SlideShare a Scribd company logo

Conferencia arquitectura de Ciberdefensa APT

Secpro - Security Professionals
Secpro - Security Professionals

El documento describe varios elementos clave de una arquitectura de ciberdefensa para enfrentar amenazas avanzadas persistentes (APT). Menciona que las defensas estándar no son efectivas contra las APT y propone implementar medidas como capacitación de usuarios, reglas fuertes en IDS/IPS, análisis de tráfico en sandbox, inspección de todo el tráfico saliente y correlación de eventos para mejorar la detección. También recomienda crear listas blancas de redes y procesos confiables para enfocar los es

Technology
1 of 43
Download to read offline
ARQUITECTURA DE CIBERDEFENSA PARA ENFRENTAR AMENAZAS AVANZADAS PERSISTENTES Bogotá Colombia
David Pereira CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH. Investigador Digital, Consultor con mas de 15 años de experiencia en el Area de la Seguridad Informática y la Computación Forense, ha desarrollado labores de Ethical Hacking, Pruebas de Penetración, Análisis Forense y Capacitación para diversas empresas y entidades tanto Nacionales como Internacionales de los sectores Militar, Financiero, Energético, Diplomático, Minero.
PERSPECTIVA: • El campo de batalla mundial está migrando de los 4 dominios tradicionales al quinto Dominio: Tierra Mar Aire C4ISR
Quinto Dominio: C4ISR Comando, Control, Comunicaciones, Computadores, Inteligencia, Vigilancia y Reconocimiento (Command, Control, Communications, Computers, Intelligence, Surveillance and Reconnaissance)
LOS HACKERS SON LOS GUERREROS DEL SIGLO XXI: OTAN http://www.nato.int/docu/review/2013/Cyber/Hackers-for-hire/EN/index.htm
QUE ES UNA AMENAZA AVANZADA PERSISTENTE - (APT) ? • Malware orientado específicamente contra objetivos Corporativos, Políticos, de Infraestructura o Militares. • Este Malware, normalmente es Diseñado y Construido a la Medida específica del Blanco. • Se debe tener en cuenta que las APTs son adaptativas de acuerdo a las medidas de seguridad que encuentran en el objetivo; esto incluye el usar puertos abiertos en Firewall, hacer Bypass de detección estándar de IDS e IPS, técnicas anti forenses, entre otras.
CARACTERISTICAS DE LAS APT • Mientras que las Amenazas "Tradicionales” explotan sus objetivos buscando un beneficio económico (Datos de Tarjetas de Crédito, Cuentas Bancarias, Secuestro de info), las APTs se orientan a infiltrar una red objetivo, para extraer información sensible o generar algún tipo de situación específica. • Una APT puede permanecer “dormida” mucho tiempo y solo activarse en situaciones específicas o a intervalos específicos, esporádicos.
FUNCIONAMIENTO DE LAS APT • Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización (awareness) suficientes para hacerlo desconfiar de ciertos indicadores; • Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos) • Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la Empresa – Entidad • Correo electrónico que le indique la obligación de descargar determinado software o información. • Regalos de Dispositivos de Almacenamiento
ETAPAS DE LAS APT 1. Intelligence Gathering – Recolección de Información – OSINT • Recolección de Información estratégica acerca del Target; su Ambiente e Infraestructura de IT, su Estructura Organizacional, sus Empleados, Colaboradores o Clientes.
ETAPAS DE LAS APT 2. Lograr un Punto de Acceso • Lograr entrar a la Red Interna por medio de un Correo Electrónico, Mensajería Instantánea, Redes Sociales, o Explotación de Fallas en Software. (Buscando el Error del Usuario Final) • 87% de las Organizaciones Atacadas, caen por una URL maliciosa
ETAPAS DE LAS APT 3. Command and Control (C&C) Communication (C2) • Asegurar la Continuidad de la Comunicación entre la red Comprometida y el o los Servidores de C&C o C2. • La mayor cantidad de tráfico de C&C se maneja a través de puertos HTTP y HTTPS. • Se utilizan mecanismos Fast Flux para esconder los Servidores C&C o C2
http://blog.aodbc.es/2012/11/05/redes-fast-flux/
EJEMPLO FAST FLUX http://upload.wikimedia.org/wikipedia/commons/7/7a/Facebook_new_login_sy stem_spam_fastflux_4.png
USO DE LLAMADO REVERSO POR MEDIO DE RESOLUCION DNS Servidor DNS Computador Infectado con Malware Servidor de C&C (C2) 1. Usando el protocolo de resolución DNS (Domain Name System) el computador consulta a un Servidor DNS la dirección del Dominio de llamada Inversa. 2. El Servidor DNS entrega a la victima la dirección IP x.x.x.x del Servidor de C&C (C2) 3. El Malware se comunica con el servidor C2 en la dirección IP entregada y recibe instrucciones y/o envía una respuesta. 4. El Servidor C2 provee información adicional o instrucciones al Malware.
PUPPETNET COMO MECANISMO DE C&C – C2 PARA APT Sitio Web Malicioso Solicitudes Normales de navegación/respuestas con instrucciones de ataque adjuntas (Piggybacked) Trafico de Ataque/ Penetración/ Ex filtración Clientes WEB Sitio Victima
ETAPAS DE LAS APT 4. Movimiento Lateral • Búsqueda de Hosts que almacenen información sensible e importante con valor para el o los atacantes dentro de la red comprometida. • Las técnicas utilizadas incluyen por ejemplo Pasan the Hash; que le permite a un atacante alcanzar los privilegios de una cuenta determinada y escalar hasta lograr nivel administrativo.
ETAPAS DE LAS APT 5. Descubrimiento de ACTIVOS / DATOS • Identificar información importante para su futura ex filtración. • Este proceso puede tomar mucho tiempo, pero esta es una de las características de las APT; no tienen prisa.
ETAPAS DE LAS APT 6. Ex filtración de los Datos: • Transmisión de la Información de Valor a una ubicación bajo el control del atacante. • Esto se realiza normalmente por puertos autorizados en el Firewall: http (80) https(443-SSL).
COSTO DE LOS EFECTOS DE LAS APT http://www.washingtonpost.com/blo gs/post-tech/post/cyber-attack-on- rsa-cost-emc-66-million/2011/07/26/ gIQA1ceKbI_blog.html
COMO ESTA COLOMBIA FRENTE A LAS CIBER AMENAZAS? http://www.elespectador.com/tecnol ogia/articulo-374381-colombia- lidera-el-ranking-de-inseguridad- informatica-america-la
MAPA DE CIBER ATAQUES MUNDIALES http://www.nchc.org.tw/en/research/index.php?RESEARCH_ID=69
INFORMACIÓN ENTIEMPO REAL Real-time Web Monitor (Akamai) http://www.akamai.com/html/technology/dataviz1.html Sistema Global BotnetThreat Activity Map (Trend Micro) http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet- map/index.html?ClickID=az9k09lkonlssoostznpvz9pt09onnyy0lwk Sistema de Información Atlas (Threat Level Analysis System) de Arbor http://atlas.arbor.net/worldmap/index Mapa Honeynet (honeynet.org) http://map.honeynet.org/
