SlideShare una empresa de Scribd logo

Manejo De Vulnerabilidades 0-Day

Descargar como PPTX, PDF
Manuel Leiva
Manuel Leiva

El documento habla sobre la evolución de las vulnerabilidades y los ataques cibernéticos, la problemática actual de los ataques 0-day y las soluciones empresariales prácticas. Explica cómo los ataques ya no sólo apuntan a los servidores sino también a los usuarios, y cómo hoy en día se requiere menos conocimiento técnico para llevar a cabo ataques. Finalmente, propone soluciones como el uso de software de inspección corporativo y administración de vulnerabilidades en la nube para detectar y corregir

TecnologíaEmpresariales
1 de 18
• Acerca de… • Evolución de las Vulnerabilidades • Problemática Actual • DEMO Ataque 0-day • Soluciones Empresariales Practicas Agenda 2
• Gerente de GlobalSecure • Fundador del Portal de Seguridad insecure.cl • Miembro del Directorio de ISSA Chile • Speaker Oficial Microsoft Technet en Seguridad TI • Especialista en Seguridad Informática con 12 años de experiencia en Hacking Ético, Auditorias informáticas, Arquitecto de Redes y Sistemas con énfasis en Seguridad (Firewalls, Anti-X, IPS, PKI, Cifrado) • Certificado Microsoft, Cisco, Linux Redhat y Qualys (MCP/CCNA/RHLP/QCS) Acerca de… 3
EVOLUCIÓN DE LAS VULNERABILIDADES 4
• Hace 10 años un firewall perimetral y un antivirus era suficiente para obtener una seguridad aceptable. • Hoy empresas con Firewalls, IDS/IPS, Antivirus, Antispam y Filtros de contenidos pueden ser atacados de forma exitosa. • Los Ataques han migrado de los servidores a donde esta la información… en las estaciones de trabajo de los usuarios Evolución de las Vulnerabilidades 5
• Hoy los ataques son mas sofisticados e incluyen múltiples técnicas en un único ataque. Evolución de las Vulnerabilidades 6 http://www.physorg.com/news201978152.html
PROBLEMÁTICA ACTUAL 7
¿Qué es un 0-Day? • Es una vulnerabilidad que existe en un software y no dispone de un parche por parte del proveedor. • En algunos casos estos 0-Day no son divulgados en la comunidad y tampoco se entera la empresa creadora del software. Problemática Actual 8
• Hoy cualquiera con los medios necesarios y determinación puede realizar un ataque exitoso Problemática Actual 9
• El Crimen Online es un problema Global Problemática Actual 10
• Cada vez es necesaria menos especialización y menos conocimiento técnico para llevar a cabo ataques, robar y/o modificar información o cometer fraudes. • No sólo está disponible y al alcance de todos la información sobre los fallos y las vulnerabilidades sino que también lo están los “exploits” y las herramientas para llevar a cabo todo tipo de acciones. Problemática Actual 11
0-Days Populares: • DLL Hijacking (Sobre 40 aplicaciones son vulnerables a este ataque) • Adobe Reader / Acrobat Font Parsing BO (8x/9x) • Apple QuickTime "Marshaled_pUnk« < 7.6.7 • Microsoft Windows Shell LNK Code Execution (MS10-046) • Microsoft Help Center XSS and Command Execution (MS10-042) • Adobe Flash Player y Acrobat Reader Problemática Actual 12 http://www.insecure.cl/carga-dll http://www.insecure.cl/0-day-en-XP
DEMO ATAQUE 0-DAY DLL HIJACKING 13
SOLUCIONES EMPRESARIALES PRACTICAS 14
• ¿Y ahora quien podrá ayudarme? • Dedicar a una persona a que revise diariamente las listas Sec de Vulnerabilidades? • Asignar un grupo de técnicos para que aplique las correcciones cuando sean detectadas? Soluciones Empresariales Practicas 15
Software Inspector Corporativo (CSI) Ventajas: • Análisis de Vulnerabilidad y parches No intrusivo • Cubre programas y plug-ins de miles de vendors • Sin falsos positivos • Se integra con WSUS y SCCM para distribuir parches de terceros Soluciones Empresariales Practicas 16
Administración de Vulnerabilidades Enterprise Ventajas: • Sin Hardware o software que comprar o actualizar • Evaluaciones de Vulnerabilidades y Reportes de Cumplimiento con Normas bajo Demanda, en Cualquier Momento y en Cualquier Lugar bajo modalidad Software como Servicio (SaaS) Soluciones Empresariales Practicas 17
GRACIAS Manuel Moreno – GlobalSecure Email: mmoreno@globalsecure.cl Web: www.globalsecure.cl 18

