Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
de Amenazas Avanzadas
Fernando Fuentes
Gerente Innovacin
Agenda
Amenazas Avanzadas
Casos
Estrategia de Control
Impacto
Intrusiones recientes
El impacto
54% incremento de
volmenes de robo de datos
Exploracin y Preparacin
Ataque y Depredacin
Reconocimiento
Acceso a sistema interno
Identificar sistemas de
gestin de red (AD, MMC,
Intranet, etc)
Infeccin o acceso a
targets
Captura de sistema
interno (malware u otro)
Captura de credenciales y
otros sistemas
Extraccin de datos,
ejecucin de
transacciones, etc.
Establecimiento de
comunicacin permanente
(C&C)
Captura comunicaciones
internas
Exfiltracin de datos,
transferencias, etc.
Estudio de
comportamiento y
reaccin
Infraestructura de ataque
y exfiltracin
Ataque a Target
1
Reconocimiento
Preparacin
Atacantes identifican a
proveedor de Aire
Acondicionado de
Target y a mantenedor
Con credenciales
robadas se accede a
Portal Proveedores
target y explota
vulnerabilidad
Se accede a POS y se
contaminan
Se instala servidor de
exfiltracin
Infeccin
Exploracin
Exfiltracin
Se interroga al AD para
conocer la red
Se roba credenciales
de POS
Ataque Carbanak
2 aos de exposicin
Ataque Carbanak
Exploracin y Preparacin
Ataque y Depredacin
Robo de credenciales
Modifican saldos de
cuentas corrientes
Captura de sistemas de
video, grabacin de
pantallas para entender
detalladamente procesos
de los bancos
Establecen VPNs hacia
cajeros
Mejores Bots
Protestas
Fcil acceso
Extorcin
Comoditizadas
Mas Ataques
Incremento del Volumen
Mayores DDoS volumtricos ha crecido 9 +300 Gbps en 5 aos.
Mayores
ataques DDos
individuales.
Observado por
ao en Gbps
Incremento de la
complejidad
Incremento de la frecuencia
Mayores ataques
DDoS capa 7 segn
IDC
Cantidad promedio
de ataques DDoS por
mes
Factor humano
Fcil de engaar, difcil de entrenar
Versatilidad y sofisticacin de la
amenaza
Alta Demanda a equipos de seguridad
Altos requerimientos en cantidad de
recursos
Entrenamiento y aprendizaje complejo
Estrategia de defensa
Defensa en profundidad
Aplicar controles en las diferentes
fronteras de la organizacin
Exploracin y
preparacin
Ataque
Deteccin de
contenido malicioso
Deteccin de actividad
anmala de usuarios
Deteccin de trfico
interno anmalo
Deteccin de trfico
C&C (HTTP, FTP, DNS,
HTTPS)
Proteccin servicios
crticos (AD, DNS,
DHCP, Mail, etc)
Deteccin de trfico
C&C
Whitelisting
Encriptacin
Mtodos de Sandboxing
Deteccin de IoC en
end-point y Servidores
Autenticacin Robusta
Control Actividad Usuarios
Autenticacin robusta
Evaluaciones de Seguridad
Control Autenticacin Usuarios
Sandboxing
ANALIZA
DETONA
Red
Problema
Ingreso de malware a travs de
navegacin y correo
Sistemas basados en firma con baja
efectividad (AV)
Explotacin
Qu hacer
Email
Descarga de
Malware
Callback
Dispositivos
Mviles
Movimiento
Lateral
Fuga de datos
Cmo
Maquinas virtuales que simulan
ambientes
Sistemas que obligan a la detonacin
de comportamiento
Agent Anywhere llega a todos los agentes sin importar dnde estn!
Problema
Mltiples estrategias de
ingreso de atacantes
Evasin de sistemas de
deteccin de firmas
Estos es ms que
malware: deteccin de
actividad agresiva
Qu hacer
Buscar Indicadores de
Compromiso en EndPoint y Servidores
Correlacionar IoCs
para identificar equipos
comprometiso
Capacidad Drill-Down
para validar
Aislar y contener
Cmo
Agentes que
observan cambios en
configuracin y
activdad
Biblioteca de IoCs
Capacidad de
relacionar IoCs entre
s y con tcnicas
existentes
Integracin con otros
componentes
Problema
Los ataques avanzados
capturan credenciales
Luego opera como
usuarios autorizados
Qu hacer
Establecer lneas base y
perfilamiento de
comportamiento de
usuarios
Detectar las anomalas
de comportamiento de
los usuarios autorizados
Cmo
Recolectar data de AD,
VPN, SSL y otros
sistemas de
autorizacin
Analizando
comportamiento normal
(lnea base)
Detectar desviaciones
Whitelisting
Problema
Qu hacer
Establecer y forzar
lneas base y
configuracin
Instalacin de
aplicaciones en EndPoints no autorizada
Monitorear intentos
de cambios de
configuracin e
instalacin
Cmo
Sistemas de Whitelist
No depende de firmas
Compatible con la gran
mayora de S.O. utilizados en
POS/ATM y sistemas
embebidos
Operacin Avanzada
FireEye
AV
IoC
SIEM
Usuarios
Trfico
Anmalo
Correlacin
N1
N2
N3
Reputacin
Anlisis
Alertas
Alertas
Escaladas
Alertas
Escaladas
Priorizacin
automtica
Casos de uso
Anlisis
Proactivo
Monitoreo
Amenazas
Anlisis
Proactivo
Anlisis
Forense
Grupo
Respuesta a
Incidente
Mejora
Continua
Casos de Uso
Respuesta a
incidente
Sintonizacin
Anlisis
Forense
Reporting y
dashboards
Riesgo
Riesgo = Amenaza*Vulnerabilidad*Impacto
Probabilidad de
ocurrencia de un
evento en un
perodo de tiempo
Probabilidad de
explotacin dada la
ocurrencia de un
evento
Impacto probable
medido en dinero en
caso de explotacin
exitosa
Probabilidad de ocurrencia
Probabilidad de
ocurrencia de un evento
en perodo de 24 meses
Para la industria
financiera, una
proyeccin a 3 aos,
supondra 0,256 y a 5
aos de 0,427
Vulnerabilidad
Probabilidad
Exfiltracin de datos
Probabilidad de explotacin
85%
Fase del
ataque
Probabilidad
90%
70%
50%
30%
10%
Impacto
The average cost for each lost or stolen record containing
sensitive and confidential information increased from $188
to $201. The total average cost paid by organizations
increased from $5.4 million to $5.9 million.
El costo (impacto)
ha venido creciendo
El promedio de
Carbanak va entre
USD 3M y 16M
dependiendo de la
fuente
Ponemon seala
USD236 para
industria financiera
Por la industria, un
banco va a estar en
la prediccin
superior
Riesgo
Riesgo = Amenaza*Vulnerabilidad*Impacto
Comentarios Finales
V1.1
18 de Marzo 2015
COLOMBIA
PERU
CHILE
ARGENTINA