Successfully reported this slideshow.
Señales	  Débiles	  ¿Nos	  protegemos	  sabiendo	  	  que	  nos	  van	  a	  atacar?	  David Fuertes (dfuertes@sourcefire.c...
Agenda	  	  Ø Amenazas	  a	  día	  de	  hoy	  Ø Aproximaciones	  Defensivas	  Ø Señales	  débiles	  Ø Herramientas	  n...
Realidad	  actual	  AGILE SECURITY   	                   ¿Qué	  está	  pasando?	  
Ataques	  a	  día	  de	  hoy	  Profesionalización, Motivación                                       4
Nuevo modelo de seguridadAprendiendo de nuestros errores WSJ:http://blogs.rsa.com/rivner/anatomy-of-an-attack/      What s...
No	  existen	  “balas	  de	  plata”	                                                         Application                  ...
Ataques	  a	  día	  de	  hoy	  MODELO	  DE	  SEGURIDAD	  INSUFICIENTE,	  “Balas	  de	  plata”	                            ...
Poder	  de	  la	  información	  ¿Quién	  está	  por	  delante?	                  	           Todos conocemos las          ...
Flame	     Gauss	                              2012	      2012	     Stuxnet	      2009	                   Duqu	           ...
Ataques	  a	  día	  de	  hoy	  MODELO	  DE	               RELACIONES,	  SEGURIDAD	                  COMUNICACIÓN	  INSUFIC...
Realidad	  de	  hoy	  Los	  ataques	  evolucionan	  y	  evaden	  las	  defensas	  tradicionales	        Todos con defensas...
Ataques	  a	  día	  de	  hoy	  MODELO	  DE	               RELACIONES,	          NADIE	  ESTA	  A	  SEGURIDAD	             ...
¿Cómo	  nos	  estamos	  AGILE SECURITY   protegiendo?	  
Lo	  habitual…..	  
Medidas	  PrevenYvas	  Eventos	                                            t	  
Si	  el	  ataque	  es	  avanzado…..	  Eventos	                                                t	  
Horizonte	  de	  Eventos	                               X	Firewall	                             X	IDS/IPS	                ...
¿Cual	  es	  tu	  filoso[a?	  Ø ¿Te proteges por si  acaso te atacan?Ø  ¿O te proteges    sabiendo que te van a    atacar...
Protección	  a	  lo	  largo	  del	  Yempo	           Una	  aproximación	  basada	  en	  ataques	           Antes          ...
Señales	  	  Débiles	  AGILE SECURITY
Fases	  de	  un	  ataque	   §  Toma de Control Inicial      ▸  1) Reconocimiento      ▸  2) Intrusión Inicial en la red  ...
Intrusión	  Inicial	  §  Lo más protegernos?    ¿Cómo común es “Client-Side”§  Detección: Social + “Spear Phishing”     ...
Backdoors	  §  Múltiples, con diversas configuraciones    Defensas tradicionales    ▸  Actualizados constantemente.      ...
Exploración,	  Propagación	  y	  	   Salida	  de	  Información	  ①  Comunicación C&C   ▸  Instrucciones, descargas, etc.② ...
Señales	  Débiles	  §  “Una señal débil es un factor de cambio  difícilmente perceptible en el presente pero  con fuertes...
Seguridad	  “Después”	  del	  ataque	       Señales	  débiles	  en	  una	  DMZ	  Qué ocurre si de repente….ü  Aparecen nu...
Seguridad	  “Después”	  del	  ataque	      Ataques	  en	  el	  lado	  de	  cliente	  Qué ocurre si…ü  Mobilidad, USBü  C...
Seguridad	  “Después”	  del	  ataque	        AcYvidad	  de	  Usuario	  Inesperada	  Las credenciales son críticas...!ü  M...
¿Qué	  necesitamos?	  AGILE SECURITY
Mecanismos	  de	  Visibilidad	  Conocer	  en	  todo	  momento	  lo	  que	  protegemos	                                    ...
Capacidad	  RetrospecYva	  Eventos                                      t                                 31
Personas,	  Proceso	           Negocio                     Red            Correlación / Centralización                    ...
Conclusiones	  AGILE SECURITY
Conclusiones	  Ø Detección	  compleja,	  no	  estamos	  preparados.	  Ø Modelo	  defensivo	  prevenYvo.	  Ø No	  tenemo...
POC	  AGILE SECURITY   Exploit	  Kits	                   Canales	  Encubiertos	  
Exploit	  Kits	  Un	  ecosistema	  de	  malware	                                          36
Escenario	                  2) Redirección   1) Conexión Inicial                IFRAME, etc           3)Exploit + LOADER  ...
Un	  clásico……	   RAT,	  Poison	  Ivy	   Crearemos “backdoors”…. Siempre pensando en la salida más fácil para un canal enc...
Canales	  Encubiertos	    Reverse	  HTTP	  Shell	  	    hOp://www.thc.org/papers/fw-­‐backd.htm	                          ...
Visibilidad…..	                       40
¿Preguntas?	                    41
Muchas	  Gracias!	                           42
Upcoming SlideShare
Loading in …5
×

