Mais conteúdo relacionado Semelhante a Windows 2003 sem suporte: por que você deveria se preocupar (20) Mais de Symantec Brasil (20) Windows 2003 sem suporte: por que você deveria se preocupar1. Windows
2003
sem
suporte:
por
que
você
deveria
se
preocupar?
Anderson
Rios
Senior
Technical
Account
Manager
Wesly
Alves
Systems
Engineer
Bruno
Nazareth,
CISSP
Senior
Systems
Engineer
3. PorFfolio
Symantec
Copyright
©
2015
Symantec
Corpora=on
3
Serviços
de
Cyber
Segurança
• Monitoramento,
Resposta
a
Incidentes,
Simulação,
Inteligência
contra
Ameaças
Proteção
contra
Ameaças
ENDPOINTS
DATA
CENTER
GATEWAY
• Prevenção
de
Ameaças,
Detecção,
Forense
&
Resposta
• Disposi=vos,
Email,
Servidores,
Virtual
&
Cloud
• Disponível
On-‐premise
e
Cloud
Plataforma
Unificada
para
Análise
de
Segurança
• Análise
de
segurança
através
de
Big
data;
disponível
self-‐service
Telemetria
Gerenciamento
de
Incidentes
Engines
de
Proteção
Inteligência
Global
Análise
de
Ameaças
Proteção
da
Informação
DADOS
ACESSO
• Proteção
de
Iden=dade
e
DLP
• Gerencia
de
Chaves
.Cloud
• Cloud
Security
Broker
Usuários
Dados
Apps
Cloud
Disposi=vos
Rede
Data
Center
5.
CENÁRIO
DE
AMEAÇAS
ASCENDENTE
ATACANTES
MAIS
ÁGEIS
EXTORSÃO
DIGITAL
EM
ALTA
MALWARE
MAIS
INTELIGENTE
AMEAÇAS
DIA-‐ZERO
DIVERSOS
SETORES
SOB
ATAQUE
5 em 6
grandes
empresas
atacadas
317M
novos
malwares
criados
1M novas
ameaças
por dia
60% focados
em SMB
113%
aumento de
ransomware
45X mais
disposiBvos
sequestra-‐
dos
28% dos
malwares
detectam VM
Recorde
geral
Top 5
vulnera. sem
patch por
295 dias
24
Saúde
+ 37%
Finanças
+6%
Educação
+10%
Governo
+8%
Varejo
+11%
Fonte: Symantec Internet Security Threat Report 2015
5
6. EsFmaFva
de
Servidores
W2K3
em
Uso
hhp://news.netcral.com/archives/2015/08/12/millions-‐s=ll-‐running-‐the-‐risk-‐with-‐windows-‐server-‐2003.html
6
Copyright
©
1985
Capcom
7. Timeline
do
Windows
2003
hhps://en.wikipedia.org/wiki/Windows_Server_2003
7
Copyright
©
2009
PopCap
Games
8. Quiz
De
acordo
com
o
CVE
quantas
vulnerabilidades
do
Windows
2003
foram
publicadas?
Entre
com
sua
resposta
no
Chat
do
Webex.
30
SEGUNDOS
de
TEMPO
Vale
1
Mochila
Bacana
da
Symantec!
Copyright
©
1991
LucasArts
8
10. E
agora?
• Opção
1:
– Desliga
tudo
• Opção
2:
– Instalar
An=virus
• Opção
3:
– Baseline
e
Sandbox?
Copyright
©
2010
AMC
10
Cara
de
TI
(Você)
11. Symantec
Datacenter
Security:
Server
Advanced
Copyright
©
2015
Symantec
Corpora=on
11
Registro
Arquivos de
Configuração
Armazenamento
Externo
Aplicações
Sistema
Operacional
Memória
Garantir Integridade do
Registro
Garantir Integridade
dos Arquivos
Implementar Proteção
de Memória
Aplicar Controles a Rede
Forçar o Controle de
Dispositivos
Controle de Atividade
das Aplicações
13. Como
Funciona?
• O
Datacenter
Security:
Server
Advanced
encapsula
cada
aplicação,
processo
ou
DLL
numa
“sandbox”.
• A
sandbox
controla
acesso
aos
recursos
(Filesystem,
Memória,
Rede,
Configurações,
Disposi=vos)
de
acordo
com
a
polí=ca.
• Implementação
rápida,
Symantec
já
mapeou
as
funcionalidades
e
permissões
que
cada
componente
da
Microsol
precisa
para
operar.
• As
polí=cas
pré-‐definidas
permitem
funcionamento
normal
dos
processos,
mas
bloqueiam
o
comportamento
que
não
é
necessário
(malicioso)
tais
como:
– Estouro
de
memória
para
permi=r
a
inserção
de
código
malicioso
nas
áreas
de
execução.
– Interação
com
outros
recursos
para,
por
exemplo,
matar
um
processo
legí=mo.
