combatiendo la Última generación de malware avanzado infosecurity sa… · rsa lockheed martin...

35
Combatiendo la Última Generación de Malware Avanzado Cómo Sobrevivir a un Ataque por APTs Andrés A. Buendía Ucrós Master Sales Engineer LatinAmerica & Caribbean WatchGuard Technologies, Inc.

Upload: ngoliem

Post on 27-Jun-2018

221 views

Category:

Documents


0 download

TRANSCRIPT

Combatiendo la Última Generación

de Malware AvanzadoCómo Sobrevivir a un Ataque por APTs

Andrés A. Buendía UcrósMaster Sales EngineerLatinAmerica & CaribbeanWatchGuard Technologies, Inc.

Agenda

Qué es una APT?

Linea de Tiempo de una APT

Las APTs Aumentan

Protección Contra Amenazas Avanzadas

Qué es una Amenaza Persistente Avanzada - Advanced

Persistent Threat (APT)?

Una Advanced Persistant

Threat (APT) es un ataque

innovador, de muy alta tecnología,

apalancado para obtener control

prolongado y sigiloso sobre un

objetivo de alto valor político o

comercial.

Tres Atributos:1. Avanzada2. Persistente3. Dirigida

APT: Técnicas Avanzadas de Ataque

Exploits de Día Cero

Malware de Día Cero

Rootkits Avanzados

Evasivos

Objetivo en Sistema Propietarios

Cryptografía Inteligente

Cyber Ataque

Tradicional

Advanced Persistent

Threat

APT: Atacantes y Amenazas Persistentes

Tiempo Dinero Motivación

Cauteloso Silencioso Cubre su Rastro

APT: Objetivos y Metas Específicos

Linea de Tiempo de Amenazas Avanzadas

GhostNet

Operation Aurora

Stuxnet

RSA/Lockheed

Duqu

Flame

Gauss

NYTimes

Adobe

Target

Mar. 2009

Jan. 2010

Jun. 2010

Mar. 2011

Sep.2011 May

2012

Dec. 2013

Jun. 2012

Jan. 2013

2009 2010 2011 2012 2013 2014

Oct. 2013

China-based C&CSpear Phishing

Political Targets

IE 0dayComment Crew (CN)Stole Gmail and Src

Four 0dayPLC Rootkit

Broke Centrifuges

0day Flash Flaw0dayTrojan

Stole SecureID Info

0day Word flawIran, Sudan, SyrianCyber Espionage

0day MS Cert FlawStole IP

Target Iranian Oil

Targeted LebanonUSB LNK Flaw

APT Bank Trojan

152M records0day Coldfusion

Stolen source

China-basedSpear phishing0day malware

40M CCNs0day malwarePartner access

Países / PolíticaCriminal / Privada

Stuxnet: La Caja de Pandora de las APTs

• Cuatro Exploits de Día Cero

• Auto-replicación en la LAN

• Exploit de USB

• Actualización vía P2P

• C&C Cauteloso

• Elimina procesos de seguridad

• Rootkit al kernel de Windows

• Busca Software SCADA (Supervisory Control and Data Acquisition) comoWinCC y Step7

• Fingerprints del Sitema ICS (Incident Command System) de Siemens

• Primer rootkit para PLC (Programmable Logic Controler)

• Finalmente, interrumpe el programa de enriquecimiento de uranio de Iran

Técnicas de Goteo de APT

Zeus copia el 0day de Stuxnet

Los criminales usan malware 0day (Cryptolocker)

Zeus usa certificados robados

Spear phishing de los criminales

Los criminales atacan por goteo

Hoy, el malware criminal normal

explota las mismas tacticasavanzadas que las APTs dirigidas a

Naciones o Paises. Todas lasorganizaciones están en riesgo con las

amenazas avanzadas!

La Violación a Target

• Penetrado en Nov. 15, 2013

• Revelado en Dec. 18, 2013

• 40 Millones de TCs robadas (Track 1 & 2 data)

• Los atacantes capturaron los PINs encriptados

• 70 Millones de records personales robados

• Malware 0day de POS (variante BlackPOS)

• FTP para sacar la data

• Credenciales del partner de AC utilizadas

• Inició con un mail de spear phishing

• Target ignoró las alertas de violación

Amenazas Avanzadas Recientes

• Comisión de Regulación Nuclear US

– Tres ataques avanzados en tres años

– Spear phishing siempre como punto de entrada

• Malware para POS

– 1.000 industrias infectadas desde 10/2013

– Variantes de la misma amenaza

• Últimos robos de data

– UPS: 51 tiendas infectadas en 26 estados

– Home Depot: 2200 tiendas infectadas

– Antivirus tradicional no bloquea malware POS

Cómo Entran las Amenazas Avanzadas?

