• Save
Anatomia malware moderno angel serrano palo_altonetworks
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Anatomia malware moderno angel serrano palo_altonetworks

  • 1,016 views
Uploaded on

Presentación “Anatomía del malware moderno” de Angel Serrano, Ingeniero de Preventa de Palo Alto Networks Iberia en la XIII Jornada de Seguridad TI de Nextel S.A.

Presentación “Anatomía del malware moderno” de Angel Serrano, Ingeniero de Preventa de Palo Alto Networks Iberia en la XIII Jornada de Seguridad TI de Nextel S.A.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,016
On Slideshare
1,015
From Embeds
1
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
1

Embeds 1

http://marketingritxi3.blogspot.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Anatomía del Malware Moderno Angel Serrano aserrano@paloaltonetworks.com
  • 2. Mitología en las brechas de seguridad
  • 3. Invertimos en proteger nuestros datacenters
  • 4. En raras ocasiones el datacenter es atacado directamente
  • 5. Ya no hay tanto escaneo de vulnerabilidades
  • 6. El nuevo atacante
  • 7. El nuevo atacante no es un “friki” aburrido
  • 8. Se trata de naciones y crimen organizado,con objetivos económicos en muchos casos
  • 9. Cómo funcionan las brechas de seguridad en 2011
  • 10. Primer paso: crear un cebo atractivo para el usuario final
  • 11. Primer paso: cebo para el usuario final Lanzamiento del phishing
  • 12. Primer paso: cebo para el usuario final
  • 13. Segundo paso: se explota una vulnerabilidad
  • 14. Tercer paso: se descarga una backdoor
  • 15. Cuarto paso: se establece un canal trasero
  • 16. Quinto paso: explorar y robar
  • 17. Deteniendo el malware moderno en práctica: WildFire
  • 18. La protección es necesaria en todas las fases Canal Cebo Exploit Backdoor Robo Trasero
  • 19. Protección para el cebo • Bloquear aplicaciones innecesarias• Controlar transferencias de ficheros por usuarios,aplicaciones y tipo de fichero• Bloquear acceso a URLs de Malware
  • 20. Protección de exploits • Descubrir las vulnerabilidades antes que los chicosmalos• Firmas para el IPS de las nuevas vulnerabilidades
  • 21. Protección de descargas • Firmas Anti-Malware disponibles para toda la comunidad dentro de la primera hora desde el descubrimiento• Control de descargas para HTTP/S
  • 22. Protección de puertas traseras • Bloquear tráfico de aplicaciones desconocidas• Usar heurísticas para detectar comunicaciones por puertas traseras• C&C firmas disponibles para el nuevo malware descubierto
  • 23. Protección contra el robo • Segmentación de la red• Controles de acceso a los datos por usuario y aplicación
  • 24. Retos actualesLos ficheros infectados Incapacidad de reconocerestán ocultos ficheros con malware• Dentro de las aplicaciones • Malware focalizado• A través de tráfico cifrado, proxies • Malware nuevo, desconocido• Sobre puertos no estándar •Mucho tiempo hasta protección• Drive-by-downloads Puntos de control no fiables • Las sandboxes no son el punto de control, mientras que los puntos (fws)carecen de la inteligencia de la sandbox • Falta de control para tráfico saliente
  • 25. WildFire en acción Comparación fich. conocidos Entorno Sandbox Generador de Firmas Portal Web AdministraciónFicheros Las firmas sedesconocidos El Firewall sirven a TODOSdesde Internet sube el los Firewalls a fichero a la través de nube updates WildFire regulares. El portal ofrece análisis forense.
  • 26. WildFire en acción• Identifica el malware desconocido a través de la observación directa, en una sandbox virtual en la nube – Detecta más de 70 comportamientos maliciosos – La captura y la protección la realiza el firewall – El análisis realizado en la nube elimina la necesidad de adquirir hardware nuevo y proporciona un punto central de visibilidad• Automáticamente genera firmas para el malware identificado – Ficheros de infección y command-and-control – Distribuye las firmas a todos los firewalls a través de updates regulares• Proporciona análisis forense sobre el comportamiento del malware – Acciones realizadas sobre la máquina objetivo – Aplicaciones, usuarios y URLs relacionadas con el malware
  • 27. WildFire en acciónEs necesario un AnálisisNGFW Centralizado• Debe decodificar las • Inteligencia y protección apps para buscar compartido con TODOS ficheros ocultos los firewalls• Debe controlar el SSL, • Sin necesidad de y las tácticas evasivas reevaluar ficheros• Aplicación en línea y • Actualizar fácilmente la bloqueo del tráfico lógica de detección C&C • Sin necesidad de utilizar nuevo hardware✓ ✓ ✓ ✓ ✓
  • 28. Estadísticas WildFire durante la fase Beta• WildFire recibió 35.387 muestras y más del 7% fue clasificado como malware (unas 2.500)• De este malware, el 57% no tenía cobertura por ningún fabricante de AV, ni había sido visto por Virus Total en el momento del descubrimiento (unos 1.400)• Hotfile y AIM-Mail tuvieron una actividad malware muy alta, con un ratio de ficheros infectados de 10:1 frente a los limpios• El 15% del malware nuevo generó tráfico desconocido
  • 29. Conclusión: la protección frente al malware avanzado es tarea de un next generation firewall
  • 30. ¡Gracias por su atención!