David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013]

1,732 views

Published on

  • Be the first to comment

  • Be the first to like this

David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013]

  1. 1. Señales  Débiles  ¿Nos  protegemos  sabiendo    que  nos  van  a  atacar?  David Fuertes (dfuertes@sourcefire.com)Security Engineer Southern Europe
  2. 2. Agenda    Ø Amenazas  a  día  de  hoy  Ø Aproximaciones  Defensivas  Ø Señales  débiles  Ø Herramientas  necesarias  Ø POC#1  –  Exploit  Kits,  canales  encubiertos   2
  3. 3. Realidad  actual  AGILE SECURITY   ¿Qué  está  pasando?  
  4. 4. Ataques  a  día  de  hoy  Profesionalización, Motivación 4
  5. 5. Nuevo modelo de seguridadAprendiendo de nuestros errores WSJ:http://blogs.rsa.com/rivner/anatomy-of-an-attack/ What should companies do? Mr. Coviello: Security has always been developed reactively: Find the hole, and plug the hole. It has resulted in a whole bunch of individual isolated controls that dont really give you any form of defense in depth. The controls were also designed to defend a perimeter that, because of the increased manera preactivamobile ü  Defensas desarrolladas de use of the Web and devices, has largely dissolved. ü  Protección de Perimetro es insuficiente We needSe necesita un nuevo modelo de seguridad, ü  a new model for security. We call it an intelligence- driven model. It is based on risk and new tools that are behavior inteligente based and predictive. It is also based on a big-data application so you ü  No se gasta dinero / esfuerzo en detectar y can spot an attack in progress, so you can do a better job responding to it. responder (proceso, personas , herramientas) Mr. Coviello: We are used to spending money on preventing attacks, and we are not spending enough money on detecting and responding to attacks. 5
  6. 6. No  existen  “balas  de  plata”   Application Control “Arreglemos el NAC firewall” IDS / IPS “La red se defiende sola” UTM PKI “No hay falsos positivos, No hay falsos negativos.” AV “Sin clave no hay acceso”FW/VPN “Encuentra el patrón” “Bloquear o Permitir” 6
  7. 7. Ataques  a  día  de  hoy  MODELO  DE  SEGURIDAD  INSUFICIENTE,  “Balas  de  plata”   7
  8. 8. Poder  de  la  información  ¿Quién  está  por  delante?     Todos conocemos las ü  Vulnerabilidades  Zero  Day   ü  Vulnerabilidades  conocidas  (no  Zero   características del famoso Day!)   ü  Especifico   ü  Profesional   “APT”……… ü  MoLvado   ü  Elevado  raLo  de  éxito   Stuxnet   ü  Persistente   Gauss     Flame   2009   2012   Duqu   2012   2011   8
  9. 9. Flame   Gauss   2012   2012   Stuxnet   2009   Duqu   2011  ......EXISTE comunicación entre bandas.¿Cómo es nuestra comunicación? 9
  10. 10. Ataques  a  día  de  hoy  MODELO  DE   RELACIONES,  SEGURIDAD   COMUNICACIÓN  INSUFICIENTE,   ENTRE  GRUPOS,  “Balas  de  plata”   ¿y  nosotros?   10
