Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Analisis de Datos en Seguridad de Redes

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Eduardo Urias Eduardo Urias
June 26, 2014
Technology
150
0

Analisis de Datos en Seguridad de Redes

Campus Party Mexico - #CPMX5

Avatar for Eduardo Urias

Eduardo Urias

June 26, 2014

More Decks by Eduardo Urias

See All by Eduardo Urias
Creando Software Seguro en un Mundo Incierto
Avatar for Eduardo Urias larsx2
0
240
Why Passwords Sucks and What Can You Do About It
Avatar for Eduardo Urias larsx2
0
150
Devz Community 2018
Avatar for Eduardo Urias larsx2
0
120
Vagrant 101 - Hack&Beers HMO
Avatar for Eduardo Urias larsx2
0
130
Proxy 2011 - Computer Security Intrusions in a Modern World
Avatar for Eduardo Urias larsx2
1
89

Other Decks in Technology

See All in Technology
Microsoft Build Keynoteふりかえり
Avatar for tomokusaba tomokusaba
0
120
FDE という解 ― 暗黙知と明示知をつなぐ、伴走型エンジニアリング ―
Avatar for 太田 博三 otanet
0
130
AIソロプレナー時代に2ヶ月で20人増員した事業創造会社の開発組織の話
Avatar for Koji Miyata miyatakoji
0
600
爆速でマルチプロダクトを立ち上げる時 事業・CTO目線で大事にしたい事
Avatar for Koji Miyata miyatakoji
0
100
データサイエンスを価値につなげるプロジェクト設計 〜 DS一年目が現場で得た気づき 〜
Avatar for Yusei Doi ysd113
1
180
On-behalf-of Token exchange with AgentCore Identity
Avatar for iganin hironobuiga
2
150
Amazon Bedrock AgentCore ワークショップ JAWS UG TOHOKU / amazon-bedrock-agentcore-workshop-jawsug-tohoku-2026
Avatar for geeawa gawa
9
700
LLMと共に進化するプロセスを目指して
Avatar for y_matsuwitter ymatsuwitter
12
4k
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development with AI-DLC
Avatar for 吉田真吾 yoshidashingo
0
170
エラーバジェットのアラートのタイミングを考える.pdf
Avatar for KairiM kairim0
0
120
SONiC Scale-Up Working Group から探る Scale-UpやUltraEthernet機能の実装方法
Avatar for ebiken ebiken
PRO
2
120
【Cyber-sec+】経営層を"動かす"ための考え方
Avatar for Hisashi Hibino hssh2_bin
0
130

Featured

See All Featured
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
610
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.7k
エンジニアに許された特別な時間の終わり
Avatar for watany watany
107
250k
Believing is Seeing
Avatar for Spiro Bolos oripsolob
1
140
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.5k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
580
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
470
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
11
38k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
160
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k

Transcript

  1. Análisis de Datos ! Seguridad de Redes EN

  2. Análisis de Datos ! Seguridad de Redes EN Eduardo Urias

  3. None
  4. None

  5. ¿Porqué esta Charla?

  6. “Datificación”

  7. Menos del 2% de toda la información guardada NO es

    Digital…

  8. “tomar todos los aspectos de la vida y codificarlos en

    datos” - The Rise of Big Data Kenneth Neil Cukier, Viktor Mayer-Schoenberger .

  9. Pienso Trabajo Compro Conosco Voy Veo

  10. None

  11. Datos + Proceso = Información

  12. Seguridad de Información Seguridad de Información

  13. Procesos

  14. onfidencialidad C! I! A ntegridad ccesibilidad Atributos de la! Seguridad

    de Información

  15. Monitorización de Seguridad de Redes

  16. Network Security Monitoring NSM

  17. “la colección, análisis y escalamiento de indicadores y advertencias para

    detectar y responder a intrusiones”

  18. Orígen Morris! Worm Network! Security! Monitor 1988 1991 1992 AFCERT

    1992 Reference: http://taosecurity.blogspot.mx/2007/04/network-security-monitoring-history.html 2000 ASIM 2002 2003 1996 Coverage SPREG NSM NSM Sguil
  19. None

  20. Orígen Morris! Worm Network! Security! Monitor 1988 1991 1992 AFCERT

    1992 Reference: http://taosecurity.blogspot.mx/2007/04/network-security-monitoring-history.html 2000 ASIM 2002 2003 1996 Coverage SPREG NSM NSM Sguil

  21. “la colección, análisis y escalamiento de indicadores y advertencias para

    detectar y responder a intrusiones”

  22. “la colección, análisis y escalamiento de indicadores y advertencias para

    detectar y responder a intrusiones”

  23. “la colección, análisis y escalamiento de indicadores y advertencias para

    detectar y responder a intrusiones”

  24. “la colección, análisis y escalamiento de indicadores y advertencias para

    detectar y responder a intrusiones”

  25. “la colección, análisis y escalamiento de indicadores y advertencias para

    detectar y responder a intrusiones”

  26. Ciclo de Seguridad (Defensiva) Proceso de Seguridad

  27. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  28. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  29. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  30. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  31. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  32. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  33. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  34. Ciclo de un Ataque (APT) Reconocimiento Intrusión Inicial Establecimiento de

    Puertas Traseras Obtener credenciales de Usuario Instalación de Utilerías Exfiltración/Escalación de Privilegios Asegurar el Acceso

  35. PWNED ;)

  36. Ciclo de Seguridad (Defensiva) Proceso de Seguridad

  37. Planeación Proceso de Seguridad Ciclo de Seguridad (Defensiva)

  38. Planeación Proceso de Seguridad Protección Ciclo de Seguridad (Defensiva)

  39. Planeación Proceso de Seguridad Protección Respuesta Ciclo de Seguridad (Defensiva)

  40. Planeación Proceso de Seguridad Protección Detección Respuesta Ciclo de Seguridad

    (Defensiva)

  41. Colección

  42. Logs

  43. ?

