Corero Network Security First Line of Defense

Transcripción

1 Corero Network Security First Line of Defense Trabajando Proactivamente desde la Primera hasta la Ultima Línea de Defensa Segurinfo México 7 de Octubre de 2014

2 2 Acerca de Corero Network Security HQ en Hudson,MA, USA. Cotizando como CNS:LN, HQ de EMEA en Suiza clientes activos de múltiples sectores en NA, LATAM, EU, ASIA Tecnología patentada de defensa contra DDoS Línea de productos actuales (Enterprise) Desde 1 Gbps hasta 10 Gbps de rendimiento Dispositivo dedicado de protección en línea. Q2 14 SmartWall Product-TDS (Service Provider) n x 30M pps Plataforma escalable orientada a servicios Servicios de seguridad gestionada Corero es la Primera Línea de Defensa que bloquea el tráfico no deseado antes de que alcance su infraestructura

3 Humanos Generan el 38.5% del trafico de Internet 61% Visitantes no humanos Bots Buenos (Motores de busqueda ) = 31% Bots Malos/Scrapers (Robo y duplicación de contenidos) = 5% Hackers/Herramientas automáticas (Robo de datos,hijacking,malware) = 4.5% Tráfico no deseado ruido en el cable Spammers de contenido no deseado (enlaces no deseados, Phishing) = 0.5% Consumidores de ancho de banda, ataques DDoS = 20.5% 4

4 Aumento en la cantidad y sofisticación en los ataques de DDoS 5

5 Quienes son las víctimas? El tamaño de la compañía no importa Pequeñas Grandes 6 *Verizon 2013 Data Breach Investigations Report

6 Quienes son las víctimas? La industria no importa Financieras Retail MFG Servicios 7 *Verizon 2013 Data Breach Investigations Report

7 Pérdida de Productividad Dias en promedio para resolver los ataques *Ponemon 2012 US Cost of Cyber Crime Study 8

8 Quienes son los ciber-atacantes? 9 *Fuente: Ponemon Institute

9 Es tu compañía un blanco de ataque? 65% de las personas considera que si 10 *Fuente Ponemon Institute

10 Tiempo de Inactividad debido a ataques de DDOS *Fuente Forrester Corero

11 Está preparado contra ataques DDOS?

12 Categorías de ataques y tráficos no deseados El tráfico no deseado llega en todas formas y tamaños Ataques de DDoS a nivel de red Ataques de DDoS Reflectivos Ataques de DDoS de tipo outbound Ataques de DDoS a nivel de aplicación Ataques basados en paquetes especiales Reconoci mientos preataque Técnicas de evasión avanzadas Otros tráficos no desados Defensa Defensa Defensa Defensa Defensa Defensa Defensa Defensa IP Threat- Level Assessment Stateful Flow Awareness Bi-Directional Flood Detection Behavior Analysis Protocol Analysis Scan Obfuscation Corero On-Premises First Line of Defense Advanced Evasion Detect Deep Packet Inspection La protección de las soluciones anti-ddos bajo demanda en la nube son limitadas de menera que permiten el paso de tráfico no deseado o altamente costosas. NOTA: Los atacantes lo saben! Corero

13 Anatomía de un ataque exitoso 1. Footprint (profile) Presencia Web 2. Scan de Infraestructura y presencia Web 3. Iniciar ataques volumétricos de nivel de red 4. Probar si la presencia Web es afectada 5. Mantener el flujo spoof de direcciones IP 6. Iniciar ataques low y slow de capa de aplicación 7. Iniciar ataques con paquetes manipulados 8. Iniciar ataques amplificados y reflectivos a DNS 9. Intentar explotar (comprometer) downstream servers 10.Lanzar simultáneamente múltiples ataques como sea posible 14 No cederán o desaparecerán Ellos están decididos a lograrlo Un ataque combinado incrementa la capacidad de éxito! 2013 Corero

14 Ejemplos de herramientas: Hping3 NMAP Low Orbit ION Cannon High Orbit ION Cannon KillApache.pl Slowloris HULK Metasploit Dirt Jumper 15

15 El problema de ser reactivo Los eventos suceden en cualquier instante Tiene que tratar con cosas que podrían pasar en lugar de estar preparado Podría no estar listo para las cosas ( Lo toman con la guardia baja )

16 La solución: Proactividad Siempre está listo y en calma Está preparado para cualquier cosa que suceda Tiene la capacidad de elegir entre mejores opciones porque sabe como responder

17 Modelo holístico: Gobierno de Seguridad Metas de Negocio Objetivos Roles y responsabilidades Compromiso de la alta gerencia Métricas Alineacién Estratégica Gestión de Riesgo Entrega de Valor Gestión de Recursos Medición de Desempenio Resultados Esperados

18 Estrategia de Seguridad Metas Objetivos Estado deseado (Cobit, Arquitecturas, ISO 27K Políticas, Estándares, Procedimientos, Líneas Guía Arquitecturas, Mejores Prácticas Controles (IT, No IT, Defensa en Capas) Contramedidas Tecnologías Personal Estructura organizacional Roles y responsabilidades Habilidades y Entrenamiento Auditorías Cumplimiento Evaluación de Amenazas BIA Evaluación de Riesgos Corero

19 Arquitectura de Seguridad Marcos de referencia Roadmap Enfoque Orientado Al negocio Arquite ctura Metas 21 Lugar donde se usará 2013 Corero Capacidades técnicas de la Gente

20 Gestión de Riesgo Procesos Marcos de referencia Amenazas Externas e Internas Análisis de brechas Metodologías para evaluación Riesgos agregados

21 Gestión de Riesgo Evaluación de probabilidad Identificación Amenazas Vulnerabilidades Análisis de Riesgos: Cuantitativo, Semi-Cuantitativo, ALE Tratamientos Respuesta y Gestión de Incidentes (Parte de BCP, técnicos, errores, accidentes, falla en sistemas o procesos; físicos, etc)

