4. Ataques
a
día
de
hoy
Profesionalización, Motivación
4
5. Nuevo modelo de seguridad
Aprendiendo de nuestros errores
WSJ:http://blogs.rsa.com/rivner/anatomy-of-an-attack/
What should companies do?
Mr. Coviello: Security has always been developed reactively: Find
the hole, and plug the hole. It has resulted in a whole bunch of
individual isolated controls that don't really give you any form of
defense in depth. The controls were also designed to defend a
perimeter that, because of the increased manera preactivamobile
ü Defensas desarrolladas de use of the Web and
devices, has largely dissolved.
ü Protección de Perimetro es insuficiente
We needSe necesita un nuevo modelo de seguridad,
ü a new model for security. We call it an intelligence-
driven model. It is based on risk and new tools that are behavior
inteligente
based and predictive. It is also based on a big-data application so you
ü No se gasta dinero / esfuerzo en detectar y
can spot an attack in progress, so you can do a better job responding
to it.
responder (proceso, personas , herramientas)
Mr. Coviello: We are used to spending money on preventing attacks,
and we are not spending enough money on detecting and
responding to attacks.
5
6. No
existen
“balas
de
plata”
Application
Control
“Arreglemos
el
NAC
firewall”
IDS / IPS “La red se
defiende sola”
UTM
PKI “No hay falsos positivos,
No hay falsos negativos.”
AV
“Sin clave no hay acceso”
FW/VPN
“Encuentra el patrón”
“Bloquear o Permitir”
6
7. Ataques
a
día
de
hoy
MODELO
DE
SEGURIDAD
INSUFICIENTE,
“Balas
de
plata”
7
8. Poder
de
la
información
¿Quién
está
por
delante?
Todos conocemos las
ü Vulnerabilidades
Zero
Day
ü Vulnerabilidades
conocidas
(no
Zero
características del famoso
Day!)
ü Especifico
ü Profesional
“APT”………
ü MoLvado
ü Elevado
raLo
de
éxito
Stuxnet
ü Persistente
Gauss
Flame
2009
2012
Duqu
2012
2011
8
9. Flame
Gauss
2012
2012
Stuxnet
2009
Duqu
2011
......EXISTE comunicación entre bandas.
¿Cómo es nuestra comunicación?
9
10. Ataques
a
día
de
hoy
MODELO
DE
RELACIONES,
SEGURIDAD
COMUNICACIÓN
INSUFICIENTE,
ENTRE
GRUPOS,
“Balas
de
plata”
¿y
nosotros?
10
11. Realidad
de
hoy
Los
ataques
evolucionan
y
evaden
las
defensas
tradicionales
Todos con defensas tradicionales – FW, IPS, AV.
No ha sido suficiente
11
12. Ataques
a
día
de
hoy
MODELO
DE
RELACIONES,
NADIE
ESTA
A
SEGURIDAD
COMUNICACIÓN
SALVO,
INSUFICIENTE,
ENTRE
GRUPOS,
¿Lenes
algo
“Balas
de
plata”
¿y
nosotros?
que
proteger?
12
17. Horizonte
de
Eventos
X
Firewall
X
IDS/IPS
X
Malware
X
Antivirus
‘ Horizonte
de Eventos’
Endpoint
17
18. ¿Cual
es
tu
filoso[a?
Ø ¿Te proteges por si
acaso te atacan?
Ø ¿O te proteges
sabiendo que te van a
atacar?
Ø Si supieras que ibas a
ser comprometido, ¿te
hubieras protegido de
manera diferente?
18
19. Protección
a
lo
largo
del
Yempo
Una
aproximación
basada
en
ataques
Antes Durante Después
Políticas y Control Identificación y Bloqueo Análisis y Remediación
Descubrir el entorno Detectar Determinar
Implementar políticas Prevenir alcance
de acceso Contener
Parcheo Remediar
Firewall IPS IDS
Application Control Anti-virus SIEM & Log Mgmt
Vulnerability Management Anti-malware Forensics
Patch Management Full Packet Capture
19
21. Fases
de
un
ataque
§ Toma de Control Inicial
▸ 1) Reconocimiento
▸ 2) Intrusión Inicial en la red
▸ 3) Establecer Backdoors
▸ 4) Obtener Credenciales Usuarios
▸ 5) Instalar Utilidades
§ Movimiento lateral
▸ 6) Escalado de Privilegios,
movimientos laterales y extracción
de información
§ 7) Mantener Persistencia
21
22. Intrusión
Inicial
§ Lo más protegernos?
