Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY

  • 300 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
300
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
10
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Prevención de Ataques Día-0 conAranda 360 ENDPOINT SECURITYANDREZ LAMOUROUX S.Security Solutions Manager LATAM
  • 2. Virus Desconocidos  Más de 20 millones de nuevos códigos maliciosos en 2010.  55.000 nuevas variantes por día aproximadamente.  La tasa de propagación puede exceder los 180.000 PC’s por día.  El tiempo promedio de respuesta de un fabricante de antivirus es de más de 13 horas.  Compañías encuestadas pagaron en promedio US$289.000 en 2008 por problemas de seguridad*.* Fuente : CSI Computer Crime and Security Survey 2009
  • 3. Deficiencias de las soluciones actualesTipo de Producto Antivirus Firewall Personal RPV (red privada virtual “VPN”) Tecnología  Filtro de red  Autenticación y  Unión de patrones encripción Objetivo  Detener virus y  Detener las intromisiones a la red  Protección de spam comunicación remota Limitación  Amenazas  Ataques  Sistemas corruptos desconocidas sigilosos Las soluciones de seguridad actuales no ofrecen la protección suficiente. ¡Su negocio se encuentra en riesgo!
  • 4. Ataque de Día-0• Es una amenaza informática que trata de explotar las vulnerabilidades de aplicaciones que son desconocidos para otros que no se han dado a conocer al desarrollador del software.• Los exploits de día cero (código actual que puede utilizar un agujero de seguridad para llevar a cabo un ataque) son utilizados o compartidos por los atacantes antes de que el desarrollador de software sepa acerca de la vulnerabilidad.
  • 5. Vectores de Ataque• Sitios Web Falsos: El código en el sitio puede explotar una vulnerabilidad en el navegador web.• Archivos adjuntos en correo: Aprovechan las vulnerabilidades de la aplicación (Office, Adobe Reader/Flash, etc.)• Malware: Toma ventaja de los exploits para comprometer sistemas, robar información, robar identidad.
  • 6. Ventana de Vulnerabilidad• El desarrollador crea software que contiene una vulnerabilidad (desconocida).• El atacante encuentra la vulnerabilidad antes de que el desarrollador la descubra.• El atacante escribe y distribuye un exploit de la vulnerabilidad. El desarrollador aun desconoce la vulnerabilidad.• El desarrollador encuentra la vulnerabilidad y comienza a trabajar en una solución.
  • 7. Demos
  • 8. Vulnerabilidad Remote Desktop ProtocolVulnerabilidad Ataque• Remote Desktop Protocol (RDP) de • Este módulo explota la Microsoft Windows (XP SP3, 2003, vulnerabilidad MS12-20 RDP Vista, 2008 SP2, R2 y R2 SP1, y originalmente descubierta y Windows 7 no procesa reportada por Luigi Auriemma. correctamente los paquetes en la • La falla se puede encontrar en la memoria. forma en que el• Permite a atacantes remotos paquete T.125 ConnectMCSPDU es ejecutar código arbitrario mediante manejado en el el envío de paquetes especiales campo maxChannelIDs, lo que RDP disparando el acceso a un resultará que un puntero no objeto que (1) no se ha válido sea utilizado, y por lo inicializado correctamente o (2) es tanto, causando una denegación de eliminado. servicio.
  • 9. Vulnerabilidad MSCOMCTL.OCXVulnerabilidad Ataque• Los controles ActiveX • En este módulo aprovecha un (1) ListView (2) ListView2, (3) TreeVie desbordamiento de búfer en w, y (4) TreeView2 los controles en MSCOMCTL.OCX. MSCOMCTL.OCX en los controles • Utiliza un archivo RTF malicioso para comunes de Microsoft Office 2003 incrustar un control especialmente SP3, 2007 SP2 y SP3 y otros, permiten diseñado a atacantes remotos ejecutar código (MSComctlLib.ListViewCtrl.2). arbitrario a través de (a) sitio web • Esta cadena utiliza "msgr3en.dll", elaborado, (b) documento de que se cargará después de la Office, o (c) archivo .rtf que dispara oficina se cargará después de la carga una corrupción “system state“. de Office, por lo que el archivo• También conocido como malicioso debe ser cargado a través “Vulnerabilidad de "Archivo / Abrir" para lograr la MSCOMCTL.OCX RCE“. explotación.
  • 10. Vulnerabilidad Adobe Flash PlayerVulnerabilidad Ataque• Las versiones de Adobe Flash • Este módulo aprovecha Player anteriores a versiones una vulnerabilidad en Adobe Flash 10.3.183.15, 11.1.102.62 11.x en Player. Windows, Mac OS X, Linux y Solaris, • Proporcionando un archivo corrupto anteriores a versión 11.1.111.6 en .mp4 cargado por Flash, es posible Android 2.x y 3.x, y anteriores a obtener la ejecución arbitraria de versión 11.1.115.6 en código remoto en el contexto del Android 4.x permite a los usuario. atacantes ejecutar código arbitrario o • Esta vulnerabilidad ha sido causar una denegación de explotada ampliamente como parte servicio (corrupción de memoria) a del ataque de correo electrónico través de vectores no especificados. “Iran’s Oil Nuclear Situation.doc”.
