SlideShare a Scribd company logo

Hispasec defensa virus

Download as PPT, PDF
M
Marcos Gallegos
1 of 59
Defensa en profundidad contra software malintencionado (Virus)  Jose Parada (Evangelista Técnico Microsoft)  Antonio Ropero (Hispasec)  Bernardo Quintero (Hispasec)
Requisitos previos para la sesión Conocimientos básicos de los fundamentos de la seguridad de las redes Conocimientos básicos de los conceptos relativos a software malintencionado Conocimientos básicos sobre soluciones antivirus Nivel 300
Información general de la sesión Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
Tipos y características del software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
Software malintencionado: la familia del malware Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario. Tipos de malware ampliación  Spyware definición clásica  Backdoors  Virus  Keyloggers  Gusanos evolución  Dialers  Troyanos  RootKits  Bombas lógicas  Exploits …
Tipos de malware: Virus Virus: programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo. Ejemplo Virus CIH (alias Chernobil)  desarrollado en 1998, en ensamblador, tamaño 1Kb  afecta a plataforma Windows 9x  infecta archivos Windows PE (Portable Executable)  residente en memoria  día 26 sobreescribe disco duro y flash-BIOS  más de 30 variantes
Tipos de malware: Gusano Gusano: programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas. Ejemplos Gusano Netsky  distribuye por e-mail, redes P2P, y redes locales  falsea dirección remitente  doble extensión, terminando en .com, .exe, .pif o .scr Gusano Sasser  no necesita la acción del usuario para infectar  desbordamiento de buffer en LSSAS (Win 2000/XP)  explotación automática a través del puerto TCP/445
Tipos de malware: Troyano Troyano: aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos. Troyano AIDS (1989) Ejemplo  distribución por correo postal en un disquete  programa con información sobre SIDA  tras varios inicios de sistema, aparecía el troyano  cifraba el disco duro e impedía al usuario acceder  solicitaba pago al usuario para llave de descifrado Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano.
Tipos de malware: Backdoor Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima. Ejemplo Backdoor BackOrifice módulo cliente (atacante) y módulo servidor (víctima) servidor .exe por defecto abre puerto TCP/31337 atacante obtiene control total sobre la víctima lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.
Tipos de malware: Spyware, Dialer, Keylogger,... Spyware: recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario. Dialer: realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica. Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas.. Adware: muestra anuncios o abre páginas webs no solicitadas. Exploit: programas que aprovecha una vulnerabilidad.
Tipos de malware: combinados Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías. Ejemplo Lamin.B  virus polimórfico infecta ejecutables Windows PE  gusano que se distribuye por redes locales  incluye función keylogger  backdoor permite control remoto Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor.
Nomenclatura en la identificación del software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
Nomenclatura en la identificación del software malintencionado Prefijo + Nombre + Variante + sufijo Ejemplo W32/Klez.H@MM  Prefijo W32 afecta a plataformas Windows 32bits  Nombre Klez nombre dado al espécimen  Variante h existen al menos 7 versiones anteriores (a, b,c d,…)  Sufijo @MM gusano de propagación masiva por correo electrónico
Nomenclatura en la identificación del software malintencionado Prefijos y sufijos más comunes W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke broma @mm se propaga por e-mail de forma masiva
Nomenclatura en la identificación del software malintencionado
Nomenclatura en la identificación del software malintencionado
Nomenclatura en la identificación del software malintencionado
Técnicas comunes empleadas por las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
Técnicas comunes empleadas por las soluciones antivirus Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware. 20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C 21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A 23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE 24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81 Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua
Técnicas comunes empleadas por las soluciones antivirus Detección por localización y nombre de archivo
DEMO
Técnicas comunes empleadas por las soluciones antivirus Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus Detección por heurística
Técnicas comunes empleadas por las soluciones antivirus Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus Detección por emulación
Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento
DEMO
Técnicas comunes empleadas por las soluciones antivirus Otros enfoques Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.
Limitaciones de las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
