SlideShare uma empresa Scribd logo

David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013]

RootedCON
RootedCON
1 de 42
Señales  Débiles   ¿Nos  protegemos  sabiendo     que  nos  van  a  atacar?   David Fuertes (dfuertes@sourcefire.com) Security Engineer Southern Europe
Agenda     Ø Amenazas  a  día  de  hoy   Ø Aproximaciones  Defensivas   Ø Señales  débiles   Ø Herramientas  necesarias   Ø POC#1  –  Exploit  Kits,  canales  encubiertos   2
Realidad  actual   AGILE SECURITY   ¿Qué  está  pasando?  
Ataques  a  día  de  hoy   Profesionalización, Motivación 4
Nuevo modelo de seguridad Aprendiendo de nuestros errores WSJ:http://blogs.rsa.com/rivner/anatomy-of-an-attack/ What should companies do? Mr. Coviello: Security has always been developed reactively: Find the hole, and plug the hole. It has resulted in a whole bunch of individual isolated controls that don't really give you any form of defense in depth. The controls were also designed to defend a perimeter that, because of the increased manera preactivamobile ü  Defensas desarrolladas de use of the Web and devices, has largely dissolved. ü  Protección de Perimetro es insuficiente We needSe necesita un nuevo modelo de seguridad, ü  a new model for security. We call it an intelligence- driven model. It is based on risk and new tools that are behavior inteligente based and predictive. It is also based on a big-data application so you ü  No se gasta dinero / esfuerzo en detectar y can spot an attack in progress, so you can do a better job responding to it. responder (proceso, personas , herramientas) Mr. Coviello: We are used to spending money on preventing attacks, and we are not spending enough money on detecting and responding to attacks. 5
No  existen  “balas  de  plata”   Application Control “Arreglemos el NAC firewall” IDS / IPS “La red se defiende sola” UTM PKI “No hay falsos positivos, No hay falsos negativos.” AV “Sin clave no hay acceso” FW/VPN “Encuentra el patrón” “Bloquear o Permitir” 6
Ataques  a  día  de  hoy   MODELO  DE   SEGURIDAD   INSUFICIENTE,   “Balas  de  plata”   7
Poder  de  la  información   ¿Quién  está  por  delante?     Todos conocemos las ü  Vulnerabilidades  Zero  Day   ü  Vulnerabilidades  conocidas  (no  Zero   características del famoso Day!)   ü  Especifico   ü  Profesional   “APT”……… ü  MoLvado   ü  Elevado  raLo  de  éxito   Stuxnet   ü  Persistente   Gauss     Flame   2009   2012   Duqu   2012   2011   8
Flame   Gauss   2012   2012   Stuxnet   2009   Duqu   2011   ......EXISTE comunicación entre bandas. ¿Cómo es nuestra comunicación? 9
Ataques  a  día  de  hoy   MODELO  DE   RELACIONES,   SEGURIDAD   COMUNICACIÓN   INSUFICIENTE,   ENTRE  GRUPOS,   “Balas  de  plata”   ¿y  nosotros?   10
Realidad  de  hoy   Los  ataques  evolucionan  y  evaden  las  defensas  tradicionales   Todos con defensas tradicionales – FW, IPS, AV. No ha sido suficiente 11
Ataques  a  día  de  hoy   MODELO  DE   RELACIONES,   NADIE  ESTA  A   SEGURIDAD   COMUNICACIÓN   SALVO,   INSUFICIENTE,   ENTRE  GRUPOS,   ¿Lenes  algo   “Balas  de  plata”   ¿y  nosotros?   que  proteger?   12
¿Cómo  nos  estamos   AGILE SECURITY protegiendo?  
Lo  habitual…..  
Medidas  PrevenYvas   Eventos   t  
Si  el  ataque  es  avanzado…..   Eventos   t  
Horizonte  de  Eventos   X Firewall X IDS/IPS X Malware X Antivirus ‘ Horizonte de Eventos’ Endpoint 17
¿Cual  es  tu  filoso[a?   Ø ¿Te proteges por si acaso te atacan? Ø  ¿O te proteges sabiendo que te van a atacar? Ø  Si supieras que ibas a ser comprometido, ¿te hubieras protegido de manera diferente? 18
Protección  a  lo  largo  del  Yempo   Una  aproximación  basada  en  ataques   Antes Durante Después Políticas y Control Identificación y Bloqueo Análisis y Remediación Descubrir el entorno Detectar Determinar Implementar políticas Prevenir alcance de acceso Contener Parcheo Remediar Firewall IPS IDS Application Control Anti-virus SIEM & Log Mgmt Vulnerability Management Anti-malware Forensics Patch Management Full Packet Capture 19  
Señales    Débiles   AGILE SECURITY
