el mundo de la transformación digital y amenazas …...26/07/2018 3 título el mundo de la...
TRANSCRIPT
26/07/2018
1
Título
El Mundo de la Transformación Digital y
Amenazas de Hoy: Anatomía de un Ataque
José David González
Digiware, Guatemala
Título
26/07/2018
2
Título
Central America and The Caribbean Leader Team
Experto de la seguridad con 16 años de experiencia en seguridad de
la información, especialista de amenazas, responsable de ejecución
de más de 600 proyectos de seguridad en la región Centro Americana, actualmente responsable para región Centroamérica y
Caribe para DIGIWARE, corporación dedicada a la seguridad de la
información.
José David González
www.digiware.net
Territory Manager Central America and The
Caribbean
At Digiware Security LLC
Email: [email protected]
Mobile: +502 31332722
Título
EL MUNDO DE
TRANSFORMACIÓN DIGITAL
Y LAS AMENAZAS DE HOY
(Anatomía de un ataque)
26/07/2018
3
Título
El mundo de la transformación digital
Título
Amenazas actuales
Lo que las noticias hacen todos los días es señalar que las empresas en todas partes son vulnerables. Esto es cierto independientemente de su sector, tamaño y recursos. •Todos hemos visto esto suceder, pero la Encuesta Mundial sobre Delitos Económicos de PwC 2016 lo confirma:
El crimen cibernético sube a la segunda mayor
denuncia económica que afecta al 32% de las
organizaciones. 32% “ ”
26/07/2018
4
Título
¡Más casos se acercan!
Título
Amenazas actuales
26/07/2018
5
Título
Razones de por qué los ataques son más efectivos
Falta de cobertura de seguridad cibernética
Las vulnerabilidades y explotaciones comunes
utilizadas por los atacantes en el último año
revelan que faltan medidas fundamentales de
seguridad cibernética.
Los ciberdelincuentes usan menos de una
docena de vulnerabilidades para hackear las
organizaciones y sus sistemas, porque no
necesitan más.
• Las 10 principales vulnerabilidades externas
representaron casi el 52% de todas las vulnerabilidades identificadas. Miles de
vulnerabilidades representan el otro 48%.
• Las 10 principales vulnerabilidades internas
representaron más del 18% de todas las vulnerabilidades internas durante el 2015. Las
10 vulnerabilidades internas están
directamente relacionadas con los niveles de
parche obsoletos en los sistemas de destino.
Título
El mundo está cambiando
NO SE TRATA DE ADAPTARSE, SE TRATA DE REINVENTARSE.
26/07/2018
6
Título
Qué factores causan esto
Corporaciones con más carga de
trabajo y muchos incidentes de
seguridad sin atención.
Atacantes más rápidos y más
efectivos.
Título
Descripción / Clasificación
Cybercrime
Fraude y delitos financieros
Ciberterrorismo
Ciberextorsión
La guerra cibernética
La computadora como objetivo
El ordenador como
herramienta
Contenido obsceno u
ofensivo Acoso
Tráfico de drogas
26/07/2018
7
Título
Ejemplos de eventos de Cibercrimen
Título
Técnicas
ANATOMÍA DE ATAQUE
26/07/2018
8
Título
Etapas de un evento de intrusión
ARQUITECTURA EX-FILTRACIÓN ATAQUE INVESTIGACIÓN
- Cloud Servers - Exploit preparation - Servers redundancy
- Communication Channel – validation
- Communication Channel - opened
- Data Compress and Encrypt
- Stooled Data – External Server (Arquitectura)
- Malware – deploy - Malware – modification - Botnet – Activate - Message reception - Communication
Encryption - Data Validation
Target - Employees - System Information (OS,
Apps, …) - Security Applications - Systems & Networks Tools of the Trade - Directory Harvest Attacks - Social Media (LinkedIn,
etc.) - Publicly available
information
Key Insights - Persistent – Series of failed
attacks leads to success - Patient – Not a single
attack, Failure not an option
- Targets are selected due to high value to them
Título
Etapa de investigación
TARGET •Employees • System Information (OS, Apps, …) • Security Applications • Systems & Networks TOOLS OF THE TRADE • Directory Harvest Attacks • Social Media (LinkedIn, …) • Publicly available information
KEY INSIGHTS • Persistent – Series of failed attacks leads to success • Patient – Not a single attack, Failure not an option • Targets are selected due to high value to them
26/07/2018
9
Título
La seguridad de hoy en día require un enfoque en capas
How they bypass existing security ?