Limitaciones de las soluciones antivirus Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Creación del malware Actualización del AV del usuario Distribución Publicación actualización Infección de las primeras víctimas Desarrollo firma y pruebas Reporte a los laboratorios AV Análisis del malware
Limitaciones de las soluciones antivirus Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware
DEMO
Elección de la solución antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
Elección de las soluciones antivirus Elementos que distorsionan (a ignorar) Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) “Consultores” (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados)
DEMO
Elección de las soluciones antivirus Elementos a tener en cuenta Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas
Elección de las soluciones antivirus
Defensa contra software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
Defensa contra el software malintencionado Origen de infecciones Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)
Defensa contra el software malintencionado Visión actual en la prevención
Defensa contra el software malintencionado Agente fundamental en la prevención real Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones
Defensa en clientes contra el software malintencionado Se debe tender a un equilibrio
Defensa contra el software malintencionado Factor humano Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad
Defensa contra el software malintencionado Factor S.O. y aplicaciones Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup
Defensa contra el software malintencionado Soluciones de seguridad y antimalware Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad
DEMO
Preguntas y respuestas
Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado Tipo de Escenario Solución usuario Usuario Todos los escenarios Windows independiente Update Sin servidores de Windows Windows Update Organización pequeña Al menos un servidor Windows 2000 o una versión más reciente y un MBSA y SUS administrador de IT Desea una solución de administración de actualizaciones con un control básico que MBSA y SUS Empresa actualice Windows 2000 y las versiones más de tamaño recientes de Windows mediano a grande Desea una solución de administración de actualizaciones flexible con un mayor control SMS para actualizar y distribuir todo el software
Descripción de las ventajas de Software Update Services (SUS) Permite que los administradores tengan un control básico de la administración de las actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft
Funcionamiento de SUS Internet Windows Update Servidor SUS secundario Equipos cliente Servidor SUS primario Equipos cliente
Demostración 1: Configuración de Software Update Services para implementar actualizaciones de seguridad Configurar Software Update Services para implementar actualizaciones de seguridad
Configuración de aplicaciones para proteger los equipos cliente Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son: Aplicaciones de clientes de correo electrónico Aplicaciones de escritorio Aplicaciones de mensajería instantánea Exploradores Web Aplicaciones de igual a igual
Administración de la seguridad de Internet Explorer Característica Descripción de seguridad Mejoras de la Comprobaciones de coherencia seguridad de MIME Reglas más estrictas Características de control y administración de complementos Mejor administración Mensajes más descriptivos de la seguridad Nuevas restricciones de Windows iniciadas mediante secuencias de comandos Zona Equipo local Capacidad para controlar la seguridad en la zona Equipo local Configuración de la zona Rastreo de MIME de seguridad Control de Elevación de la seguridad características Restricciones de Windows Configuración de Control administrativo de las zonas de seguridad directivas de grupo Control de características
Demostración 2: Configuración de aplicaciones basadas en el cliente Configurar las aplicaciones cliente para la defensa contra software malintencionado
Bloqueo de aplicaciones no autorizadas con directivas de restricción de software Las directivas de restricción de software: Se pueden utilizar para: • Combatir virus Se pueden aplicar a las siguientes reglas: • Controlar las descargas de ActiveX Hash • Ejecutar sólo secuencias de • Certificado comandos firmadas • Ruta de acceso • Asegurarse de que se • Zona instalan las aplicaciones autorizadas • Bloquear equipos Se pueden establecer como: Ilimitado No permitido
Demostración 3: Uso de directivas de restricción de software Crear y probar una directiva de restricción de software
Nuevas características de seguridad de Firewall de Windows  Activado de forma  Activado sin excepciones predeterminada  Seguridad en tiempo  Lista de excepciones de Firewall de Windows de inicio del sistema Configuración global  Perfiles múltiples  y restauración de la configuración  Compatibilidad con RPC predeterminada  Se puede realizar una instalación desatendida  Restricciones de subred local  Posibilidad comandos la línea de de usar
Configuración de Firewall de Windows para la defensa de los programas antivirus

