que es

04:31

la la National Security agency de los

04:33

Estados Unidos y que se llama Dr Jacob

04:37

Ah seguro no es un nombre verdadero Tal

04:41

vez es su personaje en la darknet y le

04:43

pregunté pero vosotros

04:51

atacándolos como mortales no no podemos

04:55

atacar los ci delincuentes Por lo cual

04:57

no nos queda más remedio que evitar los

05:00

ciberataques Y ser

05:03

víctimas vale Y la pregunta es Cómo

05:06

podemos evitar ser víctimas entonces

05:08

Pues básicamente con inteligencia

05:10

ciberinteligencia de hecho la

05:11

inteligencia en términos militares es

05:13

información sobre nuestros enemigos y

05:16

concretamente sobre sus armas

05:17

concretamente sobre sus ttps como ya ha

05:20

dicho sein entonces básicamente La idea

05:22

es obtener toda la información sobre lo

05:24

que los atacantes tienen y quieren hacer

05:27

con nosotros y cómo hacerlo pues una

05:29

manera muy buena es engañar les para que

05:32

traten de hacer esos ataques en unos

05:34

entornos ficticios para que nosotros

05:36

Entonces podamos conocer sus ttps y

05:39

conocer qué es lo que quieren y eso lo

05:42

vamos a hacer esto concretamente lo

05:44

vamos a hacer con dos de los primeros eh

05:46

los dos primeros ciber drones de los que

05:48

vamos a hablar hoy que son cuatro y

05:50

vamos a empezar con el primero eh

05:52

concretamente el primer ciberdon lo que

05:54

hace es emular una

05:57

infraestructura totalmente creíble

05:59

totalmente realista Pero simulada para

06:01

qué para que los atacantes pues lancen

06:03

allí por ejemplo ataques de ransomware

06:05

ataques de fishing pensando que es

06:08

nuestra infraestructura pero en realidad

06:10

lo que estamos haciendo es observar

06:11

aprender y así saber qué es lo que

06:13

tenemos que reforzar Y qué es lo que

06:14

tenemos que proteger por eso es

06:16

inteligencia

06:17

personalizada de acuerdo muy bien pues

06:20

Ah este tier drone eh es una empresa

06:24

española Ah que el pasado año firmó

06:29

Trato con el departamento de defensa de

06:32

los Estados Unidos de 26 millones de

06:34

dólares es una empresa fundada por

06:37

eminente David Barroso Ah y la verdad

06:42

que es es lo que ha hecho country Craft

06:45

es ha transformado lo que es el concepto

06:48

de

06:48

deception engañar en inteligencia

06:51

inteligencia personalizada exactamente

06:54

Hablamos de una tecnología de deception

06:56

tecnología del engaño y vamos a ver una

06:58

pequeña demostración muy rápida de eh

07:00

cómo lo haríamos es decir nosotros

07:02

tenemos aquí varias líneas de tiempo

07:03

vemos aquí que tenemos tres líneas de

07:05

tiempo nos vamos a centrar en las dos

07:06

primeras En esta segunda digamos que le

07:08

hemos dado a los atacantes una cierta

07:09

facilidad para que puedan acceder Y

07:12

entonces lo que queremos es observar qué

07:14

van Cómo pueden eh hacer movimiento

07:16

lateral para obtener acceso a ese

07:18

segundo equipo al equipo que tenemos en

07:19

la parte de arriba Entonces nosotros

07:21

vemos aquí todos los procesos que van

07:23

haciendo todo lo que están ejecutando lo

07:25

estamos viendo aquí vemos incluso según

07:27

vamos avanzando la línea de tiempo vemos

07:29

que empiezan a ejecutar scripts de

07:31

powershell eh vemos que además eh

07:34

eventualmente consiguen autenticarse en

07:36

ese otro entorno Entonces nosotros

07:38

tenemos ya toda esta información e

07:40

incluso tenemos lo podemos ampliar

07:42

tenemos muchísimos más detalles y eh Por

07:44

ejemplo podríamos filtrar para encontrar

07:46

más información por ejemplo dentro de

07:47

todo esto podemos buscar eh scripts de

07:50

powershell y podemos Buscar pues

07:52

