Luiz Dos Santos
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Luiz Dos Santos

on

  • 465 views

 

Statistics

Views

Total Views
465
Views on SlideShare
465
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Luiz Dos Santos Presentation Transcript

  • 1. Amenazas y TendenciasGlobales de Seguridad 2012 Presentado por: Luiz Eduardo Dos Santos CISSP, GCIH, CWNE, CEH Director, SpiderLabs LAC © 2012
  • 2. Agenda • Introducción • Investigaciones de Incidentes en 2011 • Trilogía de los ataques • Tendencias del Malware • Fallas de seguridad bajo el microscopio • Nuestras defensas • Conclusión • ¿Preguntas? 2 © 2012
  • 3. Introducción © 2012
  • 4. El Equipo SpiderLabs de Trustwave ® El equipo SpiderLabs utiliza métodos innovadores de investigación en seguridad en escenarios reales para mejorar los productos de Trustwave, proporcionando inteligencia en seguridad de la información y una experiencia única a sus clientes.AMENAZAS PROTECCIONESMundo Real ClientesDescubiertas Productos Respuesta e Investigaciones (R&I) Análisis y Pruebas (A&P) Investigaciones y Desarollo (I&D) Socios deAprendizaje Negocio 4 © 2012
  • 5. Reporte Global de Seguridad deTrustwave 2012 • Resultados de más de 300 investigaciones forenses y respuesta a incidentes realizados en 18 países. • Análisis de datos recolectados de los servicios de SpiderLabs combinados con los servicios de seguridad administrada y ofertas de SSL de Trustwave. • Análisis de más de 2000 pruebas manuales de intrusión a redes y 2 millones de escaneos de vulnerabilidades de redes y aplicaciones. • Revisión de más de 25 proveedores de anti- virus. • Tendencias de 16 billones de correos electrónicos recolectados en el periodo de 2008- 2011. • Revisión de 300 incidentes de páginas Web publicados en 2011. • Tendencias y debilidades de más de 2 millones de contraseñas utilizadas en sistemas corporativos. 5 © 2012
  • 6. EnfoqueEn esta presentación nos enfocaremos en:- Resaltar las amenazas dirigidas a los activos de suorganización.- Aclarar los métodos de ataque más avanzados, observados através de nuestras investigaciones en casos de robo deinformación.- Detallar las debilidades más comunes sobre la seguridad enescenarios reales con base en hallazgos de nuestra área dedesarrollo e investigación. 6 © 2012
  • 7. Investigaciones aIncidentes en 2011Datos y tendencias de más de 300 investigaciones © 2012
  • 8. 2011: Un año muy activo enrespuesta a incidentes • Más de 300 investigaciones forenses en 2011 • Datos de incidentes en 18 países diferentes • 42% más investigaciones que en 2010 – Los ataques van en aumento – Las organizaciones están más conscientes de los requisitos de divulgación de incidentes de seguridad 8 © 2012
  • 9. Industrias y datos específicosLa industria de alimentos ybebidas y la industria de ventasal menudeo (“Retail”) siguensiendo foco principal de losgrupos criminales:• 77% (2010: 75%) 9 © 2012
  • 10. Industrias y datos específicosLos atacantes se enfocan más en obtener los registros declientes, especialmente los datos de tarjetas de pago: - 89% (2010: 89%) 10 © 2012
  • 11. Los activos de enfoqueLos activos más interesantes para los atacantes son: • 75% Software POS en Terminales (2010: 75%) • 20% E-commerce (2010: 9%) 11 © 2012
  • 12. Responsabilidad de laAdminstración de los Sistemas En 76% de los casos, un tercero era responsable por algún componente principal de la administración de los sistemas (2010: 88%) ¿Qué se puede hacer? • Contractualmente definir los requisitos de seguridad. • Imponer sus politicas y procedimientos a los terceros (por ejemplo: políticas de contraseña) 12 © 2012
  • 13. Métodos de DetecciónAuto-detección es vital paradetener a los atacantes alcomienzo de sus esfuerzos:• 16% (2010: 20%)Procuración de Justicia haincrementado sus esfuerzos:• 33% (2010: 7%)Confiar en la detecciónexterna aumenta la ventanade ataque:• 173.5 días vs. 43 días 13 © 2012
  • 14. Cronograma de un Ataque • Casos en 2011 se extendieron hasta 44 meses • 35.8% de los ataques empezaron en el Q3 de 2010 14 © 2012