COMO NOS DEFENDEMOS NORMALMENTE? (ARQUITECTURA ESTANDAR) IDS / IPS Correlacionador UTM Switch DMZ Switch LAN Antivirus en Estaciones Vlan NAC
ENTONCES, NUESTRAS DEFENSAS NORMALES (ESTANDAR) SON EFECTIVAS CONTRA LAS APT? NO!
POR QUE NO ES EFECTIVA NUESTRA ARQUITECTURA? • Siempre diseñamos pensando que el enemigo está Afuera y tratamos de cerrar todas las entradas, pero nos olvidamos de los que están adentro. (Insider) • Muchas APT han logrado éxito por que alguien interno colaboró. • Nuestras defensas tradicionales están diseñadas para permitir servicios o denegar servicios; así que un servicio permitido puede ser explotado (Http/Https). • Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades día cero. (Heurística)
ENTONCES ESTAMOS INDEFENSOS ANTE LAS APT? La respuesta es……… Depende! Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT; no necesariamente la penetración o el ataque en si mismo.
ARQUITECTURA DE DEFENSA BD Aplicación S.O. Red Físico /Ambiental Identidad y Acceso Seguridad en BD Firewall de Aplicac. Endurecimiento S.O. Antimalware Firewall en Clientes NAC / VLAN / ACL Encripción Aseguram. WiFi Insp.Profunda Mail/Web Aseg. Acceso Remoto NIDS/NIPS/HIDS Firewall de Redes LAN Segmentación de Red Aseguramiento VoIp Aseguramiento Físico y Ambiental. Controles de Identidad y Acceso Gerencia de Vulnerabilidades Seguridad Proactiva Aseguramiento de Acceso y D.A. Capacitación/Concientización Autenticación Fuerte Prevención de Perdida de Datos/DLP Políticas de Acceso / Seguridad Regla de Menor Privilegio SIEM / Correlacionamiento de Eventos Servicios de Seguridad Administrados Estrategias de Disaster Recovery Seguridad Endpoints
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Concientización - Capacitación La primera línea de defensa contra las APT y el malware en general, son las personas que componen o interactúan con una Organización. Deben generarse lineamientos que les permitan a las personas ser mas proactivas y menos pasivas ante la amenaza.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Implementación de IDS e IPS con reglados fuertes y actualizados. Existen muchas herramientas de IDS que permiten adicionar reglados ya creados con base en todo lo que hasta ahora sabemos de las APT; es decir: Comportamiento del tráfico, países de origen/destino, tipo de tráfico, etc. de esta manera dificultamos la labor del atacante principalmente a la salida, no necesariamente a la entrada.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Implementación de IDS e IPS con reglados fuertes y actualizados. • Herramientas Open Source: • SNORT • Suricata • 2047 Reglados específicos contra APT(Snorby): • https://github.com/packetstash/packetstash-rules
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Correlacionamiento y Métodos Estadísticos El Correlacionamiento nos permite atar cabos acerca de lo que ocurre en mi infraestructura, con base en diversos orígenes de información (logs); el uso de mecanismos que aprendan de nuestro tráfico y conozcan su comportamiento normal, permite detectar mas fácilmente el comportamiento anómalo.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Análisis en Caja de Arena (Sandbox) de Archivos Adjuntos Cada vez que llega un archivo adjunto, se examina desde la perspectiva del análisis de malware, en busca de identificadores, comportamiento, acceso a zonas de memoria específicas, conectividad de red, creación de Archivos, entre otras.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Forzar el tráfico http (80-81-8080) a través de Proxy. El obligar a que mi tráfico http saliente pase por un proxy me permite realizar filtrado de salida de los datos, y además controlar hacia donde estoy enviando esos datos; acá podemos aplicar filtrados múltiples: MIME, DNS, País, etc.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Forzar el tráfico SSL a través de Proxy deTerminación Permite que en las redes que se confía se elimine el certificado SSL (Encripción), pero adicionalmente permite filtrar todo el tipo de tráfico SSL en el cual no se confíe. Aun si se confía en el tráfico, va a ir desencriptado, y de esta forma puede ser inspeccionado en profundidad.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Políticas Fuertes (Restrictivas) en Reglados y Filtros de Salida del Firewall Se debe tener el mismo control y preocupación tanto por la información o datos que entran a nuestras redes desde la internet, como por los Datos y la información que salen de ella.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Monitoreo de los Logs de DNS Es indispensable saber hacia donde estamos resolviendo las direcciones y que direcciones estamos resolviendo. Al conocer esto, podemos manejar estadísticas y determinar hacia que países se está dirigiendo nuestro tráfico y de esta forma implementar filtros para bloquear las resoluciones no deseadas o desconocidas.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Inspección deTodo el tráfico (principalmente http) Necesitamos saber que estamos recibiendo y enviando desde y hacia nuestras redes, para poder actuar proactivamente ante cualquier tipo de tráfico anómalo.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Creación de Listas Blancas de Redes de Confianza Si confiamos en una red, podemos dedicar todo nuestro esfuerzo de filtrado y control hacia las redes en las que no confiamos o no conocemos.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Creación de Listas Blancas de Procesos de Confianza Si confiamos en una aplicación ya sea por que nos pertenece o por que pertenece a un asociado o colaborador, podemos dedicar todo nuestro esfuerzo de inspección y control hacia las aplicaciones que se salgan de los parámetros de operación de las listas blancas.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Resumen Las herramientas o mecanismos para defendernos o mitigar APT, existen; No estamos totalmente indefensos, pero el reto es enorme, por que la sofisticación de los ataques cada día es mayor. La concientización y la capacitación es nuestra mejor arma para protegernos ante los potenciales atacantes.
PREGUNTAS ??
David Pereira Twitter: d4v1dp3r31r4 Email: david.pereira@secpro.org
Conferencia arquitectura de Ciberdefensa APT