Spear Phishing

Goteo

Cadena de Confianza

RSA

Lockheed Martin

US DoD?

Evolución del Phishing

Spear Phishing ModernoAntiguo Phishing Básico

Defensa Contra las

Amenazas

Avanzadas

Las Amenazas Avanzadas Requieren Defensa a Profundidad

Las amenazas avanzadas, por definición, utilizan multiples vectores de ataque.

La defensa individual no protegecompletamente contra ataques por APTs

Firewall

Intrusion Prevention System

AntiVirus

AntiSpam

Reputation Services

APT Protection

Entre más niveles de seguridad se

tengan, mayor chance de detectar y bloquear una APT.

El AntiMalware Tradicional NO es Suficiente!

*Malwise - An Effective and Efficient Classification System for Packed and Polymorphic Malware, Deakin University, June 2013

Cerca del 88% del malware

muta para evadir las

soluciones de antivirus

basadas en firmas*

Curva de Amenaza de Día Cero

AV OS / Application SandBox

Malware And Virus Detection

Hardware:

Hyper Visor:

Guest OS:

Qué es un Sandbox?

APT Blocker: Sandbox de Ejecución Virtual

Virtualiza el sistema completo de la víctima

Ejecuta el contenido desconocido en un ambiente protegido

Analiza el comportamiento

Detecta técnicas de evasión de sandbox

Rastrea malware adicional y C&Cs

APT Blocker: La Evasión no lo Engaña

• La detección de evasión es crítica

APT Blocker Detecta el Nuevo Malware

• Identifica y envía los archivossospechosos al sistema completo de emulación de sandbox de últimageneración, basado en la nube o local los archivos sospechosos

• Provee visibilidad en tiempo real y protección inmediata

• Analiza exhaustivamente los archivos(Ejecutables, documentos de Office, PDFs, APKs de Android)

• Detecta Malware de Día Cero

• Escalable; inspecciona millones de objetos simultáneamente

• No es engañado por técnicas de evasión

21

Y Quién es LastLine?

WatchGuard Firebox Provee Defensa en Profundidad

AntiVirus

URL Filtering

AntiSpam

IPS

App Control

Data Loss Prevention

APT

WatchGuard Architecture

3 Year EffortDelivered the most flexible

architecture / platform for UTM

Highest PerformanceLeading UTM performance at

each price point

Management ConsoleWatchGuard Dimension™ brings

powerful visualization tools to

network security

UTM Firmware Spanning across all hardware

platforms

Modular Structure To support “vendor agnostic”

strategy

Hardware:Multiple CPU partners for best

fit to specific product line

Software:Always Best-of-Breed software

components, with speedy

integration

Platform

Las Organizaciones no ven las Violaciones

En promedio, las violaciones toman

80 días para ser descubiertas (y 123 paraser eliminadas)

Los logs solamente representan el1% en el descubrimientos de las

violaciones

Gap between data

collection & security

24 | Copyright 2013

Océanos de Información

• Practicamente imposible identificar

problemas

• El personal de IT y Network

Security no pueden realizar un

buen trabajo

– Imposibilidad de decisión

– Carencia de conformidad con las

regulaciones

– Defensas y seguridad muy

pobres

Data in itself is not valuable at all. The value is in the

analyses done on that data and how the data is turned

into information and eventually turning it into

knowledge.

—Mark van Rijmenam

Qué tanto sabe acerca

de lo que está

ocurriendo con su

seguridad de red?

Cuál es el Problema? Visibilidad

*Read the SANS Institute Research here.Or browse to https://www.sans.org/press/survey-results-in-analytics-and-intelligence-being-used-but-not-effectively.php

26 | Copyright 2013

Visibilidad es DefensaLas organizaciones líderes utilizan nuevas

herramientas para analizar la data,

identificar patrones y tomar mejores

decisiones.

Por qué no hacerlo igual con la

seguridad?

27

WatchGuard Dimension entrega visibilidad de Big Data para

la seguridad de red

El Poder de la Visibilidad

Visibilidad es Defensa

WatchGuard DimensionBETTER VISIBILITY, STRONGER SECURITY

Identify the user

that is taking all

of the bandwidth

Identifica los usuarios

y aplicaciones que

consumen el ancho

de banda

WatchGuard DimensionBETTER VISIBILITY, STRONGER SECURITY

Identifica

violaciones a las

políticas

En Resumen

Tres Lineas de Defensa

Defensa a Profundidad

Protección contra Malware Avanzado

Herramientas de Visibilidaden Seguridad

Concientización de Usuarios

Servicios de Reputación

Control de Aplicaciones

Logs Gráficos

Filtro de Contenido

IPS

Antivirus

Firewall

NOTHING GETS PAST RED.