Recommended

El top 10 de los antivirus 2012
El top 10 de los antivirus 2012El top 10 de los antivirus 2012
El top 10 de los antivirus 2012Jerson Shampier Rosales Lostaunau
 
Módulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESETMódulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESETJesús Daniel Mayo
 
Fire eye mas_ds
Fire eye mas_dsFire eye mas_ds
Fire eye mas_dsIlyanna
 
Evolución del malware
Evolución del malwareEvolución del malware
Evolución del malwareEventos Creativos
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalwareEventos Creativos
 
Exposicion virus informaticos
Exposicion virus informaticosExposicion virus informaticos
Exposicion virus informaticosdeli_amor_18
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datosLuis Ortiz
 
Conversión y reparación de datos2012
Conversión y reparación de datos2012Conversión y reparación de datos2012
Conversión y reparación de datos2012Luis Ortiz
 

Recommended

El top 10 de los antivirus 2012
El top 10 de los antivirus 2012El top 10 de los antivirus 2012
El top 10 de los antivirus 2012Jerson Shampier Rosales Lostaunau
 
Módulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESETMódulo 05 - Uso Seguro de Medios Informáticos - ESET
Módulo 05 - Uso Seguro de Medios Informáticos - ESETJesús Daniel Mayo
 
Fire eye mas_ds
Fire eye mas_dsFire eye mas_ds
Fire eye mas_dsIlyanna
 
Evolución del malware
Evolución del malwareEvolución del malware
Evolución del malwareEventos Creativos
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalwareEventos Creativos
 
Exposicion virus informaticos
Exposicion virus informaticosExposicion virus informaticos
Exposicion virus informaticosdeli_amor_18
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datosLuis Ortiz
 
Conversión y reparación de datos2012
Conversión y reparación de datos2012Conversión y reparación de datos2012
Conversión y reparación de datos2012Luis Ortiz
 
Virus y vacunas informáticos
Virus y vacunas informáticosVirus y vacunas informáticos
Virus y vacunas informáticosvictordani
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
Revista 2.0
Revista 2.0Revista 2.0
Revista 2.0alee_amaro
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datosLuis Ortiz
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datosLuis Ortiz
 
Conversión y reparación de datos2012
Conversión y reparación de datos2012Conversión y reparación de datos2012
Conversión y reparación de datos2012Luis Ortiz
 
Diapositivas dolly informatica
Diapositivas dolly informaticaDiapositivas dolly informatica
Diapositivas dolly informaticadollygutierrez
 
Pentesting
PentestingPentesting
PentestingEventos Creativos
 
Amenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAmenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAlonso Sal y Rosas
 
Presentación1.pptttttt
Presentación1.ppttttttPresentación1.pptttttt
Presentación1.ppttttttalexandrainf4c
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosEQUION
 
Cecy y karla
Cecy y karlaCecy y karla
Cecy y karlaKarlitalinarez
 
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....ana cruz
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirusLeidyJohanaSalcedo
 
Trabajo de liderazgo
Trabajo de liderazgoTrabajo de liderazgo
Trabajo de liderazgoandreinamedina17
 
Jornada Cámara de Valencia _ Parte 1 _ Abaleo
Jornada Cámara de Valencia _ Parte 1 _ AbaleoJornada Cámara de Valencia _ Parte 1 _ Abaleo
Jornada Cámara de Valencia _ Parte 1 _ AbaleoABALEO, S.L.
 
