Best Practices for controlling Advanced Threats and their Persistence. Matthew Ancelin Cybersecurity Analyst

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Best Practices for controlling Advanced Threats and their Persistence. Matthew Ancelin Cybersecurity Analyst"

Alberto Vidal Maidana
hace 8 años
Vistas:

1 Best Practices for controlling Advanced Threats and their Persistence Matthew Ancelin Cybersecurity Analyst

2 Mejores prácticas para controlar las Amenazas Avanzadas y su Persistencia Matthew Ancelin Cybersecurity Analyst

3 Agenda Contexto del ciclo de vida de un ataque de red. Investigación de amenazas con información obtenida por 3 meses, en más de 1000 redes. Mejores prácticas para controlar las amenazas avanzadas y su persistencia.

4 Ciclo de Vida del APT Engañar al usuario final. Explotar Descarga de Backdoor Establecer Back-Channel Explorar & Robar Usuario final es atraído a una aplicación peligrosa o sitio web con contenido malicioso Contenido infectado realiza el exploit sobre el usuario final, a menudo sin su conocimiento Carga secundaria se descarga en el background. Malware instalado Malware establece una conexión saliente al atacante para el control continuo Atacante remoto tiene control dentro de la red e incrementa el ataque!4

web con contenido malicioso Contenido infectado realiza el exploit sobre el usuario final, a menudo sin su conocimiento Carga

5 Se concentra en lo desconocido y personalizado Coordinación Aplicaciones Personalizadas Personalización de UDP y TCP Trafico de Comando y Control P2P, IM y transferencia de archivos modificados Puertos no estándares Evasión de Firmas Empleados para nuevas descargas de datos. Modificación de los Datos Malware Personalizado Inactividad prolongada Capas de recubrimiento Ausencia de Firmas! Malware Polimorfo Malware modificado para cambiar el nombre al archivo o valores de hash Nuevos Dominios Nuevo Dominio No reputación Fast-Flux Registrado 30 días o menos UDP desconocido = 2% de ancho de banda, pero el 51% de los registros de malware 50% a 70% del malware capturado por WildFire no tiene ninguna cobertura de AV 33% de las muestras conectado a dominios registrados recientemente, DNS dinámico o Fast-Flux.!5

Malware Polimorfo Malware modificado para cambiar el nombre al archivo o valores de hash Nuevos Dominios Nuevo Dominio No reputación Fast-Flux Registrado 30 días o menos UDP desconocido = 2% de ancho

6 Observaciones más Comunes en el comportamientos maliciosos de la red 40% of Unknown Malware Files Were Blockable 40% of unknown samples were identifiable as sister samples that shared specific identifiers in the file header and payload!!!!!

of unknown samples were identifiable as sister samples that

7 Análisis de alteraciones a la conducta para la descarga Avoidance

8 Comportamientos de Persistencia. Significant Persistence Behaviors

9 Etapa de Exploración y Robo. Observed Malicious Indicators

10 Tiempo promedio de detección por los Antivirus Tiempo promedio de cobertura (días) para los vectores de aplicación Days

11 Vectores de infección por aplicación Navegación por Internet es donde en términos de acciones esta el malware desconocido muestras de malware detectadas por WildFire muestras de malware que no fueron detectadas por AV

12 Técnicas de Evasión de Red. Uso de puertos no estándar Túnel dentro de protocolos permitidos Anonimizadores, servidores proxy o túneles encriptados Source: Palo Alto Networks Applipedia!12

13 El ganador de este año de aplicación más evasiva: FTP % % 100% % 60% % 90 40% % 19 10% FTP Custom-TCP HTTP-Proxy Web Browsing 20% 0% Number of Non-Standard Ports Percent Non-Standard Sessions Source: Palo Alto Networks, WildFire Malware Report

HTTP-Proxy Web Browsing 20% 0% Number of Non-Standard Ports Percent

14 Controlar amenazas avanzadas y su persistencia Todo debe ir en el embudo Reducir la superficie de ataque Bloquear todo lo que puedas Probar y adaptar para desconocidos Investigar y limpiar!14

15 Reducir la superficie de ataque Visibilidad completa de red. Bloqueo de aplicaciones no autorizadas. Prepararse y gestionar la evasión. Verificar y examinar SSL/ SSH Extender un perímetro lógico cubriendo, movilidad, remotos y redes.!15

16 Bloquear todo lo que puedas Plataforma de seguridad integrada o infraestructura. Bloqueo de cargas maliciosas. Bloquear el tráfico command & control. Bloquear dominios maliciosos. Inundaciones DoS y ataques basados en paquetes.!16

17 Probar y adaptarse a desconocidos Sandbox Share intelligence Inspección en cajas de arena de archivos desconocidos y ejecutables. Investigar las aplicaciones desconocidas, clasificar, repetir. Control de usuarios no autenticados o desconocidos. Bloqueo de descargas de dominios desconocidos.!17

Investigar las aplicaciones desconocidas, clasificar, repetir.

18 Investigar y limpiar Capacitar a las organizaciones de respuesta a incidentes con contexto completo de ataque. Remediar & restaurar sistemas. Uso forense para validar el éxito de limpieza. Revisar y ajustar la política. Distribuir información sobre amenazas.!18

19 Coordinated Un enfoque integrado Threat Prevention de prevención de amenazas Aplicaciones Engañar al usuario final Bloquear aplicaciones de alto riesgo Explotar Descarga por Puerta trasera Establecer Back-Channel Bloqueo C&C en puertos no estándar Explorar & Robar Dominio IPS Spyware AV Archivo Fi rm a/ Co m po rt a mi Bloquear sitios de malware conocido Bloquear el exploit Bloquear malware Prevenir drive-bydownloads. Bloque malware, dominios tipo Fast-Flux Bloqueo de spyware y tráfico C&C Inteligencia coordinada para detectar y bloquear ataques activos basados en firmas, fuentes y comportamientos Arenero Detectar malware desconocido Bloquear el tráfico C&C nuevo!19

sitios de malware conocido Bloquear el exploit Bloquear malware Prevenir drive-bydownloads.

20 Gracias

Documentos relacionados

Presentada por: Enrique Lannes Gerente de Ventas America Latina

Presentada por: Enrique Lannes Gerente de Ventas America Latina 3 4 CIBERWAR en su propia red. 1800 ataques exitosos por semana en grandes organizaciones 3 67% de la infraestructura actual no puede detener