Recommended

Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
Secpro - Security Professionals
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
Secpro - Security Professionals
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
Secpro - Security Professionals
 
Detecting-Preventing-Insider-Threat
Detecting-Preventing-Insider-ThreatDetecting-Preventing-Insider-Threat
Detecting-Preventing-Insider-Threat
Mike Saunders
 
Setting up CSIRT
Setting up CSIRTSetting up CSIRT
Setting up CSIRT
APNIC
 
Ceh v5 module 02 footprinting
Ceh v5 module 02 footprintingCeh v5 module 02 footprinting
Ceh v5 module 02 footprinting
Vi Tính Hoàng Nam
 
Fundamental digital forensik
Fundamental digital forensikFundamental digital forensik
Fundamental digital forensik
newbie2019
 
SOC Cyber Security
SOC Cyber SecuritySOC Cyber Security
SOC Cyber Security
Steppa Cyber Security
 

Recommended

Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
Secpro - Security Professionals
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
Secpro - Security Professionals
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
Secpro - Security Professionals
 
Detecting-Preventing-Insider-Threat
Detecting-Preventing-Insider-ThreatDetecting-Preventing-Insider-Threat
Detecting-Preventing-Insider-Threat
Mike Saunders
 
Setting up CSIRT
Setting up CSIRTSetting up CSIRT
Setting up CSIRT
APNIC
 
Ceh v5 module 02 footprinting
Ceh v5 module 02 footprintingCeh v5 module 02 footprinting
Ceh v5 module 02 footprinting
Vi Tính Hoàng Nam
 
Fundamental digital forensik
Fundamental digital forensikFundamental digital forensik
Fundamental digital forensik
newbie2019
 
SOC Cyber Security
SOC Cyber SecuritySOC Cyber Security
SOC Cyber Security
Steppa Cyber Security
 
RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
Adam Pennington
 
CISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk ManagementCISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk Management
Karthikeyan Dhayalan
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules Coverage
Sunny Neo
 
Data Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsData Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New Regulations
PECB
 
Ceh v5 module 17 physical security
Ceh v5 module 17 physical securityCeh v5 module 17 physical security
Ceh v5 module 17 physical security
Vi Tính Hoàng Nam
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
Amine SAIGHI
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
Secpro - Security Professionals
 
Ceh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingCeh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hacking
Vi Tính Hoàng Nam
 
Threat Modeling Using STRIDE
Threat Modeling Using STRIDEThreat Modeling Using STRIDE
Threat Modeling Using STRIDE
Girindro Pringgo Digdo
 
Dark Web Forensics
Dark Web Forensics Dark Web Forensics
Dark Web Forensics
Deepak Kumar (D3)
 
Threat Hunting Workshop
Threat Hunting WorkshopThreat Hunting Workshop
Threat Hunting Workshop
Splunk
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
Secpro - Security Professionals
 
Ceh v5 module 04 enumeration
Ceh v5 module 04 enumerationCeh v5 module 04 enumeration
Ceh v5 module 04 enumeration
Vi Tính Hoàng Nam
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operations
Sunny Neo
 
Investigating Using the Dark Web
Investigating Using the Dark WebInvestigating Using the Dark Web
Investigating Using the Dark Web
Case IQ
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the exam
Infosec
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-on
Splunk
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
Teymur Kheirkhabarov
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
John Gilligan
 
Alamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHAlamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAH
Brandon DeVault
 
Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
Secpro - Security Professionals
 
Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
Secpro - Security Professionals
 

More Related Content

What's hot

RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
Adam Pennington
 
CISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk ManagementCISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk Management
Karthikeyan Dhayalan
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules Coverage
Sunny Neo
 
Data Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsData Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New Regulations
PECB
 
Ceh v5 module 17 physical security
Ceh v5 module 17 physical securityCeh v5 module 17 physical security
Ceh v5 module 17 physical security
Vi Tính Hoàng Nam
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
Amine SAIGHI
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
Secpro - Security Professionals
 
Ceh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingCeh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hacking
Vi Tính Hoàng Nam
 
Threat Modeling Using STRIDE
Threat Modeling Using STRIDEThreat Modeling Using STRIDE
Threat Modeling Using STRIDE
Girindro Pringgo Digdo
 
Dark Web Forensics
Dark Web Forensics Dark Web Forensics
Dark Web Forensics
Deepak Kumar (D3)
 
Threat Hunting Workshop
Threat Hunting WorkshopThreat Hunting Workshop
Threat Hunting Workshop
Splunk
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
Secpro - Security Professionals
 
Ceh v5 module 04 enumeration
Ceh v5 module 04 enumerationCeh v5 module 04 enumeration
Ceh v5 module 04 enumeration
Vi Tính Hoàng Nam
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operations
Sunny Neo
 
Investigating Using the Dark Web
Investigating Using the Dark WebInvestigating Using the Dark Web
Investigating Using the Dark Web
Case IQ
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the exam
Infosec
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-on
Splunk
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
Teymur Kheirkhabarov
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
John Gilligan
 
Alamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHAlamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAH
Brandon DeVault
 

What's hot (20)

RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
RH-ISAC Summit 2019 - Adam Pennington - Leveraging MITRE ATT&CK™ for Detectio...
 
CISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk ManagementCISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk Management
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules Coverage
 
Data Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsData Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New Regulations
 
Ceh v5 module 17 physical security
Ceh v5 module 17 physical securityCeh v5 module 17 physical security
Ceh v5 module 17 physical security
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
 
Ceh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingCeh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hacking
 
Threat Modeling Using STRIDE
Threat Modeling Using STRIDEThreat Modeling Using STRIDE
Threat Modeling Using STRIDE
 
Dark Web Forensics
Dark Web Forensics Dark Web Forensics
Dark Web Forensics
 
Threat Hunting Workshop
Threat Hunting WorkshopThreat Hunting Workshop
Threat Hunting Workshop
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
 
Ceh v5 module 04 enumeration
Ceh v5 module 04 enumerationCeh v5 module 04 enumeration
Ceh v5 module 04 enumeration
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operations
 
Investigating Using the Dark Web
Investigating Using the Dark WebInvestigating Using the Dark Web
Investigating Using the Dark Web
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the exam
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-on
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
 
Alamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHAlamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAH
 

Viewers also liked

Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
Secpro - Security Professionals
 
Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
Secpro - Security Professionals
 
IPC in Microkernel Systems, Capabilities
IPC in Microkernel Systems, CapabilitiesIPC in Microkernel Systems, Capabilities
IPC in Microkernel Systems, Capabilities
Martin Děcký
 
La felicidad y expresion terapeutica
La felicidad y expresion terapeuticaLa felicidad y expresion terapeutica
La felicidad y expresion terapeutica
Maria Bravo
 
Prbaikan
PrbaikanPrbaikan
Prbaikan
ami tri alfira
 
関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~
関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~
関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~
洋史 東平
 
Rechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTEN
Rechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTENRechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTEN
Rechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTEN
Dr. Oliver Massmann
 
Законопроект про покращення легкості ведення бізнесу
Законопроект про покращення легкості ведення бізнесуЗаконопроект про покращення легкості ведення бізнесу
Законопроект про покращення легкості ведення бізнесу
Max Nefyodov
 
Día internacional de la mujer. 2017. mujer y discapacidad.
Día internacional de la mujer. 2017. mujer y discapacidad.Día internacional de la mujer. 2017. mujer y discapacidad.
Día internacional de la mujer. 2017. mujer y discapacidad.
José María
 
Speakers PMF17
Speakers PMF17Speakers PMF17
Speakers PMF17
Chaire Attractivité et Nouveau Marketing Territorial
 
15 ways to take control of your time at work
15 ways to take control of your time at work 15 ways to take control of your time at work
15 ways to take control of your time at work
ProofHub
 
Using Lottie for your iOS apps
Using Lottie for your iOS appsUsing Lottie for your iOS apps
Using Lottie for your iOS apps
Jinju Jang
 
Measuring Content Marketing
Measuring Content MarketingMeasuring Content Marketing
Measuring Content Marketing
David Iwanow
 
Russian artist Alexei Savrasov, "The lyrical landscape artist"
Russian artist Alexei Savrasov, "The lyrical landscape artist"Russian artist Alexei Savrasov, "The lyrical landscape artist"
Russian artist Alexei Savrasov, "The lyrical landscape artist"
Makala (D)
 
Analytics for CMOs on the Rise
Analytics for CMOs on the RiseAnalytics for CMOs on the Rise
Analytics for CMOs on the Rise
Argyle Executive Forum
 
Overcoming the Top 3 SMB Challenges with Marketing Automation
Overcoming the Top 3 SMB Challenges with Marketing AutomationOvercoming the Top 3 SMB Challenges with Marketing Automation
Overcoming the Top 3 SMB Challenges with Marketing Automation
Pardot
 
80310cur
80310cur80310cur
80310cur
YES BRAS (Escolas do Brasil)
 
Ibra trai qua
Ibra trai quaIbra trai qua
Ibra trai qua
bongda100
 
Are your pictures worth 1,000 words? (Eric Beteille)
Are your pictures worth 1,000 words? (Eric Beteille)Are your pictures worth 1,000 words? (Eric Beteille)
Are your pictures worth 1,000 words? (Eric Beteille)
Eric Beteille
 

Viewers also liked (19)

Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
 
Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
 
IPC in Microkernel Systems, Capabilities
IPC in Microkernel Systems, CapabilitiesIPC in Microkernel Systems, Capabilities
IPC in Microkernel Systems, Capabilities
 
La felicidad y expresion terapeutica
La felicidad y expresion terapeuticaLa felicidad y expresion terapeutica
La felicidad y expresion terapeutica
 
Prbaikan
PrbaikanPrbaikan
Prbaikan
 
関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~
関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~
関東地方で北海道を味わおう ~北海道の宿がとれない皆様へ~
 
Rechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTEN
Rechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTENRechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTEN
Rechtsanwalt in Vietnam Oliver Massmann ÖFFENTLICH-PRIVATE PARTNERSCHAFTEN
 
Законопроект про покращення легкості ведення бізнесу
Законопроект про покращення легкості ведення бізнесуЗаконопроект про покращення легкості ведення бізнесу
Законопроект про покращення легкості ведення бізнесу
 
Día internacional de la mujer. 2017. mujer y discapacidad.
Día internacional de la mujer. 2017. mujer y discapacidad.Día internacional de la mujer. 2017. mujer y discapacidad.
Día internacional de la mujer. 2017. mujer y discapacidad.
 