Fases  de  un  ataque   §  Toma de Control Inicial ▸  1) Reconocimiento ▸  2) Intrusión Inicial en la red ▸  3) Establecer Backdoors ▸  4) Obtener Credenciales Usuarios ▸  5) Instalar Utilidades §  Movimiento lateral ▸  6) Escalado de Privilegios, movimientos laterales y extracción de información §  7) Mantener Persistencia 21
Intrusión  Inicial   §  Lo más protegernos? ¿Cómo común es “Client-Side” §  Detección: Social + “Spear Phishing” ▸  Ingeniería §  Ataques internos à USB, Usuarios móviles ▸  Cambios en la red ▸  A veces no indirectas de una intrusion Evidencias es necesaria intrusión inicial §  “Client-Side” comportamientos ▸  Detección de §  Herramientas:en el formato de ficheros ▸  Complejidad ▸  Ofuscación Superioridad de la Información Visibilidad, ▸  Componentes embebidos Tiempo Real ▸  Tamaño de ficheros vs. Detección en tiempo real Forense §  Aparecen Señales débiles 22
Backdoors   §  Múltiples, con diversas configuraciones Defensas tradicionales ▸  Actualizados constantemente. Detección AV pobre ▸  Sofisticados en la red: Firmas estáticas insuficiente ●  Canales de comunicación cifrados y ofuscados §  ¿Cómo protegernos? ●  Tráfico legítimo HTTP, HTTPs, DNS ▸  Visibilidad aleatorios, Headers comunes, etc ●  Contenidos ▸  Comportamiento ▸  Reúsan librerías comunes (p.ej Microsoft) para ▸  reducir tamañosen los canales de salida Control estricto ▸  Credenciales legítimasusuario Controlar Actividad de de usuarios 23
Exploración,  Propagación  y     Salida  de  Información   ①  Comunicación C&C ▸  Instrucciones, descargas, etc. ②  Ataques – Movimientos Laterales ▸  Compromiso de servidores ▸  Uso de credenciales ③  Almacenamiento de información ▸  Servidor de almacenamiento ▸  Compresión, cifrado ④  Salida de Información 24
Señales  Débiles   §  “Una señal débil es un factor de cambio difícilmente perceptible en el presente pero con fuertes implicaciones a futuro” 25
Seguridad  “Después”  del  ataque   Señales  débiles  en  una  DMZ   Qué ocurre si de repente…. ü  Aparecen nuevos servidores ü  Se publican servicios nuevos ü  Se abren comunicaciones inusuales 26
Seguridad  “Después”  del  ataque   Ataques  en  el  lado  de  cliente   Qué ocurre si… ü  Mobilidad, USB ü  Compromiso físico, enemigo dentro ü  Exploit Lado cliente Ø  Flujos inesperados" Ø  Canales encubiertos 27
Seguridad  “Después”  del  ataque   AcYvidad  de  Usuario  Inesperada   Las credenciales son críticas...! ü  Monitorizar, Restringir y controlar derechos administrativos. ü  ¿Están mis usuarios donde deben? 28
¿Qué  necesitamos?   AGILE SECURITY
Mecanismos  de  Visibilidad   Conocer  en  todo  momento  lo  que  protegemos   = Escaneo Activo de Red ü  Incorpora contexto de negocio" Inventario, entrada manual ü  Corrige desviaciones + Tiempo Real + Intrusivo conocidas" + Precision + Permite almacenar Descubrimiento + ü  No es escalable Pasivo información de Negocio Contexto + Evadible + No es intrusivo - Precisión 30
Capacidad  RetrospecYva   Eventos t 31
Personas,  Proceso   Negocio Red Correlación / Centralización Full FW, Visibilidad IPS Packet NGFW Retrospección Capture Logs 32
Conclusiones   AGILE SECURITY
Conclusiones   Ø Detección  compleja,  no  estamos  preparados.   Ø Modelo  defensivo  prevenYvo.   Ø No  tenemos  suficiente  visibilidad.   Ø Necesitamos  las  herramientas  adecuadas.   Ø Personas,  Proceso   Ø Hay  que  pensar  de  manera  diferente  
POC   AGILE SECURITY Exploit  Kits   Canales  Encubiertos  
Exploit  Kits   Un  ecosistema  de  malware   36
Escenario   2) Redirección 1) Conexión Inicial IFRAME, etc 3)Exploit + LOADER 4) Canal Encubierto Comando y Control 37
Un  clásico……   RAT,  Poison  Ivy   Crearemos “backdoors”…. Siempre pensando en la salida más fácil para un canal encubierto: ü  HTTP o HTTPS ü  DNS ü  Objetivo Crear Señales Débiles 38
Canales  Encubiertos   Reverse  HTTP  Shell     hOp://www.thc.org/papers/fw-­‐backd.htm   Hacker WWW Server Web Proxy 1.  El cliente (usuario) corre una shell local. Se conectará con el servidor externo periódicamente. 2.  Se envía una petición HTTP (GET/POST) al servidor web controlado por nuestro atacante. 3.  Se emplea codificación base64 para evitar cacheo. 4.  En las respuestas, el servidor externo envía comandos a ejecutar en la shell. Ø  Son solo 260 lineas de Perl…… 39
Visibilidad…..   40
¿Preguntas?   41
Muchas  Gracias!   42

