SlideShare uma empresa Scribd logo

FirePOWER contra Ransomware - Comunidade Cisco

Transferir como PPTX, PDF
Maurício Harley
Maurício Harley

O documento resume uma palestra de Maurício Harley sobre o uso do Cisco FirePOWER para combater ransomware. Ele apresenta o caso do ataque WannaCry, discute como o ransomware funciona e se prolifera, e explica como o ecossistema de segurança da Cisco, incluindo o FirePOWER, pode ajudar a prevenir e responder a ataques de ransomware.

Tecnologia
1 de 60
Engenheiro Senior de Cyber Security Julho 2017 Maurício Harley FirePOWER contra Ransomware Comunidade de Suporte da Cisco Expert Series Webcast
Maurício Harley possui MBA em Gerenciamento de Projetos de TI, é Engenheiro Eletricista pela Universidade Federal do Ceará, e Tecnólogo em Telemática pela Universidade Estácio. Detentor de duplo CCIE (Routing & Switching, Service Provider), CISSP (Certificação de Segurança vendor-neutral). Possui mais de 20 anos de experiência em TI, especialmente nas áreas de Segurança Cibernética, Data Center e Redes de Computadores. Trabalha atualmente como arquiteto sênior de segurança e computação em nuvem na HX Brasil. Liderou e executou, em várias regiões do país (e também em Angola), inúmeros projetos de suporte a infra-estruturas complexas, ambientes de missão crítica, implementação de novas funcionalidades, resolução de problemas ou redução de custos. Por duas vezes, participou na elaboração do currículo do curso de Técnico de Telecomunicações do SENAI. Perito Computacional Forense. Colaborador da PenTest Magazine, revista técnica voltada para testes de invasão. Palestrante de temas diversos relacionados a Tecnologia da Informação e Segurança Cibernética. Analista de malware nas horas vagas. Ex-membro do Cisco Data Center Tiger Team, equipe de elite em tecnologias de Data Center da Cisco FirePOWER contra Ransomware Maurício Harley ©2017 Expert Series Webcast
Maurício Harley Julho 04, 2017 Cisco Support Community Expert Series Webcast FirePOWER contra Ransomware
Agenda Introdução Breve estudo de caso: WannaCry Ecossistema de segurança da Cisco Introdução ao FirePOWER O FirePOWER como peça de combate Considerações Finais
Introdução ©2017
Pergunta 1 Quantos computadores você acha que foram infectados pelo WannaCry? a) Aproximadamente 50.000 b) Aproximadamente 200.000 c) Aproximadamente 1.000.000 d) Nenhum. O WannaCry foi uma jogada de marketing. ©2017
Alguns dados ©2017
Continuando com os dados ©2017
Mas o que é Ransomware exatamente? ©2017 Algumas definições Wikipedia: Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido. De acordo com um relatório da Cisco, ele domina o mercado de ameaças digitais e é o tipo de malware mais rentável da história. O primeiro relato documental deste tipo de ataque foi em 2005 nos Estados Unidos. Cartilha CERT.BR: Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. Talos Intelligence: Ransomware é o nome dado a uma classe de malware cujo objetivo final é negar acesso a dados do usuário de diversas formas. Códigos antigos usavam várias técnicas para travar o acesso ao computador ou aos dados, como: modificação de ACLs, desabilitação do uso de ferramentas do sistema, área de trabalho, entre outras. Códigos mais novos simplesmente criptografam os arquivos do usuário com algoritmos fortes, como AES, RSA, entre outros.
Principais vítimas e vetores de ataque ©2017
O “bom” e “velho” WannaCry ©2017
Infográfico do NYTimes (WannaCry) ©2017
Dados sobre o WannaCry ©2017
Valor arrecadado pelo WannaCry ©2017 Total: > US$ 110.000,00 (em 23/05/2017)
O WannaCry foi o último? ©2017 • De jeito nenhum! • Pelo menos duas crias (há controvérsias quanto a isso) apareceram depois do WannaCry: • UIWIX; • Adylkuzz. • O primeiro pede resgate aproximado de US$ 200,00 em bitcoins; • O segundo transforma o computador num minerador de Monero (outra criptomoeda) e parte de uma botnet.
O mais recente (27/06/2017) – Petya ©2017
• Ainda explorando a vulnerabilidade do SMBv1; • Não criptografa os arquivos, mas a MFT do disco e insere o código malicioso pedindo o resgate. Valor: US$ 300,00 em bitcoins; • Alguns antivírus já detectaram o código; • Principais alvos: bancos, companhias aéreas e distribuidoras de energia elétrica; • Origem do ataque: Rússia ou Ucrânia; • https://olhardigital.com.br/fique_seguro/noticia/novo-virus-se- espalha-pelo-mundo-e-pode-ja-ter-chegado-ao-brasil/69314. Petya (ou Petwrap) ©2017
https://canaltech.com.br/noticia/seguranca/criadores-do-petya-original-estao-tentando-ajudar-vitimas-do-novo-ataque-96420/ E uma notícia inusitada ©2017
Será possível? Vítima: Meu salário é de apenas US$ 400,00. Você quer me cobrar mesmo assim? :-( Criminoso: Não. Na verdade, nossa campanha na Tailândia foi um fracasso total. Nós superestimamos os salários das pessoas do seu país. Entããão, ok. Você não precisa pagar desta vez. Alteramos o ThunderCrypt para o modo de descriptografia no seu computador. Assim, tão logo nosso servidor se comunique com sua máquina, a descriptografia terá início. Se isso não acontecer, avise-nos. P.S.: Mas se na verdade, você tiver gostado de algo no ThunderCrypt e quiser nos doar algumas xícaras de café, sinta-se sempre à vontade para fazer isso. = ©2017
A proliferação dos e-mails anônimos ©2017
Alguns Conceitos ©2017
Uma comparação do ataque com uma ação no mundo real. Uma analogia ©2017
Como funciona no mundo virtual. Anatomia do ataque ©2017
Modelo Cyber Kill Chain da Lockheed Martin http://www.lockheedmartin.com/us/what-we- do/aerospace-defense/cyber/cyber-kill- chain.html ©2017
©2017
• Criptomoeda disponibilizada como software de código livre em 2009; • O criador é desconhecido e usa um pseudônimo de Satoshi Nakamoto; • A ideia original era permitir o envio/recebimento de dinheiro, evitando taxas ou impostos cobrados por bancos de países; • Usa arquitetura descentralizada (lembra o BitTorrent?), gravando todas as transações num livro- razão chamado Blockchain; • É possível realizar trocas entre bitcoins e moedas reais. Pode-se também ganhar bitcoins através de uma operação de mineração; • Praticamente impossível de rastrear, o que a torna extremamente atrativa para uso no mercado negro (deep web); • Novas variantes vêm surgindo e mais avançadas: Monero e Zcash. O pagamento (Bitcoin) ©2017
Distribuição Linux para Mineração de Criptomoedas ©2017
E um pouco além... ©2017
Pergunta 2 Um ransomware pode ser melhor combatido com: a) Antivírus b) Firewall c) IPS d) Backup e) Todas as anteriores ©2017
Ecossistema de Segurança da Cisco ©2017
Parceiros ©2017
O SAFE ©2017
O Talos ©2017
Mais focado no nosso assunto ©2017
A Necessidade da Defesa em Camadas Ransomware Defense for Dummies ©2017
• Inspeção do tráfego DNS; • É um serviço; • Não necessita de qualquer hardware ou software instalado; • A implantação é tão simples quanto configurar algumas linhas no servidor DNS interno; • Trabalha fazendo sanitizing do tráfego DNS e filtrando qualquer tentativa de query ou resposta envolvendo endereços maliciosos; • Recebe cerca de 80 bilhões de consultas por dia. No DNS – Cisco Umbrella ©2017
• Machine Learning; • Big Data; • Análise de características dos arquivos; • Sandboxing; • Rastreamento do comportamento (retrospectiva); • Proteção contra Phishing e SPAM. No Email e Endpoints – AMP ©2017