Speakers PMF17
Speakers PMF17Speakers PMF17
Speakers PMF17
 
15 ways to take control of your time at work
15 ways to take control of your time at work 15 ways to take control of your time at work
15 ways to take control of your time at work
 
Using Lottie for your iOS apps
Using Lottie for your iOS appsUsing Lottie for your iOS apps
Using Lottie for your iOS apps
 
Measuring Content Marketing
Measuring Content MarketingMeasuring Content Marketing
Measuring Content Marketing
 
Russian artist Alexei Savrasov, "The lyrical landscape artist"
Russian artist Alexei Savrasov, "The lyrical landscape artist"Russian artist Alexei Savrasov, "The lyrical landscape artist"
Russian artist Alexei Savrasov, "The lyrical landscape artist"
 
Analytics for CMOs on the Rise
Analytics for CMOs on the RiseAnalytics for CMOs on the Rise
Analytics for CMOs on the Rise
 
Overcoming the Top 3 SMB Challenges with Marketing Automation
Overcoming the Top 3 SMB Challenges with Marketing AutomationOvercoming the Top 3 SMB Challenges with Marketing Automation
Overcoming the Top 3 SMB Challenges with Marketing Automation
 
80310cur
80310cur80310cur
80310cur
 
Ibra trai qua
Ibra trai quaIbra trai qua
Ibra trai qua
 
Are your pictures worth 1,000 words? (Eric Beteille)
Are your pictures worth 1,000 words? (Eric Beteille)Are your pictures worth 1,000 words? (Eric Beteille)
Are your pictures worth 1,000 words? (Eric Beteille)
 

Similar to Conferencia arquitectura de Ciberdefensa APT

2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
Universidad Kino A.C.
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
Héctor López
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Base10media
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
mesiefrank
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
Santiago Toribio Ayuga
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
Alejandro Quesada
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
Héctor López
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
Jesusalbertocalderon1
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
Alonso Caballero
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello Santiago
InGriid Ruiiz Larregui
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Luis Fernando Aguas Bucheli
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
ximello69
 
Seguridad informatica 2 ximello
Seguridad informatica 2 ximelloSeguridad informatica 2 ximello
Seguridad informatica 2 ximello
Alexis De La Rosa Reyes
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
HelpSystems
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
gerardoafp
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
gerardoafp
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información n
gerardoafp
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Wiktor Nykiel ✔
 
S4 cdsi1-2
S4 cdsi1-2S4 cdsi1-2
S4 cdsi1-2
Luis Fernando Aguas Bucheli
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester"
CIDITIC - UTP
 

Similar to Conferencia arquitectura de Ciberdefensa APT (20)

2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello Santiago
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Seguridad informatica 2 ximello
Seguridad informatica 2 ximelloSeguridad informatica 2 ximello
Seguridad informatica 2 ximello
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información n
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 
S4 cdsi1-2
S4 cdsi1-2S4 cdsi1-2
S4 cdsi1-2
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester"
 

More from Secpro - Security Professionals

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Secpro - Security Professionals
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos
Secpro - Security Professionals
 
We are Digital Puppets
We are Digital PuppetsWe are Digital Puppets
We are Digital Puppets
Secpro - Security Professionals
 
Entendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus VulnerabilidadesEntendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus Vulnerabilidades
Secpro - Security Professionals
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
Secpro - Security Professionals
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Secpro - Security Professionals
 
Machine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurityMachine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurity
Secpro - Security Professionals
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
Secpro - Security Professionals
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
Secpro - Security Professionals
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsx
Secpro - Security Professionals
 

More from Secpro - Security Professionals (10)

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos
 
We are Digital Puppets
We are Digital PuppetsWe are Digital Puppets
We are Digital Puppets
 
Entendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus VulnerabilidadesEntendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus Vulnerabilidades
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
 
Machine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurityMachine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurity
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsx
 

Recently uploaded

Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...
Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...
Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...
KukiiSanchez
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
jgvanessa23
 
Excel Avanzado_ Diagrama de Pareto .pdf
Excel Avanzado_ Diagrama de Pareto .pdfExcel Avanzado_ Diagrama de Pareto .pdf
Excel Avanzado_ Diagrama de Pareto .pdf
IsabellaLugo3
 
Programas relacionados con la telemática.pdf
Programas relacionados con la telemática.pdfProgramas relacionados con la telemática.pdf
Programas relacionados con la telemática.pdf
DiegoPinillo
 
informe de diagrama de pareto actividad segundo periodo 11-2
informe de diagrama de pareto actividad segundo periodo 11-2informe de diagrama de pareto actividad segundo periodo 11-2
informe de diagrama de pareto actividad segundo periodo 11-2
SofaNava1
 
trabajo monografico sobre el yandex .jim
trabajo monografico sobre el yandex .jimtrabajo monografico sobre el yandex .jim
trabajo monografico sobre el yandex .jim
jhonyaicaterodriguez
 
Estructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdfEstructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdf
AnaSofaRosmaya
 
analisis de grafica Realizado por Juliana Diaz Cardona.pdf
analisis de grafica Realizado por Juliana Diaz Cardona.pdfanalisis de grafica Realizado por Juliana Diaz Cardona.pdf
analisis de grafica Realizado por Juliana Diaz Cardona.pdf
RazeThefox
 
Estructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdfEstructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdf
MaraJos722801
 
INFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIAINFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIA
renzocruz180310
 
Ingeniería en Telemática y ejercicios.pdf
Ingeniería en Telemática y ejercicios.pdfIngeniería en Telemática y ejercicios.pdf
Ingeniería en Telemática y ejercicios.pdf
Camila301231
 
