1
Fui vítima de APT, o que esperar
em seguida?
Segurança interna, da tática à prática
Geraldo Bravo
2
Passo 2: Obter
acesso
administrativo
(Ex: Usuário de
suporte)
Que comecem os jogos!!!
Passo1:
Phishing para
obter um pon...
3
E a história se repete.....
▪ Dia Zero
▪ Exploração inicial
▪ C&C (instalação e uso)
▪ Elevação de privilégio
▪ Reconnai...
4
Principais fatores – Infecção e propagação
▪ Detecção ineficiente (dia zero)
▪ Operação insegura e
ausência de:
■ Boas p...
5
Os APTs são perigosos (OK, já sabemos)
60% das empresas foram comprometidas em
minutos
205Dias em média entre o ataque i...
6
Elevação de privilégio... Exemplo rápido
• Estação infectada: varre hashes de Kerberos de
usuários logados.
• Reconnaiss...
7
O Santo Graal: Credencial Privilegiada?
▪ Keyloggers: Obter senhas digitadas (DB, equipamentos
de rede, etc)
▪ Memory sc...
8
Contas Privilegiadas: Uma bela superfície de
ataque
Contas
Privilegiadas
Suporte,
admin, TI
Parceiros e
prestadores de s...
9
Remediação
10
Como agir
• Em casos mais simples:
• Isolar equipamentos suspeitos
• Obter atualizações necessárias
• Reorganizar prote...
11
Novo front, Nova mentalidade
12
Paradigma atual
• Manter o intruso fora da rede
• Detectar, Detectar, Detectar
• Atuar no perímetro:
• NIPS, Mail analy...
13
Psicologia reversa
• Não posso manter os malfeitores fora da rede – 100%
do tempo
• Tornar a vida deles um inferno:
• D...
14
Você conhece seu ambiente? De verdade?
Service Accounts User Accounts
Embedded credentials Interactive logons
15
Ativos de risco
10% 50% 100%
Baixo Médio Alto
16
Superfície diminuindo
• Proteja credenciais
• Privileged Account Security
• Remova credenciais de vetores acessíveis
• ...
17
Camada interna
18
Práticas adicionais
• Diminuição de contas
administrativas
• Trocas de senha periódicas e
senhas únicas
• Codificação s...
19
Práticas adicionais – cont.
• Mínimo privilégio necessário
• Need to know
• Revisão de acessos
• Revisão periódica
• Du...
20
Futuro... e além!
• Os atacantes seguem
evoluindo rapidamente
• Possuem recursos
• Possuem a motivação
• Inove também
•...
21
Encerramento
Obrigado!!!
Contato:
Geraldo.bravo@cyberark.com
Linkedin:
br.linkedin.com/in/geraldobravo
Próximos SlideShares
Carregando em…5
×

Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)

185 visualizações

Publicada em

MindTheSec 2015 - Apresentação de Geraldo Bravo na Sala Soluções

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
185
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
7
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)

