Presentada por: Enrique Lannes Gerente de Ventas America Latina
3
4
CIBERWAR en su propia red. 1800 ataques exitosos por semana en grandes organizaciones 3 67% de la infraestructura actual no puede detener un ataque dirigido 3 21.6% de las organizaciones han experimentado ataques de APT 4 1 Millón de ataques maliciosos en Android apps a finales de 2013 1 47,000 incidentes de seguridad analizados (2013) More frequent More targeted More money More sophisiticated Source : 1: Trend Micro, 2 : US-Cert 2012, 3 : Ponemom Institute 2012, 4 : ISACA
Solo percibimos lo que nos dicen. Ataques Polymorphic Hay miles mas por debajo de la superficie APT Ataques Dirigidos Ataques Zero-Day
Porque la Seguridad tradicional no es suficiente? Firewall Productos de seguridad estándar se centran en la protección contra las amenazas conocidas de malware, exploits de vulnerabilidad, las fuentes de comunicación maliciosos o canales. Los ataques dirigidos utilizan técnicas de día cero y evasivas Los productos carecen de la capacidad de detección necesarios para detectar los ataques dirigidos, por ejemplo, la identificación de sandboxing, C & C, detección de actividad de los atacantes. Cada compañia atacada tenia estas protecciones y mas. IDS/IPS Web Gateway Email Gateway Endpoint
Segunda Muralla 9
La Torre Blanca Defensa Personalizada
Un Típico Ataque Direccionado 1 2 Obtener Información Busqueda e identificación de datos individuales por medios de fuentes publicas (LinkedIn, Facebook, etc). Preparacion del ataque a la medida. Puerto de entrada Generalmente el ataque inicial es con un malware de dia cero o una vulnerabilidad explotada via Ing Social.(email/IM con download automático) 3 Comunicación C&C (Comando & Control) Permite al invasor controlar las máquinas comprometidas y los malwares que seran usados en las próximas etapas. 4 5 6 Movimento Lateral Una vez dentro de la red, el atacante usa otras máquinas para coletar credenciales, aumentar el nível de acesso y mantener un control persistente. Descubrimiento de datos Diversas técnicas (como escanear de puertos) son usados para identificar servidores y servicios importantes que puedan tener datos valiosos. Extración de datos Despues de colectar informacion importante, Los datos son enviados a un servidor interno donde son comprimidos, encriptados y preparados para su trasmicion fuera de la red.
Soluciones Tradicionales (FW, AV, IPS, NGFW, NGIPS ) GAPS GAPS Protocolos y Puertos GAPS GAPS Tráfico de red interna GAPS GAPS Tienen una capacidad de detección y visibilidad limitada
Cómo detecto hoy si hay un Incidente?
No tengo gente!!! No tengo conocimientos!!! Cada vez tengo más dispositivos móviles Tengo ambientes altamente distribuidos No puedo controlar a los proveedores Necesito evidencia Dificultad de interacción entre áreas Mi seguridad está administrada por un tercero Qué hace difícil responder ante un incidente?
Estrategia de Defensa Customizada Detectar Analizar Capacidad de detección de amenazas especializada en puntos de la red. Analisis profundo usando custom sandboxing customizada. Adaptar Listas negras y las firmas de seguridad personalizados para bloquear nuevos ataques a la red, puertos y puntos finales Responder Perfiles de ataque, inteligencia rápida en toda la red, contención y remediación
Detección especializada en toda la secuencia del ataque Inspeccion detallada de contenido en de protocolos y aplicaciones. Inteligencia y analisis de reputación en la nube. Sandbox Simultaneos y analisis personalizados Identificación fingerprinting de comunicaciones y comportamientos Correlación de eventos multinivel y basadas en reglas. Contenido Malicioso Emails con exploit en documentos adjunto Downloads automáticos Malwares conocidos de dia-zero Comunicación Sospechosa Comunicación C&C para todos los malwares y bots Actividades backdoor de invasión Comportamiento del ataque Actividades de malware : propagación, download, spam, etc Actividades de invasión : scan, Fuerza bruta, Herramentas de download Extración de Dados
Sandboxing Personalizado Plataforma de Analisis Threat Analyzer Deep Discovery Threat Intelligence Center Otros Produtos Trend Security Update Server Análisis de sandbox " a la medida Detección de exploit, analiza secuencias de comandos y correlaciona Acciones y eventos de rastreo de malware. Conexiones a servidores C & C Integración "loopback" con los productos de seguridad Personalizable con las herramientas de Vmware y otros fabricantes 10/23/2014 Envio Direto de Archivos Open Web Services 17
Visibilidad exhaustiva de 360 o Sandboxes Personalizables Dispositivos móviles Comprometidos Más de 80 Protocolos comprometidos en cualquier puerto 18 Dispositivos comprometidos con amenazas desconocidas, APTs, ataques dirigidos Dispositivos comprometidos con amenazas conocidas Todo el tráfico de red y archivos (interno y externo)
Las preguntas que debemos responder para la estrategia Visibilidad Qué esta pasando en mi red? Identificación Qué o quién esta evadiendo mis defensas tradicionales? Qué evidencia tengo de esta actividad? Valoración de Riesgo Qué es peligroso? Qué no? Quién esta detrás de este ataque? Respuesta Cómo respondo ante éste ataque? Con que herramientas? Remediación Qué tan extendido está el ataque? Qué acciones debo tomar? 19 10/23/201 4
10/23/2014 Las empresas deben de incorporar una nueva forma de percibir la seguridad, integrando al esquema tradicional de prevención perimetral una solución de monitoreo continuo e inteligencia de amenazas en la red interna
25 La visibilidad y la detección temprana es la nueva forma de prevención. Debemos de cambiar la pregunta de: Qué hago para que no me suceda? a: Me va a suceder Cómo hago para detectarlo antes de que impacte en mi negocio?
Para mayor información: Enrique Lannes. (enrique_lannes@trendmicro.com) Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo Segurinfo en
Gracias por asistir a esta sesión