La Visibilidad del Trafico en la epoca del DDOS y el Malware. Federico Chaniz Channel Director, LATAM. fchaniz@arbor.net

Tamaño: px

Comenzar la demostración a partir de la página:

Download "La Visibilidad del Trafico en la epoca del DDOS y el Malware. Federico Chaniz Channel Director, LATAM. fchaniz@arbor.net"

Victoria Benítez Villalba
hace 8 años
Vistas:

1 La Visibilidad del Trafico en la epoca del DDOS y el Malware Federico Chaniz Channel Director, LATAM. fchaniz@arbor.net

2 Agenda I. Introducción general y viejas tendencias en el mundo del DDOS I. Inteligencia de amenazas e investigación de Arbor Networks I. Pequeña introduccion a Network Security Monitoring (NSM) con flujos IP y colección de paquetes.

3 El ciber espacio El ciber espacio es el sistema más grande en la historia de la humanidad 2.4 billones de usuarios en 2013 o Características inherentes Anónimo Abierto Anárquico Armamentizado Los ciber criminales gozan de una ventaja inalcanzable en este medio, es difícil identificarlos técnicamete, son muy competentes y cuesta mucho más procesarlos legalmente

Armamentizado Los ciber criminales gozan de una ventaja inalcanzable en este medio, es

4 Motivaciones de los ciber actores Hacktivismo o Político o Ideológico Vandalismo o Daño o Distracción Cibercrimen o Lucro o Espionaje Ataques financiados por el estado o Ventaja competitiva

5 Qué es un DDoS? Distributed Denial of Service El Intento de consumir recursos finitos explotando: o Debilidades de diseño, o Implantación en el software o Capacidad de la infraestructura El tráfico generado en un DoS/DDoS puede ser perfectamente legítimo o Su intención NO

6 Visualizando el coportamiento de un DDoS 1 seg cat synflood.csv perl /pentest/visualization/afterglow/src/perl/graph/afterglow.pl -v c color.properties neato -Tjpg -o synflood.jpg

7 Visualizando el coportamiento de un DDoS 3 seg cat botnet.csv perl /pentest/visualization/afterglow/src/perl/graph/afterglow.pl v l 50 -c color.properties neato Tjpg -o botnet50.jpg

8 Visualizando el coportamiento de un DDoS 5 seg cat botnet.csv perl /pentest/visualization/afterglow/src/perl/graph/afterglow.pl v l 100 -c color.properties neato Tjpg -o botnet100.jpg

9 Visualizando el coportamiento de un DDoS 10 seg cat botnet.csv perl /pentest/visualization/afterglow/src/perl/graph/afterglow.pl v l 250 -c color.properties neato Tjpg -o botnet250.jpg

10 Visualizando el coportamiento de un DDoS 20 seg cat botnet.csv perl /pentest/visualization/afterglow/src/perl/graph/afterglow.pl v l c color.properties neato Tjpg -o botnet1k.jpg

11 Visualizando el coportamiento de un DDoS 30 seg cat botnet.csv perl /pentest/visualization/afterglow/src/perl/graph/afterglow.pl v l c color.properties neato Tjpg -o botnet10k.jpg

12 Digital Attack Map Sistema de inteligencia y visibilidad de amenazas de disponibilidad o ATLAS de Arbor Networks y Google Ideas

13 Ataques volumétricos o o Desborde del ancho de banda bps o pps Saturación del enlace, infraestructura, enrutadores, etc.. Ataques de saturación del estado de conexión o Saturación en defensas que mantienen el estado de conexiones Firewalls Balanceadores IPS Ataques aplicativos o o o Tres categorías básicas de ataques de DDoS Complejos Ataques de conexión lenta Difíciles de detectar ISP 1 ISP 2 ISP n Good Traffic Attack Traffic EXHAUSTION ISP Firewall DATA CENTER IPS EXHAUSTION Load Balancer EXHAUSTION Target Application s & Services

IPS Ataques aplicativos o o o Tres categorías básicas de ataques de DDoS Complejos Ataques de conexión lenta Difíciles de detectar ISP

14 Los más grandes Ataques más grandes en los últimos años en BPS y PPS

15 El promedio mundial de DDoS 100 Gbps se ha vuelto el promedio en amenazas de disponibilidad

16 WISR

17 Solución por capas Buena Basada en CPE (Pravail APS) Muy buena Basada en CPE (Pravail APS) y Nube (Peakflow SP) La Mejor Basada en CPE, Nube y Señalización en la Nube

18 Protocolo de Señalización en la nube 1. El servicio opera normalmente 2. Los ataques inician y son bloqueados por el APS 3. El ataque crece excediendo el ancho de banda 4. Se dispara el protocolo de señalización en la nube 5. El cliente es protegido completamente - Nube - Centro de Datos Anti DDoS En el ISP Clientes Anti DDoS en el perímetro Firewall / IPS / WAF NG* Servicios Públicos ISP Centro de Datos Clientes Estado de señalización en la nube

Se dispara el protocolo de señalización en la nube 5.