• URL Filtering; • AMP; • Threat Grid; • AVC; • NGIPS. Na Rede – FirePOWER (cereja do bolo) ©2017
Introdução ao FirePOWER ©2017
• Tudo começou com a Sourcefire; • O cerne do código é baseado no Snort; • Em 2013, a Cisco adquiriu a Sourcefire por US$ 2,7 bilhões; • Principais produtos são o FirePOWER e o FireSIGHT; • O FirePOWER é o código/appliance que possui as funções de NGFW e NGIPS: • Controle de Aplicação; • Proteção contra Malware (AMP contra APT); • Filtro de URLs. • O FireSIGHT é o centro de gerência da solução. Introdução ao FirePOWER ©2017
Advanced Malware Protection contra Advanced Persistent Threats • Solução de segurança da Cisco que está disponível em diversas formas, inclusive embarcada no módulo FirePOWER que acompanha o ASA; • Intimamente conectado com a inteligência gerada a partir da pesquisa do grupo Talos; • Analisa o conteúdo antes, durante e depois do ataque; • Alguns recursos importantes e decisivos: Dashboards, Indicações de Comprometimento, Trajetória de Arquivos, Análise Contínua, Controle de Outbreaks. Introdução ao FirePOWER ©2017
Introdução ao FirePOWER
Introdução ao FirePOWER Malware Aplicações Cliente Sistemas Operacionais Dispositivos Móveis Telefones VoIP Roteadores & Switches Impressoras Servidores de C & C Servidores de Rede NGFW Cisco Firepower Usuári os Transferências Aplicações Web Protocolos de Aplicação NGFW Típico Ameaças IPS Típico ©2017
O Firepower como peça de combate ©2017
Vejamos oito casos de uso Acesso Remoto ComplexoIntegração com ACI NGFW no Campus Contenção Rápida de Ameaças Borda de Internet Borda de DC na Nuvem Borda de DC Local Política de Uso Aceitável ©2017
Ou... Os oito “queros”. ©2017
Vetores de Info • URL • IP • DNS 011011001010100101010 0010010110100101101101 Proteger a borda de Internet Eu quero… Parar ameaças na borda, encontrar e corrigir brechas, e aumentar a largura de banda. Firewall AVCMotor de Descriptografia SSL NGIPS #$ %* • NAT Estático e Dinâmico • Alta Disponibilidade • Alta Largura de Banda Rede Privada DMZ @ www DNS Internet Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid DNS Sinkhole
Proteger o Data Center em Nuvem na borda Eu quero… Estender a confiabilidade que tenho na segurança local para a nuvem. ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Data Center na Nuvem Dados financeiros Dados de RH Aplicação interna Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Borda do Data Center TrustSe c RH Finança s DevOps Firewall Virtual • Alta Disponibilidade • Alta Largura de Banda NGIPS #$ %* AVC Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Proteger o data center local na borda Eu quero… Reduzir a superfície de ataque e detectar ameaças ao data center. Rede do Data Center Dados financeiros Dados de RH In-house app • Clustering • Suporte para tráfego Norte-Sul e Leste-Oeste ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Borda do Data Center TrustSec RH Finanças DevOps Firewall NGIPS • Alta Disponibilidade • Alta Largura de Banda #$ %* AVC Bloquear Permitir Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
Camada de Acesso Apps www Database Apps www Database Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Manter ameaças fora dos domínios do campus Eu quero… Proteger contra ameaças e ainda atender as demandas por largura de banda. Borda do Data Center TrustSec Distribuição do Campus Núcleo NGIPSAVC Bloquear Permitir #$ %* Firewall Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
Garantir política de uso aceitável na empresa Filtrar tráfego web suspeito, controlar uso de aplicações e alocar largura de banda. I want to… RedeFirewall Filtrar URLs Indesejadas www Bloquear Permitir Bloqueio Parcial Definir controle de acesso 1 2 Priorizar Tráfego ID de Usuário www Aplicação de Jogos 4000+ web e applicações internas …e aplicações personalizadas Escore de Reputação Motor de Descriptografia SSL #$ %* Decriptar tráfego oculto www ©2017
Estender o acesso seguro a outras localidades Eu quero… Internet Impedir que ameaças entrem e, ao mesmo tempo, estender acesso seguro a todos usuários. Destaques do Firewall 01001010100 00100101101 Bloquear Permitir AVC NGIPS • Alta Largura de Banda • Alta Disponibilidade • Opções por hardware e virtual Motor de Descriptografia SSL #$ %* VPN VPN VPN Firewall Firewall Matriz Firewall Empresa Distribuída Filial Usuário remoto WAN da Filial e Usuários Remotos Firewall Vetores de Info URL | IP | DNS ©2017
Melhorar a escalabilidade e controle com a ACI Eu quero… Host 1 Host 2 Host 3 Applicação 1 (Físico) Applicação 2 (Físico) VM VM VM Detectar ameaças com o NGIPS usando visibilidade do ACI fabric. Configurar políticas com a fer. de gerenciamento integrado Refinar políticas com o tempo através de análise de atividade Bloquear Permitir AVC NGIPS Firepower Management Center (FMC) Application Policy Infrastructure Controller (APIC) Gerenciamento Integrado Políticas de White list Multi-tenancy Segmentação APIs da APIC Proteger o data center com políticas de segurança consistentes e focadas. Spine Leaf Nós ©2017
Proteger a rede com a Contenção Rápida de Ameaças Firepower Management Center ISE Alertas pxGrid Isolamento Automático Eu quero… www Isolar rapidamente recursos comprometidos antes que o problema aumente. TrustSec Tag Funcionário Tag Fornecedor Tag Visitante Tag Quarentena Tag de Quarentena Alertas pxGrid Receber alerta de evento de intrusão Emitir comando de quarentena ©2017
Pergunta 3 Quando se é atingido por um ransomware, deve-se: a) Pagar o resgate ao criminoso b) Retonar o backup c) Executar antivírus para remoção do malware d) Formatar o disco e instalar tudo de novo e) Fazer uma oração ©2017©2017
Considerações Finais ©2017
Formas de Prevenção 1. Efetuar e testar constantemente o backup; 2. Realizar inventário dos ativos; 3. Criar cultura de gerenciamento de patches; 4. Transportar o backup de maneira segura para um local seguro; 5. Segmentar a rede; 6. Conscientizar colaboradores quanto à segurança da informação; 7. Criar estratégia para comunicação sobre a ocorrência de malware; 8. Antes de ocorrer o ataque, decidir se pagará o resgate ou iniciará investigação; 9. Coordenar a análise de ameaças a dispositivos e aplicações (HW e SW); 10.Executar testes frequentes de penetração nos sistemas. Considerações Finais ©2017
Como proceder no caso de ataque • Bloqueie a comunicação entre os segmentos da rede. Se sua rede não for segmentada, complicou; • Se você tem backup atualizado, antes de mais nada, relaxe. Reinstale o sistema, atualize-o, restaure o backup e seja feliz; • O projeto No More Ransom divulga ferramentas gratuitas para desfazer o estrago de alguns ransomwares: https://nomoreransom.org/; • Veja com seu fornecedor de segurança cibernética a existência de uma ferramenta própria dele para descriptografia; • Inicie a investigação da infecção. Se quiser, você pode convocar um perito computacional forense para isso. Neste caso, não desligue o computador e nem faça mais nenhuma atividade nele. Simplesmente preserve a evidência. ©2017
Dica de Leitura • https://resources.umbrella.com/ransomwa re-for-dummies/ ©2017
FirePOWER contra Ransomware - Comunidade Cisco

