Cómo son Los nuevos métodos de Ataques Hackers? Porque las organizaciones siguen siendo vulnerables?

Transcripción

1 Cómo son Los nuevos métodos de Ataques Hackers? Porque las organizaciones siguen siendo vulnerables? Fernando Oliveira Tel: +1 (954) Skype: Fernando.OliveiraFO 2014 by Lieberman Software Corporation. 1

2 En los últimos 18 meses 2

3 Factos después del la invasión 100% Victimas tenían anti-virus actualizado 67% Invasiones fueran reportados por terceros (clientes, proveedores) 100% Invasiones con credencial comprometidas 229 El numero de días que un hacker permaneció en la red Source: Mandiant M-Trends 2014 report 3

4 Maltego Metagoofil exiftool NMAP Nessus Shodan THC Hydra Immunity John the Ripper Metasploit Corkscrew OpenPuff Sabznameh Linux identities Windows identities Michaeldaw.org Flashro Bitblinder Tor Reconocimi ento Escaneo Acceso & Escalada Exfiltración Sustentación Asalto Ofuscación 4

5 El Reconocimiento Metagoofil, Exiftool, Strings, Maltego

6 Ataques - Defensas Reconocimiento Ataque Defensa Controlar la Información Confidencial en el Dominio Público 6

7 Scanning (Escaneo) NMAP Nessus 7

8 Ataques - Defensas Ataque Defensa Reconocimiento Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) Evitar la fuga de información a scanners 8

9 Acceso y Escalada 9

10 Acceso y Escalada Metasploit Servidores de destino, dispositivos de red, bases de datos, aplicaciones web, sistemas de punto final (endpoint) y máquinas virtuales. Explotar las máquinas, eligiendo de la más grande colección pública en el mundo de exploits de calidad probada. Ataques de fuerza bruta de Contraseñas sobre más de una docena de servicios, incluidas las bases de datos, servidores web y SSH. Lanzar una campaña de ingeniería social para comprometer equipos de los usuarios con correos electrónicos de phishing y sitios web y archivos adjuntos maliciosos. Saltar de una maquina afectada, a la siguiente a través de VPN pivoting hasta que tenga apropiado toda la red

11 Ataques - Defensas Ataque Defensa Reconocimiento Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) Evitar la fuga de información a scanners Acceso y Escalada Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado 11

12 Exfiltración Remoción Truecrypt crear volúmenes cifrados en medios de almacenamiento que parecen ser ruidos aleatorios en los medios de comunicación y que no sean ni detectables ni recuperables sin las llaves o contraseñas apropiadas Puff/OutGuess Ocultar datos en imágenes o archivos de audio Corkscrew/OzymanDNS Túnel SSH en HTTP 12

13 Ataques - Defensas Ataque Defensa Reconocimiento Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) Evitar la fuga de información a scanners Acceso y Escalada Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión 13

14 Sustentación Acceso del sistema y alcanzar el nivel de acceso deseado Añadir Acceso Autorizado Añadir a nosotros a la lista de usuarios que tienen acceso legítimamente permitido User add en sistemas Unix- semejantes comando netuser en sistemas Windows crear un acceso adicional a las aplicaciones, redes y cualquier otro sistema en el ambiente Backdoors (Puertas traseras) Explotar las vulnerabilidades de aplicaciones conocidas 14

15 Ataques - Defensas Ataque Defensa Reconocimiento Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) Evitar la fuga de información a scanners Acceso y Escalada Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión Sustentación Endurecer Sistemas y Aplicaciones Restringir las salidas y entradas tanto como sea posible y seguir funcionando correctamente. Bloquear el acceso administrativo a los sistemas Auditar Cuentas, acceso a sistemas, puertas abiertas y otros ítems que puedan ser utilizados para crear una puerta trasera. 15

16 Asalto - Hardware Requiere acceso administrativo Flash ROM alterar la funcionalidad del hardware, o desactivar el hardware totalmente. Eliminar los controladores 16

17 Ataques - Defensas Ataque Defensa Reconocimiento Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) Evitar la fuga de información a scanners Acceso y Escalada Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión Sustentación Endurecer Sistemas y Aplicaciones Restringir las salidas y entradas tanto como sea posible y seguir funcionando correctamente. Bloquear el acceso administrativo a los sistemas Auditar Cuentas, acceso a sistemas, puertas abiertas y otros ítems que puedan ser utilizados para crear una puerta trasera. Asalto Controlar los derechos administrativos en una máquina Impedir que atacantes obtengan derechos administrativos en el sistema 17

18 Ofuscación Ocultación Cortina de Humo Oscurecimiento de Ubicación Manipulación de Log Manipulación de Archivos Tor, Bitblinder, Perfect Dark, I2P 18

19 Ataques - Defensas Ataque Defensa Reconocimiento Controlar la Información Confidencial en el Dominio Público Scanning (Escaneo) Evitar la fuga de información a scanners Acceso y Escalada Controlar Todas las Credenciales Privilegiadas que Permiten la Escalada o el Acceso Privilegiado Exfiltración Restringir el Acceso y Monitorear las Credenciales Privilegiadas y la Gestión de Sesión Sustentación Endurecer Sistemas y Aplicaciones Restringir las salidas y entradas tanto como sea posible y seguir funcionando correctamente. Bloquear el acceso administrativo a los sistemas Auditar Cuentas, acceso a sistemas, puertas abiertas y otros ítems que puedan ser utilizados para crear una puerta trasera. Asalto Controlar los derechos administrativos en una máquina Impedir que atacantes obtengan derechos administrativos en el sistema Ofuscación Controlar los derechos administrativos en una máquina Crear logs de archivos de tiempo real y logs de manipulaciones Exportar logs a sistemas seguros 19