Gobernanza con SharePoint Premium de principio a fin
Gobernanza con SharePoint Premium de principio a finGobernanza con SharePoint Premium de principio a fin
Gobernanza con SharePoint Premium de principio a fin
Juan Carlos Gonzalez
 
Herramientas para los abogados, 3 herramientas
Herramientas para los abogados, 3 herramientasHerramientas para los abogados, 3 herramientas
Herramientas para los abogados, 3 herramientas
yessicacarrillo16
 
Trabajo de ten¡cnologia 11-2.......... (1).pdf
Trabajo de ten¡cnologia 11-2.......... (1).pdfTrabajo de ten¡cnologia 11-2.......... (1).pdf
Trabajo de ten¡cnologia 11-2.......... (1).pdf
ElizabethAcostaQuinc
 
verbo to be en ingles una manera facil de aprenderlos
verbo to be en ingles una manera facil de aprenderlosverbo to be en ingles una manera facil de aprenderlos
verbo to be en ingles una manera facil de aprenderlos
YendierMosqueralemus
 
saludos en ingles de una forma mas facil y divertida
saludos en ingles de una forma mas facil y divertidasaludos en ingles de una forma mas facil y divertida
saludos en ingles de una forma mas facil y divertida
YendierMosqueralemus
 
EXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdf
EXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdfEXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdf
EXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdf
SamuelBedoya6
 
UiPath and Dream to Succeed Student Account Session
UiPath and Dream to Succeed Student Account SessionUiPath and Dream to Succeed Student Account Session
UiPath and Dream to Succeed Student Account Session
DianaGray10
 
trabajo 2do perido.pdf diagrama de pareto
trabajo 2do perido.pdf diagrama de paretotrabajo 2do perido.pdf diagrama de pareto
trabajo 2do perido.pdf diagrama de pareto
BRIANHERNANDEZVALENC
 
C1B3RWALL La red de cooperación de Madrid.pptx
C1B3RWALL La red de cooperación de Madrid.pptxC1B3RWALL La red de cooperación de Madrid.pptx
C1B3RWALL La red de cooperación de Madrid.pptx
Guillermo Obispo San Román
 

Recently uploaded (20)

Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...
Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...
Morado y Verde Animado Patrón Abstracto Proyecto de Grupo Presentación de Edu...
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
 
Excel Avanzado_ Diagrama de Pareto .pdf
Excel Avanzado_ Diagrama de Pareto .pdfExcel Avanzado_ Diagrama de Pareto .pdf
Excel Avanzado_ Diagrama de Pareto .pdf
 
Programas relacionados con la telemática.pdf
Programas relacionados con la telemática.pdfProgramas relacionados con la telemática.pdf
Programas relacionados con la telemática.pdf
 
informe de diagrama de pareto actividad segundo periodo 11-2
informe de diagrama de pareto actividad segundo periodo 11-2informe de diagrama de pareto actividad segundo periodo 11-2
informe de diagrama de pareto actividad segundo periodo 11-2
 
trabajo monografico sobre el yandex .jim
trabajo monografico sobre el yandex .jimtrabajo monografico sobre el yandex .jim
trabajo monografico sobre el yandex .jim
 
Estructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdfEstructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdf
 
analisis de grafica Realizado por Juliana Diaz Cardona.pdf
analisis de grafica Realizado por Juliana Diaz Cardona.pdfanalisis de grafica Realizado por Juliana Diaz Cardona.pdf
analisis de grafica Realizado por Juliana Diaz Cardona.pdf
 
Estructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdfEstructuras básicas_ conceptos básicos de programación (1).pdf
Estructuras básicas_ conceptos básicos de programación (1).pdf
 
INFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIAINFORMATICA Y TECNOLOGIA
INFORMATICA Y TECNOLOGIA
 
Ingeniería en Telemática y ejercicios.pdf
Ingeniería en Telemática y ejercicios.pdfIngeniería en Telemática y ejercicios.pdf
Ingeniería en Telemática y ejercicios.pdf
 
Gobernanza con SharePoint Premium de principio a fin
Gobernanza con SharePoint Premium de principio a finGobernanza con SharePoint Premium de principio a fin
Gobernanza con SharePoint Premium de principio a fin
 
Herramientas para los abogados, 3 herramientas
Herramientas para los abogados, 3 herramientasHerramientas para los abogados, 3 herramientas
Herramientas para los abogados, 3 herramientas
 
Trabajo de ten¡cnologia 11-2.......... (1).pdf
Trabajo de ten¡cnologia 11-2.......... (1).pdfTrabajo de ten¡cnologia 11-2.......... (1).pdf
Trabajo de ten¡cnologia 11-2.......... (1).pdf
 
verbo to be en ingles una manera facil de aprenderlos
verbo to be en ingles una manera facil de aprenderlosverbo to be en ingles una manera facil de aprenderlos
verbo to be en ingles una manera facil de aprenderlos
 
saludos en ingles de una forma mas facil y divertida
saludos en ingles de una forma mas facil y divertidasaludos en ingles de una forma mas facil y divertida
saludos en ingles de una forma mas facil y divertida
 
EXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdf
EXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdfEXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdf
EXCEL AVANZADO_ DIAGRAMA DE NPARETO .pdf
 
UiPath and Dream to Succeed Student Account Session
UiPath and Dream to Succeed Student Account SessionUiPath and Dream to Succeed Student Account Session
UiPath and Dream to Succeed Student Account Session
 
trabajo 2do perido.pdf diagrama de pareto
trabajo 2do perido.pdf diagrama de paretotrabajo 2do perido.pdf diagrama de pareto
trabajo 2do perido.pdf diagrama de pareto
 
C1B3RWALL La red de cooperación de Madrid.pptx
C1B3RWALL La red de cooperación de Madrid.pptxC1B3RWALL La red de cooperación de Madrid.pptx
C1B3RWALL La red de cooperación de Madrid.pptx
 