Recomendados

Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 
informatic
informaticinformatic
informaticandresvasconezpozo
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informaticaEmanuelcru
 
1.2. Fundamentos redes seguras
1.2. Fundamentos redes seguras1.2. Fundamentos redes seguras
1.2. Fundamentos redes segurasDavid Narváez
 
Modelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosModelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosAsociación de Marketing Bancario Argentino
 
3.1. Ataques conceptos técnicas
3.1. Ataques conceptos técnicas3.1. Ataques conceptos técnicas
3.1. Ataques conceptos técnicasDavid Narváez
 
4.1 Protección y Seguridad
4.1 Protección y Seguridad4.1 Protección y Seguridad
4.1 Protección y SeguridadDavid Narváez
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 

Recomendados

Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 
informatic
informaticinformatic
informaticandresvasconezpozo
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informaticaEmanuelcru
 
1.2. Fundamentos redes seguras
1.2. Fundamentos redes seguras1.2. Fundamentos redes seguras
1.2. Fundamentos redes segurasDavid Narváez
 
Modelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosModelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosAsociación de Marketing Bancario Argentino
 
3.1. Ataques conceptos técnicas
3.1. Ataques conceptos técnicas3.1. Ataques conceptos técnicas
3.1. Ataques conceptos técnicasDavid Narváez
 
4.1 Protección y Seguridad
4.1 Protección y Seguridad4.1 Protección y Seguridad
4.1 Protección y SeguridadDavid Narváez
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Jaime Andrés Bello Vieda
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Eduardo Brenes
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
Protocolos de seguridad - Herramientas para detectar archivos maliciosos
Protocolos de seguridad - Herramientas para detectar archivos maliciososProtocolos de seguridad - Herramientas para detectar archivos maliciosos
Protocolos de seguridad - Herramientas para detectar archivos maliciososCentro de Formación en Periodismo Digital
 
Presentación seguridad teasa
Presentación seguridad teasaPresentación seguridad teasa
Presentación seguridad teasaJulio Tea
 
Protocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personalesProtocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personalesCentro de Formación en Periodismo Digital
 
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitosProtocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitosCentro de Formación en Periodismo Digital
 
Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas AvanzadasIBM Digital Sales Colombia
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y proteccióngrarysit
 
Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundidaJhon Jairo Hernandez
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...RootedCON
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEduardo1601
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridadDavid Narváez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadGabriel Marcos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIestp Instituto Superior
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
La seguridad informática. 10 recomendaciones.
La seguridad informática. 10 recomendaciones.La seguridad informática. 10 recomendaciones.
La seguridad informática. 10 recomendaciones.Rossalyn
 
Ayuda Web Seguridad Romero Gt
Ayuda Web Seguridad Romero GtAyuda Web Seguridad Romero Gt
Ayuda Web Seguridad Romero GtMauricio Romero
 
Portada
PortadaPortada
PortadaAkromilla
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 

Mais conteúdo relacionado

Mais procurados

Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Jaime Andrés Bello Vieda
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Eduardo Brenes
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
Presentación seguridad teasa
Presentación seguridad teasaPresentación seguridad teasa
Presentación seguridad teasaJulio Tea
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y proteccióngrarysit
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...RootedCON
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEduardo1601
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridadDavid Narváez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadGabriel Marcos
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
La seguridad informática. 10 recomendaciones.
La seguridad informática. 10 recomendaciones.La seguridad informática. 10 recomendaciones.
La seguridad informática. 10 recomendaciones.Rossalyn
 
