Post on 23-Jan-2018
Las nuevas ciberamenazas que enfrentamos el 2017
1
MBA Ing. Raúl Díaz Parra | CRISC, CISA, CISM, CEH, CHFI, ECSA, ECSP, CPTE,
ITIL, ISF ISO/IEC 27002 | raul.diaz@strategoscs.com | +51-994521461
Agenda
• Predicciones de Ciberamenazas
• Ciberamenazas del 2017
– Wannacry y Ciberarmas de Shadow Brokers
• Aplicación de ciberseguridad según
ISO/IEC 27032:2012
• Conclusiones
2
Predicciones de Ciberamenazas
3
Predicciones
• Ransomware
• Amenazas móviles
• Machine Learning
• Exploits de vulnerabilidades Windows
• Dronejacking
• Ciberespionaje
• Hacktivismo
4 Fuente: Mc Affee Labs
Ciberamenazas del 2017
5
Robo de ciberarmas a la NSA
6
7
Ciberataque Wannacry
• Shadow Brokers extrae ciberarmas de la NSA
• 12 de Mayo 2017 inicia el ataque Wannacry
• + 230k ordenadores en 150 países (Rusia, Ucrania, India y Taiwán)
• NHS, Telefónica, FedEx, Latam, ISA, Banco de China, Banco Nacional de India
• Exploit EternalBlue (CVE-2017-0144) - smb
• Parche ms17-010
• Secuestro de información por 300 USD en bitcoins
8
9
Anatomía de ataque Wannacry
10 Fuente: Panda
Proceso de Gestión de Parches
1. Evaluar
2. Identificar
3. Planear
4. Desplegar
11
Mapa Wannacry
12
https://intel.malwaretech.com/WannaCrypt.html
13
14
15
16
17
Wannacry vs Lazarus APT
18
Swift Hack
19
Fuente: BAE Systems
20
Marcus Hutchins
Wannacry Kill Switch
21
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Exploit MS17-010
22
Demo
• Explotación de vulnerabilidad CVE-2017-
0144 con Metasploit en:
– Win7
– Win2008Server R2
23
¿Qué controles se vulneraron en el ciberataque Wannacry?
24
Botnet MIRAI
25
Mirai: escaneo, infección y ataque
26 Fuente: Imperva
Passwords por defecto utilizados por Mirai
27 Fuente: https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/
Shodan
28
Autenticación débil
29
Se libero código fuente de MIRAI y evolucionó el 2017
30
31
Aplicando Ciberseguridad según ISO/IEC 27032:2012
32
Relación de la ciberseguridad y otros dominios de seguridad
33 Fuente: ISO/IEC 27032:2012
27001 vs 27032
• 27001 aplicado a la
protección de activos
digitales y no digitales. Es
auditable.
• 27032 aplicado a la
protección de activos
digitales. Es no auditable.
34
Relaciones de conceptos de seguridad
35 Fuente: Adaptado de la ISO/IEC 15408-1:2005 para la ISO/IEC 27032
Enfoque ISO/IEC 27032
36
Controles de la ISO/IEC 27032
• La ISO/IEC 27032 se focaliza en los
controles técnicos:
37
Controles a nivel de
aplicación (12.2)
Protección del Servidor (12.3)
Controles del usuario final
(12.4)
Controles contra ataques de ingeniería social (12.5)
• Preparación para la ciberseguridad (12.6) – Anexo A • Otros Controles (12.7)
38
•Mostrar una notificación de la compañía en los servicios online
•Asegurar la gestión de sesiones
•Asegurar el manejo de entradas para prevenir inyecciones SQL
• Prevenir el XSS
• Realizar revisiones de entrada
•HTTPs / SSL
Controles a nivel de aplicación
39
• Hardening
• Implementar un sistema para probar e implementar actualizaciones de seguridad
• Realizar seguimiento del desempeño de seguridad del servidor a traves de registros de auditoría
• Revisar la configuración de la seguridad
• Ejecutar controles anti software malicioso (spyware o malware)
• Escanear todo el contenido alojado y subido utilizando software antimalware actualizado
• Realizar evaluaciones de vulnerabilidades y pruebas de seguridad de manera constante
Protección al servidor
40
• Utilizar Sistemas Operativos con soporte
• Utilizar aplicaciones en su ultima versión
• Usar antivirus y antimalware
• Habilitar bloqueos de script
• Utilizar filtros contra la suplantación de identidad
• Utilizar otros elementos de seguridad disponible en los navegadores
• Habilitar un firewall y un HIDS
• Habilitar actualizaciones automáticas
Controles para
usuarios finales
41
• Políticas
• Métodos y procesos
• Categorización y clasificación de información
• Concientización y entrenamiento
• Pruebas
• Personas y organización
• Técnico
Controles contra
ataques de
ingeniería social
Controles a nivel de aplicación
42
Caso Wannacry: Script ms17-010 para Nmap
43
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse
Colocar en la ruta /usr/share/nmap/scripts
44
Ejecutar el siguiente comando nmap –p 445 --script smb-vul-ms17-010 192.168.152.0/24
45
Conclusiones
46
Conclusiones
• Wannacry y Mirai son solo muestras de los próximos ciberataques.
• La demora de la aplicación del parche de seguridad es aprovechado por los cibercriminales para explotar vulnerabilidades. – Con nmap podemos verificar fácilmente si se aplicaron
los parches para la vulnerabilidad CVE-2017-0144
• Evaluar si contamos con controles de ciberseguridad necesarios para la protección organizacional ante las nuevas ciberamenazas – Fortalecer la estrategia de seguridad con el monitoreo
de ciberamenazas para prevenir próximos ciberataques
47
¿Preguntas?
48
Gracias
49
MBA Ing. Raúl Díaz Parra
Socio Líder de Consultoría de Strategos CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP,
CPTE, ITIL(F), ISO/IEC 27002
raul.diaz@strategoscs.com
+51-994521461
@rauldiazp