Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa. Presentación InfoSecurity FIRST LINE OF DEFENSE

Transcripción

1 Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa Presentación InfoSecurity FIRST LINE OF DEFENSE

2 Agenda Quien y como atacan a las Empresas y Organizaciones hoy en día Por qué las protecciones actuales no son eficientes Qué funcionalidades clave que debería tener una Primera Línea de Defensa Demostración de los efectos de un Ataque de Denegación de Servicio en tiempo real

3 Quien y como atacan Metodologías y herramientas de ataque

4 Están los ataques DDoS en incremento? Según Akamai, los Ataques DDoS han aumentado un 2000% en los últimos 3 años Histórico de los Ataques DDoS Hacker/Crackers Notoriedad Ciber Criminales Beneficios ($) Ciber-Ejércitos Politicos Ciber-Terrorismo Miedo Cyber Hacktivismo Actualidad Herramientas DDoS Hoy

5 Nuevos vectores de Ataque (1/3) Método de ataque utilizado para ampliar la potencia de los ataques DDoS, adicionalmente a LOIC (Low Orbit Ion Cannon) Este nuevo método utiliza un simple Javascript para lanzar el ataque Se solicita habitualmente la visita a una pagina Web particular La pagina incluye un formulario para ajustar los parámetros pero lanza directamente el ataque una vez que el navegador abre la pagina. IMPORTANTE: El script arranca en cuanto el usuario visita la pagina Web. No es necesario hacer clic en FIRE

6 Nuevos vectores de Ataque (2/3) Herramienta DDoS : HULK (Http Unbearable Load King) Esta nueva herramienta utiliza un script Perl para lanzar el ataque Genera peticiones únicas, evitando que los motores de caché puedan servir el contenido y atacando directamente a la IP del servidor Algunas tácticas que emplea: Usar User-Agent validos y de forma aleatoria Pidiendo paginas no-cache Transformación única de la URL

7 Nuevos vectores de Ataque (3/3) Herramienta DoS: THC SSL: Renegociación de Certificados SSL Establecer una conexión SSL requiere 15x más capacidad de procesamiento en el servidor que en el cliente Esta herramienta utiliza el Handshake del SSL para funcionar En una sola conexión TCP, se pueden pedir miles de renegociaciones de claves

8 THC SSL : Consumo CPU Cliente Vs Servidor:

9 Ataques desde dispositivos moviles? Se puede lanzar un ataque de Denegación de Servicio desde un celular? SI! Cualquier dispositivo con una dirección IP puede ser utilizado para lanzar un ataque. Low Orbit Ion Cannon para Android Dónde se puede descargar LOIC para Android? d=genius.mohammad.loic&feature=search _result#?t=w251bgwsmswxldesimdlbml 1cy5tb2hhbW1hZC5sb2ljIl0

10 Ataques desde dispositivos moviles? SI! Cualquier dispositivo con una dirección IP puede ser utilizado para lanzar un ataque. Low Orbit Ion Cannon para Android Dónde se puede descargar LOIC para Android? d=genius.mohammad.loic&feature=search _result#?t=w251bgwsmswxldesimdlbml 1cy5tb2hhbW1hZC5sb2ljIl0

11 Y también DDoS As a Service

12 Y también DDoS As a Service

13 La evolución para hacer frente a las metodologías de defensa Configuración remota Personalización Parametrizable 1 3

14 Preocupado? Y mi organización.. Debería estar preocupada?

15 Fuentes de Ataques y Motivaciones Desde Cualquier Sitio Laptops & PCs Por Cualquier Motivo

16 Resultados encuesta Corero/Ponemon 64% de los bancos fueron atacados por al menos 1 ataque DDoS en los últimos 12 meses 49% de los bancos se vieron afectados por múltiples ataques DDoS en los últimos 12 meses 43% de los encuestados esperan que los ataques aumenten significativamente y el 35% creen que se quedaran en el mismo nivel взрывчатые вещества Los ataques DDoS y ataques de día cero se consideran como las amenazas más graves para el sector financiero La insuficiencia de tecnología adecuada y la ausencia de personal cualificado fueron citados como los principales obstáculos para la prevención de ataques

17 Financial Industry Quote: "Las instituciones financieras deben tener un enfoque de seguridad en capas para protegerse de los ataques DDoS de hoy Si sólo se basan en la nube (para su defensa DDoS) y el ataque DDoS está afectando a toda la zona (y a cientos de clientes finales), las peticiones de su organización puede ser puestas en espera mientras se gestionan los problemas con otros clientes afectados Tener una defensa especifica en las instalaciones es fundamental para mitigar un ataque DDoS mientras que su proveedor de servicios pueda reaccionar. Bank of America - Merrill Lynch, Chicago office, Senior Vice President, Senior Manager of Information Security

