Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader

Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes

1 Abril 2014

Construyendo la Ciberdefensa en España

Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes

ÍNDICE

1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Conclusiones

3

1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones

4

Tendencias e Innovaciones Disruptivas

Traen consigo nuevos riesgos: - Nuevos canales, sin políticas definidas - Explosión de los datos - Perdida de noción de privacidad - Dificultad de control y trazabilidad

5

Cyber Milicia Uso activo del ciberespacio como campo de batalla, terrorismo….

Cyber Altruismo Individuales y grupos motivados por conciencia social, reivindicación de derechos y denuncias sociales,…

Cyber Cartel Cybercrimen organizado, convergencia de lo tradicional y cyber.

Robo de Información Aumento del CyberCrimen Hacktivismo Profesional Advanced Persistent Threat

2010 2011 2003 2012 2004 2005 2006 2008 2007 2009 2013 2014

StuxNet 2010

AOL 2010

TJ Maxx 2010

UK Revenue & Customs 2006

Heartland 2009

Evernote 2013

NASA Shuttle Plans Dec 2006

Estonia Dark May 2007

Buckshot Yankee Nov 2008

GhostNet Mar 2009

Sony PSN Dec 2010

.CN Aug 2013

WSJ - SEA Aug 2013

Apple Aug 2011

Red October Dec 2010

Facebook 2013

Living Social 2013

Yahoo 2013

Shamoon Aug 2012

Tamper Data June 2012

Video Conferencing Aug 2012

DigiNotar Sept 2011

Kernel.org Aug 2011

Linea tiempo Cyber Stuxnet, diseñado para manipular sistemas de control industrial, utiliza cuatro vulnerabilidades zero-day para atacar el programa de enriquecimiento de uranio iraní.

Se descubre “Red October” que ha estado operando desde 2007 robando información en vulnerabilidades de MS Word y Excel

El ejercito Sirio ataca al Wall Street Journal.

El perfil de Mark Zuckerberg, fundador de Facebook es hackeado por un trabajador palestino.

Heartland, robo de 100 millones de tarjetas personales. Coste 140M$

Shamoon – Virus de ciberespionaje capaz de extenderse mediante la explotación de discos compartidos.

Tamper Data Hack. Vulnerabilidad en Hotamil que permitio el acceso a 13 millones de cuentas de hotmail.

El mayor ataque al departamento de defensa de US. Infección por un USB infectado. Creación del US CyberCommand

PlayStation network, robo de información personal de 77 millones de usuarios. Coste 170M$

6

La seguridad Tradicional no es suficiente

Vulnerabilidades comunes

Phishing

Website malicioso

Herramientas de descubrimiento

Herramientas de exploits

Malware básico

Exploit en documentos

Botnets

Spear Phishing

Watering Hole

Zero-Day

Crypted RAT

7

Vulnerabilidad Zero Day

Ataque Zero Day

Ventana de Exposición

Zero TIME

Vulnerabilidades desconocidas para todo el mundo, incluso para el creador de la aplicación.

8

Se ejecuta un malware. P.e. Poison Ivy

Se recolecta datos durante un periodo de tiempo

Se trocea la información en ficheros, se cifran y se envían via FTP al exterior

La organización se entera del ataque por la prensa

Abre un fichero excel adjunto Se instala un RAT utilizando

una vulnerabilidad de Adobe Flash

Un empleado recibe un email

NMAP scan de la red para recolectar información sensible

Ejemplo de Ataque dirigido

9

10

1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y Conclusiones

11

Seguridad = Confianza

1. Known knowns. BugTraq 2. Known Unknowns. Vulnerabilidades sin parche. CVE 3. Unknown Unknowns. Zero Days …. Investigación y análisis forense en caso de ocurrir. ¿Cual ha sido el impacto del incidente?

BugTraq http://www.securityfocus.com/ CVE http://cve.mitre.org/

12

Defensa en Profundidad

• Concepto militar Aplicado a ciberseguridad

• Es útil contra nuevos ataques avanzados, inteligentes, persistentes, dirigidos, ya que pone las máximas trabas posibles al atacante

• Estrategia basada en colocar varias líneas consecutivas de protección

13

Arquitectura Referencia Seguridad HP

Defensa en Profundidad ….. más que sólo tecnología

14

1. Nuevo paradigma de Seguridad 2. Estrategia Defensa en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones

15

Tendencias de protección

Seguridad en el puesto

Seguridad Perimetral

Protección Información

Hacktivismo Profesional

• Antivirus • Hardening

• Firewall • IDS / IPS • Antispam • WebProxy

• Data Loss Prevention • Database Access Monitoring • Privileged User Management • Web App Firewalls

16

Herramientas de seguridad integradas ante nuevos ataques

1. Servicios de Inteligencia de Amenazas 2. SIEM y correlación 3. SandBoxing dinámico 4. Soluciones Security Analytics

La respuesta a: • Known Unknowns. Vulnerabilidades sin parche. CVE • Unknown Unknowns. Zero Days …. Investigación y análisis forense