Conferencia arquitectura de Ciberdefensa APT

  • 1. ARQUITECTURA DE CIBERDEFENSA PARA ENFRENTAR AMENAZAS AVANZADAS PERSISTENTES Bogotá Colombia
  • 2. David Pereira CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH. Investigador Digital, Consultor con mas de 15 años de experiencia en el Area de la Seguridad Informática y la Computación Forense, ha desarrollado labores de Ethical Hacking, Pruebas de Penetración, Análisis Forense y Capacitación para diversas empresas y entidades tanto Nacionales como Internacionales de los sectores Militar, Financiero, Energético, Diplomático, Minero.
  • 3. PERSPECTIVA: • El campo de batalla mundial está migrando de los 4 dominios tradicionales al quinto Dominio: Tierra Mar Aire C4ISR
  • 4. Quinto Dominio: C4ISR Comando, Control, Comunicaciones, Computadores, Inteligencia, Vigilancia y Reconocimiento (Command, Control, Communications, Computers, Intelligence, Surveillance and Reconnaissance)
  • 5. LOS HACKERS SON LOS GUERREROS DEL SIGLO XXI: OTAN http://www.nato.int/docu/review/2013/Cyber/Hackers-for-hire/EN/index.htm
  • 6. QUE ES UNA AMENAZA AVANZADA PERSISTENTE - (APT) ? • Malware orientado específicamente contra objetivos Corporativos, Políticos, de Infraestructura o Militares. • Este Malware, normalmente es Diseñado y Construido a la Medida específica del Blanco. • Se debe tener en cuenta que las APTs son adaptativas de acuerdo a las medidas de seguridad que encuentran en el objetivo; esto incluye el usar puertos abiertos en Firewall, hacer Bypass de detección estándar de IDS e IPS, técnicas anti forenses, entre otras.
  • 7. CARACTERISTICAS DE LAS APT • Mientras que las Amenazas "Tradicionales” explotan sus objetivos buscando un beneficio económico (Datos de Tarjetas de Crédito, Cuentas Bancarias, Secuestro de info), las APTs se orientan a infiltrar una red objetivo, para extraer información sensible o generar algún tipo de situación específica. • Una APT puede permanecer “dormida” mucho tiempo y solo activarse en situaciones específicas o a intervalos específicos, esporádicos.
  • 8. FUNCIONAMIENTO DE LAS APT • Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización (awareness) suficientes para hacerlo desconfiar de ciertos indicadores; • Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos) • Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la Empresa – Entidad • Correo electrónico que le indique la obligación de descargar determinado software o información. • Regalos de Dispositivos de Almacenamiento
  • 9. ETAPAS DE LAS APT 1. Intelligence Gathering – Recolección de Información – OSINT • Recolección de Información estratégica acerca del Target; su Ambiente e Infraestructura de IT, su Estructura Organizacional, sus Empleados, Colaboradores o Clientes.
  • 10. ETAPAS DE LAS APT 2. Lograr un Punto de Acceso • Lograr entrar a la Red Interna por medio de un Correo Electrónico, Mensajería Instantánea, Redes Sociales, o Explotación de Fallas en Software. (Buscando el Error del Usuario Final) • 87% de las Organizaciones Atacadas, caen por una URL maliciosa
  • 11. ETAPAS DE LAS APT 3. Command and Control (C&C) Communication (C2) • Asegurar la Continuidad de la Comunicación entre la red Comprometida y el o los Servidores de C&C o C2. • La mayor cantidad de tráfico de C&C se maneja a través de puertos HTTP y HTTPS. • Se utilizan mecanismos Fast Flux para esconder los Servidores C&C o C2
  • 14. USO DE LLAMADO REVERSO POR MEDIO DE RESOLUCION DNS Servidor DNS Computador Infectado con Malware Servidor de C&C (C2) 1. Usando el protocolo de resolución DNS (Domain Name System) el computador consulta a un Servidor DNS la dirección del Dominio de llamada Inversa. 2. El Servidor DNS entrega a la victima la dirección IP x.x.x.x del Servidor de C&C (C2) 3. El Malware se comunica con el servidor C2 en la dirección IP entregada y recibe instrucciones y/o envía una respuesta. 4. El Servidor C2 provee información adicional o instrucciones al Malware.
  • 15. PUPPETNET COMO MECANISMO DE C&C – C2 PARA APT Sitio Web Malicioso Solicitudes Normales de navegación/respuestas con instrucciones de ataque adjuntas (Piggybacked) Trafico de Ataque/ Penetración/ Ex filtración Clientes WEB Sitio Victima
  • 16. ETAPAS DE LAS APT 4. Movimiento Lateral • Búsqueda de Hosts que almacenen información sensible e importante con valor para el o los atacantes dentro de la red comprometida. • Las técnicas utilizadas incluyen por ejemplo Pasan the Hash; que le permite a un atacante alcanzar los privilegios de una cuenta determinada y escalar hasta lograr nivel administrativo.
  • 17. ETAPAS DE LAS APT 5. Descubrimiento de ACTIVOS / DATOS • Identificar información importante para su futura ex filtración. • Este proceso puede tomar mucho tiempo, pero esta es una de las características de las APT; no tienen prisa.
  • 18. ETAPAS DE LAS APT 6. Ex filtración de los Datos: • Transmisión de la Información de Valor a una ubicación bajo el control del atacante. • Esto se realiza normalmente por puertos autorizados en el Firewall: http (80) https(443-SSL).
  • 19. COSTO DE LOS EFECTOS DE LAS APT http://www.washingtonpost.com/blo gs/post-tech/post/cyber-attack-on- rsa-cost-emc-66-million/2011/07/26/ gIQA1ceKbI_blog.html
  • 20. COMO ESTA COLOMBIA FRENTE A LAS CIBER AMENAZAS? http://www.elespectador.com/tecnol ogia/articulo-374381-colombia- lidera-el-ranking-de-inseguridad- informatica-america-la
  • 21. MAPA DE CIBER ATAQUES MUNDIALES http://www.nchc.org.tw/en/research/index.php?RESEARCH_ID=69
  • 22. INFORMACIÓN ENTIEMPO REAL Real-time Web Monitor (Akamai) http://www.akamai.com/html/technology/dataviz1.html Sistema Global BotnetThreat Activity Map (Trend Micro) http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet- map/index.html?ClickID=az9k09lkonlssoostznpvz9pt09onnyy0lwk Sistema de Información Atlas (Threat Level Analysis System) de Arbor http://atlas.arbor.net/worldmap/index Mapa Honeynet (honeynet.org) http://map.honeynet.org/