18 Ataques a su presencia Web Categorías de ataques De mayor a menor volumen

19 Tipos de ataques y medidas de protección Network Level DDoS Attacks Reflective DDoS Attacks Outbound DDoS Attacks Application Layer DDoS Attacks Specially Crafted Packet Attacks Pre-Attack Recon (Scans) Advanced Evasion Techniques (AET) Corero On-Premise DDoS Defense Clean Pipe anti-ddos Service Cloud anti-ddos Service Gartner: 25% de los ataques DDoS están basados en aplicación La cobertura de las soluciones de tipo Clean Pipe o In the Cloud no esta adecuada para el 80% de los ataques, incluyendo los reconocimientos y Tácticas de Evasión NOTA: Los atacantes lo saben también!!

20 Anatomía de un ataque DDoS exitoso Hoy, los atacantes DDoS preparados operan de la siguiente forma: 1. Footprint (profiling) de su presencia en internet 2. Escaneo de la infraestructura y recursos Web 3. Iniciar ataque volumétrico a nivel de red 4. Chequear el impacto en la Presencia Web 5. Mantener la Inundación spoofear las Ip s origen 6. Iniciar ataques low and slow en capa de aplicación 7. Iniciar ataques con paquetes manipulados 8. Iniciar ataques reflectivos / amplificados a los sistemas DNS 9. Intentar comprometer (exploit) servidores de back-end 10. Lanzar de forma simultanea tantos tipos de ataques como sea posible 11. No ceder o desaparecer - se mantienen firmes en su ofensiva Un ataque combinado incrementa las posibilidades de éxito!

21 Los humanos generan solo el 49% del tráfico en Internet Motores de búsqueda descubriendo y actualizando información Genera un 20% Búsqueda de información competitiva - Genera un 19% Herramientas de descubrimiento de vulnerabilidades Genera un 5% Raspado de pantalla (Screen Scraping) realizando Copia de contenido web, posts automatizados - Genera un 5% Spammers - Genera un 2%

22 Limitaciones de las protecciones actuales Que hacen, y que no hacen

23 Firewalls: Su primera línea de defensa frente a ataques DDoS? Firewalls don't cut it anymore as the first line of defense IT Best Practices Alert By Linda Musthaler, Network World October 19, 2012 Porqué los Firewalls no pueden seguir siendo la primera Línea de Defensa Para un Firewall, todo el trafico HTTP parece legitimo Los firewalls statefull están limitados en el tamaño de sus tablas de estado Visibles a nivel 3, pueden ser objetivos de ataque No analizan el comportamiento de los usuarios que se conectan desde Internet, No protegen ante ataques DDoS Porqué los lideres de soluciones de Seguridad proponen ahora soluciones Anti-DDoS que decían proteger con su tecnología hasta hace menos de un año?

24 Defensa DDoS Más que un Checkbox Problema: Muchas soluciones de Seguridad perimetral dicen disponer de protección DDoS La mayoría tiene una sola configuración = DDoS On/DDoS Off Recomendación: Despliega Tecnologías: Que tienen granularidad en cuanto a políticas DDoS Capaces de defender ante todos los vectores de ataque DDoS Capaces de soportar carga cuando están bajo ataque y no verse afectados por el ataque DDoS Que inspeccionan todos y cada uno de los paquetes (sin sampling) Que ofrecen inspección bidireccional del trafico Que brindan servicios 24x7, y expertise de Defensa ante ataques DDoS

25 Cual es la recomendación? Como defenderse sin morir en el intento

26 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 1. Direcciones IP maliciosas conocidas Actualizar constantemente las listas de reputación 2. Países no deseados en los que no haces negocios Actualizar constantemente información de geo localización 3. Botnets con máquinas infectadas y atacantes DDoS Monitorear el comportamiento de todos los usuarios 4. Abusos de aplicaciones y comportamientos no deseadas Hacer cumplir las normas de uso 5. Puertos y protocolos innecesarios Inspección Profunda (DPI) de todos los servicios permitidos 6. Anomalías y violaciones de protocolo Hacer cumplir las normas RFC y los estándares de la industria 7. Técnicas de evasión avanzadas - Gestionar políticas de fragmentación / ofuscación, 8. Exploits diseñados para extraer datos Bloquear ataques dirigidos en el perímetro 9. Intentos de Fuerza bruta a contraseñas Registrar y alertar de cualquier actividad sospechosa 10. Información sobre el estado de su perímetro Incrementar su visibilidad