Recomendados

FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Cisco do Brasil
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Bravo Tecnologia
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
2017 bravo barracuda essentials
2017 bravo barracuda essentials2017 bravo barracuda essentials
2017 bravo barracuda essentialsBravo Tecnologia
 
Ransomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasRansomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasBravo Tecnologia
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 

Recomendados

FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Cisco do Brasil
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Bravo Tecnologia
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
2017 bravo barracuda essentials
2017 bravo barracuda essentials2017 bravo barracuda essentials
2017 bravo barracuda essentialsBravo Tecnologia
 
Ransomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasRansomware e a proxima geracao de ameacas ciberneticas
Ransomware e a proxima geracao de ameacas ciberneticasBravo Tecnologia
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Webinar com Demo ao Vivo: SonicWall Security Solutions
Webinar com Demo ao Vivo: SonicWall Security SolutionsWebinar com Demo ao Vivo: SonicWall Security Solutions
Webinar com Demo ao Vivo: SonicWall Security SolutionsBravo Tecnologia
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaBravo Tecnologia
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely Alexandre Freire
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de SegurançaDaiana de Ávila
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de RedeMarcelo Piuma
 
Seg info
Seg infoSeg info
Seg infoWashington Wanderley
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semanaJorge Ávila Miranda
 
2016 kaspersky
2016 kaspersky2016 kaspersky
2016 kasperskyBravo Tecnologia
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-redeMarco Guimarães
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasSymantec Brasil
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeClavis Segurança da Informação
 

Mais conteúdo relacionado

Mais procurados

Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Webinar com Demo ao Vivo: SonicWall Security Solutions
Webinar com Demo ao Vivo: SonicWall Security SolutionsWebinar com Demo ao Vivo: SonicWall Security Solutions
Webinar com Demo ao Vivo: SonicWall Security SolutionsBravo Tecnologia
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaBravo Tecnologia
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely Alexandre Freire
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-redeMarco Guimarães
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 

Mais procurados (20)

Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
Webinar com Demo ao Vivo: SonicWall Security Solutions
Webinar com Demo ao Vivo: SonicWall Security SolutionsWebinar com Demo ao Vivo: SonicWall Security Solutions
Webinar com Demo ao Vivo: SonicWall Security Solutions
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusos
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresa
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de Segurança
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Seg info
Seg infoSeg info
Seg info
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
2016 kaspersky
2016 kaspersky2016 kaspersky
2016 kaspersky
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux Audit
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 

Semelhante a FirePOWER contra Ransomware - Comunidade Cisco

Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasSymantec Brasil
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisMarcelo Lau
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Rodrigo Immaginario
 
Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"TI Safe
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança CibernéticaCisco do Brasil
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Security
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Ransomware - Conceitos e Prevenção
Ransomware - Conceitos e PrevençãoRansomware - Conceitos e Prevenção
Ransomware - Conceitos e PrevençãoMaurício Harley
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Renato Sobral
 

Semelhante a FirePOWER contra Ransomware - Comunidade Cisco (20)

Be Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares MultiplataformasBe Aware Webinar - Malwares Multiplataformas
Be Aware Webinar - Malwares Multiplataformas
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
 
Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança
 
Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança Cibernética
 
Segurança em Rede.pptx
Segurança em Rede.pptxSegurança em Rede.pptx
Segurança em Rede.pptx
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Ppt Imd
Ppt ImdPpt Imd
Ppt Imd
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Ransomware - Conceitos e Prevenção
Ransomware - Conceitos e PrevençãoRansomware - Conceitos e Prevenção
Ransomware - Conceitos e Prevenção
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011
 

Mais de Maurício Harley

Privacidade de Dados - GDPR, Mundo e Brasil
Privacidade de Dados - GDPR, Mundo e BrasilPrivacidade de Dados - GDPR, Mundo e Brasil
Privacidade de Dados - GDPR, Mundo e BrasilMaurício Harley
 