22 Gartner: Buenas prácticas Mitigando ataques DDoS Garantizar que los planes de BCP y de respuesta a incidentes contemplan los ataques de DDoS. Evaluar servicios de tipo ISP "Clean Pipe Evaluar opciones de DDoS "Mitigation as a Service Deplegar equipos on-premise para detección y mitigación de ataques de DDoS. Por que menciona Gartner las defensas on-premise? La defensas on-premise pueden proteger su infraestructura contra un amplio espectro de ataques continuamente (24x7). No llevan asociado un coste por uso como las soluciones en la nube Una solución on-premise complementada con una solución Anti-DDoS en la nube para detener los ataques volumétricos es la solución más completa de protección contra los ataques de DDoS Corero

23 Proteger la ultima línea de Defensa Respaldo de Archivos Encriptación de archivos y Bases de Datos Hardening Seguridad Física Las Personas

24 Defensa, defensa y más defensas El tiempo juega un papel primordial Múltiples capas para disuadir al enemigo Corero

25 Defensa en Capas Intelligence Cloud Security as a Service First Line of Defense Firewall NGFW IPS/APT SLB/WAF Service Analytics SIEM Big Data Internet IPS/APT Router SLB WAF Una falla en un punto no compromete la seguridad total Corero

26 Las soluciones tradicionales son insuficientes Firewalls don't cut it anymore as the first line of defense IT Best Practices Alert By Linda Musthaler, Network World October 19, 2012 Among the key barriers impacting banks' ability to deal with DDoS attacks, 50% cited insufficient personnel and expertise and a lack of effective security technology as the most serious concerns, followed by insufficient budget resources. A Study of Retail Banks & DDoS Attacks - Ponemon Institute January, 2013 By Linda Musthaler, Network World - January, 2013 Don't count on a firewall to prevent or stop a DDoS attack. The first step is to recognize that your firewall is insufficient protection against the types of DDoS attacks that are increasingly common today. Even a nextgeneration firewall that claims to have DDoS protection built-in cannot deal with all types of attacks. The best protection against DDoS attacks is a purpose-built device or service that scrutinizes inbound traffic before it can hit your firewall or other components of the IT infrastructure. While network security devices have matured and are extremely capable of thwarting certain attacks, they are insufficient when it comes to mitigating DDoS attacks. Distributed Denial of service (DDos) attacks: evolution, impact & solutions - VeriSign Corero

27 Firewalls Bloqueando: Sin acceso a los servicios Internet Tráfico no deseado Redes internas Buffer Overflows Application Layer DDoS Code Injections Brute-Force Password 29 Specially Crafted Packets Las peticiones entrantes son bloqueadas por el Firewall 2013 Corero El Firewall no tiene ninguna brecha abierta

28 Firewalls Puertos de servicio abiertos Tráfico no deseado Buffer Overflows Para permitir el acceso a los servicios hay que abrir grietas en el Firewalls Red interna Web TCP Puertos 80, 443 Servicios Application Layer DDoS Code Injections DNS TCP/UDP Puerto Brute-Force Password Specially Crafted Packets Todos los Firewalls funcionan de la misma manera! Los ataques atraviesan el Firewall porque no sabe diferenciar entre el tráfico legitimo y el que no! 2013 Corero Mail TCP Puerto 25 FTP/SSH TCP Puertos 21, 22

29 Corero Inspección de puertos de servicio Tráfico no deseado Buffer Overflows Corero se situa delante de los Firewalls y bloquea el tráfico no deseado. Red Interna Web TCP puertos 80, 443 Servicios Application Layer DDoS Code Injections DNS TCP/UDP puertos Brute-Force Password Specially Crafted Packets El tráfico de los usuarios legítimos se permite 2013 Corero Mail TCP puerto 25 FTP/SSH TCP puertos 21, 22 Firewalls y servidores son protegidos y nunca ven el tráfico No deseado

30 Solución - Corero Primera Línea de Defensa Corero protege su infraestructura elminando un enorme número de ataques. Atacantes Ataques de DDoS Usuarios y servicios no deseados X X IPS Router Tráfico de clientes SLB Usuarios legítimos X X WAF AETs & Abusos de protocolo Explotis de Servidor Primera Línea de Defensa (FLOD) Firewalls eficientes Infraestructura IT eficiente Aplicaciones con alto rendimiento Corero

31 Solo parte de la batalla Cloud anti-ddos Usuarios legítimos Tráfico legítimo Soluciones On-Premises Protección siempre activa Atacantes Tráfico no deseado X Ataques Full Pipe X Tráfico de ataque X Cloud anti-ddos Bajo demanda Attack Leakage Infraestructura crítica protegida Las soluciones on-premise de Corero combinadas con los servicios de protección en la nube proporcionan visibilidad y una solución de protección completa en el perimetro de las empresas Corero

32 Consejos para una Primera Línea de Defensa Su Primera Línea de Defensa debe: No. 1: Bloquear IPs maliciosas(reputación) No. 5: Bloquear puertos Y aplicar DPI en los permitidos No. 3: Evaluar dinámicamente el nivel de amenaza de IPs desconocidas No. 2: Bloquear localidades donde no hay negocio No. 4: Bloquear abuso sobre aplicaciones por análisis de peticiones y respuestas

33 Consejos para la primera Línea de Defensa No. 8: Bloquear malware No. 6: Forzar el uso correcto de protocolos en base a RFPs y estándares No. 7: Bloquear AET No. 10: Desplegar Equipos On-premise No. 9: Detectar y proporcionar un sistema de mitigación DDOs a nivel de Red

34 Gracias! Alex Silva