Se ha identificado durante el último año a nivel global un ambiente tenso con
altos y crecientes riesgos y repercusiones, volviendo mucho más complejos los
diferentes tipos de exposiciones, perpetradores e inclusive el significado mismo
de “ataque”; permitiendo la adopción de nuevas estrategias de mitigación y
prevención de nuevas tipologías de defraudación.
La incidencia de fraude continua aumentando marcadamente. En general, el
82% de los ejecutivos encuestados reporto al menos un caso de fraude en el
último año, frente al 75% en 2015. Esto continúa la tendencia revelada en
informes anteriores en donde se reportaban niveles de incidencia de fraude de
61% en 2012 y 70% en 2013.
Porcentaje de encuestados quienes experimentaron defraudación en los últimos 12
meses
FRAUDE
Más de dos tercios (68%) de los
encuestados reportaron alguna ocurrencia
de al menos un incidente durante el último
año.
SEGURIDAD
CIBER SEGURIDADEl 85% de los ejecutivos encuestados dijo que
su empresa experimentó un ataque cibernético
o robo de información, pérdida o ataque en los
últimos 12 meses.
REPERCUSIONES.La encuesta indica que la experiencia de un fraude, ciber ataque o incidentes de
seguridad tienen repercusiones generalizadas para empleados y clientes de la
empresa, así como los ingresos y su reputación.
RIESGOS REGIONALESEn cual región/país han disuadido a su organización de operar debido a temas
asociados con fraude o seguridad
TIPOS DE FRAUDE• Hurto de activos físicos o inventario 22% | 29%
• Vendedor, proveedor o fraude en adquisiciones 17% | 26%
• Robo de información, pérdida o ataque 15% | 24%
• Conflicto de intereses 12% | 21%
• Incumplimiento normativo 12% | 21%
Fraude sufrido
en los últimos 12
meses
• Fraude interno 9% | 20%
• Malversación de fondos 7% | 18%
• Colusión en mercado 2% | 17%
• Hurto de IP., piratería o falsificación 4% | 16%
• Corrupción y soborno 11% | 15%
• Lavado de dinero 4% | 15%
Se ha podido evidenciar que las amenazas vienen desde
dentro de la compañía en su mayoría.
Cerca de 8 de 10 encuestados (79%) se refirieron a
alguna de las siguientes características:
Empleados de alta o media gerencia de nuestra
propia empresa
Ex empleados
Empleados temporales o freelance
Empleados Junior
PERPETRADORES DE FRAUDE
PERPETRADORES DE INCIDENTES
DE SEGURIDADEn total, el 56% de los ejecutivos encuestados dijeron que los internos eran los
principales responsables de los incidentes de seguridad, citando a ex empleados
(23%), empleados permanentes (17%) y empleados temporales / freelance (16%).
Curiosamente, de los perpetradores externos, más de uno de cada diez
(12%) encuestados declaró que los competidores eran el grupo clave y el 10% señaló
a perpetradores aleatorios.
PERPETRADORES DE INCIDENTES DE CIBER SEGURIDADEn general, el 44% de los encuestados informó que los internos eran los principales
responsables de un incidente cibernético, citando a ex empleados (20%), freelance /
temporales (14%) y empleados permanentes (10%).
PERPETRADORES DE FRAUDESi su organización sufrió algún incidente de fraude en los últimos 12 meses, cuál
grupo fue el perpetrador clave?
PERPETRADORES DE CIBER ATAQUES O ROBO
DE INFORMACIÓN, PÉRDIDA Y ATAQUE
Mencionó que la compañía sufrió un ciber ataque, o pérdida de información, robo o ataque en los últimos 12 meses,
quien fue el perpetrador clave?
PERPETRADORES DE INCIDENTES DE
SEGURIDAD
Mencionó que la compañía sufrió
un incidente de seguridad en los
últimos 12 meses, quien fue el
perpetrador clave?
CONCLUSIÓN
Los riesgos abundan, la complejidad se multiplica, los perpetradores colaboran, y
las técnicas de evasión se vuelven más sofisticadas. Mientras tanto, las empresas
se someten a un escrutinio más intenso que nunca y se pone a prueba el manejo
del riesgo y la respuesta a diversos tipos de incidentes. Estimulados por la
necesidad de ponerse al día y salir adelante de estas situaciones, las empresas han
dado pasos importantes hacia la construcción de metodologías de adaptación.
CONCLUSIÓN
De hecho, el camino hacia la adaptación requiere recursos, análisis,
creatividad, comprensión del comportamiento humano y vigilancia para mejorar continuamente la capacidad de cada empresa para prevenir,
preparar, responder, investigar y remediar el fraude y el riesgo. En un entorno
siempre cambiante, es comprensible que vemos una creciente dependencia de
expertos externos para ambos logran una comprensión más profunda de los
hechos subyacentes y ayudan con soluciones.