concretamente eh dentro de la matriz de

07:55

mitre Esto me lo sé pero se puede

07:57

consultar un segundo la matriz de mitre

07:58

Cuál es la eh la ttp que concretamente

08:02

queremos consultar y ya tenemos aquí la

08:03

eh la información asociada a eso

08:06

simplemente a los scps de Power que han

08:08

utilizado que hab hemos visto antes en

08:09

la línea de tiempo y

08:11

eh la obtención el dumping de

08:13

credenciales que han hecho para pasar

08:14

ese otro sistema operativo y aquí vemos

08:16

tenemos la información sobre el Script

08:18

de powershell que han utilizado vemos Ya

08:20

que han utilizado mimicat para obtenerlo

08:22

y aquí pues podríamos ampliar para ver

08:24

toda toda esa información es decir con

08:26

todo esto podemos proteger eh

08:28

posteriormente nuest entorno Pues muy

08:31

bien José Luis pues Ah por

08:34

Ah ahora por cierto José Luis los

08:39

malware han evolucionado de tanto que

08:42

muchos de ellos hoy son capaces de de

08:46

detectar si hay un sandbox o si hay un

08:50

edr antivirus en el entorno Ah entonces

08:55

cómo Cómo

08:58

podemos ese problema Pues básicamente

09:01

con un sandbox pero con un sandbox eh

09:04

con un sandbox de Nueva Generación que

09:06

nos permita funcionar a nivel de

09:07

hipervisor es decir evitar ese eh anti

09:10

agent que anti agente que tienen los

09:12

smartware hoy en día para detectar

09:13

agentes en los sandbox y simplemente en

09:16

un entorno de nuevo totalmente creíble

09:18

engañamos al malware para que piense que

09:20

es un entorno de producción nuestro y

09:22

ahí va a empezar a atacar como si

09:23

estuviera una red de producción nuestra

09:25

así que nosotros de nuevo sabemos qué es

09:27

lo que van a buscar sabemos que hay

09:28

técnicas utilizan y sabemos todo eh lo

09:31

que necesitamos para proteger eh nuestro

09:33

entorno de nuevo es inteligencia

09:35

personalizada Ese es de una solución de

09:38

una empresa se llama vmr que es una

09:40

empresa Alemania de Alemania y hay

09:42

muchas organizaciones a nivel mundial

09:44

que están utilizando Ah vmray entre

09:46

ellos es

09:48

vmware carbon Box carbon Black Perdona

09:50

Ah no podemos decir más nombres de

09:53

clientes porque sus clientes Ah no

09:56

quieren que sus ciber enemigos sepan que

10:00

le está entendiendo una trampa muy bien

10:02

Vamos si os parece vamos a ver un

10:04

ejemplo de un documento eh detonado

10:07

digamos en este entorno de de de BM Ray

10:10

no tenemos mucho tiempo pero vamos a

10:12

mostrar algunas cosas que son muy

10:13

interesantes nosotros podemos hacer un

10:14

análisis estático del documento o de

10:16

cualquier tipo de archivo que podemos

10:18

escanear en este caso es un rtf puede

10:20

ser cualquier documento Office

10:21

ejecutable cualquier un PDF cualquier

10:23

tipo de archivo y eh Por supuesto el

10:25

análisis Dinámico Además del

10:26

reputacional pero el Dinámico siempre es

10:28

el que nos va a dar más chicha porque es

10:30

un poco el que hacemos comprobando todo

10:31

su comportamiento Y entonces accediendo

10:33

al comportamiento Dinámico nosotros

10:35

podemos eh comprobar Cuáles son

10:38

eh Por ejemplo Aquí vamos a ver una

10:41

vista general Cuáles son todos estos

10:43

indicadores de amenaza toda esta

10:44

información todo lo que ha estado

10:46

haciendo todo lo que necesitamos para

10:48

saber qué es lo que quieren hacer

10:49

nuestro entorno vemos Cuál es Eh pues

10:52

más información sobre el malware tenemos

10:54

información incluso de su

10:55

infraestructura sus urls sus ips tenemos

10:57

eh screenshot pantallazo sobre lo que

11:00

hacen tenemos toda la información sobre

11:01

todos los procesos que va ejecutando

