me gusta windows , si! - charruadescargos en el transcurso de la investigación y preparación del...
Post on 12-Jul-2020
6 Views
Preview:
TRANSCRIPT
Me Gusta , Si!
¿Por que no?
Windows
descargos
En el transcurso de la investigación y preparación del material ningún sistema ha sido vulnerando.
Toda la información que se brinda es con fines educativos y de investigación. No nos hacemos
responsables por le mal uso de la misma.
Las vulnerabilidades expuestas en el transcurso de esta charla ya han sido previamente reportadas
al fabricante de los productos y las soluciones a las mismas se encuentran publicadas.
Las pruebas y los demos presentados fueron realizadas con sistemas operativos de licencia Trial
que el fabricante pone a disposición del publico en general en su sitio web.
Luis Alejandro Martinez
Especialista Senior en Seguridad
Gabriel Carracelas
Especialista Senior en Seguridad
"La invencibilidad es una cuestión de
defensa, la vulnerabilidad, una
cuestión de ataque"
El Arte de la Guerra
"El único sistema seguro es aquel que está apagado y
desconectado, enterrado en un refugio de cemento, rodeado por
gas venenoso y custodiado por guardianes bien pagados y muy bien
armados. Aun así, yo no apostaría mi vida por él”
Eugene Spafford.
SISTEMAS OPERATIVOS DE ESCRITORIO 2016 - 2018
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Other
Chrome OS
Linux
Unknown
OS X
Windows
(May 2016 - Abr 2018)
Uruguay:
Windows – 76.38%
Linux – 9,76%
OS X – 6,88%
Statcounter.com / Netmarketshare.com
Win7
46%
Win10
35%
Win8.1
10%
WinXP
Win8
3%
WinVista
1%
Privilegios Administrativos:
Remover los privilegios administrativos
Actualizar SO:
Migrar a sistemas operativos actualizados
Fortalecer SO:
Aprovechar las mejoras de seguridad
Fortalecer el SO:
Desarrollar y mantener el software
Listas Blancas:
Confiar en el código por excepción, desconfiar por
defecto
CICLO DE VIDA PARA FORTALECER DISPOSITIVOS
REGLAS IMPORTANTES PARA LA SEGURIDAD DE WINDOWS
No hay seguridad en Windows a menos que:
○ Sigamos el principio del menor privilegio
○ Tengamos el disco completamente encriptado
PRINCIPIO DEL MENOR PRIVILEGIO
Reporte de Vulnerabilidades de Microsoft en 2017
El 80% de las vulnerabilidades criticas en sistemas
Microsoft podrían haber sido mitigadas removiendo los
privilegios de administrador
El 95% de la vulnerabilidades criticas en navegadores
podrían haber sido mitigadas removiendo las privilegios
administrativos
No usar el Domain admin
No usar el Domain admin
No usar el Domain admin
No usar el Domain admin
No usar el Domain admin
No usar el Domain admin
No usar el Domain admin
Privilegios Administrativos:
Remover los privilegios administrativos
Actualizar SO:
Migrar a sistemas operativos actualizados
Fortalecer SO:
Aprovechar las mejoras de seguridad
Fortalecer el SO:
Desarrollar y mantener el software
Listas Blancas:
Confiar en el código por excepción, desconfiar por
defecto
CICLO DE VIDA PARA FORTALECER DISPOSITIVOS
ACTUALIZAR LOS SO
DEFENDERSE DE
LAS NUEVAS
AMENAZAS
ASEGURIDAD
DISPOSITIVOS
ASEGURAR
IDENTIDADES
PROTECCIÓN
DE
INFORMACION
RESISTENCI
AS A
AMENAZAS
Demo
CICLO DE VIDA PARA FORTALECER DISPOSITIVOS
Privilegios Administrativos:
Remover los privilegios administrativos
Actualizar SO:
Migrar a sistemas operativos actualizados
Fortalecer SO:
Aprovechar las mejoras de seguridad
Fortalecer el SO:
Desarrollar y mantener el software
Listas Blancas:
Confiar en el código por excepción, desconfiar por defecto
REGLAS IMPORTANTES PARA LA SEGUR IDAD DE WINDOWS
No hay seguridad en Windows a menos que:
○ Sigamos el principio del menor privilegio
○ Tengamos el disco completamente encriptado
AVANZAR CON SOLUCIONES CONOCIDAS Y PROBADAS
Ejemplo de
estructur
as de OU y
enlaces a
GPOs
Domain
Root
Domain policy
Windows 10 Client
Windows 10 Client Computer
Windows 10 User Computer
Internet Explorer Client
Computer policy
Windows 10 Computer policy
Internet Explorer User policyWindows 10 User policy
Windows 10 BitLocker policy
Windows 10
Credential Guard policy
Windows 10 Defender policy
demo
CICLO DE VIDA PARA FORTALECER DISPOSITIVOS
Privilegios Administrativos:
Remover los privilegios administrativos
Actualizar SO:
Migrar a sistemas operativos actualizados
Fortalecer SO:
Aprovechar las mejoras de seguridad
Fortalecer el Software:
Desarrollar y mantener el software
Listas Blancas:
Confiar en el código por excepción, desconfiar por
defecto
CICLO DE VIDA PARA FORTALECER DISPOSITIVOS
Privilegios Administrativos:
Remover los privilegios administrativos
Actualizar SO:
Migrar a sistemas operativos actualizados
Fortalecer SO:
Aprovechar las mejoras de seguridad
Fortalecer el SO:
Desarrollar y mantener el software
Listas Blancas:
Confiar en el código por excepción, desconfiar por
defecto
Según gartner y NIST, la medida de seguridad más
importante a implementar para el 2018 es:
LISTAS BLANCAS
RECOMENDACIONES PARA UN PROYECTO DE LISTAS BLANCAS
✘ Implementar renvio de registros
✘ Implementar AppLocker en modalidad de Auditoria
✘ Recolectar registros por un tiempo prudencial
✘ Crear reglas basada en los registros
✘ Educar a los administradores
✘ Prender la auditoria de applocker para el resto del ambiente
✘ Forzar la aplicación de applocker para un grupo piloto
✘ Monitorear un por un tiempo
✘ Prenderlo para todo el ambiente
✘ Fortalecer!