“Operación ilimitada”
• Dos procesadores de pago identificados
• RAKBANK (Emiratos Árabes Unidos)
• Bank of Muscat (Oman)
• 10 horas
• 24 paises
• 36,000 transacciones
• $40 million USD
C op yr i g h t © 2012 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
Más del 95% de los sistemas de
seguridadempresariales no estan preparadospara enfrentar losdesafios actuales,
y los analisis se basan
principalmenteen amenazas que
los funcionariosde hecho ya
conocen.
“
SIETE DIMENSIONES QUE SOPORTAN LA SEGURIDAD EMPRESARIAL
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
Un ejemplo
167.161.27.191
215.14.143.11
87.74.113.7
131.91.7.178
109.116.9.22
101.17.11.123
81.7.115.28
191.17.5.128
105.91.2.21
72.81.14.91
112.6.164.191
232.16.14.91
112.61.217.91
231.9.73.12
197.12.43.115
97.81.9.19
107.114.7.122
201.41.3.78
112.4.13.171
107.181.4.9
37.112.61.114
132.6.117.191
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
Analytic Challenge: Fidelity vs. Computational Complexity
Events per month: 1 Billion
Group By
SRC IP, DST IP 20 Million
Netflow Events
Unique Rows
SRC IP, DST IP, DoY 7.3 Billion
Calculations per Row
35
35
SRC IP, DST IP, DoY, HoD 175.3 Billion 35
SRC IP, DST IP, DoY,15min 700.8 Billion 35
this is a small example
DoY = Day of Year (365 possibilities) HoD = Hour of Day (24 possibilities) 15min = 15 min interval (4 in an hour)
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
LASR: Distributed In-Memory Analytic Server
48 Nodes 1152 CPUS 4TB RAM
Hadoop/HDFS
Distributed In-Memory computation running on Hadoop Nodes
SAS / ACCESS interface to Hadoop using Apache HIVE
Data sets loaded in bulk or on-demand
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
(N) NodeHadoop/HDFS
(N) NodeLASR Cluster
LOAD NETFLOW and CORRELATE CONTEXT
External Threat Stream
IPS/IDS
Identity Management
Geospatial
Alexa Top 10K Domains
Raw Netflow Events
LEFT OUTER JOIN on SRC and DST IP Address
Source IP Address
S D
S D
S D
S D
S D
S D
S
Destination IP AddressD
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
(N) NodeHadoop/HDFS
(N) NodeLASR Cluster
Group IP interactions by SRC, DST, and Day of Year
GROUP DATA BY SRC, DST, and DAY of YEAR
Source IP Address
S D
S D
S D
S D
S D
S D
S
Destination IP AddressD
SRC IP DST IP DoY In Bytes In Packets Out Bytes Out PacketsIn Bytes/Packet Out Bytes/PacketDay Time…
COMPOUND KEY MEASURES
107.114.7.122 37.112.61.114 28 … 1 12074 212 56.9 5848 165 35.4
107.114.7.122 37.112.61.114 28 … 10 308 12 25.7 20012 460 43.5
107.114.7.122 37.112.61.114 29 … 15 178 4 44.5 9044 120 75.4
132.6.117.19137.112.61.114 29 … 11 4096 16 256 1024 16 64
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
(N) NodeHadoop/HDFS
(N) NodeLASR Cluster
CALCULATE STATISTICS for EACH SRC IP, DST IP, DoY
CALCULATE STATISTICS FOR EACH MEASURE, FOR EACH SRC IP, DST IP, and DoY
SRC IP DST IP DoY In Bytes In Packets Out Bytes Out PacketsIn Bytes/Packet Out Bytes/PacketDay Time…
COMPOUND KEY MEASURES
107.114.7.122 37.112.61.114 28 … 1 12074 212 56.9 5848 165 35.4
107.114.7.122 37.112.61.114 28 … 10 308 12 25.7 20012 460 43.5
107.114.7.122 37.112.61.114 15 … 15 178 4 44.5 9044 120 75.4
132.6.117.19137.112.61.114 29 … 11 4096 16 256 1024 16 64
SRC IP DST IP DoY
107.114.7.122 37.112.61.114 28 … 2 308 12074 12228
In Bytes
MIN MAX STDMEANN
COMPOUND KEY
8319.8 … 2 35.4 43.5 39.5
Out Bytes/Packet
MIN MAX STDMEANN
5.7
132.6.117.19137.112.61.114 29 … 37 64 8192 3055.2 673.5 … 37 64 256 112.7 8.3
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
(N) NodeHadoop/HDFS
(N) NodeLASR Cluster
Perform K-Means Clustering ACROSS ALL DIMENSIONS
PERFORM K-MEANS CLUSTER ACROSS ALL DIMENSIONS OF SRC IP, DST IP, and DoY