DevOps CE - Containers, DevOps e Cloud Security
DevOps CE - Containers, DevOps e Cloud SecurityDevOps CE - Containers, DevOps e Cloud Security
DevOps CE - Containers, DevOps e Cloud SecurityMaurício Harley
 
Docker - Um capitulo à parte
Docker - Um capitulo à parteDocker - Um capitulo à parte
Docker - Um capitulo à parteMaurício Harley
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
AWS - Conceitos, Segurança e Demonstração
AWS - Conceitos, Segurança e DemonstraçãoAWS - Conceitos, Segurança e Demonstração
AWS - Conceitos, Segurança e DemonstraçãoMaurício Harley
 
Volatility Framework como Ferramenta de Análise Forense
Volatility Framework como Ferramenta de Análise ForenseVolatility Framework como Ferramenta de Análise Forense
Volatility Framework como Ferramenta de Análise ForenseMaurício Harley
 
Certificação – E Agora?
Certificação – E Agora?Certificação – E Agora?
Certificação – E Agora?Maurício Harley
 

Mais de Maurício Harley (7)

Privacidade de Dados - GDPR, Mundo e Brasil
Privacidade de Dados - GDPR, Mundo e BrasilPrivacidade de Dados - GDPR, Mundo e Brasil
Privacidade de Dados - GDPR, Mundo e Brasil
 
DevOps CE - Containers, DevOps e Cloud Security
DevOps CE - Containers, DevOps e Cloud SecurityDevOps CE - Containers, DevOps e Cloud Security
DevOps CE - Containers, DevOps e Cloud Security
 
Docker - Um capitulo à parte
Docker - Um capitulo à parteDocker - Um capitulo à parte
Docker - Um capitulo à parte
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)
 
AWS - Conceitos, Segurança e Demonstração
AWS - Conceitos, Segurança e DemonstraçãoAWS - Conceitos, Segurança e Demonstração
AWS - Conceitos, Segurança e Demonstração
 
Volatility Framework como Ferramenta de Análise Forense
Volatility Framework como Ferramenta de Análise ForenseVolatility Framework como Ferramenta de Análise Forense
Volatility Framework como Ferramenta de Análise Forense
 
Certificação – E Agora?
Certificação – E Agora?Certificação – E Agora?
Certificação – E Agora?
 