  11. 11. Realidad  de  hoy  Los  ataques  evolucionan  y  evaden  las  defensas  tradicionales   Todos con defensas tradicionales – FW, IPS, AV. No ha sido suficiente 11
  12. 12. Ataques  a  día  de  hoy  MODELO  DE   RELACIONES,   NADIE  ESTA  A  SEGURIDAD   COMUNICACIÓN   SALVO,  INSUFICIENTE,   ENTRE  GRUPOS,   ¿Lenes  algo  “Balas  de  plata”   ¿y  nosotros?   que  proteger?   12
  13. 13. ¿Cómo  nos  estamos  AGILE SECURITY protegiendo?  
  14. 14. Lo  habitual…..  
  15. 15. Medidas  PrevenYvas  Eventos   t  
  16. 16. Si  el  ataque  es  avanzado…..  Eventos   t  
  17. 17. Horizonte  de  Eventos   X Firewall X IDS/IPS X Malware X Antivirus ‘ Horizonte de Eventos’ Endpoint 17
  18. 18. ¿Cual  es  tu  filoso[a?  Ø ¿Te proteges por si acaso te atacan?Ø  ¿O te proteges sabiendo que te van a atacar?Ø  Si supieras que ibas a ser comprometido, ¿te hubieras protegido de manera diferente? 18
  19. 19. Protección  a  lo  largo  del  Yempo   Una  aproximación  basada  en  ataques   Antes Durante Después Políticas y Control Identificación y Bloqueo Análisis y Remediación Descubrir el entorno Detectar Determinar Implementar políticas Prevenir alcance de acceso Contener Parcheo Remediar Firewall IPS IDS Application Control Anti-virus SIEM & Log Mgmt Vulnerability Management Anti-malware Forensics Patch Management Full Packet Capture19  
  20. 20. Señales    Débiles  AGILE SECURITY
  21. 21. Fases  de  un  ataque   §  Toma de Control Inicial ▸  1) Reconocimiento ▸  2) Intrusión Inicial en la red ▸  3) Establecer Backdoors ▸  4) Obtener Credenciales Usuarios ▸  5) Instalar Utilidades §  Movimiento lateral ▸  6) Escalado de Privilegios, movimientos laterales y extracción de información §  7) Mantener Persistencia 21
  22. 22. Intrusión  Inicial  §  Lo más protegernos? ¿Cómo común es “Client-Side”§  Detección: Social + “Spear Phishing” ▸  Ingeniería§  Ataques internos à USB, Usuarios móviles ▸  Cambios en la red ▸  A veces no indirectas de una intrusion Evidencias es necesaria intrusión inicial§  “Client-Side” comportamientos ▸  Detección de§  Herramientas:en el formato de ficheros ▸  Complejidad ▸  Ofuscación Superioridad de la Información Visibilidad, ▸  Componentes embebidos Tiempo Real ▸  Tamaño de ficheros vs. Detección en tiempo real Forense§  Aparecen Señales débiles 22
  23. 23. Backdoors  §  Múltiples, con diversas configuraciones Defensas tradicionales ▸  Actualizados constantemente. Detección AV pobre ▸  Sofisticados en la red: Firmas estáticas insuficiente ●  Canales de comunicación cifrados y ofuscados§  ¿Cómo protegernos? ●  Tráfico legítimo HTTP, HTTPs, DNS ▸  Visibilidad aleatorios, Headers comunes, etc ●  Contenidos ▸  Comportamiento ▸  Reúsan librerías comunes (p.ej Microsoft) para ▸  reducir tamañosen los canales de salida Control estricto ▸  Credenciales legítimasusuario Controlar Actividad de de usuarios 23