  • 15. Origen de los Ataques32.5% Desconocido (2010: 24%)29.6% Russia (2010: 32%)10.5% USA (2010: 6%)Advertencia • Es fácil falsificar el origen – “Proxies” anonimos (Tor). – “Saltos” utilizando sistemas hackeados.Desafios • Diferentes leyes en cada país. • ¿Los atacantes se necesitan esconder? 15 © 2012
  • 16. Trilogía de los AtaquesComo los atacantes se infiltran, capturan y extraenla información © 2012
  • 17. InfiltraciónObteniendo acceso no autorizado • 62% RAS/RAA (2010:55%) • 7% SQLi (2010: 6%) • 20% Desconocido 2010: 18%)¿Porqué algunos métodos sondesconocidos? • Credenciales Débiles. • Ataques “Client-Side”. • Falta de Registro y Monitoreo de bitácoras. 17 © 2012
  • 18. Agregación de los DatosCaptura de información“confidencial”: • Aproximadamente lo mismo del año pasado. • Ocultando malware “a la vista”.Ataques “en tránsito”: • “Sniffers” de red y memoria. • “Key-loggers”.Redirección de Datos • Manipulación de procesos para redirigir información a sistemas o herramientas controladas por atacantes. 18 © 2012
  • 19. Extracción de la InformaciónRetirando los datoscomprometidos: • Reutilización de los mecanismos de infiltración. • “Malware” con funcionalidades para exportar automáticamente. • Emular el tráfico válido de los usuarios evitando la detección. 19 © 2012
  • 20. Tendencias del “Malware”Malware Común y Específico © 2012
  • 21. Múltiples diferencias Común Específicos – Propagación – Sin propagación y posiblemente no explota automática a través vulnerabilidades. de vulnerabilidades o – Ataca a sistemas o acciones de los aplicaciones especificas. usuarios. – Solo encontrados en los – Fácilmente ambientes específicos del ataque. distribuido. – La mayoría encontrada en – Detectable fácilmente las investigaciones de por soluciones de AV. Trustwave en 2011 no fueron detectados por AV; sólo el 12% fue detectado por los mejores AV. 21 © 2012
  • 22. Tipos de “Malware” EspecíficosMás Populares: • Analizador de Memoria obtiene los datos en uso en la memoria de los sistemas. • “Keystroke Loggers” orientados al dispositivo de entrada y al usuario. • Específico para Aplicaciones se “inyectan” en las aplicaciones con acceso a los datos confidenciales. 22 © 2012
  • 23. Capacidad para ExportarInformación “Malware” utiliza: • HTTP como el método más popular para enviar los datos comprometidos a Internet. • Lo esconde en el tráfico válido de los usuarios. Algunos se quedan escondidos: • Algunos NO exportan sus datos. • Descubiertos en los casos investigados de ataques más “específicos” en 2011. 23 © 2012
  • 24. Fallas de Seguridad bajo elMicroscopioCuatro recursos vulnerables en el ambiente detrabajo © 2012
  • 25. La RedTrustwave ofrece el servicio de escaneo de vulnerabilidadescon más de 2 millones de clientes.El equipo SpiderLabs de Trustwave realiza más de 2000pruebas manuales de intrusión (“Network pentest”)anualmente.La suma de ambos esfuerzos revelan los problemas másimportantes en las organizaciones en la actualidad. 25 © 2012
  • 26. La Red –Credenciales PredeterminadasMuchos dispositivos vienen Encontrados en todas partes:con credenciales • 28% en Apache Tomcat.predeterminadas. • 10% en Instalaciones deEstas cuentas y contraseñas Jboss.podrían ser fácilmentecambiadas durante la • 9% en sitios phpMyAdmin.instalación. • 2% de TODOS los dispositivos Cisco.Muchos administradores no lohacen. 26 © 2012
  • 27. La Red – Tráfico sin cifrado Desde hace más de una década existen métodos de cifrado para casi todos los protocolos de Internet Existen razones legítimas para no cifrar el tráfico web, pero no para: • Autenticación de aplicaciones Web. • Transferencias de archivos. • Correos electrónicos. 27 © 2012
  • 28. La Red – Acceso Remoto El Acceso Remoto fue el método de infiltración número uno en las fugas de información en 2011 (62%). Enviar las credenciales sin cifrar por Internet puede resultar en cuentas comprometidas. Una de cada cinco organizaciones utilizan soluciones de acceso remoto inseguras. 28 © 2012
