Construyendo la Ciberdefensa en Espaa

Herramientas de Seguridad integrada ante los nuevos

Ataques inteligentes
1 Abril 2014
Hewlett Packard, Flix Martn

HP TS Consulting. EMEA Security Leader

NDICE
Herramientas de Seguridad integrada ante los
nuevos Ataques inteligentes
1.
2.
3.
4.

Nuevo paradigma de Seguridad

Estrategia Seguridad en Profundidad
Proteccin ante ataques inteligentes
Conclusiones

1. Nuevo paradigma de Seguridad

2. Estrategia Seguridad en Profundidad
3. Proteccin ante ataques inteligentes
4. Retos y conclusiones

Tendencias e Innovaciones Disruptivas

Traen consigo nuevos riesgos:

- Nuevos canales, sin polticas definidas
- Explosin de los datos
- Perdida de nocin de privacidad
- Dificultad de control y trazabilidad
4

Linea tiempo Cyber

Stuxnet, diseado para
manipular sistemas de
control industrial, utiliza
cuatro vulnerabilidades
zero-day para atacar el
programa de
enriquecimiento de uranio
iran.
PlayStation network,
robo de informacin
personal de 77
millones de usuarios.
Coste 170M$

Heartland, robo de
100 millones de
tarjetas personales.
Coste 140M$

Se descubre Red
October que ha
estado operando
desde 2007 robando
informacin en
vulnerabilidades de
MS Word y Excel

Cyber Cartel

.CN
Aug 2013

Aug 2012

StuxNet

WSJ SEA

2010

Aug 2013

Cyber Milicia

Uso activo del ciberespacio como

campoRed
de
October
Apple
batalla, terrorismo.

UK Revenue
& Customs

Heartland

Sony PSN

Kernel.org

Dec 2010

Aug 2011

Cyber Altruismo

2006

2009

TJ Maxx
2010

NASA
Shuttle
Plans

El ejercito Sirio ataca

al Wall Street Journal.

June 2012

Aug 2011

2010

Tamper Data Hack.

Vulnerabilidad en
Hotamil que permitio el
acceso a 13 millones
de cuentas de hotmail.

Tamper
Data

Cybercrimen organizado, convergencia de lo

tradicional y cyber.
Shamoon

El mayor ataque al
departamento de
defensa de US.
Infeccin por un USB
infectado.
Creacin del US
CyberCommand

AOL

Shamoon Virus de
ciberespionaje capaz
de extenderse
mediante la
explotacin de discos
compartidos.

Estonia
Dark
May 2007

Buckshot

Dec 2010

Video
Conferenci
ng

El perfil de Mark
Zuckerberg, fundador
de Facebook es
hackeado por un
trabajador palestino.

Evernote
2013

Facebook
2013

Aug 2012

DigiNotar

Yankee
Individuales
y grupos motivados por conciencia
social, reivindicacin de derechos y denuncias
GhostNet
sociales,
Sept 2011

Nov 2008

Mar 2009

Living
Social
2013

Yahoo
2013

Dec 2006

2003

2004

2005

Robo de Informacin

2006

2007

2008

2009

2010

2011

Aumento del CyberCrimen Advanced Persistent Threat

2012

2013

2014

Hacktivismo Profesional

La seguridad Tradicional no es suficiente

Spear
Phishing
Botnets
Website
malicioso

Exploit en
documentos

Phishing

Vulnerabilidades
comunes

Watering Hole
Herramientas de
descubrimiento

Crypted
RAT

Herramientas de
exploits

Zero-Day

Malware bsico

Vulnerabilidad Zero Day

Vulnerabilidades desconocidas para todo el mundo, incluso para el
creador de la aplicacin.

Zero TIME
Ataque
Zero Day
Ventana de Exposicin

Ejemplo de Ataque dirigido

Un empleado recibe un
email

Abre un fichero excel adjunto

NMAP scan de la red para

recolectar informacin
sensible

Se recolecta datos
durante un periodo de
tiempo

Se instala un RAT utilizando

una vulnerabilidad de
Adobe Flash

Se ejecuta un malware. P.e.

