Share this page!

Antonio Sanz Profile picture
Twitter logo
24 Nov, 6 tweets, 2 min read
El otro día resolvimos un incidente de #ciberseguridad en un cliente. En la fase de lecciones aprendidas (casi siempre la olvidada) pensamos: "los hemos pillado pq han sido avariciosos, si hubieran ido más despacio podrían haber estado meses aquí". Moraleja de los atacantes (1/n)
Los atacantes TIENEN prisa. Los imaginamos como llenos de exploits y expertos en todo... pero son como nosotros, con jefes, objetivos, plazos, cosas que se les dan bien y cosas que ... no tan bien. Y fueron RÁPIDO pq a lo mejor pensaron que no les íbamos a pillar (2/n)
O justo lo contrario: fueron RÁPIDO pq pensaron que los íbamos a pillar y así "sacan lo que pueden". Aquí nosotros podemos jugar con dos factores: Bastionado y detección. Con el bastionado logramos por un lado FRENAR a los atacantes: sus TTP ya no van finan, y los atascamos (3/n)
¿Qué conseguimos? Que no puedan avanzar y conseguir sus objetivos (recuerda: tienen jefes y plazos). Así que tienen que "innovar", probar otras formas con las que no están cómodos. Esto implica ERRORES y RUIDO... que son maná caído del cielo para los defensores (4/n)
Pq los malos con sus técnicas hiperpulidas pueden volar por debajo de nuestro radar, pero si les forzamos a salir de su zona de confort y a hacer cosas que no tienen practicadas... la cagarán. Y en ese momento los podremos trincar y echar a patadas (5/n)
Moraleja: la seguridad defensiva se basa en el tridente Prevenir / Detectar / Responder (y yo metería tb Recuperar, pero eso da para otro hilo). Las 3 púas son importantes, y un equilibrio es lo que nos dará un protección óptima 😉

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Antonio Sanz

Antonio Sanz Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @antoniosanzalc

Antonio Sanz Profile picture
21 Oct
La semana pasada me dejé pendiente hablar de respuesta ante incidentes en #ciberseguridad. Vamos a contar algunas cosas :). Lo primero las fases: preparación, detección, análisis, contención, erradicación, recuperación y lecciones aprendidas. Dentro hilo 1/n
La preparación se hace de forma previa a cualquier incidente, y lo ideal es conseguir que tu infraestructura sea capaz de recoger toda la info posible para que luego podamos resolver el incidente. Parece fácil de decir, pero en la realidad poca gente lo tiene 100% 2/n
... y en muchos casos te encuentras con un "logs qué?". Logs del proxy, firewall, IDS/IPS, correo, EventLog, etc ... son fundamentales para los detectives puedan investigar y localizar el problema con rapidez y exactitud.
Read 12 tweets
Antonio Sanz Profile picture
14 Oct
Tú no lo sabes, pero tienes dentro a un grupo de #ransomware que no puede progresar pq has bastionado bien. Están jodidos, pero no son tontos, y en lugar de hacer ruido se han quedado hibernando hasta que salga esa PoC que les permita elevar privilegios y liártela parda 1/n.
El bastionado tan solo te da TIEMPO y OPORTUNIDAD. Un atacante determinado al final encontrará "ese" sistema sin parchear, "ese" fichero con las pass en un .txt... El objetivo del bastionado es denegar/degradar la capacidad del atacante, forzándole a salir de su "zona de comfort"
... y de esa forma obligándoles a hacer cosas q no están acostumbrados. Y ahí entra la pareja del bastionado: La DETECCIÓN. Cuanto más ruido hagan los atacantes, más oportunidades tendremos de detectarlos, pero hay que tener una estrategia de detección con cobertura y profundidad
Read 5 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get email notifications when new thread is out from this Author!

Check out other threads from this Author!

Read all threads by @antoniosanzalc