  • 11. Protección de Día-0• Protección limitada contra vulnerabilidades genéricas de corrupción de memoria.• Mitigación de desbordamientos de memoria (Buffer Overflow).• Protección de Múltiples Capas: – ACL (Listas de Control de Acceso) – NAC (Control de Acceso a la Red) – Firewall• Análisis Conductual: – MD5 Checksums – Perfil de Comportamiento
  • 12. Aranda 360 ENDPOINT SECURITYSolución de seguridad y protección de múltiplescapas que permite controlar y reforzar políticasde seguridad de forma dinámica y sencilla enlos puntos finales de la red corporativa. Aranda 360 proporciona la oferta de seguridad más proactiva y de mejor desempeño en el mercado.
  • 13. Aranda 360 SYSTEM PROTECTION Sistema de Prevención de Intrusos (HIPS)  Protección contra software dañino (gusanos, troyanos y virus).  Prevención de ataques de Dia-0  Prevención de ataques de desbordamientos de memoria Firewall Dinámico (Dynamic Firewall)  Firewall integrado al kernel de Windows  Filtrado de tráfico de red (MAC, IP, Protocolo IP/TCP, Puertos) Control de Aplicaciones (Application Control)  Control de instalación y ejecución de aplicaciones  Administración de listas blancas y listas negras  Control centralizado de archivos y procesos activos del sistema
  • 14. Aranda 360 SYSTEM PROTECTION Control de Acceso a la Red (Network Access Control)  Verificación de procesos activos del sistema  Aplicación de políticas de cuarntena  Ejecución de scripts para la solución de problemas  Verificación de actualizaciones de firmas y parches (Antivirus) Políticas para Usuarios Móviles  Definición de políticas contextuales de seguridad  Políticas de acuerdo al sitio o tipo de conexión  Desactivación segura y remota del agente
  • 15. Ventajas Competitivas• Protección de capas múltiples y basada en análisis conductual – Ningún otro producto tiene esto – No depende de actualizaciones de firmas como los AV.• Verdadera integración de un único Agente/Consola – No es integración a nivel de PDFs de partes y piezas adquiridas• El agente mas pequeño y de menor consumo de recursos en el mercado• Nivel de granularidad en los módulos sin comparación
  • 16. Protección Conductual vs. Basada en Firmas• La mayoría de los productos de seguridad endpoint se basan en protecciones mediante firmas. – Antivirus Estándar • Symantec, McAfee, Sophos, ESET, Kaspersky, etc. – Control de Aplicaciones • Productos de Listas Negras/Blancas como Bit9 – Productos basados en reputación • Symantec Quorum (Norton Insight)
  • 17. Protección Conductual de Aranda 360Si la protección basada en firmas no es la respuestaentonces que lo es?• Las capacidades HIPS de Aranda 360 han eclipsado otras ofertas competitivas: – Protección de 3ª generación contra desbordamientos de memoria con 5 capas de colaboración y protección integradas (ASLR, Nx/Xd, Backtracing, Honeypot y ret-lib-c) – Profunda protección contra Rootkits – Completo control a nivel del kernel – Verificación por tipo de archivo en USB/CD/DVD
  • 18. Protección Conductual de Aranda 360Si la protección basada en firmas no es la respuestaentonces que lo es?• Control de Aplicaciones – Aranda 360 puede ser utilizado en ambos modos para el control de aplicaciones, archivos, acceso al red y acceso al registro. – Bloqueo de instalación de software – Relaciónes de confianza con Aranda SOFTWARE DELIVERY, Microsoft SMS o LanDesk para permitir despliegue de nuevas aplicaciones.• Protección contra ataques al kernel mediante la detección y bloqueo de instalación de Rootkits
  • 19. Protección Multicapas de Aranda 360Si la protección basada en firmas no es la respuestaentonces que lo es?• Prevención de Intrusiones en la Red – IPS que verifica la integridad de los paquetes basándose en los RFC de todos lo protocolos del modelo TCP/IP (Ethernet, IP, TCP, UDP, ICMP) – Aranda 360 puede ser utilizado en ambos modos para el control de aplicaciones, archivos, acceso al red y acceso al registro.• Detección y bloqueo de mecanismos de intrusión en la red – Análisis de puertos – Envenenamiento ARP – Denegación de Servicio (DOS) – Inundaciones IP
  • 20. El tamaño del Agente SI importa!• Agente basado en el kernel diseñado para minimizar el impacto: – Agente Premium (todos los módulos) pesa menos de 25 MB. – Instalador MSI del Agente pesa 12 MB – El Agente utiliza menos de 15 MB de memoria RAM bajo condiciones normales de operación – No más de 5% de CPU en condiciones normales.
  • 21. • Preguntas?
  • 22. andrez.lamouroux@arandasoft.com@DarkOperator