Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
1. Prevención de Ataques Día-0 con
Aranda 360 ENDPOINT SECURITY
ANDREZ LAMOUROUX S.
Security Solutions Manager LATAM
2. Virus Desconocidos
Más de 20 millones de nuevos códigos
maliciosos en 2010.
55.000 nuevas variantes por día
aproximadamente.
La tasa de propagación puede exceder los
180.000 PC’s por día.
El tiempo promedio de respuesta de un
fabricante de antivirus es de más de 13 horas.
Compañías encuestadas pagaron en promedio
US$289.000 en 2008 por problemas de
seguridad*.
* Fuente : CSI Computer Crime and Security Survey 2009
3. Deficiencias de
las soluciones actuales
Tipo de Producto Antivirus Firewall Personal RPV (red privada
virtual “VPN”)
Tecnología Filtro de red Autenticación y
Unión de patrones
encripción
Objetivo Detener virus y Detener las
intromisiones a la red Protección de
spam
comunicación
remota
Limitación Amenazas Ataques
Sistemas corruptos
desconocidas sigilosos
Las soluciones de seguridad actuales no ofrecen la protección suficiente.
¡Su negocio se encuentra en riesgo!
4. Ataque de Día-0
• Es una amenaza informática que trata
de explotar las vulnerabilidades de
aplicaciones que son desconocidos
para otros que no se han dado a
conocer al desarrollador del software.
• Los exploits de día cero (código actual
que puede utilizar un agujero de
seguridad para llevar a cabo un ataque)
son utilizados o compartidos por los
atacantes antes de que el desarrollador
de software sepa acerca de la
vulnerabilidad.
5. Vectores de Ataque
• Sitios Web Falsos: El código en el sitio
puede explotar una vulnerabilidad en
el navegador web.
• Archivos adjuntos en correo:
Aprovechan las vulnerabilidades de la
aplicación (Office, Adobe
Reader/Flash, etc.)
• Malware: Toma ventaja de los
exploits para comprometer sistemas,
robar información, robar identidad.
6. Ventana de Vulnerabilidad
• El desarrollador crea software que
contiene una vulnerabilidad
(desconocida).
• El atacante encuentra la vulnerabilidad
antes de que el desarrollador la
descubra.
• El atacante escribe y distribuye un
exploit de la vulnerabilidad. El
desarrollador aun desconoce la
vulnerabilidad.
• El desarrollador encuentra la
vulnerabilidad y comienza a trabajar en
una solución.
8. Vulnerabilidad Remote Desktop Protocol
Vulnerabilidad Ataque
• Remote Desktop Protocol (RDP) de • Este módulo explota la
Microsoft Windows (XP SP3, 2003, vulnerabilidad MS12-20 RDP
Vista, 2008 SP2, R2 y R2 SP1, y originalmente descubierta y
Windows 7 no procesa reportada por Luigi Auriemma.
correctamente los paquetes en la • La falla se puede encontrar en la
memoria. forma en que el
• Permite a atacantes remotos paquete T.125 ConnectMCSPDU es
ejecutar código arbitrario mediante manejado en el
el envío de paquetes especiales campo maxChannelIDs, lo que
RDP disparando el acceso a un resultará que un puntero no
objeto que (1) no se ha válido sea utilizado, y por lo
inicializado correctamente o (2) es tanto, causando una denegación de
eliminado. servicio.
9. Vulnerabilidad MSCOMCTL.OCX
Vulnerabilidad Ataque
• Los controles ActiveX • En este módulo aprovecha un
(1) ListView (2) ListView2, (3) TreeVie desbordamiento de búfer en
w, y (4) TreeView2 los controles en MSCOMCTL.OCX.
MSCOMCTL.OCX en los controles • Utiliza un archivo RTF malicioso para
comunes de Microsoft Office 2003 incrustar un control especialmente
SP3, 2007 SP2 y SP3 y otros, permiten diseñado
a atacantes remotos ejecutar código (MSComctlLib.ListViewCtrl.2).
arbitrario a través de (a) sitio web • Esta cadena utiliza "msgr3en.dll",
elaborado, (b) documento de que se cargará después de la
Office, o (c) archivo .rtf que dispara oficina se cargará después de la carga
una corrupción “system state“. de Office, por lo que el archivo
• También conocido como malicioso debe ser cargado a través
“Vulnerabilidad de "Archivo / Abrir" para lograr la
MSCOMCTL.OCX RCE“. explotación.
10. Vulnerabilidad Adobe Flash Player
Vulnerabilidad Ataque
• Las versiones de Adobe Flash • Este módulo aprovecha
Player anteriores a versiones una vulnerabilidad en Adobe Flash
10.3.183.15, 11.1.102.62 11.x en Player.
Windows, Mac OS X, Linux y Solaris, • Proporcionando un archivo corrupto
anteriores a versión 11.1.111.6 en .mp4 cargado por Flash, es posible
Android 2.x y 3.x, y anteriores a obtener la ejecución arbitraria de
versión 11.1.115.6 en código remoto en el contexto del
Android 4.x permite a los usuario.
atacantes ejecutar código arbitrario o • Esta vulnerabilidad ha sido
causar una denegación de explotada ampliamente como parte
servicio (corrupción de memoria) a del ataque de correo electrónico
través de vectores no especificados. “Iran’s Oil Nuclear Situation.doc”.