Tarea diplomado web 2.0
Tarea diplomado web 2.0Tarea diplomado web 2.0
Tarea diplomado web 2.0chalelagraciela
 
Pres exis
Pres exisPres exis
Pres exisJhoel Londoño
 
Introdução - Algoritmos
Introdução - AlgoritmosIntrodução - Algoritmos
Introdução - AlgoritmosPsLucas
 
Arqmex
ArqmexArqmex
ArqmexEdy Hm
 
Adaptação escolar
Adaptação escolarAdaptação escolar
Adaptação escolarOriana Melo
 
Proyecto de capacitacion_docente_grupo_g_-_ii_fase
Proyecto de capacitacion_docente_grupo_g_-_ii_faseProyecto de capacitacion_docente_grupo_g_-_ii_fase
Proyecto de capacitacion_docente_grupo_g_-_ii_faseDolores Luisa María Giler Mendoza
 

More Related Content

What's hot

Virus y vacunas informáticos
Virus y vacunas informáticosVirus y vacunas informáticos
Virus y vacunas informáticosvictordani
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datosLuis Ortiz
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datosLuis Ortiz
 
Conversión y reparación de datos2012
Conversión y reparación de datos2012Conversión y reparación de datos2012
Conversión y reparación de datos2012Luis Ortiz
 
Diapositivas dolly informatica
Diapositivas dolly informaticaDiapositivas dolly informatica
Diapositivas dolly informaticadollygutierrez
 
Amenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAmenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAlonso Sal y Rosas
 
Presentación1.pptttttt
Presentación1.ppttttttPresentación1.pptttttt
Presentación1.ppttttttalexandrainf4c
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosEQUION
 
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....ana cruz
 

What's hot (14)

Virus y vacunas informáticos
Virus y vacunas informáticosVirus y vacunas informáticos
Virus y vacunas informáticos
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
 
Revista 2.0
Revista 2.0Revista 2.0
Revista 2.0
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datos
 
Conversión y reparación de datos
Conversión y reparación de datosConversión y reparación de datos
Conversión y reparación de datos
 
Conversión y reparación de datos2012
Conversión y reparación de datos2012Conversión y reparación de datos2012
Conversión y reparación de datos2012
 
Diapositivas dolly informatica
Diapositivas dolly informaticaDiapositivas dolly informatica
Diapositivas dolly informatica
 
Pentesting
PentestingPentesting
Pentesting
 
Amenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAmenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET Latinoamérica
 
Presentación1.pptttttt
Presentación1.ppttttttPresentación1.pptttttt
Presentación1.pptttttt
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Cecy y karla
Cecy y karlaCecy y karla
Cecy y karla
 
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....
“Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”....
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 

Viewers also liked

Jornada Cámara de Valencia _ Parte 1 _ Abaleo
Jornada Cámara de Valencia _ Parte 1 _ AbaleoJornada Cámara de Valencia _ Parte 1 _ Abaleo
Jornada Cámara de Valencia _ Parte 1 _ AbaleoABALEO, S.L.
 
Introdução - Algoritmos
Introdução - AlgoritmosIntrodução - Algoritmos
Introdução - AlgoritmosPsLucas
 
Arqmex
ArqmexArqmex
ArqmexEdy Hm
 
Adaptação escolar
Adaptação escolarAdaptação escolar
Adaptação escolarOriana Melo
 
Herramientas para la seguridad: prevención, protección y mitigación de DDoS
Herramientas para la seguridad: prevención, protección y mitigación de DDoSHerramientas para la seguridad: prevención, protección y mitigación de DDoS
Herramientas para la seguridad: prevención, protección y mitigación de DDoSJordi Guijarro
 
Curso lectura en pantallas
Curso lectura en pantallasCurso lectura en pantallas
Curso lectura en pantallasOlgaJauregi
 
Wawasan multimedia
Wawasan multimediaWawasan multimedia
Wawasan multimediaIndieDesta02
 
10 sermões robert murray m'cheyne
10 sermões robert murray m'cheyne10 sermões robert murray m'cheyne
10 sermões robert murray m'cheyneDeusdete Soares
 
Tema 8 geografia jorge
Tema 8 geografia jorgeTema 8 geografia jorge
Tema 8 geografia jorgebolixerito
 

Viewers also liked (20)

Trabajo de liderazgo
Trabajo de liderazgoTrabajo de liderazgo
Trabajo de liderazgo
 
Jornada Cámara de Valencia _ Parte 1 _ Abaleo
Jornada Cámara de Valencia _ Parte 1 _ AbaleoJornada Cámara de Valencia _ Parte 1 _ Abaleo
Jornada Cámara de Valencia _ Parte 1 _ Abaleo
 