27 Las organizaciones necesitan una nueva Primera Línea de Defensa FIRST LINE OF DEFENSE

28 Corero Network Security - Compañia HQ en Massachusetts, EEUU; Oficinas en EMEA y Asia clientes, +50 países Tecnología de protección DDoS patentada Rendimiento de hasta 10Gbps de protección con dispositivos Inline Servicios de Seguridad gestionada Visionario en el Magic Quadrant de Gartner Corero es la Primera Línea de Defensa que bloquea Ataques DDoS y trafico no deseado antes de que llegue a sus infraestructuras

29 Topología típica de red bajo ataque Internet Tierra de nadie Atacantes Usuarios y Servicios no deseados Ataques DDoS IPS SLB Usuarios legítimos AETs y Abusos de Protocolo WAF Exploits a servidores Tráfico legítimo Tráfico legítimo Tráfico legítimo Impactos: degradación de servicios, tiempo de inactividad, exposición a amenazas, sobrecarga de la infraestructura, daños a la marca, pérdida de negocios,

30 Solución: Corero Primera Línea de Defensa Internet s Tierra de nadie Atacantes Atacantes frustrados Attackers Usuarios y Servicios no deseados Ataques DDoS IPS SLB Usuarios legítimos Good Users Tráfico legítimo AETs y Abusos de Protocolo Exploits a servidores Tráfico legítimo WAF Tráfico legítimo Corero protege su infraestructura IT bloqueando el trafico no deseado

31 Puntos clave de protección Internet s No-Man s Land 1 Restringir el acceso Atacantes 2 3 Limitar la tasa (rate limit) Validar los protocolos Ethernet IP TCP HTTP Usuarios legitimos 4 5 Prevenir intrusiones Server Side Exploits Advanced Evasions Incrementar la Visibilidad

32 Demostración de Ataques DDoS Ejemplos basados en LOIC / Android, Slowloris, Inundación SYN

33 Entorno de demostración Atacante (BT5) Apache Web Server Cliente (Windows 7)

34 Algunas referencias (públicas) Corero s device was the only one that combined the high levels of performance with the deep packet inspection that made us comfortable with putting it inline in our network that simply cannot afford a minute being offline. Charles Neely Harper, Director, Air Liquide Large Industries US

35 Próximos Pasos Conozca más sobre la Primera Linea de Defensa de Corero Más información y TEST de Preparación DDoS: Nuestros Partners : Evaluación de la Solución Permítanos demostrar la efectividad, sencillez y granularidad de nuestras soluciones de protección DDoS/DoS a través de una evaluación en su red Para solicitar información, una copia de la presentación, escribanos a info_es@corero.com Siguenos en Twitter

36 Q & A FIRST LINE OF DEFENSE

37 Contactos: Alain Karioty Muchas Gracias! Álvaro Villalba FIRST LINE OF DEFENSE

38 Disclaimer 1. BackTrack is a GNU/Linux software distribution that includes a number of security-related software tools. Qualified Corero technical personnel occasionally use BackTrack as part of demonstrations on isolated networks to show the effectiveness of our IPS solution in blocking remote exploit attempts. Corero neither provides, recommends, nor endorses BackTrack, and advises customers to use caution when investigating or using BackTrack or any securityrelated software tools. Corero would be glad to speak with you regarding our IPS/DDS 5500 solution, and would be pleased to provide a web-based demonstration of its capabilities. 2. Metasploit Framework is an open-source computer security software tool that can be used for developing and executing exploit code on remote computers. Qualified Corero technical personnel occasionally use Metasploit Framework as part of demonstrations on isolated networks to show the effectiveness of our IPS solution in blocking remote exploit attempts. Corero neither provides, recommends, nor endorses Metasploit Framework, and advises customers to use caution when investigating or using Metasploit Framework or any security-related software tools. 3. Low Orbit Ion Cannon (LOIC) is an open-source software testing tool that can be used for initiating network transactions targeting (aka attacking) remote computers. Qualified Corero technical personnel occasionally use LOIC as part of demonstrations on isolated networks to show the effectiveness of our IPS and DDS solutions in blocking DDoS Attacks. Corero neither provides, recommends, nor endorses LOIC, and advises customers to use caution when investigating or using LOIC or any security-related software tools.