Combatiendo la Última Generación de Malware Avanzado INFOSECURITY 201… · RSA/Lockheed Duqu...
Transcript of Combatiendo la Última Generación de Malware Avanzado INFOSECURITY 201… · RSA/Lockheed Duqu...
Combatiendo la Última Generación
de Malware AvanzadoCómo Sobrevivir a un Ataque por APTs
Andrés A. Buendía UcrósMaster Sales EngineerLatinAmerica & CaribbeanWatchGuard Technologies, Inc.
Agenda
Qué es una APT?
Linea de Tiempo de una APT
Las APTs Aumentan
Protección Contra Amenazas Avanzadas
Qué es una Amenaza Persistente Avanzada - Advanced
Persistent Threat (APT)?
Una Advanced Persistant
Threat (APT) es un ataque
innovador, de muy alta tecnología,
apalancado para obtener control
prolongado y sigiloso sobre un
objetivo de alto valor político o
comercial.
Tres Atributos:1. Avanzada2. Persistente3. Dirigida
APT: Técnicas Avanzadas de Ataque
Exploits de Día Cero
Malware de Día Cero
Rootkits Avanzados
Evasivos
Objetivo en Sistema Propietarios
Cryptografía Inteligente
Cyber Ataque
Tradicional
Advanced Persistent
Threat
Linea de Tiempo de Amenazas Avanzadas
GhostNet
Operation Aurora
Stuxnet
RSA/Lockheed
Duqu
Flame
Gauss
NYTimes
Adobe
Target
Mar. 2009
Jan. 2010
Jun. 2010
Mar. 2011
Sep.2011 May
2012
Dec. 2013
Jun. 2012
Jan. 2013
2009 2010 2011 2012 2013 2014
Oct. 2013
China-based C&CSpear Phishing
Political Targets
IE 0dayComment Crew (CN)Stole Gmail and Src
Four 0dayPLC Rootkit
Broke Centrifuges
0day Flash Flaw0dayTrojan
Stole SecureID Info
0day Word flawIran, Sudan, SyrianCyber Espionage
0day MS Cert FlawStole IP
Target Iranian Oil
Targeted LebanonUSB LNK Flaw
APT Bank Trojan
152M records0day Coldfusion
Stolen source
China-basedSpear phishing0day malware
40M CCNs0day malwarePartner access
Países / PolíticaCriminal / Privada
Stuxnet: La Caja de Pandora de las APTs
• Cuatro Exploits de Día Cero
• Auto-replicación en la LAN
• Exploit de USB
• Actualización vía P2P
• C&C Cauteloso
• Elimina procesos de seguridad
• Rootkit al kernel de Windows
• Busca Software SCADA (Supervisory Control and Data Acquisition) comoWinCC y Step7
• Fingerprints del Sitema ICS (Incident Command System) de Siemens
• Primer rootkit para PLC (Programmable Logic Controler)
• Finalmente, interrumpe el programa de enriquecimiento de uranio de Iran
Técnicas de Goteo de APT
Zeus copia el 0day de Stuxnet
Los criminales usan malware 0day (Cryptolocker)
Zeus usa certificados robados
Spear phishing de los criminales
Los criminales atacan por goteo
Hoy, el malware criminal normal
explota las mismas tacticasavanzadas que las APTs dirigidas a
Naciones o Paises. Todas lasorganizaciones están en riesgo con las
amenazas avanzadas!