Tarea diplomado web 2.0
Tarea diplomado web 2.0Tarea diplomado web 2.0
Tarea diplomado web 2.0
 
Pres exis
Pres exisPres exis
Pres exis
 
Introdução - Algoritmos
Introdução - AlgoritmosIntrodução - Algoritmos
Introdução - Algoritmos
 
Arqmex
ArqmexArqmex
Arqmex
 
Adaptação escolar
Adaptação escolarAdaptação escolar
Adaptação escolar
 
Proyecto de capacitacion_docente_grupo_g_-_ii_fase
Proyecto de capacitacion_docente_grupo_g_-_ii_faseProyecto de capacitacion_docente_grupo_g_-_ii_fase
Proyecto de capacitacion_docente_grupo_g_-_ii_fase
 
Cuento automatico
Cuento automaticoCuento automatico
Cuento automatico
 
1485yyy
1485yyy1485yyy
1485yyy
 
Herramientas para la seguridad: prevención, protección y mitigación de DDoS
Herramientas para la seguridad: prevención, protección y mitigación de DDoSHerramientas para la seguridad: prevención, protección y mitigación de DDoS
Herramientas para la seguridad: prevención, protección y mitigación de DDoS
 
Curso lectura en pantallas
Curso lectura en pantallasCurso lectura en pantallas
Curso lectura en pantallas
 
Wawasan multimedia
Wawasan multimediaWawasan multimedia
Wawasan multimedia
 
Manual audacity
Manual audacityManual audacity
Manual audacity
 
10 sermões robert murray m'cheyne
10 sermões robert murray m'cheyne10 sermões robert murray m'cheyne
10 sermões robert murray m'cheyne
 
Amistad.
Amistad.Amistad.
Amistad.
 
Amnistía fiscal
Amnistía fiscalAmnistía fiscal
Amnistía fiscal
 
Tema 8 geografia jorge
Tema 8 geografia jorgeTema 8 geografia jorge
Tema 8 geografia jorge
 
Mission
MissionMission
Mission
 
Modulo 6. modulo cierre
Modulo 6. modulo cierreModulo 6. modulo cierre
Modulo 6. modulo cierre
 

Similar to Hispasec defensa virus

Castañeda campos malware
Castañeda campos malwareCastañeda campos malware
Castañeda campos malwarenabetse1210
 
Castañeda campos malware
Castañeda campos malwareCastañeda campos malware
Castañeda campos malwarenabetse1210
 
Tecno. virus susana montoya
Tecno. virus susana montoyaTecno. virus susana montoya
Tecno. virus susana montoyasusanamontoyasj
 
Primera parte
Primera partePrimera parte
Primera parteCRIS6040
 
ESR II - Modulo 1 - Codigo Malicioso
ESR II - Modulo 1 - Codigo MaliciosoESR II - Modulo 1 - Codigo Malicioso
ESR II - Modulo 1 - Codigo Maliciosofoalonso
 
Malware Andrea Sandoval y Estrella Castañeda
Malware Andrea Sandoval y Estrella CastañedaMalware Andrea Sandoval y Estrella Castañeda
Malware Andrea Sandoval y Estrella Castañedaandreacardenas1220
 
Informe Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docx
Informe Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docxInforme Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docx
Informe Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docxpokemonguiasjuegosyt
 
virus informatico
virus informaticovirus informatico
virus informaticopame_gvd
 
Practica virus
Practica virusPractica virus
Practica viruspame_gvd
 
Backdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEBackdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEHéctor López
 

Similar to Hispasec defensa virus (20)

Virus + antivirus
Virus + antivirusVirus + antivirus
Virus + antivirus
 
Castañeda campos malware
Castañeda campos malwareCastañeda campos malware
Castañeda campos malware
 
Castañeda campos malware
Castañeda campos malwareCastañeda campos malware
Castañeda campos malware
 