  24. 24. Exploración,  Propagación  y     Salida  de  Información  ①  Comunicación C&C ▸  Instrucciones, descargas, etc.②  Ataques – Movimientos Laterales ▸  Compromiso de servidores ▸  Uso de credenciales③  Almacenamiento de información ▸  Servidor de almacenamiento ▸  Compresión, cifrado④  Salida de Información 24
  25. 25. Señales  Débiles  §  “Una señal débil es un factor de cambio difícilmente perceptible en el presente pero con fuertes implicaciones a futuro” 25
  26. 26. Seguridad  “Después”  del  ataque   Señales  débiles  en  una  DMZ  Qué ocurre si de repente….ü  Aparecen nuevos servidoresü  Se publican servicios nuevosü  Se abren comunicaciones inusuales 26
  27. 27. Seguridad  “Después”  del  ataque   Ataques  en  el  lado  de  cliente  Qué ocurre si…ü  Mobilidad, USBü  Compromiso físico, enemigo dentroü  Exploit Lado clienteØ  Flujos inesperados"Ø  Canales encubiertos 27
  28. 28. Seguridad  “Después”  del  ataque   AcYvidad  de  Usuario  Inesperada  Las credenciales son críticas...!ü  Monitorizar, Restringir y controlar derechos administrativos.ü  ¿Están mis usuarios donde deben? 28
  29. 29. ¿Qué  necesitamos?  AGILE SECURITY
  30. 30. Mecanismos  de  Visibilidad  Conocer  en  todo  momento  lo  que  protegemos   = Escaneo Activo de Red ü  Incorpora contexto de negocio" Inventario, entrada manual ü  Corrige desviaciones + Tiempo Real + Intrusivo conocidas" + Precision + Permite almacenar Descubrimiento + ü  No es escalable Pasivo información de Negocio Contexto + Evadible + No es intrusivo - Precisión 30
  31. 31. Capacidad  RetrospecYva  Eventos t 31
  32. 32. Personas,  Proceso   Negocio Red Correlación / Centralización Full FW, Visibilidad IPS PacketNGFW Retrospección Capture Logs 32
  33. 33. Conclusiones  AGILE SECURITY
  34. 34. Conclusiones  Ø Detección  compleja,  no  estamos  preparados.  Ø Modelo  defensivo  prevenYvo.  Ø No  tenemos  suficiente  visibilidad.  Ø Necesitamos  las  herramientas  adecuadas.  Ø Personas,  Proceso  Ø Hay  que  pensar  de  manera  diferente  
  35. 35. POC  AGILE SECURITY Exploit  Kits   Canales  Encubiertos  
  36. 36. Exploit  Kits  Un  ecosistema  de  malware   36
  37. 37. Escenario   2) Redirección 1) Conexión Inicial IFRAME, etc 3)Exploit + LOADER 4) Canal Encubierto Comando y Control 37
  38. 38. Un  clásico……   RAT,  Poison  Ivy   Crearemos “backdoors”…. Siempre pensando en la salida más fácil para un canal encubierto: ü  HTTP o HTTPS ü  DNSü  Objetivo Crear Señales Débiles 38
  39. 39. Canales  Encubiertos   Reverse  HTTP  Shell     hOp://www.thc.org/papers/fw-­‐backd.htm   Hacker WWW Server Web Proxy1.  El cliente (usuario) corre una shell local. Se conectará con el servidor externo periódicamente.2.  Se envía una petición HTTP (GET/POST) al servidor web controlado por nuestro atacante.3.  Se emplea codificación base64 para evitar cacheo.4.  En las respuestas, el servidor externo envía comandos a ejecutar en la shell.Ø  Son solo 260 lineas de Perl…… 39
  40. 40. Visibilidad…..   40
  41. 41. ¿Preguntas?   41
  42. 42. Muchas  Gracias!   42

×