DESAFIOS DE SEGURIDAD ACTUALES- MALWARE AVANZADO-SHADOW IT- SEGURIDAD SINCRONIZADA SABEMOS DE SEGURIDAD

Transcripción

1 DESAFIOS DE SEGURIDAD ACTUALES- MALWARE AVANZADO-SHADOW IT- SEGURIDAD SINCRONIZADA SABEMOS DE SEGURIDAD 1

2 Secuestro Digital Debilidades de los Sistemas Cómo enfrentar el Problema? Cómo detectar la amenaza avanzada? Socio tecnológico

3 Que es un Secuestro Digital de Información? Se trata de el cifrado malicioso de archivos por parte de un hacker, el cual solicita un rescate en dinero con la promesa de una llave que ayude a descifrar la información. Es una de las ciber amenazas con mayor crecimiento en los últimos años Los controles tradicionales no son capaces de detectar las amenazas y tampoco contenerlas 3

4 Una técnica que va en evolución 1989 AIDS Malware Primer Ransom Desconocido 2010 WinLock Aprovechamient o del SMS 2013 La revolución Cryptowall Primero en solicitar rescate a través de Bitcoin AndroidDefender Falso Antivirus Bloquea la pantalla del dispositivo móvil 2015 PCLock Imitador de Ransomware, que pretender ser Cryptolocker TeslaCrypt al principio atacaba a los usuarios de juegos en línea 2005 GPCoder El regreso del malware que Cifra los Archivos 2012 Reventon Aparenta ser una multa 2014 TorrentLocker CTF-Locker Usa redes Tor para las comunicaciones de comando y control Simplocker Malware donde sus objetivos son los dispositivos Android 2016 KeRanger Primero en atacar maquinas OS X Locky Se propaga a través de documentos de office 4

5 Ransomware Q Transformaciones del los trojanos tipo Ransom 23,50% Ransomware 3,40% Incidentes ,40% Q Q Teslacrypt Cryptowall CTB-Locker Q Q Enero Febrero Marzo Enero Febrero Marzo 5

6 Malware Automatizado o Ataque Malicioso Malware Genérico Herramienta para tomar el control de la estación de trabajo Acceso Valido Secuestro y/o Fuga de información Confidencial Reconocimiento e Identificación de personas (Target) Compromiso Inicial y Búsqueda de Credenciales del usuario Comunicación y control de la victima. Posicionamiento Silencioso Aprovechamiento de las credenciales, se inicial los movimientos laterales La información del usuario y/o compañía esta en riesgo 6

7 Anatomía del Ataque Ransomware Instalación vía una explotación de una vulnerabilidad o infección vía correo electrónico a través de un adjunto Una vez instalado el ransomware modifica las claves del Registro El atacante establece una comunicación de comando y control con la estación afectada El ransomware envía información sobre el equipo infectado hacia el servidor C & C y descarga una clave pública individual para el equipo. Cifrado malicioso Ciertos archivos se cifran en el equipo local y en todas las unidades de red con esta clave pública. Las Copias de seguridad del sistema operativo Windows (shadow copies) a menudo se eliminan para evitar la recuperación de datos. Solicitud/demanda de rescate Aparece un mensaje en el escritorio del usuario, que explica cómo un rescate (a menudo en forma de bitcoins) se puede pagar dentro de un plazo de, por ejemplo, 72 horas para permitir el descifrado de los datos con la clave privada que sólo el sistema de atacante tiene acceso. El atacante desaparece El ransomware es capaz de borrar evidencia y dejar los archivos cifrados. 7

8 SII advierte circulación de nuevo correo electrónico falso 8

9 Debilidades del Sistema Falla en los Controles Firewall Productos Mal Dimensionados Módulos de Seguridad Inactivos Punto Final Cifrado Malicioso Correo Sistemas de prevención de intrusos y antivirus basados en firmas Problemas con las políticas de seguridad Falta de integración con los productos Navegación Problemas con la educación de los usuarios Falta de plan de respuesta al incidente 9

10 Ransomware: Modus Operandi 10

11 Medidas Paliativas Medidas que mitigan, suavizan o atenúan los efectos negativos Desplegar una solución de antivirus corporativa. Mejorar las políticas. Desplegar y/o Mejorar una solución contra el spam. Activar las protecciones de AV Aplicar políticas de bloqueo de contenido para extensiones. (javascript, vbscript, flash, chm etc ) Respaldar los archivos importantes constantemente Desplegar y/o Mejorar una solución de filtro de contenido que detecte las llamadas de C&C Ver la posibilidad de abrir el tráfico HTTPS por HW Utilizar un modulo de HIPS en las estaciones de trabajo Activar el firewall en las estaciones de trabajo Evaluar una solución de análisis avanzado de malware (Sandboxing & Análisis Predictivo) 11

12 Cómo responder al Incidente? IRP Conformar un equipo de respuesta o Contar con un aleado tecnológico Recopilar los antecedentes Identificar la infección Definir un Plan de respuesta a Incidentes Recuperar la normalidad de las operaciones Determinar su alcance Tener un mapa de riesgo de los activos (estaciones de trabajo) Contener los daños y minimizar los Riesgos Erradicar la infección y el vector de ataque Contener las acciones maliciosas Mantener la continuidad del negocio 12

13 Cómo identificar la amenaza? Navegación Correo Normalizar la plataforma Firewall Management Console Switch Servicio de Auditoria de Amenazas Avanzadas Analisis vía TAP o SPAN Proxy Estaciones de trabajo y Dispositivos móviles DNS Solución dedicada (Manager + Sensores) Solución multi protocolo (revisa el tráfico entrante y saliente) Bloquea las llamadas de comando y control Identifica las estaciones y dispositivos infectados Fácil de integrar en la organización (TAP o SPAN) Solución multiplataforma, reconoce las estaciones de trabajo y los dispositivos móviles Solución escalable, se pueden agregar mas sensores o interfaces de análisis en el sensor 13

14 Cómo identificar la amenaza? Navegación Correo Firewall Management Console Switch Analisis vía TAP o SPAN Proxy DNS Estaciones de trabajo y Dispositivos móviles 14

15 Mejores Tecnologías basadas en necesidades reales 15

16 PERMANECE EN CONTACTO CON NOSOTROS Oficina Av. Santa María 0212 Of 106 Providencia Santiago Fono / Website info@makros.cl