Hacktivismo Profesional

17

1. Servicios de Inteligencia de Amenazas

Información global que puedo integrar en los sistemas de seguridad para realizar una gestión de seguridad proactiva. Ejemplos de protección:

- Proxy/Antispam. Bloqueo de objetos basado en whitelist/blacklist

- NGFW/IPS - Actualización de firmas. Inteligencia cloud/comunidad - Bloqueo de trafico basado en reputación IP/DNS

- SIEM. Correlación de eventos con servicio reputación. Detección de BOT interno

18

1. Servicios de Inteligencia de Amenazas

1,400+ Investigadores Independientes

Digital Vaccine

Broadest Coverage • Evergreen Protection

Web App DV and Scanning

Web Scan• Custom Filters • PCI Report

Application DV

Application filters for security and control

Reputation DV

IP Reputation • DNS Reputation

La Iniciativa Día Cero (ZDI), fundado por TippingPoint, es un programa para recompensar a los investigadores de seguridad para la revelación y comunicación de vulnerabilidades de manera responsable.

19

2. SIEM y Correlación

Recolección • Recolecta información de cualquier sistema o aplicación. • Añade contexto para activos, usuarios y procesos de

negocio

Recolección Consolidación Correlación

Consolidación • Gestión universal de logs centralizada para soportar las

operaciones de IT, Seguridad, cumplimiento. • Informes e investigación con históricos de datos

Recolección Consolidación Correlación

Correlación • Reconocimiento de patrones y detección de anomalías • Integración de Servicios de Inteligencia. • Cuanto más recolectemos … mas inteligencia !!

Recolección Consolidación Correlación

SIEM- Security Information and Event Management

20

2. SIEM y Correlación Aproximación Visual. Una imagen aporta más que mil líneas de log

21

2. SIEM y correlación Normalización. La clave

Windows Failed Login Event

Oracle Failed Login Event

UNIX Failed Login Event

Badge Reader Entry Denied

OS/390 Failed Login Event

22

2. SIEM y Correlación Ejemplo de Correlación Combinación de múltiples eventos con reglas predefinida

23

2. SIEM y Correlación Ejemplo de Correlación Reglas de correlación a partir de otras reglas predefinidas

24

2. SIEM y Correlación Ejemplo de Correlación La correlación con análisis estadístico permite reducir los falsos positivos

25

3. Sandboxing dinámico Ejecución de un programa en un entorno aislado y controlado para monitorizar su comportamiento.

Internal Network

SandBox

Internet

Internal Network

SandBox

WebProxy

Internet

26

3. Sandboxing dinámico … en acción

27

3. Sandboxing dinámico

Fortalezas: • Automatizado

• Ejecución relativamente rápida (<1 minuto)

• No requiere capacidades de ingeniería inversa

• Se puede adaptar al entorno real

Debilidad: • Lucha continua “del hacker” buscando

técnicas de evasión

• Puede haber casos de no detección

28

4. Soluciones Security Analytics

• Recolecta todo el tráfico de red en una ventana temporal. Como una cámara de TV

• Análisis en tiempo real, facilita la Investigación y Análisis forense

• Reconstruye ficheros • Reconstruye sesiones

• Permite evaluar el impacto de un ataque de seguridad

Internal Network

Security Analytics

Internet

…. los incidentes ocurren y hay que gestionarlos

29

4. Soluciones Security Analytics …. en acción

30

4. Soluciones Security Analytics …. en acción

31

Resumen de capacidades herramientas

Total Parcial No

Inteligencia Seguridad

SIEM y Correlación

Sandboxing Security Analytics

Known knowns

Known Unknowns

Unknown Unknowns

Investigación Forense

32

Se recolecta datos durante un periodo de tiempo

NMAP scan de la red para recolectar información sensible

Se ejecuta un malware. P.e. Poison Ivy

Se instala un RAT utilizando una vulnerabilidad de Adobe Flash

Un empleado recibe un email

Se trocea la información en ficheros, se cifran y se envían via FTP al exterior

La organización se entera del ataque por la prensa

Abre un fichero excel adjunto • Antispam con Threat

Intelligence • Sanboxing

1

• Antivirus con Threat Intelligence

2

• NGFW con Threat Intelligence para bloquear infecciones

4

• SEM para monitorizar actividad anómala

5

• SEM para monitorizar

actividad anómala

6

• SEM con Threat Intelligence • Security Analytics

7

Seguridad Efectiva

8

• Gestión de Vulnerabilidades

3

33

1. Nuevo paradigma de Seguridad 2. Estrategia Seguridad en Profundidad 3. Protección ante ataques inteligentes 4. Retos y conclusiones

34

• Nuevas formas de ataque requiere nuevas formas de abordar la seguridad.

• Una estrategia de defensa en profundidad con una combinación de técnicas y soluciones descritas es la mejor aproximación ante el nuevo paradigma.

• ….. pero no garantiza una protección absoluta • El eslabón más débil…. el factor humano: las personas.

35

Hewlett Packard, Félix Martín HP TS Consulting. EMEA Security Leader

Herramientas de Seguridad integrada ante los nuevos Ataques inteligentes

1 Abril 2014

Construyendo la Ciberdefensa en España