• Exploit : 0-days, fresh or old vulnerabilities
• Malicious macro document
• Script malware (VBS, PowerShell, Ruby…)
• Daily custom binary (C, AutoIT, VB NET…)
• And many more (JS, Java…)
Web & Mail GW
IPS
AV
NGFW
Applications
Spam & web browsing
Network Exploit
Known virus
Best-of-Breed Architecture
USB Infection Personal webmail Malvertising Spear-phishing
Evasive threats and Advanced
malwares are going throught !
Título SMBv1 File Sharing Protocol
WCRY Infection / Detection
Install Ransomware
Encrypt Data Files
SMBv1 Vulnerability
WCRY
Spread Again
Network Traffic Analysis:
Vulnerability malfunction:
ML Pre-execution: Lock-Down Applications
ML Run-time:
26/07/2018
10
Título
Copyright 2016 Trend Micro Inc. 19
Ingreso red, email, USB…
En Disco Ejecución C&C y
Exfiltración
Punto de entrada: Host & Network IPS, Browser exploit protection, Device control Web reputation
Pre-ejecución: Predictive ML, Application control, Variant protection, File-level signature
Run-time: Run-time ML, IoA Behavioral analysis, Exploit protection
Exfiltración: Web reputation, C&C Comms, DLP
PETYA
Título
Copyright 2016 Trend Micro Inc. 20
En Disco Ejecución
Punto de entrada: Host IPS, Browser exploit protection, Device control Web reputation
Pre-execution: Predictive ML, Application control, Variant protection, File-level signature
Run-time: Run-time ML, IoA Behavioral analysis, Exploit protection
Exfiltración: Web reputation, C&C Comms, DLP
Fileless Malware
Sin archivo en disco : En registry… En URL web… Script en memoria… En equipo remoto…
Pero se ejecuta código: PowerShell Exploit de la App… Inyección en DLL… Windows exploit…
26/07/2018
11
Título
Virtual Patching vs Exploit Filter
Vulnerabilidad > Un hoyo de seguridad en un programa
Exploit
> Un programa que toma ventaja de una vulnerabilidad para obtener acceso no autorizado o bloquear accesos a la red, elementos computacionales, Sistemas Operativos o aplicaciones
Firma de Exploit
> Escrita para un exploit específico
> Desarrolladores de filtros frecuentemente son forzados para hacer un diseño básico de filtro para evitar limitaciones de performance.
> Impacto – Omisión de ataques, falsos positivos y riesgo constante por la vulnerabilidad.
Virtual Patching Filter
> Los Filtros de VP cubren la superficie de ataque completa de la vulnerabilidad y no solo de un exploit específico.
> Impacto: Los Filtros actuan como un Parche Virtual de Software y no generan falsos positivos.
Actúa como un Parche Virtual de Software
Filtro Simple Contra Exploit A
Falso Positivo
Superficie de ataque de Vulnerabilidad
Superficie de ataque del Exploit A
Superficie de ataque del Exploit B
(Omitido por la firma para el Exploit
A)
Parche Virtual de Software
Título
Traducir la inteligencia de protección a la seguridad
26/07/2018
12
Título
Descubierta la vulnerabilidad
Zero day
Linea de tiempo tradicional para administración de parches.
Protección contra Ataques
Disponibilización del parche por el
Fabricante
Homologación y pruebas
Início de Implementación
Parche Totalmente
Aplicado
Título
Qué significa esto
(OR have a compensating control that covers you until you can).
Patch the vulnerabilities that are
being exploited in the wild as your
N°. 1 priority.
Make this a key metric to start tracking in your security programs:
26/07/2018
13
Título
16 riesgos que pueden cambiar la dirección de tu estrategia de
ciberseguridad
1
2
3
4
5
6
7
8
Falta de cobertura de seguridad cibernética.
No entender lo que genera los riesgos corporativos de seguridad cibernética.
Falta de una política de seguridad cibernética.
Confundir el cumplimiento con la seguridad cibernética.
El factor humano - el eslabón más débil.
Traiga su propia política de dispositivo (BYOD) y la nube.
Financiación, limitaciones de talento y recursos.
No hay capacitación en seguridad de la información.
9
10
11
12
13
14
15
16
Falta de un plan de recuperación.
Riesgos en constante evolución.
Infraestructura de envejecimiento.
Inflexibilidad corporativa
Falta de responsabilidad.
Dificultad para integrar las fuentes de datos.
Aferrarse a una mentalidad reactiva.
Desconectar el gasto y la implementación.
Título
Síganos en
Digiware @Digiware Digiware Digiware Digiware
Gracias
www.digiware.net