11:04

tenemos Incluso como cuadra en el marco

11:06

de mitre e

11:08

incluso sé que voy muy rápido pero bueno

11:10

Yo creo que es interesante aunque sea

11:11

una píldora de cada cosa incluso de

11:13

forma muy granular toda la información a

11:16

muy bajo nivel incluso de todos los

11:19

procesos incluso hasta los Memory damps

11:22

que incluso hasta podemos descargarlos

11:24

incluso para poder

11:26

analizarlos además otra cosa muy

11:29

Ray es un fabricante que tiene

11:30

muchísimas integraciones con la mayoría

11:33

de las soluciones de ciberseguridad que

11:35

tienen las organizaciones y además tiene

11:37

una Api O sea que la la implementación

11:39

es muy sencilla y muy rápida Pues muy

11:41

bien gracias José Luis Pero có sabes

11:43

much muchas infecciones o problemas de

11:46

PR seguridad empiezan con una equipo

11:49

infectado con

11:51

malware eso es Qué quiere decir eso

11:55

Bueno pues que a pesar de todo sigue

11:57

habiendo infecciones de mal porque

11:59

incluso muchas veces suceden equipos que

12:00

la propia organización no gestiona pero

12:02

que aún así afecta nuestra propia

12:04

organización no entonces eh Para cosas

12:06

como esos tenemos otro tipo de

12:08

cyberdrone que lo que hace es descubrir

12:10

digamos que como algo así como

12:11

contraespionaje eh todas las infecciones

12:14

de malware que hay en equipos que

12:15

acceden a los recursos y a las

12:17

aplicaciones de nuestras organizaciones

12:20

incluso ya digo aunque sean equipos

12:21

hasta personales de los usuarios eh de

12:23

empresas de terceros colaboradores

12:25

etcétera eh pero que acceden a nuestros

12:27

eh a nuestros servicios y esto eh eh con

12:31

esta con esta información lo que hace es

12:33

recuperar eh credenciales robadas mfas

12:36

robadas incluso Cookies de sesión que si

12:39

nos roban una Cookie de sesión pueden

12:40

hacer Incluso un bypass completo de la

12:42

autenticación Y además lo más importante

12:44

es que lo detecta en una fase muy

12:46

temprana cuando todavía estamos a tiempo

12:48

digamos de remediar y de evitar que

12:49

utilicen todos esos activos para

12:51

atacarnos

12:52

Pues ah para para recupar toda esa

12:55

información Ah hay que tener un digamos

12:59

un equipo de inteligencia humana de ilit

13:02

Ah Y eso es lo que tiene spycloud

13:04

spycloud es una empresa formada

13:07

por ex empleados de del FBI y qué mejor

13:11

referencia podemos tener para Spy Cloud

13:14

aquí en España es el ccn sert al

13:16

principio de este año el ccnt hizo unas

13:19

pruebas muy exhaustivas sobre spycloud

13:23

ahora lo han implantado y está integrado

13:26

con Reyes Ah además otros clientes

13:29

importantes a nivel mundial son Amazon

13:32

American Express Google Apple saap entre

13:36

muchos otros Bueno si te parece se vamos

13:38

a ver una rápida también demostración de

13:41

cómo podríamos recuperar aquí tenemos

13:42

una empresa ficticia se llama spare

13:44

factor y vamos a ver como credenciales

13:46

de e concretamente de esta empresa que

13:49

tiene un dominio spfa factor.com ya digo

13:51

la empresa es ficticia pero los

13:52

registros son totalmente realistas son

13:54

iguales que otros reales y entonces eh

13:57

en esta empresa vemos como se han

13:59

recuperado muchísimos registros de

14:02

usuarios que acceden a servicios de

14:04

terceros incluso nosotros aquí podemos

14:06

hacer una búsqueda sobre cualquier eh

14:08

usuario y vemos aquí por ejemplo este

14:10

usuario tomy tomy Street que tiene

14:13

varias credenciales a servicios bastante

14:15

críticos robadas por un malware y aquí

14:17

nosotros tenemos toda la información que

14:19