11. Protección de Día-0
• Protección limitada contra
vulnerabilidades genéricas de corrupción
de memoria.
• Mitigación de desbordamientos de
memoria (Buffer Overflow).
• Protección de Múltiples Capas:
– ACL (Listas de Control de Acceso)
– NAC (Control de Acceso a la Red)
– Firewall
• Análisis Conductual:
– MD5 Checksums
– Perfil de Comportamiento
12. Aranda 360 ENDPOINT SECURITY
Solución de seguridad y protección de múltiples
capas que permite controlar y reforzar políticas
de seguridad de forma dinámica y sencilla en
los puntos finales de la red corporativa.
Aranda 360 proporciona la oferta de seguridad más proactiva
y de mejor desempeño en el mercado.
13. Aranda 360 SYSTEM PROTECTION
Sistema de Prevención de Intrusos (HIPS)
Protección contra software dañino (gusanos, troyanos y virus).
Prevención de ataques de Dia-0
Prevención de ataques de desbordamientos de memoria
Firewall Dinámico (Dynamic Firewall)
Firewall integrado al kernel de Windows
Filtrado de tráfico de red (MAC, IP, Protocolo IP/TCP, Puertos)
Control de Aplicaciones (Application Control)
Control de instalación y ejecución de aplicaciones
Administración de listas blancas y listas negras
Control centralizado de archivos y procesos activos del sistema
14. Aranda 360 SYSTEM PROTECTION
Control de Acceso a la Red (Network Access Control)
Verificación de procesos activos del sistema
Aplicación de políticas de cuarntena
Ejecución de scripts para la solución de problemas
Verificación de actualizaciones de firmas y parches (Antivirus)
Políticas para Usuarios Móviles
Definición de políticas contextuales de seguridad
Políticas de acuerdo al sitio o tipo de conexión
Desactivación segura y remota del agente
15. Ventajas Competitivas
• Protección de capas múltiples y basada en análisis conductual
– Ningún otro producto tiene esto
– No depende de actualizaciones de firmas como los AV.
• Verdadera integración de un único Agente/Consola
– No es integración a nivel de PDFs de partes y piezas adquiridas
• El agente mas pequeño y de menor consumo de recursos en
el mercado
• Nivel de granularidad en los módulos sin comparación
16. Protección Conductual vs. Basada en Firmas
• La mayoría de los productos de seguridad endpoint
se basan en protecciones mediante firmas.
– Antivirus Estándar
• Symantec, McAfee, Sophos, ESET, Kaspersky, etc.
– Control de Aplicaciones
• Productos de Listas Negras/Blancas como Bit9
– Productos basados en reputación
• Symantec Quorum (Norton Insight)
17. Protección Conductual de Aranda 360
Si la protección basada en firmas no es la respuesta
entonces que lo es?
• Las capacidades HIPS de Aranda 360 han eclipsado otras
ofertas competitivas:
– Protección de 3ª generación contra desbordamientos de memoria con
5 capas de colaboración y protección integradas (ASLR, Nx/Xd,
Backtracing, Honeypot y ret-lib-c)
– Profunda protección contra Rootkits
– Completo control a nivel del kernel
– Verificación por tipo de archivo en USB/CD/DVD
18. Protección Conductual de Aranda 360
Si la protección basada en firmas no es la respuesta
entonces que lo es?
• Control de Aplicaciones
– Aranda 360 puede ser utilizado en ambos modos para el control de
aplicaciones, archivos, acceso al red y acceso al registro.
– Bloqueo de instalación de software
– Relaciónes de confianza con Aranda SOFTWARE DELIVERY, Microsoft
SMS o LanDesk para permitir despliegue de nuevas aplicaciones.
• Protección contra ataques al kernel mediante la detección y
bloqueo de instalación de Rootkits
19. Protección Multicapas de Aranda 360
Si la protección basada en firmas no es la respuesta
entonces que lo es?
• Prevención de Intrusiones en la Red
– IPS que verifica la integridad de los paquetes basándose en los RFC de
todos lo protocolos del modelo TCP/IP (Ethernet, IP, TCP, UDP, ICMP)
– Aranda 360 puede ser utilizado en ambos modos para el control de
aplicaciones, archivos, acceso al red y acceso al registro.
• Detección y bloqueo de mecanismos de intrusión en la red
– Análisis de puertos
– Envenenamiento ARP
– Denegación de Servicio (DOS)
– Inundaciones IP
20. El tamaño del Agente SI importa!
• Agente basado en el kernel diseñado para minimizar
el impacto:
– Agente Premium (todos los módulos) pesa menos de 25
MB.
– Instalador MSI del Agente pesa 12 MB
– El Agente utiliza menos de 15 MB de memoria RAM bajo
condiciones normales de operación
– No más de 5% de CPU en condiciones normales.