  1. 1. 1 Fui vítima de APT, o que esperar em seguida? Segurança interna, da tática à prática Geraldo Bravo
  2. 2. 2 Passo 2: Obter acesso administrativo (Ex: Usuário de suporte) Que comecem os jogos!!! Passo1: Phishing para obter um ponto de entrada Tech support Passo 3: Acessar um servidor
  3. 3. 3 E a história se repete..... ▪ Dia Zero ▪ Exploração inicial ▪ C&C (instalação e uso) ▪ Elevação de privilégio ▪ Reconnaisance ▪ Movimentação lateral ▪ Obtenção de dados confidenciais/importantes ▪ Retirada de dados
  4. 4. 4 Principais fatores – Infecção e propagação ▪ Detecção ineficiente (dia zero) ▪ Operação insegura e ausência de: ■ Boas práticas de administração • Active directory, devices de rede ■ Técnicas de desenvolvimento seguro ■ Segregação de acessos • Mínimo privilégio necessário • Need to know
  5. 5. 5 Os APTs são perigosos (OK, já sabemos) 60% das empresas foram comprometidas em minutos 205Dias em média entre o ataque inicial e a detecção 98% Dos casos envolveram contas do Active Directory
  6. 6. 6 Elevação de privilégio... Exemplo rápido • Estação infectada: varre hashes de Kerberos de usuários logados. • Reconnaissance para encontrar outros targets • Uso dos hashes para acessar outras máquinas (Pass- the-Hash, Overpass-the-Hash) • Estabelece outras bases, e de lá a movimentação se repete Ou..... Busca em TXT, XLS e DOC (!?)
  7. 7. 7 O Santo Graal: Credencial Privilegiada? ▪ Keyloggers: Obter senhas digitadas (DB, equipamentos de rede, etc) ▪ Memory scraper: Obter hashes NTLM e Kerberos ▪ DLLs ▪ Contas locais: Mesma senha? ▪ Arquivos ini ▪ DB: credenciais hard coded ▪ Domain Admin, Enterprise admin: Game Over ■ Kerberos Golden ticket, PTH
  8. 8. 8 Contas Privilegiadas: Uma bela superfície de ataque Contas Privilegiadas Suporte, admin, TI Parceiros e prestadores de serviço Key users Midias sociais Credenciais Web Aplicações • Qualquer dispositivo que seja possui credenciais administrativas • Vemos uma média de credenciais privilegiadas 3x maior que o numero de pessoas na empresa
  9. 9. 9 Remediação
  10. 10. 10 Como agir • Em casos mais simples: • Isolar equipamentos suspeitos • Obter atualizações necessárias • Reorganizar proteção • Forense para determinar “estragos” • Nos piores casos – atividades sincronizadas: • Ajuda especializada • Recriar estrurura de AD – reset de todas as contas • Atualizar imagens • Reinserir equipamentos • Reorganizar proteção • Forense para determinar “estragos”
  11. 11. 11 Novo front, Nova mentalidade
  12. 12. 12 Paradigma atual • Manter o intruso fora da rede • Detectar, Detectar, Detectar • Atuar no perímetro: • NIPS, Mail analysis, Webfiltering • Proteger a rede interna • AV, Sandbox, static code analysis, SIEM Em todos os grandes casos... As soluções existiam, e estavam atualizadas...
  13. 13. 13 Psicologia reversa • Não posso manter os malfeitores fora da rede – 100% do tempo • Tornar a vida deles um inferno: • Diminuir superfície • Adotar boas práticas • Camadas internas de proteção • Induzir ao erro • CONHEÇA SEU AMBIENTE
  14. 14. 14 Você conhece seu ambiente? De verdade? Service Accounts User Accounts Embedded credentials Interactive logons
  15. 15. 15 Ativos de risco 10% 50% 100% Baixo Médio Alto
  16. 16. 16 Superfície diminuindo • Proteja credenciais • Privileged Account Security • Remova credenciais de vetores acessíveis • Arquivos ini, códigos de app, etc • Monitore atividades • Das credenciais • Das máquinas • Em arquivos • Duplo fator de autenticação
  17. 17. 17 Camada interna
  18. 18. 18 Práticas adicionais • Diminuição de contas administrativas • Trocas de senha periódicas e senhas únicas • Codificação segura • Isolamento de sessões/Segregação de rede • App Control
  19. 19. 19 Práticas adicionais – cont. • Mínimo privilégio necessário • Need to know • Revisão de acessos • Revisão periódica • Duplo fator de autenticação
  20. 20. 20 Futuro... e além! • Os atacantes seguem evoluindo rapidamente • Possuem recursos • Possuem a motivação • Inove também • O Brasil segue no alvo (por que não?)
  21. 21. 21 Encerramento Obrigado!!! Contato: Geraldo.bravo@cyberark.com Linkedin: br.linkedin.com/in/geraldobravo

×