FirePOWER contra Ransomware - Comunidade Cisco

  • 1. Engenheiro Senior de Cyber Security Julho 2017 Maurício Harley FirePOWER contra Ransomware Comunidade de Suporte da Cisco Expert Series Webcast
  • 2. Maurício Harley possui MBA em Gerenciamento de Projetos de TI, é Engenheiro Eletricista pela Universidade Federal do Ceará, e Tecnólogo em Telemática pela Universidade Estácio. Detentor de duplo CCIE (Routing & Switching, Service Provider), CISSP (Certificação de Segurança vendor-neutral). Possui mais de 20 anos de experiência em TI, especialmente nas áreas de Segurança Cibernética, Data Center e Redes de Computadores. Trabalha atualmente como arquiteto sênior de segurança e computação em nuvem na HX Brasil. Liderou e executou, em várias regiões do país (e também em Angola), inúmeros projetos de suporte a infra-estruturas complexas, ambientes de missão crítica, implementação de novas funcionalidades, resolução de problemas ou redução de custos. Por duas vezes, participou na elaboração do currículo do curso de Técnico de Telecomunicações do SENAI. Perito Computacional Forense. Colaborador da PenTest Magazine, revista técnica voltada para testes de invasão. Palestrante de temas diversos relacionados a Tecnologia da Informação e Segurança Cibernética. Analista de malware nas horas vagas. Ex-membro do Cisco Data Center Tiger Team, equipe de elite em tecnologias de Data Center da Cisco FirePOWER contra Ransomware Maurício Harley ©2017 Expert Series Webcast
  • 3. Maurício Harley Julho 04, 2017 Cisco Support Community Expert Series Webcast FirePOWER contra Ransomware
  • 4. Agenda Introdução Breve estudo de caso: WannaCry Ecossistema de segurança da Cisco Introdução ao FirePOWER O FirePOWER como peça de combate Considerações Finais
  • 6. Pergunta 1 Quantos computadores você acha que foram infectados pelo WannaCry? a) Aproximadamente 50.000 b) Aproximadamente 200.000 c) Aproximadamente 1.000.000 d) Nenhum. O WannaCry foi uma jogada de marketing. ©2017
  • 8. Continuando com os dados ©2017
  • 9. Mas o que é Ransomware exatamente? ©2017 Algumas definições Wikipedia: Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido. De acordo com um relatório da Cisco, ele domina o mercado de ameaças digitais e é o tipo de malware mais rentável da história. O primeiro relato documental deste tipo de ataque foi em 2005 nos Estados Unidos. Cartilha CERT.BR: Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. Talos Intelligence: Ransomware é o nome dado a uma classe de malware cujo objetivo final é negar acesso a dados do usuário de diversas formas. Códigos antigos usavam várias técnicas para travar o acesso ao computador ou aos dados, como: modificação de ACLs, desabilitação do uso de ferramentas do sistema, área de trabalho, entre outras. Códigos mais novos simplesmente criptografam os arquivos do usuário com algoritmos fortes, como AES, RSA, entre outros.
  • 10. Principais vítimas e vetores de ataque ©2017
  • 11. O “bom” e “velho” WannaCry ©2017
  • 12. Infográfico do NYTimes (WannaCry) ©2017
  • 13. Dados sobre o WannaCry ©2017
  • 14. Valor arrecadado pelo WannaCry ©2017 Total: > US$ 110.000,00 (em 23/05/2017)
  • 15. O WannaCry foi o último? ©2017 • De jeito nenhum! • Pelo menos duas crias (há controvérsias quanto a isso) apareceram depois do WannaCry: • UIWIX; • Adylkuzz. • O primeiro pede resgate aproximado de US$ 200,00 em bitcoins; • O segundo transforma o computador num minerador de Monero (outra criptomoeda) e parte de uma botnet.
  • 16. O mais recente (27/06/2017) – Petya ©2017
  • 17. • Ainda explorando a vulnerabilidade do SMBv1; • Não criptografa os arquivos, mas a MFT do disco e insere o código malicioso pedindo o resgate. Valor: US$ 300,00 em bitcoins; • Alguns antivírus já detectaram o código; • Principais alvos: bancos, companhias aéreas e distribuidoras de energia elétrica; • Origem do ataque: Rússia ou Ucrânia; • https://olhardigital.com.br/fique_seguro/noticia/novo-virus-se- espalha-pelo-mundo-e-pode-ja-ter-chegado-ao-brasil/69314. Petya (ou Petwrap) ©2017
  • 19. Será possível? Vítima: Meu salário é de apenas US$ 400,00. Você quer me cobrar mesmo assim? :-( Criminoso: Não. Na verdade, nossa campanha na Tailândia foi um fracasso total. Nós superestimamos os salários das pessoas do seu país. Entããão, ok. Você não precisa pagar desta vez. Alteramos o ThunderCrypt para o modo de descriptografia no seu computador. Assim, tão logo nosso servidor se comunique com sua máquina, a descriptografia terá início. Se isso não acontecer, avise-nos. P.S.: Mas se na verdade, você tiver gostado de algo no ThunderCrypt e quiser nos doar algumas xícaras de café, sinta-se sempre à vontade para fazer isso. = ©2017
  • 20. A proliferação dos e-mails anônimos ©2017
  • 22. Uma comparação do ataque com uma ação no mundo real. Uma analogia ©2017
  • 23. Como funciona no mundo virtual. Anatomia do ataque ©2017
  • 24. Modelo Cyber Kill Chain da Lockheed Martin http://www.lockheedmartin.com/us/what-we- do/aerospace-defense/cyber/cyber-kill- chain.html ©2017
  • 26. • Criptomoeda disponibilizada como software de código livre em 2009; • O criador é desconhecido e usa um pseudônimo de Satoshi Nakamoto; • A ideia original era permitir o envio/recebimento de dinheiro, evitando taxas ou impostos cobrados por bancos de países; • Usa arquitetura descentralizada (lembra o BitTorrent?), gravando todas as transações num livro- razão chamado Blockchain; • É possível realizar trocas entre bitcoins e moedas reais. Pode-se também ganhar bitcoins através de uma operação de mineração; • Praticamente impossível de rastrear, o que a torna extremamente atrativa para uso no mercado negro (deep web); • Novas variantes vêm surgindo e mais avançadas: Monero e Zcash. O pagamento (Bitcoin) ©2017
  • 27. Distribuição Linux para Mineração de Criptomoedas ©2017
  • 28. E um pouco além... ©2017
  • 29. Pergunta 2 Um ransomware pode ser melhor combatido com: a) Antivírus b) Firewall c) IPS d) Backup e) Todas as anteriores ©2017
  • 30. Ecossistema de Segurança da Cisco ©2017
  • 34. Mais focado no nosso assunto ©2017
  • 35. A Necessidade da Defesa em Camadas Ransomware Defense for Dummies ©2017
  • 36. • Inspeção do tráfego DNS; • É um serviço; • Não necessita de qualquer hardware ou software instalado; • A implantação é tão simples quanto configurar algumas linhas no servidor DNS interno; • Trabalha fazendo sanitizing do tráfego DNS e filtrando qualquer tentativa de query ou resposta envolvendo endereços maliciosos; • Recebe cerca de 80 bilhões de consultas por dia. No DNS – Cisco Umbrella ©2017
  • 37. • Machine Learning; • Big Data; • Análise de características dos arquivos; • Sandboxing; • Rastreamento do comportamento (retrospectiva); • Proteção contra Phishing e SPAM. No Email e Endpoints – AMP ©2017
  • 38. • URL Filtering; • AMP; • Threat Grid; • AVC; • NGIPS. Na Rede – FirePOWER (cereja do bolo) ©2017
