Sebastian Brenner

Detección y Respuesta Contra Amenazas

Persistentes Avanzadas

NUEVAS REGLAS PARA

PROTEGERNOS DE AMENAZAS

El panorama actual de las amenazas requiere un

cambio de una estrategia defensiva a una posición

más ofensiva.

¿A QUÉ NOS

ENFRENTAMOS?

QUE ES UN AMENAZA AVANZADA

¿Qué es?

Conjunto de procesos informáticos sigilosos y continuos, a

menudo orquestados por humanos, dirigidos a penetrar la

seguridad informática de una entidad específica.

Características

Dirigidas y Sigilosas

Actúan por largo periodo de tiempo

Técnicas de ataque avanzadas

Monitoreo y control externo

Se mueven por la red y sobrepasan barreras de seguridad

¿Qué busca?

• Propiedad Intelectual

• Código de aplicaciones

• Planes de negocio

• …

UN EJEMPLO: REGIN (2014)

Resumen de la amenaza

PERSISTENCE & STEALTH

BULK OF CODE IS HIDDEN

COMPLEX ENCRYPTION

MULTI-STAGED& MODULAR

MANY COMPONENTS

CUSTOMIZABLE

DIFFICULT TO ANALYZE

SPECIALIZED

CUSTOMIZED FOREACH JOB

REQUIRES SPECIALIST SKILLS

ROBUST C&C

MULTIPLE CHANNELS

HEAVILY ENCRYPTED

P2P

UN POCO DE ESTADÍSTICAS

98 DÍAS PARA DETECTARUNA BRECHA EN EL

SECTOR FINANCIERO*…

28% del malware detecta ambientes

virtuales

En el 2014Solamente

317 Millones de Nuevas Amenazas

312 Brechas de Datos Difundidos

*http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/

197 DÍAS PARA DETECTARUNA BRECHA EN EL

SECTOR FINANCIERO*…

MUCHAS VECES ALERTADOS POR UN TERCERO

LÍNEA DE TIEMPO DE UN ATAQUE

Reconocimiento

Incursión

Descubrimiento

Captura

Exfiltración

CÓMO USAR EL TIEMPO A NUESTRO

FAVORTiempo

RECONOCIMIENTO

INCURSIÓN

DESCUBRIMIENTO

CAPTURA

EX FILTRACIÓN

Prevención

Fuga de Datos

Ventana para detectar y remediar minimizando el

impacto

“Lento y sigiloso”

DESCUBRIMIENTO

IR MAS ALLÁ DE UNA ESTRATEGIA

REACTIVA A UNA PROACTIVA

PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER

Entendiendo dondeestán los

datos importantes

Detener Ataquesentrantes

Descubrir Incursiones Contener & solucionarProblemas

RestaurarOperaciones

Y AHORA… ¡¿QUIÉN PODRÁ

DEFENDERME?!

CONSIDERACIONES IMPORTANTES

Prioridad a lo que más importa

Remediar rápido

Descubrir amenazas avanzadas en el endpoint, la red y el email

DESCUBRIR USANDO SANDBOXING

Ejecución y detonación de archivos y análisis de comportamiento en plataforma de sandbox

Tradicionalmente plataforma on-premise. Mas utilización de plataforma en la nube para flexibilidad, actualizaciones rápidas para atacar el malware que evoluciona y quiere prevenir su detección.

Imitar la interacción humana para un ambientes realistas. No solo es detonar, es imitar como un punto final actúa para mejorar la precisión

Detectar amenazas diseñadas para evadir las VMs mediante el uso de máquinas virtuales y físicas. Múltiples versiones de sistemas operativos y aplicaciones

Amplia cobertura: documentos de Office, PDF, HTML, Java, contenedores, ejecutables para un Análisis rápido y preciso de casi todos los tipos de contenido potencialmente malicioso

UN EJEMPLO DE DETONACIÓN

DESCUBRIR IOC RÁPIDAMENTE

Buscar cualquier indicador del ataque, por hash

de archivo, llave de registro, o la dirección IP de

origen y el URL, con un solo clic de un botón.

Objetivo: hacer fácil el descubrimiento reducir

el tiempo de búsqueda a pocas horas

Buscar Indicadores de compromisos en todos

los puntos de control

PRIORIDAD A LO QUE MAS IMPORTA

• Agregar y correlacionar toda la actividad sospechosa a través de los endpoints, redes y el email

• Reducir el número de incidentes que los analistas de seguridad necesitan examinar

EFECTIVIDAD

• Tener una vista única de la actividad de ataques a través de todos los puntos de control

• Visualizar y remediar todos los artefactos del ataque relacionados

UNIFICAR INVESTIGACION

EJEMPLO DE PRIORIDAD

REMEDIAR RAPIDAMENTE

Contener y remediar la amenaza en minutos

Buscar la manera de reducir las tareas de búsqueda y contención

Encuentra y remedia los ataques antes de que hagan daño irrecuperable

Ver todos los datos de ataque en un solo lugar , sin ningún tipo de búsqueda manual o de recuperación de datos

REMEDIAR RAPIDAMENTE

Objetivo: Tener sistemas seguros, ie detener mas infecciones

Como?

• Saber rápidamente qué estamos buscando

• Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo.

• Rapidamente cuarentena cada archvo

• Tener controles en puntos finales, correo , y red para permitir acciones rápidas.

VISBILIDAD E INTELIGENCIA = CONTEXTO

Conexión de red bloqueada

Virus detectado

Email Malicioso bloqueado

INTELIGENCIATRADICIONAL

Todas las conexión de red desde cada maquina

Hash del archivo, fuente de la infección de endpoints

Categoría de Malware método de detección, datos del URL

INTELIGENCIA Y CONTEXTO

EJEMPLOS DE CONTEXTO

EN RESUMEN

PREVENIR| Bloquear ataques a través de los puntos de control en tiempo-real

DETECTAR |Descubrir actividades maliciosas y amenazas avanzadas usando un sandbox y análisis de comportamiento.

RESPONDER| Correlación y Priorización inteligente de incidentes. Realizar Análisis Forense para investigar, y Remediar

Proteger, Detectar y Responder a través de los Puntos de Control

PREVENIRDETECTAR

RESPONDER

Sebastian Brenner

sebastian_brenner@symantec.com

@sebabrenner@SymantecLatam