El Mundo de la Transformación Digital y Amenazas de Hoy: Anatomía de un Ataque José David González Digiware, Guatemala 1
Central America and The Caribbean Leader Team José David González www.digiware.net Territory Manager Central America and The Caribbean At Digiware Security LLC Email: jose.gonzalez@digiware.net Mobile: +502 31332722 Experto de la seguridad con 16 años de experiencia en seguridad de la información, especialista de amenazas, responsable de ejecución de más de 600 proyectos de seguridad en la región Centro Americana, actualmente responsable para región Centroamérica y Caribe para DIGIWARE, corporación dedicada a la seguridad de la información. EL MUNDO DE TRANSFORMACIÓN DIGITAL Y LAS AMENAZAS DE HOY (Anatomía de un ataque) 2
El mundo de la transformación digital Amenazas actuales Lo que las noticias hacen todos los días es señalar que las empresas en todas partes son vulnerables. Esto es cierto independientemente de su sector, tamaño y recursos. Todos hemos visto esto suceder, pero la Encuesta Mundial sobre Delitos Económicos de PwC 2016 lo confirma: 32% El crimen cibernético sube a la segunda mayor denuncia económica que afecta al 32% de las organizaciones. 3
Más casos se acercan! Amenazas actuales 4
Razones de por qué los ataques son más efectivos Falta de cobertura de seguridad cibernética Las vulnerabilidades y explotaciones comunes utilizadas por los atacantes en el último año revelan que faltan medidas fundamentales de seguridad cibernética. Los ciberdelincuentes usan menos de una docena de vulnerabilidades para hackear las organizaciones y sus sistemas, porque no necesitan más. Las 10 principales vulnerabilidades externas representaron casi el 52% de todas las vulnerabilidades identificadas. Miles de vulnerabilidades representan el otro 48%. Las 10 principales vulnerabilidades internas representaron más del 18% de todas las vulnerabilidades internas durante el 2015. Las 10 vulnerabilidades internas están directamente relacionadas con los niveles de parche obsoletos en los sistemas de destino. El mundo está cambiando NO SE TRATA DE ADAPTARSE, SE TRATA DE REINVENTARSE. 5
Qué factores causan esto Corporaciones con más carga de trabajo y muchos incidentes de seguridad sin atención. Atacantes más rápidos y más efectivos. Descripción / Clasificación Fraude y delitos financieros Ciberterrorismo Ciberextorsión Cybercrime La guerra cibernética La computadora como objetivo El ordenador como herramienta Contenido obsceno u ofensivo Tráfico de drogas Acoso 6
Ejemplos de eventos de Cibercrimen Técnicas ANATOMÍA DE ATAQUE 7
Etapas de un evento de intrusión ARQUITECTURA EX-FILTRACIÓN ATAQUE INVESTIGACIÓN - Cloud Servers - Exploit preparation - Servers redundancy - Communication Channel validation - Communication Channel - opened - Data Compress and Encrypt - Stooled Data External Server (Arquitectura) - Malware deploy - Malware modification - Botnet Activate - Message reception - Communication Encryption - Data Validation Target - Employees - System Information (OS, Apps, ) - Security Applications - Systems & Networks Tools of the Trade - Directory Harvest Attacks - Social Media (LinkedIn, etc.) - Publicly available information Key Insights - Persistent Series of failed attacks leads to success - Patient Not a single attack, Failure not an option - Targets are selected due to high value to them Etapa de investigación TARGET Employees System Information (OS, Apps, ) Security Applications Systems & Networks TOOLS OF THE TRADE Directory Harvest Attacks Social Media (LinkedIn, ) Publicly available information KEY INSIGHTS Persistent Series of failed attacks leads to success Patient Not a single attack, Failure not an option Targets are selected due to high value to them 8
