• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
 

Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY

on

  • 569 views

 

Statistics

Views

Total Views
569
Views on SlideShare
569
Embed Views
0

Actions

Likes
0
Downloads
9
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY Presentation Transcript

    • Prevención de Ataques Día-0 conAranda 360 ENDPOINT SECURITYANDREZ LAMOUROUX S.Security Solutions Manager LATAM
    • Virus Desconocidos  Más de 20 millones de nuevos códigos maliciosos en 2010.  55.000 nuevas variantes por día aproximadamente.  La tasa de propagación puede exceder los 180.000 PC’s por día.  El tiempo promedio de respuesta de un fabricante de antivirus es de más de 13 horas.  Compañías encuestadas pagaron en promedio US$289.000 en 2008 por problemas de seguridad*.* Fuente : CSI Computer Crime and Security Survey 2009
    • Deficiencias de las soluciones actualesTipo de Producto Antivirus Firewall Personal RPV (red privada virtual “VPN”) Tecnología  Filtro de red  Autenticación y  Unión de patrones encripción Objetivo  Detener virus y  Detener las intromisiones a la red  Protección de spam comunicación remota Limitación  Amenazas  Ataques  Sistemas corruptos desconocidas sigilosos Las soluciones de seguridad actuales no ofrecen la protección suficiente. ¡Su negocio se encuentra en riesgo!
    • Ataque de Día-0• Es una amenaza informática que trata de explotar las vulnerabilidades de aplicaciones que son desconocidos para otros que no se han dado a conocer al desarrollador del software.• Los exploits de día cero (código actual que puede utilizar un agujero de seguridad para llevar a cabo un ataque) son utilizados o compartidos por los atacantes antes de que el desarrollador de software sepa acerca de la vulnerabilidad.
    • Vectores de Ataque• Sitios Web Falsos: El código en el sitio puede explotar una vulnerabilidad en el navegador web.• Archivos adjuntos en correo: Aprovechan las vulnerabilidades de la aplicación (Office, Adobe Reader/Flash, etc.)• Malware: Toma ventaja de los exploits para comprometer sistemas, robar información, robar identidad.
    • Ventana de Vulnerabilidad• El desarrollador crea software que contiene una vulnerabilidad (desconocida).• El atacante encuentra la vulnerabilidad antes de que el desarrollador la descubra.• El atacante escribe y distribuye un exploit de la vulnerabilidad. El desarrollador aun desconoce la vulnerabilidad.• El desarrollador encuentra la vulnerabilidad y comienza a trabajar en una solución.
    • Demos
    • Vulnerabilidad Remote Desktop ProtocolVulnerabilidad Ataque• Remote Desktop Protocol (RDP) de • Este módulo explota la Microsoft Windows (XP SP3, 2003, vulnerabilidad MS12-20 RDP Vista, 2008 SP2, R2 y R2 SP1, y originalmente descubierta y Windows 7 no procesa reportada por Luigi Auriemma. correctamente los paquetes en la • La falla se puede encontrar en la memoria. forma en que el• Permite a atacantes remotos paquete T.125 ConnectMCSPDU es ejecutar código arbitrario mediante manejado en el el envío de paquetes especiales campo maxChannelIDs, lo que RDP disparando el acceso a un resultará que un puntero no objeto que (1) no se ha válido sea utilizado, y por lo inicializado correctamente o (2) es tanto, causando una denegación de eliminado. servicio.
    • Vulnerabilidad MSCOMCTL.OCXVulnerabilidad Ataque• Los controles ActiveX • En este módulo aprovecha un (1) ListView (2) ListView2, (3) TreeVie desbordamiento de búfer en w, y (4) TreeView2 los controles en MSCOMCTL.OCX. MSCOMCTL.OCX en los controles • Utiliza un archivo RTF malicioso para comunes de Microsoft Office 2003 incrustar un control especialmente SP3, 2007 SP2 y SP3 y otros, permiten diseñado a atacantes remotos ejecutar código (MSComctlLib.ListViewCtrl.2). arbitrario a través de (a) sitio web • Esta cadena utiliza "msgr3en.dll", elaborado, (b) documento de que se cargará después de la Office, o (c) archivo .rtf que dispara oficina se cargará después de la carga una corrupción “system state“. de Office, por lo que el archivo• También conocido como malicioso debe ser cargado a través “Vulnerabilidad de "Archivo / Abrir" para lograr la MSCOMCTL.OCX RCE“. explotación.
    • Vulnerabilidad Adobe Flash PlayerVulnerabilidad Ataque• Las versiones de Adobe Flash • Este módulo aprovecha Player anteriores a versiones una vulnerabilidad en Adobe Flash 10.3.183.15, 11.1.102.62 11.x en Player. Windows, Mac OS X, Linux y Solaris, • Proporcionando un archivo corrupto anteriores a versión 11.1.111.6 en .mp4 cargado por Flash, es posible Android 2.x y 3.x, y anteriores a obtener la ejecución arbitraria de versión 11.1.115.6 en código remoto en el contexto del Android 4.x permite a los usuario. atacantes ejecutar código arbitrario o • Esta vulnerabilidad ha sido causar una denegación de explotada ampliamente como parte servicio (corrupción de memoria) a del ataque de correo electrónico través de vectores no especificados. “Iran’s Oil Nuclear Situation.doc”.
