Malware Moderno Jesús Díaz jdiaz@paloaltonetworks.com CESCA: 21 de Sep,embre de 2011
Mitología en las brechas de seguridad
Inver@mos en proteger nuestros datacenters
En raras ocasiones el datacenter es atacado directamente
Ya no hay tanto escaneo de vulnerabilidades
El nuevo atacante
El nuevo atacante no es un friki aburrido
Se trata de naciones y crimen organizado, con obje@vos económicos en muchos casos
Cómo funcionan las brechas de seguridad en 2011
Primer paso: crear un cebo atrac@vo para el usuario final
Primer paso: cebo para el usuario final Lanzamiento del phishing
Primer paso: cebo para el usuario final
Segundo paso: se explota una vulnerabilidad
Tercer paso: se descarga una backdoor
Cuarto paso: se establece un canal trasero
Quinto paso: explorar y robar
El estado de protección frente al malware
La protección es necesaria en todas las fases Cebo Exploit Backdoor Canal Trasero Robo
protección frente al cebo
Protección frente al exploit Los exploits llegan a través de múl@ples aplicaciones
Protección frente al exploit Transcurren muchos meses desde el descubrimiento de los black- hat, hasta el descubrimiento de los white- hat, y que la protección esté disponible
Protección frente a la descarga Los ataques @enen un obje@vo muy definido, lo que significa que hay muy pocas instancias y esto dificulta el trabajo de los fabricantes de an@- malware
Protección frente a la descarga Los vendedores de an@- malware tardan varios días hasta que disponen de una firma
Protección frente al canal trasero + + No solamente los ataques @enen un obje@vo concreto y las firmas tardan @empo en ser desarrolladas, sino que los canales traseros suelen ir cifrados
Protección frente a la Exploración- y- robo La seguridad interna suele ser mínima, lo que significa que, una vez dentro, el atacante puede explorar la red libremente
Proyecto para detener el malware moderno
Es necesario proteger todas las aplicaciones
El @empo de respuesta es clave
La automa@zación es obligatoria
Uso de una sandbox en el núcleo
Realizar el análisis para todos los equipos de modo centralizado
Generar automá@camente múl@ples firmas Firmas frente a la descarga de malware Firmas de IPS frente a los canales- traseros Detección de URLs de malware Firmas de IPS para las nuevas vulnerabilidades
Ofrecer las firmas rápidamente ( 1 hora)
Deteniendo el malware moderno en prác@ca
La protección es necesaria en todas las fases Cebo Exploit Backdoor Canal Trasero Robo
Protección del cebo Bloqueo de las aplicaciones no necesarias Control de las transferencias de fichero por usuario, aplicación y @po de fichero Bloquear el acceso a las URLs conocidas de malware
Protección frente al exploit Descubrir las vulnerabilidades antes que los atacantes Firmas de IPS para las nuevas vulnerabilidades
Descubrimiento de vulnerabilidades de Microsod Palo Alto Networks McAfee Tipping Point Check Point So9ware Sourcefire Juniper & Cisco 20 7 7 3 1 0 Número de vulnerabilidades descubiertas, acreditadas a cada fabricante, durante los úl@mos 4 años Fuente: OSVDB; a 15 de Junio de 2011
Descubrimiento de vulnerabilidades de Adobe Palo Alto Networks McAfee Tipping Point Check Point So9ware Sourcefire Juniper & Cisco 12 1 1 0 0 0 Número de vulnerabilidades descubiertas, acreditadas a cada fabricante, durante los úl@mos 4 años Fuente: OSVDB; a 15 de Junio de 2011
Protección frente a la descarga Disponibilidad de firmas An@- Malware en una hora desde el primer descubrimiento Protección genérica drive- by- download para las descargas HTTP/S
Protección frente al canal trasero Bloquear el tráfico de aplicación desconocido U@lizar heurís@ca para detectar la comunicación por canales traseros Firmas de detección de tráfico C&C disponibles, para el nuevo malware iden@ficado
Protección frente a explorar- y- robar Segmentación de la red Control de acceso a los datos por usuario y aplicación
El rol de un NGFW para detener el malware moderno
La solución ha de ser para toda la empresa, incluyendo usuarios remotos
La protección ha de ser en @empo real, en línea
Es necesario el control basado en usuario
Requiere IPS y AV de alta velocidad
Necesita ejecutarse sobre TODAS las aplicaciones
Necesita conocer, analizar y bloquear lo desconocido
Conclusión: la protección frente a malware avanzado es tarea de un next genera,on firewall
Gracias por su atención! Jesús Díaz jdiaz@paloaltonetworks.com CESCA: 21 de Sep,embre de 2011