Practica virus
Practica virusPractica virus
Practica virus
 
Tecno. virus susana montoya
Tecno. virus susana montoyaTecno. virus susana montoya
Tecno. virus susana montoya
 
Primera parte
Primera partePrimera parte
Primera parte
 
DIAPOSITIVAS VIRUS Y ANTIVIRUS
DIAPOSITIVAS VIRUS Y ANTIVIRUS DIAPOSITIVAS VIRUS Y ANTIVIRUS
DIAPOSITIVAS VIRUS Y ANTIVIRUS
 
ESR II - Modulo 1 - Codigo Malicioso
ESR II - Modulo 1 - Codigo MaliciosoESR II - Modulo 1 - Codigo Malicioso
ESR II - Modulo 1 - Codigo Malicioso
 
Malware Andrea Sandoval y Estrella Castañeda
Malware Andrea Sandoval y Estrella CastañedaMalware Andrea Sandoval y Estrella Castañeda
Malware Andrea Sandoval y Estrella Castañeda
 
Informe Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docx
Informe Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docxInforme Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docx
Informe Técnico Virus, Antivirus, Delitos y Delincuentes Cibernéticos.docx
 
virus informatico
virus informaticovirus informatico
virus informatico
 
Practica virus
Practica virusPractica virus
Practica virus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Malware
MalwareMalware
Malware
 
Antivirus
AntivirusAntivirus
Antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Backdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEBackdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHE
 
Pract10 virus
Pract10 virusPract10 virus
Pract10 virus
 

More from Marcos Gallegos

Ormco damon tc-loop_español
Ormco damon tc-loop_españolOrmco damon tc-loop_español
Ormco damon tc-loop_españolMarcos Gallegos
 
Curso de ortodoncia_para_asistentes
Curso de ortodoncia_para_asistentesCurso de ortodoncia_para_asistentes
Curso de ortodoncia_para_asistentesMarcos Gallegos
 
Caso+clinico+grupo+dr+garrido
Caso+clinico+grupo+dr+garridoCaso+clinico+grupo+dr+garrido
Caso+clinico+grupo+dr+garridoMarcos Gallegos
 

More from Marcos Gallegos (10)

Dental caries
Dental cariesDental caries
Dental caries
 
3. bis unidad medica
3. bis unidad medica 3. bis unidad medica
3. bis unidad medica
 
Ormco damon tc-loop_español
Ormco damon tc-loop_españolOrmco damon tc-loop_español
Ormco damon tc-loop_español
 
Curso de ortodoncia_para_asistentes
Curso de ortodoncia_para_asistentesCurso de ortodoncia_para_asistentes
Curso de ortodoncia_para_asistentes
 
Caso+endo
Caso+endoCaso+endo
Caso+endo
 
Caso+clinico+grupo+dr+garrido
Caso+clinico+grupo+dr+garridoCaso+clinico+grupo+dr+garrido
Caso+clinico+grupo+dr+garrido
 
Googling[2]
Googling[2]Googling[2]
Googling[2]
 
Googling[2]
Googling[2]Googling[2]
Googling[2]
 
Googling[2]
Googling[2]Googling[2]
Googling[2]
 
Googling[2]
Googling[2]Googling[2]
Googling[2]
 