  • 29. La Red –Los 10 Problemas Principales1. Contraseñas débiles o sin 6. Uso de cifrado “WEP” en redes contraseña. inalámbricas.2. Datos “sensibles” enviados sin 7. Uso de cifrado “LAN Manager” cifrado. para validación de NTLM.3. Credenciales débiles en bases de datos. 8. “Firewalls” permitiendo acceso a sistemas internos.4. Envenenamiento de “ARP Cache”. 9. Información sensible almacenada fuera de redes5. Dispositivos buscando y seguras. publicando las redes inalámbricas almacenadas en perfiles. 10. Información sensible transmitida por “Bluetooth”. 29 © 2012
  • 30. Correo electrónicoTrustwave ofrece mailMAX, unservicio de correo electrónicoseguro en la nube que hace laverificación de más de 4 billones decorreos electrónicos por año.Se revisaron todos los correoselectrónicos en el período de 2008 a2011 para producir las tendencias deseguridad en correo electrónico.El correo no deseado (“SPAM”) hadisminuido de formaconsiderable en 2011 (36% detodos los correos procesados)después del aumento de 53% en2010. 30 © 2012
  • 31. Correo electrónico – “Spam” en atributo “Asunto:”La mayoría de los correosbasura (83%) constaba dedos categorías: • Píldoras Farmacéuticas • Pornografía 31 © 2012
  • 32. Correo electrónico –Archivos Peligrosos Cada año se duplicaron los archivos ejecutables interceptados en correos electrónicos desde 2008. Los archivos ejecutables son normalmente utilizados para enviar “malware” a las víctimas o como forma de propagación de gusanos. 32 © 2012
  • 33. Correo electrónico – Análisis TemporalExecutable Alert! Virus Alert! Virus Alert!Inicio: 8:00 AM Inicio: 8:00 AM Inicio: AgostoFin: 9:00 AM Fin: 9:00 AM Fin: Septiembre © 2012
  • 34. La WebTrustwave es patrocinador y contribuidor activo del Web HackingIncident Database (WHID) que contiene más de 300 incidentesde 2011.El equipo SpiderLabs de Trustwave realiza cientos de pruebasmanuales de seguridad en aplicaciones (“Applicationpentest”) anualmente.La suma de ambos esfuerzos revelan los problemas más comunesen aplicaciones Web. 34 © 2012
  • 35. La Web – Ataques PrincipalesLos principales ataquespertenecen a la categoría “SinReportar” (“Unreported”) lo quepuede significar que: • No existen suficientes registros/bitácoras – Configurado Incorrectamente. – Sin visibilidad al trafico web real. • Resistencia a la revelación pública – Miedo de la opinión pública. – Impacto en la confianza de los clientes. 35 © 2012
  • 36. La Web –Resultados SobresalientesExisten 2 principales motivospara los ataques: • “Hacking” con fines de lucro – Extracción de la información de los clientes. – Fraude bancario. • “Hacking” Ideológico – Avergonzar a otros. – “Ocupemos” XYZ. 36 © 2012
  • 37. La Web –Ataques en Mercados Verticales Inyección SQL y Denegación de servicio es común denominador. Los ataques de “Cross-Site Request Forgery” (CSRF) son en su más comunes en redes sociales y proveedores de “hosting” compartido. 37 © 2012
  • 38. La Web –Los 10 Problemas Principales1. Inyección SQL. 6. “Bypass” de Autenticación.2. Fallas en la lógica de 7. “Cross-Site Request Forgery” aplicaciones. (CSRF).3. “Cross-Site Scripting” (XSS). 8. Revelación del Código Fuente.4. “Bypass” de Autorización. 9. Mensajes de error detallados.5. Fallas en el manejo de 10. Aplicaciones Vulnerables de sesiones. Terceros. 38 © 2012
  • 39. Dispositivos MóvilesEl equipo SpiderLabs de Trustwave realiza investigación deforma activa en el campo de seguridad móvil.La mayoría de las organizaciones trata a los dispositivos móvilescomo computadoras en miniatura en sus programas deseguridad.La tendencia de ataques inició en 2011 justo cuando laseguridad en dispositivos móviles empezó a evolucionar. 39 © 2012
  • 40. Dispositivos Móviles –Troyanos BancariosHistóricamente los troyanos bancarios estaban enfocados a lascomputadoras personales, pero en el año de 2011: • Zeus y SpyEye hicieron su aparición para Android e iOS. • Enfocados en “Mobile Transaction Authentication Numbers” (mTANs). • Sin propagación automática, pero esta funcionalidad es probable que aparezca en el año de 2012. 40 © 2012