Recomendados

Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Mantenga Su Datawarehouse Seguro Ya
Mantenga Su Datawarehouse Seguro YaMantenga Su Datawarehouse Seguro Ya
Mantenga Su Datawarehouse Seguro YaJavier Loria
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkAlonso Caballero
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Cristián Rojas, MSc., CSSLP
 

Recomendados

Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Mantenga Su Datawarehouse Seguro Ya
Mantenga Su Datawarehouse Seguro YaMantenga Su Datawarehouse Seguro Ya
Mantenga Su Datawarehouse Seguro YaJavier Loria
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkAlonso Caballero
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Cristián Rojas, MSc., CSSLP
 
Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigoEsc. de Bach, Enrique Laubscher
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalICEMD
 
Seguridad informatica santiago abril ruiz 10c
Seguridad informatica santiago abril ruiz 10cSeguridad informatica santiago abril ruiz 10c
Seguridad informatica santiago abril ruiz 10csantiagoabrilruiz
 
Metasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackMetasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackJulian Gonzalez
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
 
DECEPTION TECHNOLOGY CYBERSECURITY
DECEPTION TECHNOLOGY CYBERSECURITYDECEPTION TECHNOLOGY CYBERSECURITY
DECEPTION TECHNOLOGY CYBERSECURITYKRASHLANDO
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...RootedCON
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoICEMD
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadJosé Antonio Sandoval Acosta
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Jsl ponencias v2_diego_salazar_perez
Jsl ponencias v2_diego_salazar_perezJsl ponencias v2_diego_salazar_perez
Jsl ponencias v2_diego_salazar_perezSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMFrancisco Javier Barrena
 
Seguridad SQL 2012
Seguridad SQL 2012Seguridad SQL 2012
Seguridad SQL 2012Henry Troncoso
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Peligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónPeligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónMariana Olivares
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticawalteraguero
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Hacker. ¿Héroes o villanos?
Hacker. ¿Héroes o villanos?Hacker. ¿Héroes o villanos?
Hacker. ¿Héroes o villanos?Antonio Ramos
 

Más contenido relacionado

La actualidad más candente

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalICEMD
 
Seguridad informatica santiago abril ruiz 10c
Seguridad informatica santiago abril ruiz 10cSeguridad informatica santiago abril ruiz 10c
Seguridad informatica santiago abril ruiz 10csantiagoabrilruiz
 
Metasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackMetasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackJulian Gonzalez
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
 
DECEPTION TECHNOLOGY CYBERSECURITY
DECEPTION TECHNOLOGY CYBERSECURITYDECEPTION TECHNOLOGY CYBERSECURITY
DECEPTION TECHNOLOGY CYBERSECURITYKRASHLANDO
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...RootedCON
 

La actualidad más candente (11)

Entendiendo al enemigo
Entendiendo al enemigoEntendiendo al enemigo
Entendiendo al enemigo
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético Digital
 
Seguridad informatica santiago abril ruiz 10c
Seguridad informatica santiago abril ruiz 10cSeguridad informatica santiago abril ruiz 10c
Seguridad informatica santiago abril ruiz 10c
 
Metasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackMetasploit Class: Shellshock Attack
Metasploit Class: Shellshock Attack
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
 
DECEPTION TECHNOLOGY CYBERSECURITY
DECEPTION TECHNOLOGY CYBERSECURITYDECEPTION TECHNOLOGY CYBERSECURITY
DECEPTION TECHNOLOGY CYBERSECURITY
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration Testing
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
 
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...
Ruth González & Nerea Sainz de la Maza  - When anti shoulder surfing techniqu...
 

Similar a Manejo De Vulnerabilidades 0-Day

Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoICEMD
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Peligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónPeligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónMariana Olivares
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticawalteraguero
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Hacker. ¿Héroes o villanos?
Hacker. ¿Héroes o villanos?Hacker. ¿Héroes o villanos?
Hacker. ¿Héroes o villanos?Antonio Ramos
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados20150423 Jornada_Col Abogados
20150423 Jornada_Col AbogadosAntonio Ramos
 
Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Carlos R.
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redMonica Acevedo
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicioCamilo Fernandez
 

Similar a Manejo De Vulnerabilidades 0-Day (20)

Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Jsl ponencias v2_diego_salazar_perez
Jsl ponencias v2_diego_salazar_perezJsl ponencias v2_diego_salazar_perez
Jsl ponencias v2_diego_salazar_perez
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Seguridad SQL 2012
Seguridad SQL 2012Seguridad SQL 2012
Seguridad SQL 2012
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Peligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la informaciónPeligros de la informática en el respaldo de la información
Peligros de la informática en el respaldo de la información
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Hacker. ¿Héroes o villanos?
Hacker. ¿Héroes o villanos?Hacker. ¿Héroes o villanos?
Hacker. ¿Héroes o villanos?
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la red
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicio
 