Hispasec defensa virus

  • 1. Defensa en profundidad contra software malintencionado (Virus)  Jose Parada (Evangelista Técnico Microsoft)  Antonio Ropero (Hispasec)  Bernardo Quintero (Hispasec)
  • 2. Requisitos previos para la sesión Conocimientos básicos de los fundamentos de la seguridad de las redes Conocimientos básicos de los conceptos relativos a software malintencionado Conocimientos básicos sobre soluciones antivirus Nivel 300
  • 3. Información general de la sesión Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
  • 4. Tipos y características del software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
  • 5. Software malintencionado: la familia del malware Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario. Tipos de malware ampliación  Spyware definición clásica  Backdoors  Virus  Keyloggers  Gusanos evolución  Dialers  Troyanos  RootKits  Bombas lógicas  Exploits …
  • 6. Tipos de malware: Virus Virus: programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo. Ejemplo Virus CIH (alias Chernobil)  desarrollado en 1998, en ensamblador, tamaño 1Kb  afecta a plataforma Windows 9x  infecta archivos Windows PE (Portable Executable)  residente en memoria  día 26 sobreescribe disco duro y flash-BIOS  más de 30 variantes
  • 7. Tipos de malware: Gusano Gusano: programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas. Ejemplos Gusano Netsky  distribuye por e-mail, redes P2P, y redes locales  falsea dirección remitente  doble extensión, terminando en .com, .exe, .pif o .scr Gusano Sasser  no necesita la acción del usuario para infectar  desbordamiento de buffer en LSSAS (Win 2000/XP)  explotación automática a través del puerto TCP/445
  • 8. Tipos de malware: Troyano Troyano: aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos. Troyano AIDS (1989) Ejemplo  distribución por correo postal en un disquete  programa con información sobre SIDA  tras varios inicios de sistema, aparecía el troyano  cifraba el disco duro e impedía al usuario acceder  solicitaba pago al usuario para llave de descifrado Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano.
  • 9. Tipos de malware: Backdoor Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima. Ejemplo Backdoor BackOrifice módulo cliente (atacante) y módulo servidor (víctima) servidor .exe por defecto abre puerto TCP/31337 atacante obtiene control total sobre la víctima lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.
  • 10. Tipos de malware: Spyware, Dialer, Keylogger,... Spyware: recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario. Dialer: realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica. Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas.. Adware: muestra anuncios o abre páginas webs no solicitadas. Exploit: programas que aprovecha una vulnerabilidad.
  • 11. Tipos de malware: combinados Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías. Ejemplo Lamin.B  virus polimórfico infecta ejecutables Windows PE  gusano que se distribuye por redes locales  incluye función keylogger  backdoor permite control remoto Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor.
  • 12. Nomenclatura en la identificación del software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
  • 13. Nomenclatura en la identificación del software malintencionado Prefijo + Nombre + Variante + sufijo Ejemplo W32/Klez.H@MM  Prefijo W32 afecta a plataformas Windows 32bits  Nombre Klez nombre dado al espécimen  Variante h existen al menos 7 versiones anteriores (a, b,c d,…)  Sufijo @MM gusano de propagación masiva por correo electrónico
  • 14. Nomenclatura en la identificación del software malintencionado Prefijos y sufijos más comunes W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke broma @mm se propaga por e-mail de forma masiva
  • 15. Nomenclatura en la identificación del software malintencionado
  • 16. Nomenclatura en la identificación del software malintencionado
  • 17. Nomenclatura en la identificación del software malintencionado
  • 18. Técnicas comunes empleadas por las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
  • 19. Técnicas comunes empleadas por las soluciones antivirus Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware. 20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C 21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A 23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE 24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81 Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua
  • 20. Técnicas comunes empleadas por las soluciones antivirus Detección por localización y nombre de archivo
  • 21. DEMO
  • 22. Técnicas comunes empleadas por las soluciones antivirus Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas
  • 23. Técnicas comunes empleadas por las soluciones antivirus Detección por heurística
  • 24. Técnicas comunes empleadas por las soluciones antivirus Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas
  • 25. Técnicas comunes empleadas por las soluciones antivirus Detección por emulación
  • 26. Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas
  • 27. Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento
  • 28. DEMO
  • 29. Técnicas comunes empleadas por las soluciones antivirus Otros enfoques Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.
  • 30. Limitaciones de las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