La seguridad de hoy en día require un enfoque en capas Applications Spam & web browsing NGFW Network Exploit Known virus Best-of-Breed Architecture Spear-phishing Web & Mail GW IPS AV Malvertising Personal webmail USB Infection Evasive threats and Advanced malwares are going throught! How they bypass existing security? Exploit : 0-days, fresh or old vulnerabilities Malicious macro document Script malware (VBS, PowerShell, Ruby ) Daily custom binary (C, AutoIT, VB NET ) And many more (JS, Java ) WCRY Infection / Detection SMBv1 File Sharing Protocol SMBv1 Vulnerability Install Ransomware Encrypt Data Files Spread Again WCRY Network Traffic Analysis: Vulnerability malfunction: ML Pre-execution: Lock-Down Applications ML Run-time: 9
PETYA Ingreso red, email, USB En Disco Ejecución C&C y Exfiltración Punto de entrada: Host & Network IPS, Browser exploit protection, Device control Web reputation Pre-ejecución: Predictive ML, Application control, Variant protection, File-level signature Run-time: Run-time ML, IoA Behavioral analysis, Exploit protection Exfiltración: Web reputation, C&C Comms, DLP 19 Copyright 2016 Trend Micro Inc. Fileless Malware Sin archivo en disco : En registry En URL web Script en memoria En equipo remoto En Disco Ejecución Pero se ejecuta código: PowerShell Exploit de la App Inyección en DLL Windows exploit Punto de entrada: Host IPS, Browser exploit protection, Device control Web reputation Pre-execution: Predictive ML, Application control, Variant protection, File-level signature Run-time: Run-time ML, IoA Behavioral analysis, Exploit protection Exfiltración: Web reputation, C&C Comms, DLP 20 Copyright 2016 Trend Micro Inc. 10
Virtual Patching vs Exploit Filter Superficie de ataque del Exploit A Superficie de ataque del Exploit B (Omitido por la firma para el Exploit A) Parche Virtual de Software Superficie de ataque de Vulnerabilidad Filtro Simple Contra Exploit A Actúa como un Parche Virtual de Software Falso Positivo Vulnerabilidad Exploit Firma de Exploit Virtual Patching Filter > Un hoyo de seguridad en un programa > Un programa que toma ventaja de una vulnerabilidad para obtener acceso no autorizado o bloquear accesos a la red, elementos computacionales, Sistemas Operativos o aplicaciones > Escrita para un exploit específico > Desarrolladores de filtros frecuentemente son forzados para hacer un diseño básico de filtro para evitar limitaciones de performance. > Impacto Omisión de ataques, falsos positivos y riesgo constante por la vulnerabilidad. > Los Filtros de VP cubren la superficie de ataque completa de la vulnerabilidad y no solo de un exploit específico. > Impacto: Los Filtros actuan como un Parche Virtual de Software y no generan falsos positivos. Traducir la inteligencia de protección a la seguridad 11
Protección contra Ataques Linea de tiempo tradicional para administración de parches. Descubierta la vulnerabilidad Zero day Disponibilización del parche por el Fabricante Homologación y pruebas Início de Implementación Parche Totalmente Aplicado Qué significa esto Make this a key metric to start tracking in your security programs: Patch the vulnerabilities that are being exploited in the wild as your N. 1 priority. (OR have a compensating control that covers you until you can). 12
16 riesgos que pueden cambiar la dirección de tu estrategia de ciberseguridad 1 Falta de cobertura de seguridad cibernética. 9 Falta de un plan de recuperación. 2 3 No entender lo que genera los riesgos corporativos de seguridad cibernética. Falta de una política de seguridad cibernética. 10 11 Riesgos en constante evolución. Infraestructura de envejecimiento. 4 5 Confundir el cumplimiento con la seguridad cibernética. El factor humano - el eslabón más débil. 12 13 Inflexibilidad corporativa Falta de responsabilidad. 6 Traiga su propia política de dispositivo (BYOD) y la nube. 14 Dificultad para integrar las fuentes de datos. 7 Financiación, limitaciones de talento y recursos. 15 Aferrarse a una mentalidad reactiva. 8 No hay capacitación en seguridad de la información. 16 Desconectar el gasto y la implementación. Gracias Síganos en Digiware @Digiware Digiware Digiware Digiware www.digiware.net 13