el malware ha robado a este usuario y

14:20

que Spy Cloud la ha recuperado tenemos

14:22

incluso la ruta de la infección tenemos

14:24

la IP tenemos el navegador el nombre del

14:26

equipo y si nosotros cogemos este nom

14:28

nombre del equipo incluso podemos

14:30

analizarlo a nivel de equipo y es lo que

14:32

decíamos antes nosotros aquí podemos ver

14:34

que tenemos muchas credenciales en este

14:37

gráfico muchas credenciales de muchos

14:39

nombres de usuario pero que nosotros

14:41

aquí incluso vemos que esta es la

14:43

credencial de tomy Street pero también

14:45

vemos que está

14:46

e este otro este otra credencial que es

14:49

Cloud pun admin parece un administrador

14:50

que puede ser bastante crítico e incluso

14:53

un nombre de usuario que no tendríamos

14:54

forma de asociarlo a nuestra a Nuestra

14:56

Empresa Porque además accede a a Cloud

14:58

fl.com pero eh gracias a que sabemos que

15:01

se está conectando desde este equipo

15:02

aunque no sea un equipo gestionado Spy

15:04

Cloud nos ayuda a entender que puede

15:06

haber una infección de malware que está

15:07

comprometiendo eh nuestros servicios y

15:09

aplicaciones

15:11

eh una cosa más sobre esto sobre Spy

15:14

Cloud eh si alguien está interesado en

15:17

conocer la exposición de su empresa eh

15:19

los posibles infecciones de malware de

15:20

distintos usuarios Eh puede pasarse por

15:22

nuestro Stand estamos en frente a la

15:24

sala 19 el stand creo que es el número

15:25

27 pero bueno en frente a la sala 19 y

15:28

podemos darlo esta información

15:29

totalmente gratuita sin ningún

15:31

compromiso de ningún tipo y puede ser

15:33

muy muy útil para vosotros Muy bien pues

15:36

los tres tip dones de lo que hemos

15:39

hablado hasta ahora generan tip

15:42

inteligencia bastante interesante eh que

15:45

se puede ser muy útil para muchas

15:47

organizaciones Y esa inteligencia

15:49

podemos aprovecharla para soluciones de

15:52

ndr Como por ejemplo soluciones de n

15:54

tipo que utilizan el código abierto de

15:57

de zic antes conocido como bro

16:00

Ah De hecho Ah zic Es un código abierto

16:04

que fue desado el año

16:06

1995 y la persona creó este código

16:10

abierto Ah hace ya 9 años formó corl

16:14

porque muchas entidades muy grandes todo

16:16

el mundo que utilizaban Zig querían un

16:19

producto Enterprise Ah con todo los

16:22

soporte por detrás Ah y para mejorar Z

16:27

parair rendimiento y funcionalidades a

16:30

día de hoy cor ha conseguido inversiones

16:33

de más de 160 millones de dólares Ah el

16:37

inversor más importante en corl es

16:41

crowdstrike Ah y de hecho

16:44

crowdstrike colabora muy estrechamente

16:46

con con corl lo tiene integrado con

16:49

falcon

16:51

también Google conic ment también lo

16:55

recomienda colabora muy estrechamente

16:57

también con corelight de hecho una muy

17:00

buena Referencia para para el zic de

17:03

corelight es que Zig

17:07

fue responsable o fue clave para

17:11

dirección del malware de sunburst en La

17:13

Brecha de seguridad de solar winds y

17:16

como hacer una demostración de corl es

17:18

muy complicado en el tiempo que nos

17:19

queda vamos a hacer rápidamente una

17:21

vista de lo que es un ndr y lo que es

17:24

concretamente corl Y por qué es especial

17:26

corl nosotros como siempre un n

17:28

repasamos toda la Fuente del tráfico

17:30

todo de forma pasiva los sensores de

17:32

corl la asimilan la analizan y todo

17:35

aquello que sabemos que es un una mezcla

17:38

de protocolos que ninguno está es

17:40

parecido al anterior eh Lo normaliza eh

17:44

lo correlaciona y lo facilita la

17:46

investigación de todos estos archivos eh

17:49

que los investigadores pueden recurrir