Copyright
©
2015
Symantec
Corpora=on
13
14. Como
Funciona?
• Essa
abordagem
é
diferente
de
técnicas
de
Lockdown
:
– Protegemos
o
SO
sem
depender
de
perfis
ou
versões
iden=cas
de
aplicações.
– Mesmo
se
uma
aplicação
es=ver
liberada
(whitelist),
ela
não
terá
acesso
irrestrito
e
será
tratada
por
uma
sandbox.
• DCSSA
automá=camente
restringe
processos
ou
aplicações
“desconhecidas”
numa
sandbox
BEM
restrita.
• “Virtual
Patch”
protege
o
sistema
contra
uma
única
vulnerabilidade
conhecida.
Por
sua
vez,
o
DCSSA
bloqueia
o
VETOR
DE
ATAQUE
que
pode
ser
u=lizado
por
outras
vulnerabilidades
que
poderão
ser
descobertas.
Copyright
©
2015
Symantec
Corpora=on
14
15. Exemplos
de
vetores
de
ataques
Copyright
©
2015
Symantec
Corpora=on
15
Estratégia
de
Ataque
MiFgação
com
DCSSA
Implantar
programas
maliciosos
e
executáveis
no
disco
• Bloqueio
por
padrão
de
inserção
ou
modificação
de
componentes
executáveis
(CMD,
EXE,
DLL,
SYS,
etc.)
no
sistema
por
usuários
ou
programas
não
confiáveis.
• Proíbe
a
inserção
ou
modificação
de
qualquer
arquivo
(ou
qq
=po
de
extensão)
em
áreas
crí=cas
(exemplo
Windows/system32).
Criação
ou
modificação
de
chaves
de
registro
crí=cas
ou
arquivos
de
configuração
• Usa
mecanismos
para
prevenir
que
exploits
alterem
configurações
que
permitam
execução
após
um
reboot.
Comando
e
Controle
Remoto
(phone
home)
• Limita
acesso
a
rede
para
os
processos
que
tentarem
se
comunicar
com
sistemas
externos.
• Oferece
configurações
de
firewall
para
bloquear
a=vidades
e
controlar
acesso
a
rede
por
programa,
usuário,
porta,
protocolo
e
endereço
IP.
Buffer
Overflow
e
Injeção
de
Código
• Garante
que
solware
autorizados
não
sejam
sequestrados
por
injeção
de
código
através
de
buffer
overflow
ou
“thread
injec=on”.
Abuso
ou
Escalação
de
Privilégios
• Trata
cada
processo
privilegiado
como
um
outro
qualquer.
Dessa
forma
não
podem
violar
as
polí=cas
de
controle
mesmo
que
o
Windows
permita
acesso
completo
ao
sistema.
17. Ambiente
de
Demonstração
• 1
Servidor
de
Gerenciamento
(Datacenter
Security)
– Windows
2008
• 1
Servidor
Legado
– Windows
2003
–
SP2,
An=virus
e
Datacenter
Security
Client
• 1
Máquina
“Hacker”
– Kali
Linux
2.0
• Vulnerabilidade
Explorada
– CVE-‐2008-‐4250
Copyright
©
2015
Symantec
Corpora=on
17
19. Riscos
Associados
a
Implementação
e
Estratégias
de
MiFgação
• DCS:SA
possui
um
histórico
de
implementações
em
Windows
2003
que
demonstra
um
risco
muito
baixo.
Mesmo
assim,
estratégias
de
mi=gação
devem
ser
levadas
em
consideração:
19
Risco
Probabilidade
Estratégia
de
MiFgação
Sistema
não
inicializa
Muito
Baixa
• Reiniciar
antes
de
instalar
o
DCSSA.
• Agendar
lotes
de
distribuição.
• Backup/Restore
• Servidores
Redundantes
Tela
Azul
Muito
Baixa
• Roll-‐back:
boot
em
modo
seguro
e
desinstalar.
• Backup/Restore
• Imagem
(P2V)
e
teste/distribuição
em
ambiente
virtual.
• Testar
primeiro
em
homologação.
Driver
SISIPS
Driver
não
inicia
após
reboot
Muito
Baixa
• Reiniciar
antes
de
instalar
o
DCSSA
PolíFcas
Genéricas
bloqueiam
Aplicações
LegíFmas
Muito
Baixa
• Usar
o
Modo
de
Monitoração
para
testar
a
polí=ca
antes
de
implementar
• Permi=r
administrador
de
alterar
a
polí=ca
local
para
restaurar
a
funcionalidade
instantâneamente.
• Ter
uma
representação
idên=ca
em
homologação
dos
servidores
de
Produção.
(LoL!)
Sem
comunicação
Cliente-‐Servidor
Baixa
• Verifique
se
todas
as
portas
corretas
estão
abertas.