Último

PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Marketing BRANDING
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadEduardoSantiagoSegov
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxkimontey
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 

Último (20)

PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedad
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptxLINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
LINEA DE TIEMPO LITERATURA DIFERENCIADO LITERATURA.pptx
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 

Manejo De Vulnerabilidades 0-Day

  • 1.
  • 2. • Acerca de… • Evolución de las Vulnerabilidades • Problemática Actual • DEMO Ataque 0-day • Soluciones Empresariales Practicas Agenda 2
  • 3. • Gerente de GlobalSecure • Fundador del Portal de Seguridad insecure.cl • Miembro del Directorio de ISSA Chile • Speaker Oficial Microsoft Technet en Seguridad TI • Especialista en Seguridad Informática con 12 años de experiencia en Hacking Ético, Auditorias informáticas, Arquitecto de Redes y Sistemas con énfasis en Seguridad (Firewalls, Anti-X, IPS, PKI, Cifrado) • Certificado Microsoft, Cisco, Linux Redhat y Qualys (MCP/CCNA/RHLP/QCS) Acerca de… 3
  • 4. EVOLUCIÓN DE LAS VULNERABILIDADES 4
  • 5. • Hace 10 años un firewall perimetral y un antivirus era suficiente para obtener una seguridad aceptable. • Hoy empresas con Firewalls, IDS/IPS, Antivirus, Antispam y Filtros de contenidos pueden ser atacados de forma exitosa. • Los Ataques han migrado de los servidores a donde esta la información… en las estaciones de trabajo de los usuarios Evolución de las Vulnerabilidades 5
  • 6. • Hoy los ataques son mas sofisticados e incluyen múltiples técnicas en un único ataque. Evolución de las Vulnerabilidades 6 http://www.physorg.com/news201978152.html
  • 8. ¿Qué es un 0-Day? • Es una vulnerabilidad que existe en un software y no dispone de un parche por parte del proveedor. • En algunos casos estos 0-Day no son divulgados en la comunidad y tampoco se entera la empresa creadora del software. Problemática Actual 8
  • 9. • Hoy cualquiera con los medios necesarios y determinación puede realizar un ataque exitoso Problemática Actual 9
  • 10. • El Crimen Online es un problema Global Problemática Actual 10
  • 11. • Cada vez es necesaria menos especialización y menos conocimiento técnico para llevar a cabo ataques, robar y/o modificar información o cometer fraudes. • No sólo está disponible y al alcance de todos la información sobre los fallos y las vulnerabilidades sino que también lo están los “exploits” y las herramientas para llevar a cabo todo tipo de acciones. Problemática Actual 11
  • 12. 0-Days Populares: • DLL Hijacking (Sobre 40 aplicaciones son vulnerables a este ataque) • Adobe Reader / Acrobat Font Parsing BO (8x/9x) • Apple QuickTime "Marshaled_pUnk« < 7.6.7 • Microsoft Windows Shell LNK Code Execution (MS10-046) • Microsoft Help Center XSS and Command Execution (MS10-042) • Adobe Flash Player y Acrobat Reader Problemática Actual 12 http://www.insecure.cl/carga-dll http://www.insecure.cl/0-day-en-XP
  • 13. DEMO ATAQUE 0-DAY DLL HIJACKING 13
  • 15. • ¿Y ahora quien podrá ayudarme? • Dedicar a una persona a que revise diariamente las listas Sec de Vulnerabilidades? • Asignar un grupo de técnicos para que aplique las correcciones cuando sean detectadas? Soluciones Empresariales Practicas 15
  • 16. Software Inspector Corporativo (CSI) Ventajas: • Análisis de Vulnerabilidad y parches No intrusivo • Cubre programas y plug-ins de miles de vendors • Sin falsos positivos • Se integra con WSUS y SCCM para distribuir parches de terceros Soluciones Empresariales Practicas 16
  • 17. Administración de Vulnerabilidades Enterprise Ventajas: • Sin Hardware o software que comprar o actualizar • Evaluaciones de Vulnerabilidades y Reportes de Cumplimiento con Normas bajo Demanda, en Cualquier Momento y en Cualquier Lugar bajo modalidad Software como Servicio (SaaS) Soluciones Empresariales Practicas 17
  • 18. GRACIAS Manuel Moreno – GlobalSecure Email: mmoreno@globalsecure.cl Web: www.globalsecure.cl 18