Modelo de Proteccin

de Amenazas Avanzadas
Fernando Fuentes
Gerente Innovacin

Agenda

Amenazas Avanzadas
Casos
Estrategia de Control
Impacto

Intrusiones recientes

Amenazas avanzadas: qu son

La amenaza es conocida
como APT (Ataques
Avanzados Persistentes)
Distinto tipo de tcnicas y
herramientas: ingeniera
social, malware, hacking,
robo de credenciales, etc
Son muy personalizados en
relacin al objetivo
Pueden ejecutarse en
plazos de aos de forma
continua en una
organizacin

El impacto
54% incremento de
volmenes de robo de datos

Los incidentes de seguridad han

venido creciendo

(Trustwave Global Security Report 2014)

54% de Incidentes son

Primer target: espionaje

industrial y sabotaje

activos de comercio electrnico

(Trustwave Global Security Report 2014)

35% de los compromisos son

de Retail
(Trustwave Global Security Report 2014)

33% de Incidentes son

Fugas desde POS
(Trustwave Global Security Report 2014)

Segundo target: retail y

acomodaciones
Tercer target: industria
financiera

Amenaza: elementos descriptores

70% a 90% del malware
es nico a una organizacin
(hash) y por lo tanto no
detectable por el AV
Variados vectores de
ingreso (navegacin, correo,
pen-drive, usuario interno)
Explotacin de variados
tipos de sistemas (ATM,
POS, data dispersa,
sistemas de cuentas, robo
de credenciales usuarios)

200 das tiempo promedio

de deteccin APT
71% de las vctimas no lo
detect por s misma

Verizon Data Breach Report 2015

Anatoma de la Amenaza Avanzada

1

Establecer Cabeza de Playa

Exploracin y Preparacin

Ataque y Depredacin

Reconocimiento
Acceso a sistema interno

Identificar sistemas de
gestin de red (AD, MMC,
Intranet, etc)

Infeccin o acceso a
targets

Captura de sistema
interno (malware u otro)

Captura de credenciales y
otros sistemas

Extraccin de datos,
ejecucin de
transacciones, etc.

Establecimiento de
comunicacin permanente
(C&C)

Captura comunicaciones
internas

Exfiltracin de datos,
transferencias, etc.

Estudio de
comportamiento y
reaccin
Infraestructura de ataque
y exfiltracin

Ataque a Target
1

Reconocimiento

Acceso Red Target

Preparacin

Atacantes identifican a
proveedor de Aire
Acondicionado de
Target y a mantenedor

Con credenciales
robadas se accede a
Portal Proveedores
target y explota
vulnerabilidad

Se accede a POS y se
contaminan
Se instala servidor de
exfiltracin

Infeccin

Exploracin

Exfiltracin

Se enva spare phishing

y se contamina con
Citadel
Se roba credenciales
para acceso a Target

Se interroga al AD para
conocer la red
Se roba credenciales
de POS

Malware POS enva

datos a Servidor de
exfiltracin
Se exfiltra data

Ataque Carbanak

1000 Millones de dlares

de fraude

100 Bancos de Europa,

Asia y Amrica

2 aos de exposicin

Uso de mltiples esquemas

de ataques
Uso de variadas
herramientas
Anlisis profundo de hbitos
y prcticas y procesos de
cada banco
Explotacin de
vulnerabilidades

Ataque Carbanak

Establecer Cabeza de Playa

Exploracin y Preparacin

Ataque y Depredacin

Spear phishing como

mecanismo de enganche

Robo de credenciales

Modifican saldos de
cuentas corrientes

Se ingresa utilizando una

variante de Carberp
mediante un archivo CPL
adjunto
Explotando
vulnerabilidades ya
conocidas que afectan a
Office 2003 y 2007
Establece comunicacin
con servidor de C&C

Captura de sistemas de
video, grabacin de
pantallas para entender
detalladamente procesos
de los bancos
Establecen VPNs hacia
cajeros