  • 23. COMO NOS DEFENDEMOS NORMALMENTE? (ARQUITECTURA ESTANDAR) IDS / IPS Correlacionador UTM Switch DMZ Switch LAN Antivirus en Estaciones Vlan NAC
  • 24. ENTONCES, NUESTRAS DEFENSAS NORMALES (ESTANDAR) SON EFECTIVAS CONTRA LAS APT? NO!
  • 25. POR QUE NO ES EFECTIVA NUESTRA ARQUITECTURA? • Siempre diseñamos pensando que el enemigo está Afuera y tratamos de cerrar todas las entradas, pero nos olvidamos de los que están adentro. (Insider) • Muchas APT han logrado éxito por que alguien interno colaboró. • Nuestras defensas tradicionales están diseñadas para permitir servicios o denegar servicios; así que un servicio permitido puede ser explotado (Http/Https). • Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades día cero. (Heurística)
  • 26. ENTONCES ESTAMOS INDEFENSOS ANTE LAS APT? La respuesta es……… Depende! Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT; no necesariamente la penetración o el ataque en si mismo.
  • 28. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Concientización - Capacitación La primera línea de defensa contra las APT y el malware en general, son las personas que componen o interactúan con una Organización. Deben generarse lineamientos que les permitan a las personas ser mas proactivas y menos pasivas ante la amenaza.
  • 29. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Implementación de IDS e IPS con reglados fuertes y actualizados. Existen muchas herramientas de IDS que permiten adicionar reglados ya creados con base en todo lo que hasta ahora sabemos de las APT; es decir: Comportamiento del tráfico, países de origen/destino, tipo de tráfico, etc. de esta manera dificultamos la labor del atacante principalmente a la salida, no necesariamente a la entrada.
  • 30. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Implementación de IDS e IPS con reglados fuertes y actualizados. • Herramientas Open Source: • SNORT • Suricata • 2047 Reglados específicos contra APT(Snorby): • https://github.com/packetstash/packetstash-rules
  • 31. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Correlacionamiento y Métodos Estadísticos El Correlacionamiento nos permite atar cabos acerca de lo que ocurre en mi infraestructura, con base en diversos orígenes de información (logs); el uso de mecanismos que aprendan de nuestro tráfico y conozcan su comportamiento normal, permite detectar mas fácilmente el comportamiento anómalo.
  • 32. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Análisis en Caja de Arena (Sandbox) de Archivos Adjuntos Cada vez que llega un archivo adjunto, se examina desde la perspectiva del análisis de malware, en busca de identificadores, comportamiento, acceso a zonas de memoria específicas, conectividad de red, creación de Archivos, entre otras.
  • 33. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Forzar el tráfico http (80-81-8080) a través de Proxy. El obligar a que mi tráfico http saliente pase por un proxy me permite realizar filtrado de salida de los datos, y además controlar hacia donde estoy enviando esos datos; acá podemos aplicar filtrados múltiples: MIME, DNS, País, etc.
  • 34. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Forzar el tráfico SSL a través de Proxy deTerminación Permite que en las redes que se confía se elimine el certificado SSL (Encripción), pero adicionalmente permite filtrar todo el tipo de tráfico SSL en el cual no se confíe. Aun si se confía en el tráfico, va a ir desencriptado, y de esta forma puede ser inspeccionado en profundidad.
  • 35. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Políticas Fuertes (Restrictivas) en Reglados y Filtros de Salida del Firewall Se debe tener el mismo control y preocupación tanto por la información o datos que entran a nuestras redes desde la internet, como por los Datos y la información que salen de ella.
  • 36. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Monitoreo de los Logs de DNS Es indispensable saber hacia donde estamos resolviendo las direcciones y que direcciones estamos resolviendo. Al conocer esto, podemos manejar estadísticas y determinar hacia que países se está dirigiendo nuestro tráfico y de esta forma implementar filtros para bloquear las resoluciones no deseadas o desconocidas.
  • 37. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Inspección deTodo el tráfico (principalmente http) Necesitamos saber que estamos recibiendo y enviando desde y hacia nuestras redes, para poder actuar proactivamente ante cualquier tipo de tráfico anómalo.
  • 38. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Creación de Listas Blancas de Redes de Confianza Si confiamos en una red, podemos dedicar todo nuestro esfuerzo de filtrado y control hacia las redes en las que no confiamos o no conocemos.
  • 39. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Creación de Listas Blancas de Procesos de Confianza Si confiamos en una aplicación ya sea por que nos pertenece o por que pertenece a un asociado o colaborador, podemos dedicar todo nuestro esfuerzo de inspección y control hacia las aplicaciones que se salgan de los parámetros de operación de las listas blancas.
  • 40. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT Resumen Las herramientas o mecanismos para defendernos o mitigar APT, existen; No estamos totalmente indefensos, pero el reto es enorme, por que la sofisticación de los ataques cada día es mayor. La concientización y la capacitación es nuestra mejor arma para protegernos ante los potenciales atacantes.
  • 42. David Pereira Twitter: d4v1dp3r31r4 Email: david.pereira@secpro.org