¿Cómo común es “Client-Side”
§ Detección: Social + “Spear Phishing”
▸ Ingeniería
§ Ataques internos à USB, Usuarios móviles
▸ Cambios en la red
▸ A veces no indirectas de una intrusion
Evidencias es necesaria intrusión inicial
§ “Client-Side” comportamientos
▸ Detección de
§ Herramientas:en el formato de ficheros
▸ Complejidad
▸ Ofuscación Superioridad de la Información
Visibilidad,
▸ Componentes embebidos
Tiempo Real
▸ Tamaño de ficheros vs. Detección en tiempo real
Forense
§ Aparecen Señales débiles
22
23. Backdoors
§ Múltiples, con diversas configuraciones
Defensas tradicionales
▸ Actualizados constantemente.
Detección AV pobre
▸ Sofisticados en la red:
Firmas estáticas insuficiente
● Canales de comunicación cifrados y ofuscados
§ ¿Cómo protegernos?
● Tráfico legítimo HTTP, HTTPs, DNS
▸ Visibilidad aleatorios, Headers comunes, etc
● Contenidos
▸ Comportamiento
▸ Reúsan librerías comunes (p.ej Microsoft) para
▸ reducir tamañosen los canales de salida
Control estricto
▸ Credenciales legítimasusuario
Controlar Actividad de de usuarios
23
24. Exploración,
Propagación
y
Salida
de
Información
① Comunicación C&C
▸ Instrucciones, descargas, etc.
② Ataques – Movimientos
Laterales
▸ Compromiso de servidores
▸ Uso de credenciales
③ Almacenamiento de
información
▸ Servidor de almacenamiento
▸ Compresión, cifrado
④ Salida de Información
24
25. Señales
Débiles
§ “Una señal débil es un factor de cambio
difícilmente perceptible en el presente pero
con fuertes implicaciones a futuro”
25
26. Seguridad
“Después”
del
ataque
Señales
débiles
en
una
DMZ
Qué ocurre si de repente….
ü Aparecen nuevos servidores
ü Se publican servicios nuevos
ü Se abren comunicaciones inusuales
26
27. Seguridad
“Después”
del
ataque
Ataques
en
el
lado
de
cliente
Qué ocurre si…
ü Mobilidad, USB
ü Compromiso físico,
enemigo dentro
ü Exploit Lado cliente
Ø Flujos inesperados"
Ø Canales encubiertos
27
28. Seguridad
“Después”
del
ataque
AcYvidad
de
Usuario
Inesperada
Las credenciales son críticas...!
ü Monitorizar, Restringir y controlar
derechos administrativos.
ü ¿Están mis usuarios donde
deben?
28
30. Mecanismos
de
Visibilidad
Conocer
en
todo
momento
lo
que
protegemos
=
Escaneo Activo de
Red ü Incorpora contexto de
negocio"
Inventario, entrada
manual ü Corrige desviaciones
+ Tiempo Real + Intrusivo
conocidas" + Precision
+ Permite almacenar
Descubrimiento +
ü No es escalable
Pasivo información de Negocio
Contexto + Evadible
+ No es intrusivo
- Precisión
30
34. Conclusiones
Ø Detección
compleja,
no
estamos
preparados.
Ø Modelo
defensivo
prevenYvo.
Ø No
tenemos
suficiente
visibilidad.
Ø Necesitamos
las
herramientas
adecuadas.
Ø Personas,
Proceso
Ø Hay
que
pensar
de
manera
diferente
37. Escenario
2) Redirección 1) Conexión Inicial
IFRAME, etc
3)Exploit + LOADER
4) Canal Encubierto
Comando y Control
37
38. Un
clásico……
RAT,
Poison
Ivy
Crearemos
“backdoors”….
Siempre pensando
en la salida más fácil
para un canal
encubierto:
ü HTTP o HTTPS
ü DNS
ü Objetivo
Crear Señales
Débiles
38
39. Canales
Encubiertos
Reverse
HTTP
Shell
hOp://www.thc.org/papers/fw-‐backd.htm
Hacker
WWW
Server
Web
Proxy
1. El cliente (usuario) corre una shell local. Se conectará con el servidor externo
periódicamente.
2. Se envía una petición HTTP (GET/POST) al servidor web controlado por
nuestro atacante.
3. Se emplea codificación base64 para evitar cacheo.
4. En las respuestas, el servidor externo envía comandos a ejecutar en la shell.
Ø Son solo 260 lineas de Perl……
39