  • 31. Limitaciones de las soluciones antivirus Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Creación del malware Actualización del AV del usuario Distribución Publicación actualización Infección de las primeras víctimas Desarrollo firma y pruebas Reporte a los laboratorios AV Análisis del malware
  • 32. Limitaciones de las soluciones antivirus Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware
  • 33. DEMO
  • 34. Elección de la solución antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
  • 35. Elección de las soluciones antivirus Elementos que distorsionan (a ignorar) Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) “Consultores” (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados)
  • 36. DEMO
  • 37. Elección de las soluciones antivirus Elementos a tener en cuenta Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas
  • 38. Elección de las soluciones antivirus
  • 39. Defensa contra software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
  • 40. Defensa contra el software malintencionado Origen de infecciones Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)
  • 41. Defensa contra el software malintencionado Visión actual en la prevención
  • 42. Defensa contra el software malintencionado Agente fundamental en la prevención real Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones
  • 43. Defensa en clientes contra el software malintencionado Se debe tender a un equilibrio
  • 44. Defensa contra el software malintencionado Factor humano Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad
  • 45. Defensa contra el software malintencionado Factor S.O. y aplicaciones Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup
  • 46. Defensa contra el software malintencionado Soluciones de seguridad y antimalware Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad
  • 47. DEMO
  • 49. Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado Tipo de Escenario Solución usuario Usuario Todos los escenarios Windows independiente Update Sin servidores de Windows Windows Update Organización pequeña Al menos un servidor Windows 2000 o una versión más reciente y un MBSA y SUS administrador de IT Desea una solución de administración de actualizaciones con un control básico que MBSA y SUS Empresa actualice Windows 2000 y las versiones más de tamaño recientes de Windows mediano a grande Desea una solución de administración de actualizaciones flexible con un mayor control SMS para actualizar y distribuir todo el software
  • 50. Descripción de las ventajas de Software Update Services (SUS) Permite que los administradores tengan un control básico de la administración de las actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft
  • 51. Funcionamiento de SUS Internet Windows Update Servidor SUS secundario Equipos cliente Servidor SUS primario Equipos cliente
  • 52. Demostración 1: Configuración de Software Update Services para implementar actualizaciones de seguridad Configurar Software Update Services para implementar actualizaciones de seguridad
  • 53. Configuración de aplicaciones para proteger los equipos cliente Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son: Aplicaciones de clientes de correo electrónico Aplicaciones de escritorio Aplicaciones de mensajería instantánea Exploradores Web Aplicaciones de igual a igual
  • 54. Administración de la seguridad de Internet Explorer Característica Descripción de seguridad Mejoras de la Comprobaciones de coherencia seguridad de MIME Reglas más estrictas Características de control y administración de complementos Mejor administración Mensajes más descriptivos de la seguridad Nuevas restricciones de Windows iniciadas mediante secuencias de comandos Zona Equipo local Capacidad para controlar la seguridad en la zona Equipo local Configuración de la zona Rastreo de MIME de seguridad Control de Elevación de la seguridad características Restricciones de Windows Configuración de Control administrativo de las zonas de seguridad directivas de grupo Control de características
  • 55. Demostración 2: Configuración de aplicaciones basadas en el cliente Configurar las aplicaciones cliente para la defensa contra software malintencionado
  • 56. Bloqueo de aplicaciones no autorizadas con directivas de restricción de software Las directivas de restricción de software: Se pueden utilizar para: • Combatir virus Se pueden aplicar a las siguientes reglas: • Controlar las descargas de ActiveX Hash • Ejecutar sólo secuencias de • Certificado comandos firmadas • Ruta de acceso • Asegurarse de que se • Zona instalan las aplicaciones autorizadas • Bloquear equipos Se pueden establecer como: Ilimitado No permitido
  • 57. Demostración 3: Uso de directivas de restricción de software Crear y probar una directiva de restricción de software
  • 58. Nuevas características de seguridad de Firewall de Windows  Activado de forma  Activado sin excepciones predeterminada  Seguridad en tiempo  Lista de excepciones de Firewall de Windows de inicio del sistema Configuración global  Perfiles múltiples  y restauración de la configuración  Compatibilidad con RPC predeterminada  Se puede realizar una instalación desatendida  Restricciones de subred local  Posibilidad comandos la línea de de usar
  • 59. Configuración de Firewall de Windows para la defensa de los programas antivirus

Editor's Notes

  1. ‹ #›
  2. ‹ #›
  3. ‹ #›