Poison Ivy

Se trocea la informacin
en ficheros, se cifran y
se envan via FTP al
exterior

La organizacin
se entera del
ataque por la
prensa

1. Nuevo paradigma de Seguridad

2. Estrategia Seguridad en Profundidad

3. Proteccin ante ataques inteligentes
4. Retos y Conclusiones

10

Seguridad = Confianza
1. Known knowns. BugTraq
2. Known Unknowns. Vulnerabilidades sin parche. CVE
3. Unknown Unknowns. Zero Days
. Investigacin y anlisis forense
en caso de ocurrir. Cual ha sido el impacto del incidente?

BugTraq
CVE

http://www.securityfocus.com/
http://cve.mitre.org/

11

Defensa en Profundidad

Concepto militar Aplicado a

ciberseguridad
Estrategia basada en colocar
varias lneas consecutivas de
proteccin
Es til contra nuevos
ataques avanzados,
inteligentes, persistentes,
dirigidos, ya que pone las
mximas trabas posibles al
atacante
12

Defensa en Profundidad
.. ms que slo tecnologa

Arquitectura Referencia Seguridad HP

13

1. Nuevo paradigma de Seguridad

2. Estrategia Defensa en Profundidad

3. Proteccin ante ataques inteligentes

4. Retos y conclusiones

14

Tendencias de proteccin

Hacktivismo
Profesional
Proteccin
Informacin
Seguridad
Perimetral
Firewall
IDS / IPS
Seguridad en el
Antispam
puesto
WebProxy
Antivirus
Hardening

Data Loss Prevention

Database Access Monitoring
Privileged User Management
Web App Firewalls

15

Herramientas de seguridad
integradas ante nuevos ataques

Hacktivismo
Profesional

1.
2.
3.
4.

Servicios de Inteligencia de Amenazas

SIEM y correlacin
SandBoxing dinmico
Soluciones Security Analytics

La respuesta a:

Known Unknowns. Vulnerabilidades sin parche. CVE

Unknown Unknowns. Zero Days
. Investigacin y anlisis forense
16

1. Servicios de Inteligencia de Amenazas

Informacin global que puedo integrar en los sistemas de seguridad
para realizar una gestin de seguridad proactiva.
Ejemplos de proteccin:
- Proxy/Antispam. Bloqueo de objetos basado en
whitelist/blacklist
- NGFW/IPS
- Actualizacin de firmas. Inteligencia cloud/comunidad
- Bloqueo de trafico basado en reputacin IP/DNS
- SIEM. Correlacin de eventos con servicio reputacin.
Deteccin de BOT interno

17

1. Servicios de Inteligencia de Amenazas

Digital Vaccine

1,400+ Investigadores Independientes

Broadest Coverage Evergreen Protection

Web App DV and Scanning

La Iniciativa Da Cero (ZDI), fundado

por TippingPoint, es un programa para
recompensar a los investigadores de
seguridad para la revelacin y
comunicacin de vulnerabilidades de
manera responsable.

Web Scan Custom Filters PCI Report

Application DV

Application filters for security and control

Reputation DV

IP Reputation DNS Reputation

18

2. SIEM y Correlacin
SIEM- Security Information and Event Management
Recoleccin
Recoleccin

Consolidacin

Correlacin

Recolecta informacin de cualquier sistema o aplicacin.

Aade contexto para activos, usuarios y procesos de
negocio

Consolidacin
Recoleccin

Consolidacin

Correlacin

Gestin universal de logs centralizada para soportar las

operaciones de IT, Seguridad, cumplimiento.
Informes e investigacin con histricos de datos

Correlacin
Recoleccin

Consolidacin

Correlacin

Reconocimiento de patrones y deteccin de anomalas

Integracin de Servicios de Inteligencia.
Cuanto ms recolectemos mas inteligencia !!