17:52

para investigar para saber más de todo

17:54

lo que ha pasado en la red con un

17:56

histórico muy largo y muy detallado ad y

17:58

muy fácilmente interpretable todo esto

18:00

lo podemos asimilar sobre desde el SIM

18:02

podemos pasar toda esa información al

18:04

SIM y ahí correlacionar incluso con el

18:05

resto de soluciones de seguridad o

18:07

podemos utilizar nuestra propia

18:09

plataforma la propia plataforma

18:11

investigator de corl desde donde podemos

18:13

también hacer detecciones de Machine

18:15

learning y desde donde también veremos

18:17

podemos hacer todas las investigaciones

18:18

o podemos hacer un mix de las dos tener

18:20

tanto la propia consola y hacerlo todo

18:22

desde el

18:24

SIM Así que creo que ha llegado el

18:27

momento de sacar los teléfonos eso es

18:29

Hay que sacar vuestros teléfonos para

18:31

escanear el código QR ah para los

18:34

asistentes de de ese presentación esa

18:37

ponencia Ah podéis participar en este

18:40

sorteo para un dron Ah y si no tenéis

18:43

tiempo ahora para escanearlo podéis

18:45

pasar luego por nuestro Stand y os

18:47

mostraremos el el código QR para

18:50

escanearlo pero con hay que venir con la

18:53

contraseña secreta que es inteligencia

18:56

personalizada Vale y con eso yaos el

18:58

código corr para

19:00

escanearlo los que estáis desde casa

19:02

también podéis participar sí Ah desde

19:04

caso la oficina Gracias por recordarme

19:06

de eso vale Y también hay otro código

19:09

cor que es distinto al anterior y eso es

19:11

para ganar un iPad Ah de 10,9 pulgadas

19:16

es para todos los asistentes de todos

19:18

los días de de estas jornadas Ah incluso

19:22

para personas que estén asistiendo

19:24

remotamente también este código cor está

19:27

en nuestro Stand si no tenéis tiempo

19:29

ahora para para escanearlo pues muchas

19:32

gracias y ahora abrimos a torno de

19:34

preguntas si nos queda tiempo para para

19:36

alguien para hacer alguna

19:38

pregunta si no me equivoco eh nada más

19:42

vamos a esperar a que terminen de

19:43

microfon al siguiente participante

19:46

perdonad es que estaba ocupada

19:47

intentando participar en el sorteo

19:49

porque por supuesto yo también estoy

19:50

interesada en que tocar alguna de las

19:53

dos cosas ha sido un placer escucharos

19:55

la verdad que es una pena que sea tan

19:56

breve el tiempo que tenemos para para

19:59

poder aprender de todo lo que nos habéis

20:00

contado desde luego es un mundo

20:02

complicado y en materia de

20:03

ciberseguridad Por supuesto Siempre hay

20:05

que estar innovando que para eso estamos

20:07

en este módulo y poniéndonos en el lado

20:10

de los malos eso lo hacemos mucho los

20:11

abogados pensar como los malos verdad

20:14

tenemos que aprender entre todos por eso

20:15

me ha parecido especialmente interesante

20:17

vuestra presentación la verdad

20:19

Muchísimas gracias un aplauso por favor

20:21

Gracias

20:27

Gracias

20:36

[Música]

20:49

[Música]

Voir Plus de Vidéos Connexes

Aplicaciones de Inteligencia Artificial en escenarios de ciberdelincuencia y ciberseguridad - Ósc...

Infraestructura digital crítica: ¿por qué hay cada vez más ciberataques? | Tecnotopia

He probado 100 herramientas de IA. Estas son las mejores

Accelerate the value of generative AI with three secret ingredients

Entrevista: Un panorama general de los ataques DDoS

Introducción a la investigación de mercado

Rate This

★

★

★

★

★

5.0 / 5 (0 votes)

Étiquettes Connexes

CiberseguridadInteligencia ArtificialDrones CibernéticosPrevención de AtaquesTécnicas de EngañoIntegridad de DatosRed TeamingDefensa CibernéticaEventos TecnológicosInnovación en Seguridad

Besoin d'un résumé en anglais ?