Ayuda Web Seguridad Romero Gt
Ayuda Web Seguridad Romero GtAyuda Web Seguridad Romero Gt
Ayuda Web Seguridad Romero GtMauricio Romero
 

Mais procurados (20)

Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
 
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
Sonic wall net_sec_ sol_overview_2017_customer_short_v1.0
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
 
Protocolos de seguridad - Herramientas para detectar archivos maliciosos
Protocolos de seguridad - Herramientas para detectar archivos maliciososProtocolos de seguridad - Herramientas para detectar archivos maliciosos
Protocolos de seguridad - Herramientas para detectar archivos maliciosos
 
Presentación seguridad teasa
Presentación seguridad teasaPresentación seguridad teasa
Presentación seguridad teasa
 
Protocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personalesProtocolos de seguridad - Seguridad de contraseñas personales
Protocolos de seguridad - Seguridad de contraseñas personales
 
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitosProtocolos de seguridad - Almacenamiento de datos en servidores gratuitos
Protocolos de seguridad - Almacenamiento de datos en servidores gratuitos
 
Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas Avanzadas
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y protección
 
Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundida
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridad
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps
 
La seguridad informática. 10 recomendaciones.
La seguridad informática. 10 recomendaciones.La seguridad informática. 10 recomendaciones.
La seguridad informática. 10 recomendaciones.
 
Ayuda Web Seguridad Romero Gt
Ayuda Web Seguridad Romero GtAyuda Web Seguridad Romero Gt
Ayuda Web Seguridad Romero Gt
 

Semelhante a David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013]

Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJordi Garcia Castillon
 
Seguridad..año 97 2003
Seguridad..año 97 2003Seguridad..año 97 2003
Seguridad..año 97 2003GlJd Jd
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpeigugarte
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfJuanPabloYabetaMaldo
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Opsec para analistas de seguridad
Opsec para analistas de seguridadOpsec para analistas de seguridad
Opsec para analistas de seguridadtheDataCult
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaMini0986
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralFrancisco Medina
 
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.Grupo Smartekh
 
0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdfcalamilla
 

Semelhante a David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013] (20)

Portada
PortadaPortada
Portada
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH es
 
Seguridad Digital
Seguridad DigitalSeguridad Digital
Seguridad Digital
 
Seguridad digital
Seguridad digitalSeguridad digital
Seguridad digital
 
Seguridad Digital
Seguridad DigitalSeguridad Digital
Seguridad Digital
 
Seguridad..año 97 2003
Seguridad..año 97 2003Seguridad..año 97 2003
Seguridad..año 97 2003
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
Seguridad en sl
Seguridad en slSeguridad en sl
Seguridad en sl
 
Comsi
ComsiComsi
Comsi
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdf
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Opsec para analistas de seguridad
Opsec para analistas de seguridadOpsec para analistas de seguridad
Opsec para analistas de seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
5to
5to5to
5to
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
 
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.[WEBINAR] APTs Las amenazas de seguridad incontrolables.
[WEBINAR] APTs Las amenazas de seguridad incontrolables.
 
Cid
CidCid
Cid
 
0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf
 

Mais de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 

Mais de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 

David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013]