19

2. SIEM y Correlacin
Aproximacin Visual. Una imagen aporta ms que mil lneas de log

20

2. SIEM y correlacin

Normalizacin. La clave
OS/390
Failed Login Event

UNIX
Failed Login Event
Oracle
Failed Login Event
Windows
Failed Login Event
Badge Reader
Entry Denied

21

2. SIEM y Correlacin

Ejemplo de Correlacin
Combinacin de mltiples eventos con reglas predefinida

22

2. SIEM y Correlacin

Ejemplo de Correlacin
Reglas de correlacin a partir de otras reglas predefinidas

23

2. SIEM y Correlacin

Ejemplo de Correlacin
La correlacin con anlisis estadstico permite reducir los
falsos positivos

24

3. Sandboxing dinmico
Ejecucin de un programa en un entorno aislado y controlado para
monitorizar su comportamiento.
Internet
Internal
Network
SandBox

Internet
Internal
Network
WebProxy

SandBox

25

3. Sandboxing dinmico
en accin

26

3. Sandboxing dinmico
Fortalezas:

Automatizado

Ejecucin relativamente rpida (<1 minuto)

No requiere capacidades de ingeniera inversa

Se puede adaptar al entorno real

Debilidad:

Lucha continua del hacker buscando

tcnicas de evasin

Puede haber casos de no deteccin

27

4. Soluciones Security Analytics

. los incidentes ocurren y hay que gestionarlos
Internet
Internal
Network
Security
Analytics

Recolecta todo el trfico de red en una ventana temporal.

Como una cmara de TV
Anlisis en tiempo real, facilita la Investigacin y Anlisis
forense
Reconstruye ficheros
Reconstruye sesiones
Permite evaluar el impacto de un ataque de seguridad
28

4. Soluciones Security Analytics

. en accin

29

4. Soluciones Security Analytics

. en accin

30

Resumen de capacidades herramientas

Inteligencia
Seguridad

SIEM y
Correlacin

Sandboxing

Security
Analytics

Known
knowns
Known
Unknowns
Unknown
Unknowns
Investigacin
Forense

Total
Parcial
No

31

UnAntispam
Threat
empleadocon
recibe
un
Intelligence
email
Sanboxing

5
NMAP
scan
la red para
SEM
parademonitorizar
recolectar
informacin
actividad anmala
sensible

6
Se
recolecta
datos
SEM
para monitorizar
durante
un periodo
actividad
anmalade
tiempo

Se instala un RAT utilizando

Gestin
de Vulnerabilidades
una vulnerabilidad
de
Adobe Flash

Antivirus
con
Threat
Abre
un fichero
excel
adjunto
Intelligence

4
ejecuta
NGFW con
Threat Intelligence
para
Se
un malware.
P.e.
bloquear
Poison
Ivy infecciones

7
Se trocea la informacin
SEM con Threat Intelligence
ficheros,
se cifran y
en
Security
Analytics
se envan via FTP al
exterior

8
La organizacin
se entera del
Seguridad Efectiva
ataque por la
prensa

32

1. Nuevo paradigma de Seguridad

2. Estrategia Seguridad en Profundidad
3. Proteccin ante ataques inteligentes

4. Retos y conclusiones

33

Nuevas formas de ataque requiere nuevas formas de abordar

la seguridad.
Una estrategia de defensa en profundidad con una
combinacin de tcnicas y soluciones descritas es la mejor
aproximacin ante el nuevo paradigma.
.. pero no garantiza una proteccin absoluta
El eslabn ms dbil. el factor humano: las personas.

34

35

Construyendo la Ciberdefensa en Espaa

Herramientas de Seguridad integrada ante los nuevos

Ataques inteligentes
1 Abril 2014
Hewlett Packard, Flix Martn

HP TS Consulting. EMEA Security Leader