  • 40. • Tudo começou com a Sourcefire; • O cerne do código é baseado no Snort; • Em 2013, a Cisco adquiriu a Sourcefire por US$ 2,7 bilhões; • Principais produtos são o FirePOWER e o FireSIGHT; • O FirePOWER é o código/appliance que possui as funções de NGFW e NGIPS: • Controle de Aplicação; • Proteção contra Malware (AMP contra APT); • Filtro de URLs. • O FireSIGHT é o centro de gerência da solução. Introdução ao FirePOWER ©2017
  • 41. Advanced Malware Protection contra Advanced Persistent Threats • Solução de segurança da Cisco que está disponível em diversas formas, inclusive embarcada no módulo FirePOWER que acompanha o ASA; • Intimamente conectado com a inteligência gerada a partir da pesquisa do grupo Talos; • Analisa o conteúdo antes, durante e depois do ataque; • Alguns recursos importantes e decisivos: Dashboards, Indicações de Comprometimento, Trajetória de Arquivos, Análise Contínua, Controle de Outbreaks. Introdução ao FirePOWER ©2017
  • 43. Introdução ao FirePOWER Malware Aplicações Cliente Sistemas Operacionais Dispositivos Móveis Telefones VoIP Roteadores & Switches Impressoras Servidores de C & C Servidores de Rede NGFW Cisco Firepower Usuári os Transferências Aplicações Web Protocolos de Aplicação NGFW Típico Ameaças IPS Típico ©2017
  • 44. O Firepower como peça de combate ©2017
  • 45. Vejamos oito casos de uso Acesso Remoto ComplexoIntegração com ACI NGFW no Campus Contenção Rápida de Ameaças Borda de Internet Borda de DC na Nuvem Borda de DC Local Política de Uso Aceitável ©2017
  • 47. Vetores de Info • URL • IP • DNS 011011001010100101010 0010010110100101101101 Proteger a borda de Internet Eu quero… Parar ameaças na borda, encontrar e corrigir brechas, e aumentar a largura de banda. Firewall AVCMotor de Descriptografia SSL NGIPS #$ %* • NAT Estático e Dinâmico • Alta Disponibilidade • Alta Largura de Banda Rede Privada DMZ @ www DNS Internet Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid DNS Sinkhole
  • 48. Proteger o Data Center em Nuvem na borda Eu quero… Estender a confiabilidade que tenho na segurança local para a nuvem. ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Data Center na Nuvem Dados financeiros Dados de RH Aplicação interna Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Borda do Data Center TrustSe c RH Finança s DevOps Firewall Virtual • Alta Disponibilidade • Alta Largura de Banda NGIPS #$ %* AVC Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
  • 49. Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Proteger o data center local na borda Eu quero… Reduzir a superfície de ataque e detectar ameaças ao data center. Rede do Data Center Dados financeiros Dados de RH In-house app • Clustering • Suporte para tráfego Norte-Sul e Leste-Oeste ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Borda do Data Center TrustSec RH Finanças DevOps Firewall NGIPS • Alta Disponibilidade • Alta Largura de Banda #$ %* AVC Bloquear Permitir Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
  • 50. Camada de Acesso Apps www Database Apps www Database Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Manter ameaças fora dos domínios do campus Eu quero… Proteger contra ameaças e ainda atender as demandas por largura de banda. Borda do Data Center TrustSec Distribuição do Campus Núcleo NGIPSAVC Bloquear Permitir #$ %* Firewall Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
  • 51. Garantir política de uso aceitável na empresa Filtrar tráfego web suspeito, controlar uso de aplicações e alocar largura de banda. I want to… RedeFirewall Filtrar URLs Indesejadas www Bloquear Permitir Bloqueio Parcial Definir controle de acesso 1 2 Priorizar Tráfego ID de Usuário www Aplicação de Jogos 4000+ web e applicações internas …e aplicações personalizadas Escore de Reputação Motor de Descriptografia SSL #$ %* Decriptar tráfego oculto www ©2017
  • 52. Estender o acesso seguro a outras localidades Eu quero… Internet Impedir que ameaças entrem e, ao mesmo tempo, estender acesso seguro a todos usuários. Destaques do Firewall 01001010100 00100101101 Bloquear Permitir AVC NGIPS • Alta Largura de Banda • Alta Disponibilidade • Opções por hardware e virtual Motor de Descriptografia SSL #$ %* VPN VPN VPN Firewall Firewall Matriz Firewall Empresa Distribuída Filial Usuário remoto WAN da Filial e Usuários Remotos Firewall Vetores de Info URL | IP | DNS ©2017
  • 53. Melhorar a escalabilidade e controle com a ACI Eu quero… Host 1 Host 2 Host 3 Applicação 1 (Físico) Applicação 2 (Físico) VM VM VM Detectar ameaças com o NGIPS usando visibilidade do ACI fabric. Configurar políticas com a fer. de gerenciamento integrado Refinar políticas com o tempo através de análise de atividade Bloquear Permitir AVC NGIPS Firepower Management Center (FMC) Application Policy Infrastructure Controller (APIC) Gerenciamento Integrado Políticas de White list Multi-tenancy Segmentação APIs da APIC Proteger o data center com políticas de segurança consistentes e focadas. Spine Leaf Nós ©2017
  • 54. Proteger a rede com a Contenção Rápida de Ameaças Firepower Management Center ISE Alertas pxGrid Isolamento Automático Eu quero… www Isolar rapidamente recursos comprometidos antes que o problema aumente. TrustSec Tag Funcionário Tag Fornecedor Tag Visitante Tag Quarentena Tag de Quarentena Alertas pxGrid Receber alerta de evento de intrusão Emitir comando de quarentena ©2017
  • 55. Pergunta 3 Quando se é atingido por um ransomware, deve-se: a) Pagar o resgate ao criminoso b) Retonar o backup c) Executar antivírus para remoção do malware d) Formatar o disco e instalar tudo de novo e) Fazer uma oração ©2017©2017
  • 57. Formas de Prevenção 1. Efetuar e testar constantemente o backup; 2. Realizar inventário dos ativos; 3. Criar cultura de gerenciamento de patches; 4. Transportar o backup de maneira segura para um local seguro; 5. Segmentar a rede; 6. Conscientizar colaboradores quanto à segurança da informação; 7. Criar estratégia para comunicação sobre a ocorrência de malware; 8. Antes de ocorrer o ataque, decidir se pagará o resgate ou iniciará investigação; 9. Coordenar a análise de ameaças a dispositivos e aplicações (HW e SW); 10.Executar testes frequentes de penetração nos sistemas. Considerações Finais ©2017
  • 58. Como proceder no caso de ataque • Bloqueie a comunicação entre os segmentos da rede. Se sua rede não for segmentada, complicou; • Se você tem backup atualizado, antes de mais nada, relaxe. Reinstale o sistema, atualize-o, restaure o backup e seja feliz; • O projeto No More Ransom divulga ferramentas gratuitas para desfazer o estrago de alguns ransomwares: https://nomoreransom.org/; • Veja com seu fornecedor de segurança cibernética a existência de uma ferramenta própria dele para descriptografia; • Inicie a investigação da infecção. Se quiser, você pode convocar um perito computacional forense para isso. Neste caso, não desligue o computador e nem faça mais nenhuma atividade nele. Simplesmente preserve a evidência. ©2017
  • 59. Dica de Leitura • https://resources.umbrella.com/ransomwa re-for-dummies/ ©2017