  • 1. Señales  Débiles   ¿Nos  protegemos  sabiendo     que  nos  van  a  atacar?   David Fuertes (dfuertes@sourcefire.com) Security Engineer Southern Europe
  • 2. Agenda     Ø Amenazas  a  día  de  hoy   Ø Aproximaciones  Defensivas   Ø Señales  débiles   Ø Herramientas  necesarias   Ø POC#1  –  Exploit  Kits,  canales  encubiertos   2
  • 3. Realidad  actual   AGILE SECURITY   ¿Qué  está  pasando?  
  • 4. Ataques  a  día  de  hoy   Profesionalización, Motivación 4
  • 5. Nuevo modelo de seguridad Aprendiendo de nuestros errores WSJ:http://blogs.rsa.com/rivner/anatomy-of-an-attack/ What should companies do? Mr. Coviello: Security has always been developed reactively: Find the hole, and plug the hole. It has resulted in a whole bunch of individual isolated controls that don't really give you any form of defense in depth. The controls were also designed to defend a perimeter that, because of the increased manera preactivamobile ü  Defensas desarrolladas de use of the Web and devices, has largely dissolved. ü  Protección de Perimetro es insuficiente We needSe necesita un nuevo modelo de seguridad, ü  a new model for security. We call it an intelligence- driven model. It is based on risk and new tools that are behavior inteligente based and predictive. It is also based on a big-data application so you ü  No se gasta dinero / esfuerzo en detectar y can spot an attack in progress, so you can do a better job responding to it. responder (proceso, personas , herramientas) Mr. Coviello: We are used to spending money on preventing attacks, and we are not spending enough money on detecting and responding to attacks. 5
  • 6. No  existen  “balas  de  plata”   Application Control “Arreglemos el NAC firewall” IDS / IPS “La red se defiende sola” UTM PKI “No hay falsos positivos, No hay falsos negativos.” AV “Sin clave no hay acceso” FW/VPN “Encuentra el patrón” “Bloquear o Permitir” 6
  • 7. Ataques  a  día  de  hoy   MODELO  DE   SEGURIDAD   INSUFICIENTE,   “Balas  de  plata”   7
  • 8. Poder  de  la  información   ¿Quién  está  por  delante?     Todos conocemos las ü  Vulnerabilidades  Zero  Day   ü  Vulnerabilidades  conocidas  (no  Zero   características del famoso Day!)   ü  Especifico   ü  Profesional   “APT”……… ü  MoLvado   ü  Elevado  raLo  de  éxito   Stuxnet   ü  Persistente   Gauss     Flame   2009   2012   Duqu   2012   2011   8
  • 9. Flame   Gauss   2012   2012   Stuxnet   2009   Duqu   2011   ......EXISTE comunicación entre bandas. ¿Cómo es nuestra comunicación? 9
  • 10. Ataques  a  día  de  hoy   MODELO  DE   RELACIONES,   SEGURIDAD   COMUNICACIÓN   INSUFICIENTE,   ENTRE  GRUPOS,   “Balas  de  plata”   ¿y  nosotros?   10
  • 11. Realidad  de  hoy   Los  ataques  evolucionan  y  evaden  las  defensas  tradicionales   Todos con defensas tradicionales – FW, IPS, AV. No ha sido suficiente 11
  • 12. Ataques  a  día  de  hoy   MODELO  DE   RELACIONES,   NADIE  ESTA  A   SEGURIDAD   COMUNICACIÓN   SALVO,   INSUFICIENTE,   ENTRE  GRUPOS,   ¿Lenes  algo   “Balas  de  plata”   ¿y  nosotros?   que  proteger?   12
  • 13. ¿Cómo  nos  estamos   AGILE SECURITY protegiendo?  
  • 16. Si  el  ataque  es  avanzado…..   Eventos   t  
  • 17. Horizonte  de  Eventos   X Firewall X IDS/IPS X Malware X Antivirus ‘ Horizonte de Eventos’ Endpoint 17
  • 18. ¿Cual  es  tu  filoso[a?   Ø ¿Te proteges por si acaso te atacan? Ø  ¿O te proteges sabiendo que te van a atacar? Ø  Si supieras que ibas a ser comprometido, ¿te hubieras protegido de manera diferente? 18
  • 19. Protección  a  lo  largo  del  Yempo   Una  aproximación  basada  en  ataques   Antes Durante Después Políticas y Control Identificación y Bloqueo Análisis y Remediación Descubrir el entorno Detectar Determinar Implementar políticas Prevenir alcance de acceso Contener Parcheo Remediar Firewall IPS IDS Application Control Anti-virus SIEM & Log Mgmt Vulnerability Management Anti-malware Forensics Patch Management Full Packet Capture 19  
  • 20. Señales    Débiles   AGILE SECURITY