La Violación a Target
• Penetrado en Nov. 15, 2013
• Revelado en Dec. 18, 2013
• 40 Millones de TCs robadas (Track 1 & 2 data)
• Los atacantes capturaron los PINs encriptados
• 70 Millones de records personales robados
• Malware 0day de POS (variante BlackPOS)
• FTP para sacar la data
• Credenciales del partner de AC utilizadas
• Inició con un mail de spear phishing
• Target ignoró las alertas de violación
Amenazas Avanzadas Recientes
• Comisión de Regulación Nuclear US
– Tres ataques avanzados en tres años
– Spear phishing siempre como punto de entrada
• Malware para POS
– 1.000 industrias infectadas desde 10/2013
– Variantes de la misma amenaza
• Últimos robos de data
– UPS: 51 tiendas infectadas en 26 estados
– Home Depot: 2200 tiendas infectadas
– Antivirus tradicional no bloquea malware POS
Cómo Entran las Amenazas Avanzadas?
Spear Phishing
Goteo
Cadena de Confianza
RSA
Lockheed Martin
US DoD?
Las Amenazas Avanzadas Requieren Defensa a Profundidad
Las amenazas avanzadas, por definición, utilizan multiples vectores de ataque.
La defensa individual no protegecompletamente contra ataques por APTs
Firewall
Intrusion Prevention System
AntiVirus
AntiSpam
Reputation Services
APT Protection
Entre más niveles de seguridad se
tengan, mayor chance de detectar y bloquear una APT.
APT Blocker: Sandbox de Ejecución Virtual
Virtualiza el sistema completo de la víctima
Ejecuta el contenido desconocido en un ambiente protegido
Analiza el comportamiento
Detecta técnicas de evasión de sandbox
Rastrea malware adicional y C&Cs
APT Blocker Detecta el Nuevo Malware
• Identifica y envía los archivossospechosos al sistema completo de emulación de sandbox de últimageneración, basado en la nube o local los archivos sospechosos
• Provee visibilidad en tiempo real y protección inmediata
• Analiza exhaustivamente los archivos(Ejecutables, instaladores, documentos de Office, PDFs, APKs de Android)
• Detecta Malware de Día Cero
• Escalable; inspecciona millones de objetos simultáneamente
• No es engañado por técnicas de evasión
17
WatchGuard Firebox Provee Defensa en Profundidad
AntiVirus
URL Filtering
AntiSpam
IPS
App Control
Data Loss Prevention
APT
WatchGuard Architecture
3 Year EffortDelivered the most flexible
architecture / platform for UTM
Highest PerformanceLeading UTM performance at
each price point
Management ConsoleWatchGuard Dimension™ brings
powerful visualization tools to
network security
UTM Firmware Spanning across all hardware
platforms
Modular Structure To support “vendor agnostic”
strategy
Hardware:Multiple CPU partners for best
fit to specific product line
Software:Always Best-of-Breed software
components, with speedy
integration
Platform
Las Organizaciones no ven las Violaciones
En promedio, las violaciones toman
80 días para ser descubiertas (y 123 paraser eliminadas)
Los logs solamente representan el1% en el descubrimientos de las
violaciones
Gap between data
collection & security
20 | Copyright 2013
Qué tanto sabe acerca
de lo que está
ocurriendo con su
seguridad de red?
Cuál es el Problema? Visibilidad
*Read the SANS Institute Research here.Or browse to https://www.sans.org/press/survey-results-in-analytics-and-intelligence-being-used-but-not-effectively.php
21 | Copyright 2013
Visibilidad es DefensaLas organizaciones líderes utilizan nuevas
herramientas para analizar la data,
identificar patrones y tomar mejores
decisiones.
Por qué no hacerlo igual con la
seguridad?
24
WatchGuard Dimension entrega visibilidad de Big Data para
la seguridad de red
WatchGuard DimensionBETTER VISIBILITY, STRONGER SECURITY
Identify the user
that is taking all
of the bandwidth
Identifica los usuarios
y aplicaciones que
consumen el ancho
de banda
Tres Lineas de Defensa
Defensa a Profundidad
Protección contra Malware Avanzado
Herramientas de Visibilidaden Seguridad
Concientización de Usuarios
Servicios de Reputación
Control de Aplicaciones
Logs Gráficos
Filtro de Contenido
IPS
Antivirus
Firewall