SRC IP DST IP DoY In Bytes In Packets Out Bytes Out PacketsIn
Bytes/PacketOut
Bytes/PacketDay Time…
COMPOUND KEY DIMENSIONS
107.114.7.122 37.112.61.114 28 …
107.114.7.122 37.112.61.114 15 …
107.114.7.122 37.112.61.114 29 …
132.6.117.19137.112.61.114 29 …
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
(N) NodeHadoop/HDFS
(N) NodeLASR Cluster
IDENTIFY OUTLIER CLusters
PERFORM HEURISTIC TEST TO IDENTIFY OUTLIER CLUSTERS
SRC IP DST IP DoYNumber of
ObservationsRoot Mean
Square of STDWithin ClusterSum of Square
Nearest Cluster
COMPOUND KEY CLUSTER STATISTICS
CLUSTER ID …Distance between Cluster Centroids
107.114.7.122 37.112.61.114 28 1 1.7723E8 3.574E22 25 3.4715E92
107.114.7.122 37.112.61.114 15 2 13552484 1.589E20 43 1.515E833471
107.114.7.122 37.112.61.114 29 100123 7.593E15 18 7492443 6
132.6.117.19137.112.61.114 29 1.999E16 6.796E34 45 2.378E174 19468
OUTLIER
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
(N) NodeHadoop/HDFS
(N) NodeLASR Cluster
USE OUTLIER CLUSTERS TO SELECT NETFLOW FOR ANALYSIS
PERFORM INNER LEFT JOIN ON ENRICHED NETFLOW EVENTS
OUTLIER
Source IP Address
S D
S D
S D
S D
S D
S D
S
Destination IP AddressD
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
(N) NodeHadoop/HDFS
(N) NodeLASR Cluster
LOAD OUTLIER INTO VISUAL ANALYTICS
DYNAMICALLY REGISTER AND LOAD OUTLIER RECORDS IN VISUAL ANALYTICS
Source IP AddressS
Destination IP AddressD
S D
S D
S D
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
PERFORMANCE Cluster Workflow Benchmarks
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
CLUSTER WORKFLOW PERFORMANCE: Medium Data Set
3 Total Outlier Clusters out of 50
34,812,244 Total Unique SRC IP, DST IP, DAY triplets in Population
Total Unique Outlier Netflow events associated with the 3 clusters143,143,542
Total Unique SRC IP, DST IP, DAY triplets in Outliers51,311
Total Unique SRC IP, DST IP pairs in Outliers23,947
Total Unique SRC IP, DST IP pairs in Outliers with IDS Correlation1,263
798,636,577 Total Netflow events spanning 30 days
22,682 Total Unique SRC IP, DST IP pairs in Outliers without IDS Correlation
28 min End to End Processing Time
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
PERFORMANCE What are we finding?
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
HOW DO WE OPERATIONALIZE?
C op yr i g h t © 2014 , SAS Ins t i t u te Inc . A l l r i g h ts r eser v ed .
Sensor Sources
Real-Time Contextual Correlation and Data Reduction
Continuous Analysis and Monitoring
FirewallEvents
IPS/IDSEvents
Web AppEvents
VPNEvents
NetflowEvents
Core SXEvents
LASR
NetworkActivity
HostActivity
ApplicationActivity
VPNActivity
MobileActivity
Web SiteActivity
SAS Event Stream Processing (ESP)Event and Context Correlation
MDMGeospatial Data
External Threat FeedsDepartmental Information
Building InformationStatistical Models
Data Risk ScoreIdentity Management
PaymentsData
Customer ExperienceData
IT ManagementData
Wire FraudDetection
CapacityPlanning
Sensor Activity
Domain Transactions
Predictive
DecisionFeedback
Loop
All Sensor Data
Long Term Persistence - HDFS
Pay Per ClickFraud Detection
Improper Payments Detection
Credit Card Fraud Detection
Distributed Analytic Platform
Mejores prácticas
• Big Data Analytics para combinar fraude y amenazas cibernéticas.
• Monitoreo entre canales para observar el comportamiento del cliente
• Análisis de vínculos para evidenciar relaciones ocultas.
• Enfoque en diversas capas de seguridad:
• Autenticación de múltiples factores/ Autenticación Out-of-band
• Analítica comportamental
• Educación del cliente
• Modelos de consorcio para compartir información entre instituciones
financieras.