  • 21. Fases  de  un  ataque   §  Toma de Control Inicial ▸  1) Reconocimiento ▸  2) Intrusión Inicial en la red ▸  3) Establecer Backdoors ▸  4) Obtener Credenciales Usuarios ▸  5) Instalar Utilidades §  Movimiento lateral ▸  6) Escalado de Privilegios, movimientos laterales y extracción de información §  7) Mantener Persistencia 21
  • 22. Intrusión  Inicial   §  Lo más protegernos? ¿Cómo común es “Client-Side” §  Detección: Social + “Spear Phishing” ▸  Ingeniería §  Ataques internos à USB, Usuarios móviles ▸  Cambios en la red ▸  A veces no indirectas de una intrusion Evidencias es necesaria intrusión inicial §  “Client-Side” comportamientos ▸  Detección de §  Herramientas:en el formato de ficheros ▸  Complejidad ▸  Ofuscación Superioridad de la Información Visibilidad, ▸  Componentes embebidos Tiempo Real ▸  Tamaño de ficheros vs. Detección en tiempo real Forense §  Aparecen Señales débiles 22
  • 23. Backdoors   §  Múltiples, con diversas configuraciones Defensas tradicionales ▸  Actualizados constantemente. Detección AV pobre ▸  Sofisticados en la red: Firmas estáticas insuficiente ●  Canales de comunicación cifrados y ofuscados §  ¿Cómo protegernos? ●  Tráfico legítimo HTTP, HTTPs, DNS ▸  Visibilidad aleatorios, Headers comunes, etc ●  Contenidos ▸  Comportamiento ▸  Reúsan librerías comunes (p.ej Microsoft) para ▸  reducir tamañosen los canales de salida Control estricto ▸  Credenciales legítimasusuario Controlar Actividad de de usuarios 23
  • 24. Exploración,  Propagación  y     Salida  de  Información   ①  Comunicación C&C ▸  Instrucciones, descargas, etc. ②  Ataques – Movimientos Laterales ▸  Compromiso de servidores ▸  Uso de credenciales ③  Almacenamiento de información ▸  Servidor de almacenamiento ▸  Compresión, cifrado ④  Salida de Información 24
  • 25. Señales  Débiles   §  “Una señal débil es un factor de cambio difícilmente perceptible en el presente pero con fuertes implicaciones a futuro” 25
  • 26. Seguridad  “Después”  del  ataque   Señales  débiles  en  una  DMZ   Qué ocurre si de repente…. ü  Aparecen nuevos servidores ü  Se publican servicios nuevos ü  Se abren comunicaciones inusuales 26
  • 27. Seguridad  “Después”  del  ataque   Ataques  en  el  lado  de  cliente   Qué ocurre si… ü  Mobilidad, USB ü  Compromiso físico, enemigo dentro ü  Exploit Lado cliente Ø  Flujos inesperados" Ø  Canales encubiertos 27
  • 28. Seguridad  “Después”  del  ataque   AcYvidad  de  Usuario  Inesperada   Las credenciales son críticas...! ü  Monitorizar, Restringir y controlar derechos administrativos. ü  ¿Están mis usuarios donde deben? 28
  • 30. Mecanismos  de  Visibilidad   Conocer  en  todo  momento  lo  que  protegemos   = Escaneo Activo de Red ü  Incorpora contexto de negocio" Inventario, entrada manual ü  Corrige desviaciones + Tiempo Real + Intrusivo conocidas" + Precision + Permite almacenar Descubrimiento + ü  No es escalable Pasivo información de Negocio Contexto + Evadible + No es intrusivo - Precisión 30
  • 32. Personas,  Proceso   Negocio Red Correlación / Centralización Full FW, Visibilidad IPS Packet NGFW Retrospección Capture Logs 32
  • 34. Conclusiones   Ø Detección  compleja,  no  estamos  preparados.   Ø Modelo  defensivo  prevenYvo.   Ø No  tenemos  suficiente  visibilidad.   Ø Necesitamos  las  herramientas  adecuadas.   Ø Personas,  Proceso   Ø Hay  que  pensar  de  manera  diferente  
  • 35. POC   AGILE SECURITY Exploit  Kits   Canales  Encubiertos  
  • 36. Exploit  Kits   Un  ecosistema  de  malware   36
  • 37. Escenario   2) Redirección 1) Conexión Inicial IFRAME, etc 3)Exploit + LOADER 4) Canal Encubierto Comando y Control 37
  • 38. Un  clásico……   RAT,  Poison  Ivy   Crearemos “backdoors”…. Siempre pensando en la salida más fácil para un canal encubierto: ü  HTTP o HTTPS ü  DNS ü  Objetivo Crear Señales Débiles 38
  • 39. Canales  Encubiertos   Reverse  HTTP  Shell     hOp://www.thc.org/papers/fw-­‐backd.htm   Hacker WWW Server Web Proxy 1.  El cliente (usuario) corre una shell local. Se conectará con el servidor externo periódicamente. 2.  Se envía una petición HTTP (GET/POST) al servidor web controlado por nuestro atacante. 3.  Se emplea codificación base64 para evitar cacheo. 4.  En las respuestas, el servidor externo envía comandos a ejecutar en la shell. Ø  Son solo 260 lineas de Perl…… 39