    • Protección de Día-0• Protección limitada contra vulnerabilidades genéricas de corrupción de memoria.• Mitigación de desbordamientos de memoria (Buffer Overflow).• Protección de Múltiples Capas: – ACL (Listas de Control de Acceso) – NAC (Control de Acceso a la Red) – Firewall• Análisis Conductual: – MD5 Checksums – Perfil de Comportamiento
    • Aranda 360 ENDPOINT SECURITYSolución de seguridad y protección de múltiplescapas que permite controlar y reforzar políticasde seguridad de forma dinámica y sencilla enlos puntos finales de la red corporativa. Aranda 360 proporciona la oferta de seguridad más proactiva y de mejor desempeño en el mercado.
    • Aranda 360 SYSTEM PROTECTION Sistema de Prevención de Intrusos (HIPS)  Protección contra software dañino (gusanos, troyanos y virus).  Prevención de ataques de Dia-0  Prevención de ataques de desbordamientos de memoria Firewall Dinámico (Dynamic Firewall)  Firewall integrado al kernel de Windows  Filtrado de tráfico de red (MAC, IP, Protocolo IP/TCP, Puertos) Control de Aplicaciones (Application Control)  Control de instalación y ejecución de aplicaciones  Administración de listas blancas y listas negras  Control centralizado de archivos y procesos activos del sistema
    • Aranda 360 SYSTEM PROTECTION Control de Acceso a la Red (Network Access Control)  Verificación de procesos activos del sistema  Aplicación de políticas de cuarntena  Ejecución de scripts para la solución de problemas  Verificación de actualizaciones de firmas y parches (Antivirus) Políticas para Usuarios Móviles  Definición de políticas contextuales de seguridad  Políticas de acuerdo al sitio o tipo de conexión  Desactivación segura y remota del agente
    • Ventajas Competitivas• Protección de capas múltiples y basada en análisis conductual – Ningún otro producto tiene esto – No depende de actualizaciones de firmas como los AV.• Verdadera integración de un único Agente/Consola – No es integración a nivel de PDFs de partes y piezas adquiridas• El agente mas pequeño y de menor consumo de recursos en el mercado• Nivel de granularidad en los módulos sin comparación
    • Protección Conductual vs. Basada en Firmas• La mayoría de los productos de seguridad endpoint se basan en protecciones mediante firmas. – Antivirus Estándar • Symantec, McAfee, Sophos, ESET, Kaspersky, etc. – Control de Aplicaciones • Productos de Listas Negras/Blancas como Bit9 – Productos basados en reputación • Symantec Quorum (Norton Insight)
    • Protección Conductual de Aranda 360Si la protección basada en firmas no es la respuestaentonces que lo es?• Las capacidades HIPS de Aranda 360 han eclipsado otras ofertas competitivas: – Protección de 3ª generación contra desbordamientos de memoria con 5 capas de colaboración y protección integradas (ASLR, Nx/Xd, Backtracing, Honeypot y ret-lib-c) – Profunda protección contra Rootkits – Completo control a nivel del kernel – Verificación por tipo de archivo en USB/CD/DVD
    • Protección Conductual de Aranda 360Si la protección basada en firmas no es la respuestaentonces que lo es?• Control de Aplicaciones – Aranda 360 puede ser utilizado en ambos modos para el control de aplicaciones, archivos, acceso al red y acceso al registro. – Bloqueo de instalación de software – Relaciónes de confianza con Aranda SOFTWARE DELIVERY, Microsoft SMS o LanDesk para permitir despliegue de nuevas aplicaciones.• Protección contra ataques al kernel mediante la detección y bloqueo de instalación de Rootkits
    • Protección Multicapas de Aranda 360Si la protección basada en firmas no es la respuestaentonces que lo es?• Prevención de Intrusiones en la Red – IPS que verifica la integridad de los paquetes basándose en los RFC de todos lo protocolos del modelo TCP/IP (Ethernet, IP, TCP, UDP, ICMP) – Aranda 360 puede ser utilizado en ambos modos para el control de aplicaciones, archivos, acceso al red y acceso al registro.• Detección y bloqueo de mecanismos de intrusión en la red – Análisis de puertos – Envenenamiento ARP – Denegación de Servicio (DOS) – Inundaciones IP
    • El tamaño del Agente SI importa!• Agente basado en el kernel diseñado para minimizar el impacto: – Agente Premium (todos los módulos) pesa menos de 25 MB. – Instalador MSI del Agente pesa 12 MB – El Agente utiliza menos de 15 MB de memoria RAM bajo condiciones normales de operación – No más de 5% de CPU en condiciones normales.
    • • Preguntas?
    • andrez.lamouroux@arandasoft.com@DarkOperator