Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)

MindTheSec 2015 - Apresentação de Geraldo Bravo na Sala Soluções

  • Be the first to comment

Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)

  1. 1. 1 Fui vítima de APT, o que esperar em seguida? Segurança interna, da tática à prática Geraldo Bravo
  2. 2. 2 Passo 2: Obter acesso administrativo (Ex: Usuário de suporte) Que comecem os jogos!!! Passo1: Phishing para obter um ponto de entrada Tech support Passo 3: Acessar um servidor
  3. 3. 3 E a história se repete..... ▪ Dia Zero ▪ Exploração inicial ▪ C&C (instalação e uso) ▪ Elevação de privilégio ▪ Reconnaisance ▪ Movimentação lateral ▪ Obtenção de dados confidenciais/importantes ▪ Retirada de dados
  4. 4. 4 Principais fatores – Infecção e propagação ▪ Detecção ineficiente (dia zero) ▪ Operação insegura e ausência de: ■ Boas práticas de administração • Active directory, devices de rede ■ Técnicas de desenvolvimento seguro ■ Segregação de acessos • Mínimo privilégio necessário • Need to know
  5. 5. 5 Os APTs são perigosos (OK, já sabemos) 60% das empresas foram comprometidas em minutos 205Dias em média entre o ataque inicial e a detecção 98% Dos casos envolveram contas do Active Directory
  6. 6. 6 Elevação de privilégio... Exemplo rápido • Estação infectada: varre hashes de Kerberos de usuários logados. • Reconnaissance para encontrar outros targets • Uso dos hashes para acessar outras máquinas (Pass- the-Hash, Overpass-the-Hash) • Estabelece outras bases, e de lá a movimentação se repete Ou..... Busca em TXT, XLS e DOC (!?)
  7. 7. 7 O Santo Graal: Credencial Privilegiada? ▪ Keyloggers: Obter senhas digitadas (DB, equipamentos de rede, etc) ▪ Memory scraper: Obter hashes NTLM e Kerberos ▪ DLLs ▪ Contas locais: Mesma senha? ▪ Arquivos ini ▪ DB: credenciais hard coded ▪ Domain Admin, Enterprise admin: Game Over ■ Kerberos Golden ticket, PTH
  8. 8. 8 Contas Privilegiadas: Uma bela superfície de ataque Contas Privilegiadas Suporte, admin, TI Parceiros e prestadores de serviço Key users Midias sociais Credenciais Web Aplicações • Qualquer dispositivo que seja possui credenciais administrativas • Vemos uma média de credenciais privilegiadas 3x maior que o numero de pessoas na empresa
  9. 9. 9 Remediação
  10. 10. 10 Como agir • Em casos mais simples: • Isolar equipamentos suspeitos • Obter atualizações necessárias • Reorganizar proteção • Forense para determinar “estragos” • Nos piores casos – atividades sincronizadas: • Ajuda especializada • Recriar estrurura de AD – reset de todas as contas • Atualizar imagens • Reinserir equipamentos • Reorganizar proteção • Forense para determinar “estragos”
  11. 11. 11 Novo front, Nova mentalidade
  12. 12. 12 Paradigma atual • Manter o intruso fora da rede • Detectar, Detectar, Detectar • Atuar no perímetro: • NIPS, Mail analysis, Webfiltering • Proteger a rede interna • AV, Sandbox, static code analysis, SIEM Em todos os grandes casos... As soluções existiam, e estavam atualizadas...
  13. 13. 13 Psicologia reversa • Não posso manter os malfeitores fora da rede – 100% do tempo • Tornar a vida deles um inferno: • Diminuir superfície • Adotar boas práticas • Camadas internas de proteção • Induzir ao erro • CONHEÇA SEU AMBIENTE
  14. 14. 14 Você conhece seu ambiente? De verdade? Service Accounts User Accounts Embedded credentials Interactive logons
  15. 15. 15 Ativos de risco 10% 50% 100% Baixo Médio Alto
  16. 16. 16 Superfície diminuindo • Proteja credenciais • Privileged Account Security • Remova credenciais de vetores acessíveis • Arquivos ini, códigos de app, etc • Monitore atividades • Das credenciais • Das máquinas • Em arquivos • Duplo fator de autenticação
  17. 17. 17 Camada interna
  18. 18. 18 Práticas adicionais • Diminuição de contas administrativas • Trocas de senha periódicas e senhas únicas • Codificação segura • Isolamento de sessões/Segregação de rede • App Control
  19. 19. 19 Práticas adicionais – cont. • Mínimo privilégio necessário • Need to know • Revisão de acessos • Revisão periódica • Duplo fator de autenticação
  20. 20. 20 Futuro... e além! • Os atacantes seguem evoluindo rapidamente • Possuem recursos • Possuem a motivação • Inove também • O Brasil segue no alvo (por que não?)
  21. 21. 21 Encerramento Obrigado!!! Contato: Geraldo.bravo@cyberark.com Linkedin: br.linkedin.com/in/geraldobravo

×