APPS
DLLs
DESCONFIANZA POR DEFECTO
LISTAS BLANCAS
✘ Las listas Blancas son una de las formas mas efectivas de incrementar
la seguridad.
✘ Las listas blancas son realmente efectivas cuando se combinan con el
principio del menor privilegio
✘ Las listas blancas son barreras de seguridad – las listas negras no!
Paso 1: Preparase
Paso 2: Hacer que el dispositivo actué
Paso 3: Esperar al que el usuario
llame a la mesa de ayuda
Paso 4: Obtener credenciales de la
mesa de ayuda
Paso 5: Finalizar
ASEGURANDO LA MESA DE AYUDA
Usuario
Dispositivo
(Físico o Virtual)
Problemas con un
dispositivo
1
Knok Knok
ATAQUE A L A MESA DE AYUDA
Contactar a la
Mesa
2
Conectarse al
dispositivo como
administrador
3
Escenario típico de la mesa de
ayuda: : técnicos que pertenecen a
un grupo con derechos
administrativos sobre todos los
dispositivos
Tec de la Mesa
Dispositivo #2 Dispositivo #n
Usuario
Dispositivo
(Físico o Virtual)
Knok Knok
Capturando una sola credencial se
gana acceso a todos los
dispositivos
Las credenciales de la mesa de
ayuda son diseñadas para
conectarse de forma arbitraria a
los dispositivos
Tec de la Mesa
Dispositivo #2 Dispositivo #n
4
5
Com
prom
eter
otros dis
posit
ivos
6
Compromise all
other devices
7
ATAQUE A L A MESA DE AYUDA
Problemas con un
dispositivo
1
Contactar a la
Mesa
2
Conectarse al
dispositivo como
administrador
3
Usuario
Dispositivo
(Físico o Virtual)
Problemas con un
dispositivo
1
Knok Knok
MITIGACIÓN DEL ATAQUE USANDO LAPS
Contacto a la
Mesa
2
Conectar con
credenciales
9
Si alguien gana acceso a un
dispositivo, solo tendrá acceso a
ese dispositivo
JEA Script crea credenciales de un
solo uso
Técnico Mesa
Dispositivo #2 Dispositivo #n
Atributo
AD LAPS
Solicitar
credenciales del
Dispositivo
3
Recibir
credencialess del
dispositivo
8
1
9
Credencia
les 1.1 no
reutil
iza
ble
10
Web
Portal
JEA
Script
Solicitar
credenciales del
script
4
Recibir
credenciales del
dispositivo
7
Buscar
credenciales del
AD
5
Recibir
credenciales del
dispositivo
6
ACTIVOS DE ALTO VALOR
Administradores
Operadores de Sistemas de
Misión critica
Desarrolladores
Al tratar a todos los usuarios como
especiales, no estas tratando a ningún
usuario como especial
LOS ACTIVOS PRIVILEGIADOS
DEBEN SER GESTIONADOS POR
UNA CADENA DE CONFIANZA
QUE SE EXTIENDE
DESDE EL TECLADO HASTA EL ACTIVO ADMINISTRADO
QUE SOLO ADMITE
LA EJECUCIÓN DE APLICACIONES Y DATOS
QUE SON
DE CONFIANZA AL MISMO GRADO QUE EL ACTIVO .
LEMA DE L AS ESTACIONES ROBUSTAS
Windows Hello
Windows Hello for
Business
Companion Device
Framework
Credential Guard
Cambiar claves,
proteger
identidades
Fortalecer la
autenticación con doble
factor y/o biométricos
Secure Boot
Device Guard
Windows Defender
Ejecutar
únicamente
software
conocido
Eliminar malware en los
dispositivos corporativos
Encripción automática con
protección persistente
Windows Information
Protection
Proteger datos
corporativos
Windows Defender
Advanced Threat
Protection
Detectar
dispositivos
comprometidos
Utilizar detección basada
en comportamiento,
inteligencia de amenazas
para detección de
dispositivos comprometidos
MAS SEGURO Y MAS PROTEGIDO
top related