19 Agenda I. Introducción general y viejas tendencias en el mundo del DDOS I. Inteligencia de amenazas e investigación de Arbor Networks I. Pequeña introduccion a Network Security Monitoring (NSM) con flujos IP y colección de paquetes

20 Threat Intel ATLAS Honeypots, darknets, trampas de SPAM Comunidad de Seguridad 500K Malware muestras/día Sandbox de Máquinas Virtuales corren el malware (buscan botnet C&C, archivos, comportamiento malicioso) Millones de muestras Familias de DDoS ATF y AIF Reportes y PCAPs almacenados en la BD Tracker Ataques de DDoS Auto-clasificación y análisis cada 24 hrs.

archivos, comportamiento malicioso) Millones de muestras Familias de DDoS ATF y AIF

21 Fuentes de Inteligencia del ATLAS 1.76 M de fuentes o Darknets o Honeypots o Sinkholes o Sistemas diversos de detección Más de 275 ISPs en el mundo Más de 100 CERTs a nivel mundial 6000 Sistemas Autónomos 2.6 B de direcciones de IPv4 Más de 70 Tbps de tráfico en el ATLAS

22 Reportes y boletines de inteligencia del ASERT Indicadores de compromiso o IOCs Herramientas, técnicas y procedimientos de los ciber actores o TTPs Percepción geo política Perfilamiento de ciber adversarios Recomendaciones de mitigación

23 Prevención? Seamos serios 500,000 Amenazas Día cero, piezas de malware, exploits, más técnicas de ofuscación, evasión, códificación, y criptografía Lo que estás dejando de ver Contramedidas Firmas Lo que ves

24 Agenda I. Introducción general y viejas tendencias en el mundo del DDOS I. Inteligencia de amenazas e investigación de Arbor Networks I. Pequeña introduccion a Network Security Monitoring (NSM) con flujos IP y colección de paquetes.

25 Monitoreo de la seguridad Detección de la red - NSM o Significa identificar intrusiones o Se implementa mejor a través de un proceso de Monitoreo de la Seguridad de la Red (NSM) Qué es NSM? o Es la colección, análisis y escalación de indicadores y advertencias (I&W) para detectar y responder ante intrusiones Problemas asociados a la Detección de Intrusiones o Qué tan rápido podemos responder ante estas intrusiones y recuperarnos? o Entre más esperamos más grande es el daño, si respondemos muy pronto cambian las TTP del atacante.

26 Tipos de fuentes de información para el NSM Flujos IP (Netflow, cflow, jflow, IPFIX) o Metadatos del paquete router# sh ip cache flow include SrcIf SrcIPaddress SrcP SrcAS DstIf DstIPaddress DstP DstAS Pr Pkts B/Pk aaa bbb aaa bbb aaa bbb aaa bbb Captura completa de tráfico o Encabezados y Payload

27 Diferencias de almacenamiento Flujos IP (Netflow, jflow, cflow, IPFIX) Captura completa de Tráfico (pcap)

28 Respuestas que se obtienen con flujos IP Qué? o Protocolos, servicios, aplicaciones y usuarios existen en nuestra red Quién? o Amigos Hosts que tiene comunicación fuera de la red (Internet) o Familia Host que se comunican con otros hosts dentro de la red o Enemigos Hosts que se comportan anormalmente Cómo? o Cómo se están violando las políticas de seguridad en la red Cuándo? o Cuando están sucediendo estás anormalidades No contesta el Porqué?

29 Respuestas que se obtienen con la captura completa de tráfico Busca contestar Qué, Quién, Cómo, Cuándo y Porqué? o Lo más automatizadamente posible Línea de tiempo Aislar Eventos de Interés (EoI) visualmente Corroborar evidencia o Análisis forense de tráfico (Falsos Positivos)

30 NSM con Flujos IP y Captura Analista ve alerta completa de tráfico Consulta historial y reportes de flujos Detecta rápidamente anomalías Flujos IP El proceso es continuo Resuelve incidente e informa a los tomadores de decisiones Captura completa de tráfico Recupera el tráfico completo, analiza con mayor detalle las técnicas y tácticas de la pieza de malware Al detectar el protocolo y reconstruye la sesión

31 Preguntas?...

Documentos relacionados

DDOS y Malware. La Nueva Generación. Daniel Villanueva VP LatinoAmerica dvillanueva@arbor.net

DDOS y Malware. La Nueva Generación Daniel Villanueva VP LatinoAmerica dvillanueva@arbor.net Quién es Arbor? Líder indiscutible en mitigar amenazas de disponibilidad, visibilidad e inteligencia en la industria