Notas do Editor

  1. Falar que as estatísticas, apesar de serem um pouco antigas, refletem tendências que permanecem.
  2. Ressaltar a quantidade de infecções que chegam através de e-mail.
  3. Novamente, mostrar a importância do e-mail como vetor de infecção de ransomware. Ressaltar que empresas de todos os segmentos podem ser atingidas.
  4. Explicar que o gráfico tomou como base o horário da costa leste dos EUA e chamar a atenção para os pontos em vermelho que aparecem no mapa.
  5. Explicar que estas informações são de domínio público e que os dados têm pouco mais de 1 mês.
  6. Informar que as evidências foram encontradas a partir da análise forense de sistemas infectados com o WannaCry.
  7. Chamar a atenção para a carteira do Bitcoin e para a chave de criptografia.
  8. Informar que tanto usuários corporativos quanto domésticos foram afetados. O malware foi classificado como um wiper, ou seja, não devolve os arquivos originais mesmo após pagamento. Ele apaga os primeiros 10 setores do disco. Anáises de código mostraram alteração do malware original publicado em 2016.
  9. Janus, criadora de um serviço de RaaS (Ransomware as a Service) e autora do Petya original em 2016, mostrou-se interessada em ajudar as vítimas do NoPetya do mês passado. O e-mail de ”suporte” do código atual não está mais disponível.
  10. Explicar que os sistemas de e-mail anônimo não fazem qualquer verificação da identidade do usuário e que normalmente, justamente por isso, não é possível recuperar a senha caso se perca. Alegam que a chave de criptografia das mensagens é a senha criada pelo próprio usuário e que eles não possuem formas de descriptografar o conteúdo sem a mesma.
  11. Explicar que o gráfico foi traduzido para o Português para facilitar a compreensão.
  12. Ressaltar a paródia com os dizeres da moeda norte-americana. Os valores do Bitcoin são LIBERDADE, IGUALDADE e VERDADE.
  13. Não se sabe se foi criada por uma só pessoa ou por um grupo de programadores. Isto permanece desconhecido até os dias atuais. Apesar de dizerem que existe uma forma de rastreamento do Blockchain, isso não aconteceu até então.
  14. Distribuição é vendida, pois vem embarcada em hardwares específicos (adiante).
  15. Diversos parceiros compõem a lista do ecossistema da Cisco. Nomes como AWS, AlienVault, CheckPoint, Citrix, F5, Microsoft, RSA, entre outros, engrossam os produtos e serviços de segurança para entregar uma solução completa que atenda às necessidades do mercado. http://www.cisco.com/c/m/en_us/products/security/technical-alliance-partners.html
  16. O SAFE, disponível em http://www.cisco.com/go/safe/, é um comjunto de guias para arquitetura de segurança da Cisco. Está em constante evolução. Na última versão, ele traz considerações para os ambientes mostrados. É mportante observar que o FirePOWER tem aplicações para qualquer dessas áreas. O SAFE se baseia em 6 pilares: Gerenciamento, Inteligência de Segurança, Conformidade, Segmentação, Defesa contra Ameaças e Serviços Seguros.
  17. O Talos é o centro de Inteligência em Segurança da Cisco. Possui divisões de pesquisa que capturam dados a partir de requisições web, tráfego de e-mail, amostras de malware, endpoints distribuídos e invasões em redes. Entre as atribuições, destacam-se: Desenvolvimento de Software, Engenharia Reversa, Desenvolvimento de Vulnerabilidades, Pesquisa sobre Malware, Análise de Inteligência e Reputação SPAM e web.
  18. É um guia completo, de 50 páginas, que traz considerações de arquitetura para defesa contra ransomware. Importante destacar a necessidade da defesa em camadas que veremos logo mais. O guia mostra etapas de testes e validação de cenários de ambientes, interação com o OpenDNS, telas do Threat Grid e exemplos de configuração do FirePOWER, ESA e WSA.
  19. Aqui, destacamos que a defesa contra malware, de uma forma geral, é alcançada por meio de camadas. Assim como a segurança cibernética é um conceito que envolve diferentes áreas, como perímetro, identidade, e-mail, web, conduta, wireless LAN (para citar alguns), o caso particular do ransomware precisa de uma abordagem assim. O desenho mostra setores de controle. A Cisco possui produtos e serviços para abranger cada um deles, como o Umbrella, para verificação de DNS, o WSA para web, ESA para e-mail e o FirePOWER, nossa estrela, para controle de acesso, inspeção, sandbox e mitigação de ataques. Não esqueçamos também a AMP, que pode vir incorporada a ele.
  20. Falar que a Machine Learning é composta pelos elementos do gráfico ao lado. Explicar o conceito de rastreamento e retrospectiva de arquivos que passam pelo software do FirePOWER.
  21. O Threat Grid é uma solução avançada de sandboxing e análise de malware que pode ser implantada como um appliance independente, como serviço (na nuvem) ou integrado a diversos produtos, como o FirePOWER. O AVC usa a tecnologia de DPI (Deep Packet Inspection) para classificar mais de 1.400 aplicações. Também usa o Netflow para estatísticas de desempenho e uso.
  22. The Cisco Firepower NGFW is well-suited to address your toughest security and networking challenges. Today, we'll go over the following ways the Cisco Firepower NGFW can be used to help your business: [Delete as needed] Acceptable use, to enforce proper application and web usage on your network Internet Edge, to secure your network's web-connected endpoints Cloud Data Center Edge, to keep threats out of your online data center Local Data Center, to protect your on-premises data center ACI Integration, to enforce consistent policies on your application centric infrastructure Complex remote access, to safely extend network access to branch offices and remote users Campus NGFW, to keep threats out of your campus security domain Rapid Threat Containment, to remediate breaches as soon as they occur   T: The first use case we'll consider is _______. <Click>
  23. This solution would include one or more Firepower NGFW appliances with Firepower Management Center. In this scenario the Cisco Firepower NGFW would help you block threats at the Internet Edge, identify and remediate breaches when they do occur, and do all this while maintaining high bandwidth. The solution meets key connectivity and availability requirements. The Firewall is built for High Availability, supports routed mode, and comes with a port channel for interface redundancy and link speed aggregation. The Firewall also supports the dynamic routing protocol with OSPF or BGP. Most importantly, the Firepower NGFW will meet your most stringent security requirements. It supports single context mode, dynamic NAT/PAT or static NAT, as well as industry-leading firewall capabilities. Cisco Firepower NGFW comes with SSL decryption, identity-based Application Visibility and Control, URL filtering, Next-generation IPS, Advanced Malware Protection, and real time security intelligence updates from Talos via IP-, URL-, and DNS-based feeds. The Cisco Firepower NGFW is uniquely able to protect your company at the internet edge. T: The next business-critical use case we'll cover is ______. <Click>
  24. This requires a virtual appliance or Firepower NGFWv. We offer this virtual appliance in two form factors; Amazon Web Services and V-sphere. In this case, the Cisco Firepower NGFW would extend trusted and highly secure firewall to the cloud. The NGFW offers High Availability for redundancy, can be deployed in both routed and transparent mode, and supports both North-South or East-West deployments. It includes support for security and networking technologies like VPC and VXLAN. And it further supports the integration of the Firewall in the Data center environment with dynamic routing protocols like OSPF, BGP, Nonstop forwarding, and graceful restart. In addition, the Cisco Firepower NGFW meets the same stringent security requirements as in the Internet Edge use case, offering single- or multi- context mode, as well as industry-leading firewall services. The Cisco Firepower NGFW delivers SSL decryption, identity-based AVC, NGIPS, and AMP. It integrates with TrustSec to ensure the incoming traffic from user communities can be trusted. Finally, it receives URL-, IP-, and DNS-based security intelligence feeds, which provide up-to-date protection against known threats, such as Command-and-Control. The Cisco Firepower NGFW is the answer to securing your Cloud data center at the edge. T: Next, we'll describe how the ______ use case can help your business. <Click>