  • 41. Dispositivos Móviles –“Malware” Consciente de UbicaciónLos dispositivos móviles son desarrollados para utilizar ygenerar información de rastreo GPS.“Malware” puede fácilmente acceder a este tipo deinformación.Crea problemas de seguridad física para empleados ydirectivos ¡en tránsito! 41 © 2012
  • 42. Dispositivos Móviles –La Situación en AndroidAndroid tiene más del 50% del mercado de dispositivosmóviles.Google apenas empezó a revisar las aplicaciones porproblemas de seguridad.Las “tiendas de aplicaciones” de terceros están llenos de“malware”. 42 © 2012
  • 43. Nuestras DefensasControles Básicos © 2012
  • 44. ContraseñasMás de 2.5 millones decontraseñas analizadas • Todas utilizadas en ambientes corporativos.Debilidades Comunes • Contraseñas compartidas de administrador („admin‟). • Contraseñas predeterminadas a los nuevos empleados. • Requisitos pobres de complejidad. • 5% basado en “password” • 1% basado en “welcome” 44 © 2012
  • 45. Anti-Virus No es la “Bala de Plata”: • Asimetría de la información – Autores de “malware” / escritores de firmas. • La “Carrera de armamento” depende de la firma de detección. Resultados • 70,000 muestras maliciosas. • Los A/V identificaron 81% de las muestras. • El proveedor con la puntuación más baja detectó 70%. 45 © 2012
  • 46. FirewallsLos “Firewalls” comúnmente utilizantraducción de direcciones de red(NAT) para ahorrar direccionespúblicas en Internet.El equipo SpiderLabs de Trustwavehay encontrado que 1 de cada 800equipos estaban protegidos porfirewalls con NAT mal configurado.Esto permitiría a un atacante obteneracceso a servicios que se pensabanprotegidos por el firewall. 46 © 2012
  • 47. Conclusión 47 © 2012
  • 48. Pirámide de Seguridad de laInformación en 2012 La minería de datos de gran volumen se realiza mejor con la ayuda de visualizaciones, lo que hace la vida más fácil para detectar anomalías y actividades sospechosasLa correlación de bitácoras y eventos generados por las actividades físicas y digitales de los usuarios permite tener una visión más clara de los potenciales incidentes de seguridad Mantener un completo inventario/registro de activos proporciona información necesaria para ayudar a identificar y contener brotes de malware e intrusiones Reducir complejidad utilizando hardware y software común simplifica la administración, el mantenimiento y seguridad Cada acción iniciada por una cuenta dentro de un ambiente debería estar vinculada a un usuario específico Los empleados son la base fundamental de los controles de prevención, detección y monitoreo © 2012
  • 49. ConclusionesAlmacenar los registros de clientes convierte a cualquier empresa en un objetivo deataque. • No pensar en términos de seguridad de redes o aplicaciones, debe enfocarse en la seguridad la información.“Outsourcing” es todavía un riesgo importante asociado al acceso no autorizado de lainformación. • Imponer sus políticas y procedimientos a los terceros cuando su información está en juego.Los empleados y administradores eligen contraseñas débiles. • Aplicar una mejor política de complejidad de contraseñas, utilizar autenticación de doble factor y educar a sus usuarios.Anti-virus por si solo no es suficiente. • Se puede identificar algo desconocido de manera más confiable realizando constantes pruebas de seguridad y análisis.Tecnologías de “firewall” antiguas pueden ser vulnerables. • Mantener actualizada la tecnología. Revise la configuraciones de seguridad con frecuencia y de forma agresiva. 49 © 2012
  • 50. ¿Preguntas?Luiz Eduardo Dos SantosDirector, SpiderLabs LAC © 2012
  • 51. ReferenciasDescargar el reporte: www.trustwave.com/GSRRedes Sociales:• Twitter: @Trustwave / @SpiderLabs• Facebook: http://www.facebook.com/Trustwave• LinkedIn: http://www.linkedin.com/company/trustwave• Google+: https://plus.google.com/103260594120163717290 © 2012