Crean y eliminan cuentas

Transferencias SWIFT a
mulas
Extraccin desde cajeros
Pagos

DDoS el invitado de piedra

Motivaciones

Mayor disponibilidad redes Botnets

Geopolticas Burma offline por ataque DDOS

Mejores Bots

Protestas

Visa, PayPal, y MasterCard Atacados

Fcil acceso

Extorcin

Techwatch weathers sufre extorsin

DDoS

Comoditizadas

Ms PCs infectados con

conexiones ms rpidas
El uso de herramientas web 2.0
para el control de botnets
Botnets basadas en la nube, ms
econmico

Mas Ataques
Incremento del Volumen
Mayores DDoS volumtricos ha crecido 9 +300 Gbps en 5 aos.
Mayores
ataques DDos
individuales.
Observado por
ao en Gbps

Incremento de la
complejidad

Incremento de la frecuencia

Ms del 25% de los ataques DDoS estn

basados en aplicaciones dirigidas
principalmente a HTTP, DNS, SMTP

50% de los operadores de centros

de datos tienen un promedio de 10
ataques al mes

Mayores ataques
DDoS capa 7 segn
IDC

Cantidad promedio
de ataques DDoS por
mes

Porqu funcionan las amenazas avanzadas

Complejidad de la organizaciones
Dificulta parchado, monitoreo, control

Factor humano
Fcil de engaar, difcil de entrenar

Lmites de controles tradicionales

Estrategias de 20 aos de antigedad ya
no operan adecuadamente

Versatilidad y sofisticacin de la
amenaza
Alta Demanda a equipos de seguridad
Altos requerimientos en cantidad de
recursos
Entrenamiento y aprendizaje complejo

Estrategia de defensa
Defensa en profundidad
Aplicar controles en las diferentes
fronteras de la organizacin

Control de las fases de ataque

Controles que se hagan cargo de las
diversas estrategias de ataque en las
diversas fases del ataque

Uso de nuevas tecnologas de

deteccin, contencin y anlisis
Capacidad de anlisis y respuesta
especializada
Analistas entrenados en forense,
anlisis de malware, anlisis de
intrusiones

Modelo de Proteccin de Amenazas

Avanzadas
Captura de Cabeza de
Playa

Exploracin y
preparacin

Ataque

Deteccin de
contenido malicioso

Deteccin de actividad
anmala de usuarios

Deteccin de trfico
interno anmalo

Deteccin de trfico
C&C (HTTP, FTP, DNS,
HTTPS)

Proteccin servicios
crticos (AD, DNS,
DHCP, Mail, etc)

Deteccin de trfico
C&C

Whitelisting

Encriptacin

Mtodos de Sandboxing

Deteccin de IoC en
end-point y Servidores
Autenticacin Robusta
Control Actividad Usuarios

Autenticacin robusta

Deteccin IOC Endpoint

Evaluaciones de Seguridad
Control Autenticacin Usuarios

Control Trfico Anmalo

Cifrado Administrado
Application Control

Correlacin, Monitoreo, Anlisis Avanzado, Respuesta a Incidente

Sandboxing
ANALIZA

DETONA

Red

Problema
Ingreso de malware a travs de
navegacin y correo
Sistemas basados en firma con baja
efectividad (AV)

Explotacin

Qu hacer
Email

Descarga de
Malware

Callback

Dispositivos
Mviles
Movimiento
Lateral

Fuga de datos

A travs de mltiples VMs en

Tiempo Real

Detonar contenido que ingresa para

que manifieste comportamiento
agresivo (IoCs)
Detonar en diversos ambientes (SO,
Aplicaciones

Cmo
Maquinas virtuales que simulan
ambientes
Sistemas que obligan a la detonacin
de comportamiento

Deteccin en el End-Point y Servidores

Agent Anywhere llega a todos los agentes sin importar dnde estn!