  25. This would include one or more Firepower NGFW appliances, typically physical, but also available as virtual appliances. In this scenario, the NGFW is able to reduce the company's attack surface and detect threats to keep the on-premises data center secure. The Cisco Firepower NGFW satisfies crucial connectivity and availability requirements, such as high availability for redundancy, dynamic NAT/PAT or static NAT, and support for both North-South or East-West deployments. The firewall supports both intra- and inter-chassis clustering, as well as fail-to-wire functionality. It also comes in high bandwidth options, with our new Firepower 4100 and 9300 platforms offering 10 Gbps and 40 Gbps throughput, as well as flow offload or fast path support. In terms of security, the NGFW features single context mode, TrustSec Security Group Tags, SSL decryption, AVC, NGIPS, and AMP. It also comes with IP-, DNS-, and URL-based security intelligence connections that provide command and control protection. The Cisco Firepower NGFW is the right solution for securing your local data center at the edge. T: Next, we'll show how the ______ use case can meet your business needs. <Click>
  26. This solution involves several Firepower NGFW appliances with Firepower Management Center. Here, in addition to a firewall at the data center edge, there are also firewalls between the campus core and distribution, or between the distribution and access edge. In this scenario, the Cisco Firepower NGFW would protect the campus security domain against threats while maintaining the high throughput required by the campus distribution. The NGFW meets important network needs, with high availability, routed or transparent mode, and a dynamic routing port. The Firepower 4100 and 9300 provide the high band interfaces that make either of them the platform of choice for this use case. The ASA 5585 is also an ideal candidate, with support for up to 16-way clustering. The Cisco Firepower NGFW satisfies key security requirements, offering firewall support between security domains within the campus or campus edge. The NGFW enables single context mode, and boasts the same industry-leading features we have been discussing: TrustSec Security Group Tag support, VPN, identity-based AVC, NGIPS, AMP, and URL-, IP-, and DNS-based security intelligence. The Cisco Firepower NGFW is well-suited for securing large campus security domains. T: Next, we'll discuss how the ______ use case can address your network and security challenges. <Click>
  27. In this scenario, the Cisco Firepower NGFW would help you enforce several business-critical controls. You can prevent your employees and guests from visiting inappropriate sites based on Cisco reputation scoring of millions of URLs, and 4,000+ applications. This includes in-house as well as web-based applications. And this reputation scoring can also be extended to custom application. You can block access to sites that have been found to serve potentially harmful files or applications, using security intelligence feeds that keep the firewall updated on the latest threats. You can stop command-and-control in its tracks, as well as other phone home traffic to malicious sites You can perform traffic control and prioritization to limit the amount of bandwidth various applications and micro-applications consume, such as video streaming, All of these controls are enforceable by user or group. For example, you can limit what people in sales can post to social media, while granting unrestricted access to people in marketing. The Cisco Firepower NGFW’s unique feature set is ideal for enforcing acceptable use. T: Next, we'll cover how the _____ use case can benefit your business. <Click>
  28. In this case, the Cisco Firepower NGFW can keep watch for unwanted traffic, while extending that patrol to multiple locations. You can not only secure encrypted communications across one or more remote locations using VPN, but also apply the full NGFW controls and protections to that traffic, including TrustSec Security Group Tag support, identity-based AVC, NGIPS, AMP, and URL-, IP-, and DNS-based security intelligence. The NGFW’s market-leading VPN capabilities include both site-to-site and remote access. Remote access VPN grants protected access to remote sites, while site-to-site VPN enables secure connection between branch offices as well as to third parties. These capabilities can be covered by the AnyConnect Security Mobility Client, as well as by third party VPN providers. The Cisco Firepower NGFW’s industry-leading features are well-suited to flexibly extending secure remote access. T: Next, we'll cover how the _____ use case can benefit your business. <Click>
  29. In this scenario, the Cisco Firepower NGFW would integrate with Cisco Application Centric Infrastructure (ACI) to protect your data center with automated policy-based security. The Cisco ACI policy model provides flexible segmentation options within the data center, so you can choose how to segment based on business or application requirements.  ACI is based on the Cisco Nexus 9000 family of switches along with a central management control point,  the Application Policy Infrastructure Controller (APIC).  The APIC manages and configures policies on each of the switches in the ACI fabric and offers a unified automated approach to policy management for data centers.    Cisco Firepower has been fully integrated into the ACI APIC controller for unified network and security policy orchestration and control. This ACI integration with Firepower NGIPS, AVC, and AMP provides automated security to dynamically detect advanced attacks, and to automate mitigation and incident response.   This Firepower ACI solution uses “Policy APIs” to enable fully automated advanced security that can tie security services to any workloads (Virtual, Containers, Physical) in the data center, or stitch them into any service chains.  This integration provides agility for enabling security policies within the data center, minimizing coverage gaps due to security service provisioning delays.   Some of the benefits of this solution include:   Agile Provisioning: Because application flows within an ACI environment change dynamically, Firepower security can be deployed as a service for any transaction flow, completely independent of the underlying topology. Unified Configuration and Visibility: ACI management tools provide a single point of network and security management, provisioning of security-as-a-service, flow policy control, and monitoring for a unified view of the infrastructure, while allowing for the contextual re-use of common security elements in an end-to-end design. Policy Set Simplification: In traditional, topology-oriented environments, policy rules like security controls are either pushed as a complete rule set or administrators have to manually build custom rule sets for each device. With a services-based approach like ACI, each service element can be contextually programmed with only those security rules that are relevant to its specific transactions, creating a truly distributed and simplified policy set.   Integrating Cisco Firepower with ACI allows the early detection and mitigation of sophisticated attacks by enabling better visibility and awareness, malware containment and control, and threat detection, mitigation, and incident response. Organizations can take a holistic, system-based approach to data center security, leveraging a common policy-based operational model across ACI-ready networks, thereby reducing cost and complexity without compromising security.  T: The next use case we'll discuss is ______. <Click>
  30. Here, you can see an example of Rapid Threat Containment in action. In the use case illustrated here, Firepower Management Center is scanning the activity of authorized users across all approved devices as traffic moves through the NGFW. When the Firepower Management Center detects suspicious activity, malware, or any other potential threat, it alerts ISE using pxGrid. Then, it automatically enforces your security policy. Here, the platform draws on the Cisco TrustSec capabilities in ISE, such as Security Group Tags (SGTs) that can be enforced on Cisco routers, switches, security appliances, and wireless controllers in the network. You can assign TrustSec SGTs to designate anomalous traffic as “suspicious”. Based on that new SGT, ISE automatically enforces policy on the network. According to policy, the device is contained for remediation or mitigation. T: The Cisco Firepower NGFW is ideally suited for implementing Rapid Threat Containment. <Click>