• Analisar
logs
e
verificar
se
existe
problemas
de
comunicação.
Copyright
©
2015
Symantec
Corpora=on
20. Riscos
Associados
a
Criação
de
PolíFcas
e
Estratégias
de
MiFgação
• Organizações
podem
u=lizar
polí=cas
personalizadas
para
cada
aplicação.
• As
seguintes
considerações
devem
ser
avalidas
ao
criar
polí=cas
personalizadas:
20
Risco
Probabilidade
Estratégia
de
MiFgação
PolíFcas
Personalizadas
bloqueiam
Aplicações
LegíFmas
Média
• Use
o
Modo
de
Monitoramento
(Prevenção
Desabilitada)
• Crie
polí=cas
efe=cas
atráves
de
uma
metodologia
de
teste
• Permi=r
administrador
de
alterar
a
polí=ca
local
para
restaurar
a
funcionalidade
instantâneamente.
• Ter
uma
representação
idên=ca
em
homologação
dos
servidores
de
Produção.
(LMAO!)
Criação
de
PolíFcas
demora
muito
Média
• Crie
inicialmente
polícitas
abrangente
e
aperte
a
segurança
aos
poucos
• Tenha
foco
na
criação
das
polí=cas
• Ter
uma
representação
idên=ca
em
homologação
dos
servidores
de
Produção.
(ROFL!)
Muito
ruído
é
gerado
para
criar
uma
políFca
efeFva
Média
• Crie
uma
polí=ca
inicial
que
reduza
o
ruído
inicial
(exemplo:
permita
processos
do
%windir%system32
acessar
e
modificar
o
registro).
Copyright
©
2015
Symantec
Corpora=on
21. Black
Hat
2015
Datacenter
sem
patches,
mas
protegido
pelo
DCS:SA,
conFnua
sem
invasões
pela
terceira
vez
($5.000
de
recompensa)
• Ambiente–
“Mini
Data
Center”
com
servidores
Windows
2000
&
2003,
RHEL,
CentOS,
desktops
(Windows
XP
e
7),
além
de
um
appliance
NetBackup:
– Solware
de
Ponto
de
Venda
nos
desktops
com
comunicações
para
os
servidores
que
processavam
transações;
– DCS:SA
firewall
deixado
completamente
aberto
intencionalmente;
– Configurações
default
além
da
falta
de
patches.
• ObjeFvo–
“capture
the
flag”
(obter
acesso
e
roubar
dados)
e
ganhe
prêmios!
• Jogadores
–
~40
simultaneamente,
entre
membros
do
U.S.
DoD
e
congressisstas
da
China
e
Rússia.
• Ataques
–
uma
variedade
de
ataques
aplicados,
incluídos:
– Força
Bruta
para
quebra
de
senhas
(mais
de
400
de
login
por
minuto);
– Ataques
diretos
do
Metasploit;
– Tenta=vas
de
desligar
os
serviços
DCS:SA
(através
do
help
online…
J).
• Resultado
–
DCS:SA
segurou
a
onda,
ninguem
levou
os
$5.000…
Copyright
©
2015
Symantec
Corpora=on
21
22. Beneqcios
do
DCS:SA
• Capacidade
Técnica
—
HIPS/HIDS
completo,
com
inúmeras
polí=cas
na=vas
para
proteção
de
sistemas
e
aplicações.
• Histórico
Comprovado
—
as
tecnologias
de
HIPS/HIDS
no
Symantec
DCS:SA
defendem
sistemas
operacionais
legados
(até
Windows
NT)
há
11
anos.
• Protege
sistemas
contra
vulnerabilidades
conhecidas
e
desconhecidas
ao
limitar
o
escopo
de
recursos
que
usuários
e
programas
u=lizam
na
operação
do
dia
a
dia.
• Implementação
Rápida—
e
possibilidade
de
retorno
a
configuração
anterior
com
boot
em
Modo
Seguro.
Copyright
©
2015
Symantec
Corpora=on
22
25. Obrigado!
Copyright
©
2015
Symantec
CorporaFon.
All
rights
reserved.
Symantec
and
the
Symantec
Logo
are
trademarks
or
registered
trademarks
of
Symantec
Corpora=on
or
its
affiliates
in
the
U.S.
and
other
countries.
Other
names
may
be
trademarks
of
their
respec=ve
owners.
This
document
is
provided
for
informa=onal
purposes
only
and
is
not
intended
as
adver=sing.
All
warran=es
rela=ng
to
the
informa=on
in
this
document,
either
express
or
implied,
are
disclaimed
to
the
maximum
extent
allowed
by
law.
The
informa=on
in
this
document
is
subject
to
change
without
no=ce.
Anderson
Rios
Wesly
Alves
Bruno
Nazareth
Convite:
Semana
que
vem
21/10
as
10:30:
Gerenciando
os
a=vos
de
TI
dentro
e
fora
da
rede
Corpora=va