  44. “Todo mensaje que un sistema, dispositivo o software genera en

    respuesta a algún tipo de estimulo.”

  45. Logs Redes Host Servicios Aplicaciones

  46. Logs Redes Host Servicios Aplicaciones

  47. Información Diagnóstico Advertencia Error Alerta Error Alert Warning Debug Info

  48. Timestamp Origen Datos

  49. Timestamp Origen Datos Thu Jun 19 03:41:42 127.0.0.1 Algo falló

    :(

  50. Log ! Server Windows! Host Firewalls Routers Antivirus Linux! Host

    Switches Impresoras

  51. Log ! Server Windows! Host Firewalls Routers Antivirus Linux! Host

    Switches Impresoras WTF?

  52. Centralización! de Logs

  53. Seriously WTF? Centralización! de Logs

  54. Pausa

  55. Impresoras! dices… ?! ಠ_ಠ

  56. Centralización! de Logs

  57. None
  58. None
  59. None
  60. None

  61. FUUUUUUUUUU

  62. None

  63. Emm.. OK

  64. None
  65. None

  66. Because F*ck You.! Thats why.

  67. De vuelta

  68. Tipos de ! Datos

  69. Captura Total Contenido! Extraído Transacción Sesión Estadístico Metadata Alerta

  70. Captura Total

  71. Contenido

  72. Estadística

  73. Sesión

  74. Transacción

  75. Alerta

  76. Web Server Log

  77. Web Server Log Ejemplo

  78. 127.0.0.1  //  Orígen       [19/Jun/2014:16:12:04  -­‐0400]  //  Timestamp

      ! “GET  /js/jquery.min.js  HTTP/1.1”  //  Petición   ! 200  //  Código  de  Estado   ! 5223  //  Bytes  Enviados   ! “http://inspectlabs.com/“  //  Dominio  Web   ! “Mozilla/5.0  (Windows  NT  6.1;  WOW64;  …”   //  Agente  de  Usuario  (Navegador)

  79. Herramienta

  80. None

  81. Elasticsearch Motor de Búsqueda

  82. Logstash Agregador de Logs

  83. Kibana Dashboard

  84. ELK Stack

  85. None
  86. None
  87. None

  88. Detección

  89. “Normalmente, la detección se lleva a cabo mediante una función

    que analiza los datos (logs) y genera una alerta“

  90. “Normalmente, la se lleva a cabo mediante una función que

    los (logs) y genera una “ Alerta Detección Analiza Datos

  91. Dominios de Detección

  92. Sistemas ! de Detección ! de Intrusiones Red Host

  93. Sistemas ! de Detección ! de Intrusiones Red Host NIDS

    HIDS

  94. Sistemas de Detección de Intrusiones en Red

  95. Sistemas ! de Detección ! de Intrusiones en Red Patrones

    Heurística

  96. Sistemas ! de Detección ! de Intrusiones Patrones Heurística en

    Red
  97. None

  98. Detección Prevención Código Abierto

  99. +

  100. None
  101. None
  102. None

  103. Bro

  104. Bro Sup!

  105. Detección Prevención Código Abierto Bro Script

  106. Detección Prevención Código Abierto Bro Script FTW

  107. Análisis

  108. Investigación! Relacional

  109. Investigación de Sujetos Primarios! Investigación Preliminar de algún Indicador Investigación

    de Relaciones ! Primarias! Interacciones actuales Investigación de Relaciones ! Secundarias! Relación entre Sujetos Primarios y Secundarios Investigación de Sujetos! Adicionales! Paso 1 Paso 2 Paso 3 Paso 4

  110. Data Science

  111. Skills - Drew Conway

  112. Storytime

  113. Visualización

  114. Visualización Porqué

  115. 1854 Broad Street Cholera outbreak

  116. Debate de la Causa del Cólera Teoría Miasmática

  117. Debate de la Causa del Cólera Teoría Miasmática Contaminación por

    algún! “veneno animal especial”

  118. Debate de la Causa del Cólera Teoría Miasmática Contaminación por

    algún! “veneno animal especial” ¯\_(π)_/¯

  119. Debate de la Causa del Cólera Teoría Miasmática Contaminación por

    algún! “veneno animal especial” Dr. William Farr Dr. John Snow

  120. Debate de la Causa del Cólera Teoría Miasmática Contaminación por

    algún! “veneno animal especial” Dr. William Farr Dr. John Snow

  121. Debate de la Causa del Cólera Teoría Miasmática Contaminación por

    algún! “veneno animal especial” Dr. William Farr Dr. John Snow

  122. 1854 Broad Street Cholera outbreak

  123. 1854 Broad Street Cholera outbreak John Snow DID know something

  124. The North Remembers.

  125. The North Remembers. London

  126. None

  127. Data Science + Security

  128. Python (Pandas) / R RDBMs / NoSQL REST / WebSockets

    / ZMQ Avro / MsgPack / Thrift Elige, Explora, Itera

  129. Seguridad Manejo de Datos (Big Data) Programación Estadística Visualización “Security

    Data Scientist”! Skills

  130. Shameless Plug

  131. None
  132. None
  133. None
  134. None

  135. Join the Beta

  136. Rise of Big Data - http://www.foreignaffairs.com/articles/139104/kenneth-neil-cukier-and-viktor-mayer-schoenberger/the-rise-of-big-data Referencias

  137. Gracias @larsx2! edw.urias at gmail.com

  138. EOF