20 Maltego Metagoofil exiftool NMAP Nessus Shodan THC Hydra Immunity John the Ripper Metasploit Corkscrew OpenPuff Sabznameh Linux identities Windows identities Michaeldaw.org Flashro Bitblinder Tor Reconocimi ento Escaneo Acceso & Escalada Exfiltración Sustentación Asalto Ofuscación Cada uno de estos pasos requiere una CREDENCIAL PRIVILEGIADA 20

21 Están por todas partes Keyholders Assets What Accounts? What Actions? System Administrators Contractors Integrators Security Administrators IT Managers Security Administrators IT Managers App Administrators App Developers Webmasters Contract Developers DB Administrators App Developers App Administrators Contract Developers Integrators Network Administrators Security Administrators System Administrators Backup Operators Network Administrators Contractors Windows, Linux/ UNIX, Mainframe Computers Directories Application Tiers Databases Network and Security Appliances Backup and Service Infrastructure Administrator Root Super User Service Admin Root Administrator Service Config Files ASP.Net Run As DB Connection SA Root SYS SYSDBA Root Enable Admin Administrator Root Super User Service Read, copy and alter data Change security settings Create and delete accounts Enable and remove file shares Run programs Read, copy, and alter user data Add and delete users Change user privileges Enable remote access Modify back-end applications Alter public-facing websites Read and change DB records Access transaction data Read and change DB records Access transaction data Alter configuration and DB schema Add and modify stored procedures Alter configuration settings Alter security and QoS policies Grant and deny network access Access data feeds Enable and disable monitoring Browse and save archives Access transaction data Delete saved data Change configuration settings 21

22 Es posible controlar y Auditar los accesos privilegiados? Local Admins Domain Admins Windows Service Accounts Windows Scheduler Task RunAs Identities Windows Scheduler At Service Accounts COM+ Application Identities DCOM Object RunAs Identities IIS6 Metabase Account Info IIS7 Account Info SCOM RunAs Accounts Accounts in.net Config Credentials in SQL Server String Replacements SharePoint Logon Cache Auto Logon Account Local Cache JAVA Client SQL Reporting Services IBM, Oracle, SAP, others y esto es solamente en Windows 22

23 Gestión de Identidad Privilegiada Proceso Automático de Controle y Auditoria Automático 23

24 Acceso Controlado a las Cuentas Privilegiadas Aparatos de red Sistemas Cuentas Privilegiadas Base de datos Aplicaciones Componentes de Servicios 24

25 Sobre Lieberman Software Fundada en 1978 Gestión de Identidad Privilegiada Clientes en todas verticales Considerado Líder por Gartner, Forrester, 451 Group, Kuppinger-Cole Las mayores instalaciones en LATAM y EEUU Technology Partnerships include: 25

26 1400+ Clientes Finance Manufacturing Federal Government Technology Healthcare Insurance 26

27 El caso de Negocio El ROI en Latam = 300K 4M El Costo de no hacerlo = 25k - 70K al mes (Desconsiderando los Incidentes) 27

28 Consideraciones Finales Solamente 45% de los ataques son prevenidos con anti-virus. + de 800 nuevos malwares identificados en 30 días fueron diseñados para robar contraseñas privilegiadas 95% de las empresas ya fueran hackeadas en promedio, lleva 9 meses para identificar un ataque hacker silencioso 28

29 Preguntas? Fernando Oliveira Tel: +1 (954) Skype: Fernando.OliveiraFO 29

30 Para Conocer al Enemigo, Usted Debe Convertirse en Tu Enemigo. Server, Desktop & Network OS Administrador, Dominio/Local Root, Super Usuario, Admin, Bases de Datos (DBA + Apps) SA, Sysadmin SYS, Middleware Cuentas de Proxy Cuentas de Gateway, Mainframes UID=0, Línea-de-negocios RACF Special, Aplicaciones Setup, Admin, App Local Cuentas de Servicios Web, Entornos VM Administrador Root 30

31 Privileged Accounts Dangerous to Ignore 39% of IT staff can get unauthorized access to their organization s most sensitive information 20% of IT professionals have exploited their privileged access for unauthorized purposes 13% of IT professionals can access previous employers systems using their old credentials 81% think fellow IT staff ignore rules their departments put in place Source: Lieberman Software Surveys 31

32 No Es Todo Pesimismo Evite los Vendedores que ofrecen Algo que funcione para Todos El Cumplimiento no te salvará No Reaccione Instintivamente en Todas las Vulnerabilidades Haga Su Debida Diligencia No Desperdicie Su Dinero en Servicios Profesionales Analistas no son infalibles No Confíe en Departamentos de Marketing de Vendedores Protección Final No Existe Veja el Algo que funciona para Todos Es Muy Probable que Usted Ya Esté Hackeado Supere. Usted Debe a Usted Mismo El Mejor No Desperdicie Su Dinero en el Resto No Mitigue - Erradique 32