Problema
Mltiples estrategias de
ingreso de atacantes
Evasin de sistemas de
deteccin de firmas
Estos es ms que
malware: deteccin de
actividad agresiva

Qu hacer
Buscar Indicadores de
Compromiso en EndPoint y Servidores
Correlacionar IoCs
para identificar equipos
comprometiso
Capacidad Drill-Down
para validar
Aislar y contener

Cmo
Agentes que
observan cambios en
configuracin y
activdad
Biblioteca de IoCs
Capacidad de
relacionar IoCs entre
s y con tcnicas
existentes
Integracin con otros
componentes

Control Actividad Usuarios

Problema
Los ataques avanzados
capturan credenciales
Luego opera como
usuarios autorizados

Qu hacer
Establecer lneas base y
perfilamiento de
comportamiento de
usuarios
Detectar las anomalas
de comportamiento de
los usuarios autorizados

Cmo
Recolectar data de AD,
VPN, SSL y otros
sistemas de
autorizacin
Analizando
comportamiento normal
(lnea base)
Detectar desviaciones

Whitelisting

Problema

Qu hacer

POS pueden ser

configurados de manera
bastante libre

Establecer y forzar
lneas base y
configuracin

Instalacin de
aplicaciones en EndPoints no autorizada

Monitorear intentos
de cambios de
configuracin e
instalacin

Cmo
Sistemas de Whitelist
No depende de firmas
Compatible con la gran
mayora de S.O. utilizados en
POS/ATM y sistemas
embebidos

Operacin Avanzada
FireEye
AV
IoC

SIEM

Usuarios
Trfico
Anmalo

Correlacin

N1

N2

N3

Reputacin

Anlisis
Alertas

Alertas
Escaladas

Alertas
Escaladas

Priorizacin
automtica
Casos de uso

Anlisis
Proactivo
Monitoreo
Amenazas

Anlisis
Proactivo
Anlisis
Forense

Grupo
Respuesta a
Incidente

Mejora
Continua
Casos de Uso

Respuesta a
incidente

Sintonizacin

Anlisis
Forense

Reporting y
dashboards

Riesgo

Riesgo = Amenaza*Vulnerabilidad*Impacto
Probabilidad de
ocurrencia de un
evento en un
perodo de tiempo

Probabilidad de
explotacin dada la
ocurrencia de un
evento

Impacto probable
medido en dinero en
caso de explotacin
exitosa

Probabilidad de ocurrencia

Probabilidad de
ocurrencia de un evento
en perodo de 24 meses
Para la industria
financiera, una
proyeccin a 3 aos,
supondra 0,256 y a 5
aos de 0,427

(Ponemon Institute 2014)

Vulnerabilidad

Fase del ataque

Probabilidad

Ingreso va navegacin o spare phishing u

otro vector

Captura de credenciales de usuarios con

privilegios

Explotacin interna de algn sistema

(integridad, confidencialidad)

Exfiltracin de datos

Probabilidad de explotacin

85%

Fase del
ataque

Probabilidad

90%

70%

50%

30%

10%

Impacto
The average cost for each lost or stolen record containing
sensitive and confidential information increased from $188
to $201. The total average cost paid by organizations
increased from $5.4 million to $5.9 million.

El costo (impacto)
ha venido creciendo

El promedio de
Carbanak va entre
USD 3M y 16M
dependiendo de la
fuente

Ponemon seala
USD236 para
industria financiera

Por la industria, un
banco va a estar en
la prediccin
superior

Ponemon Data Breach Cost 2014

Verizon Data Breach Report 2015 -- Rango de prdidas

esperada por No Registros

Riesgo

Riesgo = Amenaza*Vulnerabilidad*Impacto

Comentarios Finales

La Amenaza Avanzada tiene ya cinco aos sin que

los controles y estrategias tradicionales hayan
podido enfrentarla efectivamente
En ese lapso ha migrado de industrias provocando
prdidas relevantes en cada una de ellas
Hacerse cargo, requiere una mirada especfica,
tecnologas renovadas, personal cualificado y
procesos re-pensados

V1.1
18 de Marzo 2015

COLOMBIA
PERU
CHILE

ARGENTINA