Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada...
Transcript of Sebastian Brenner - UNAM · • Saber rápidamente qué estamos buscando • Asegurar que cada...
Sebastian Brenner
Detección y Respuesta Contra Amenazas
Persistentes Avanzadas
NUEVAS REGLAS PARA
PROTEGERNOS DE AMENAZAS
El panorama actual de las amenazas requiere un
cambio de una estrategia defensiva a una posición
más ofensiva.
¿A QUÉ NOS
ENFRENTAMOS?
QUE ES UN AMENAZA AVANZADA
¿Qué es?
Conjunto de procesos informáticos sigilosos y continuos, a
menudo orquestados por humanos, dirigidos a penetrar la
seguridad informática de una entidad específica.
Características
Dirigidas y Sigilosas
Actúan por largo periodo de tiempo
Técnicas de ataque avanzadas
Monitoreo y control externo
Se mueven por la red y sobrepasan barreras de seguridad
¿Qué busca?
• Propiedad Intelectual
• Código de aplicaciones
• Planes de negocio
• …
UN EJEMPLO: REGIN (2014)
Resumen de la amenaza
PERSISTENCE & STEALTH
BULK OF CODE IS HIDDEN
COMPLEX ENCRYPTION
MULTI-STAGED& MODULAR
MANY COMPONENTS
CUSTOMIZABLE
DIFFICULT TO ANALYZE
SPECIALIZED
CUSTOMIZED FOREACH JOB
REQUIRES SPECIALIST SKILLS
ROBUST C&C
MULTIPLE CHANNELS
HEAVILY ENCRYPTED
P2P
UN POCO DE ESTADÍSTICAS
98 DÍAS PARA DETECTARUNA BRECHA EN EL
SECTOR FINANCIERO*…
28% del malware detecta ambientes
virtuales
En el 2014Solamente
317 Millones de Nuevas Amenazas
312 Brechas de Datos Difundidos
*http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/
197 DÍAS PARA DETECTARUNA BRECHA EN EL
SECTOR FINANCIERO*…
MUCHAS VECES ALERTADOS POR UN TERCERO
LÍNEA DE TIEMPO DE UN ATAQUE
Reconocimiento
Incursión
Descubrimiento
Captura
Exfiltración
CÓMO USAR EL TIEMPO A NUESTRO
FAVORTiempo
RECONOCIMIENTO
INCURSIÓN
DESCUBRIMIENTO
CAPTURA
EX FILTRACIÓN
Prevención
Fuga de Datos
Ventana para detectar y remediar minimizando el
impacto
“Lento y sigiloso”
DESCUBRIMIENTO
IR MAS ALLÁ DE UNA ESTRATEGIA
REACTIVA A UNA PROACTIVA
PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER
Entendiendo dondeestán los
datos importantes
Detener Ataquesentrantes
Descubrir Incursiones Contener & solucionarProblemas
RestaurarOperaciones
Y AHORA… ¡¿QUIÉN PODRÁ
DEFENDERME?!
CONSIDERACIONES IMPORTANTES
Prioridad a lo que más importa
Remediar rápido
Descubrir amenazas avanzadas en el endpoint, la red y el email
DESCUBRIR USANDO SANDBOXING
Ejecución y detonación de archivos y análisis de comportamiento en plataforma de sandbox
Tradicionalmente plataforma on-premise. Mas utilización de plataforma en la nube para flexibilidad, actualizaciones rápidas para atacar el malware que evoluciona y quiere prevenir su detección.
Imitar la interacción humana para un ambientes realistas. No solo es detonar, es imitar como un punto final actúa para mejorar la precisión
Detectar amenazas diseñadas para evadir las VMs mediante el uso de máquinas virtuales y físicas. Múltiples versiones de sistemas operativos y aplicaciones
Amplia cobertura: documentos de Office, PDF, HTML, Java, contenedores, ejecutables para un Análisis rápido y preciso de casi todos los tipos de contenido potencialmente malicioso
UN EJEMPLO DE DETONACIÓN
DESCUBRIR IOC RÁPIDAMENTE
Buscar cualquier indicador del ataque, por hash
de archivo, llave de registro, o la dirección IP de
origen y el URL, con un solo clic de un botón.
Objetivo: hacer fácil el descubrimiento reducir
el tiempo de búsqueda a pocas horas
Buscar Indicadores de compromisos en todos
los puntos de control
PRIORIDAD A LO QUE MAS IMPORTA
• Agregar y correlacionar toda la actividad sospechosa a través de los endpoints, redes y el email
• Reducir el número de incidentes que los analistas de seguridad necesitan examinar
EFECTIVIDAD
• Tener una vista única de la actividad de ataques a través de todos los puntos de control
• Visualizar y remediar todos los artefactos del ataque relacionados
UNIFICAR INVESTIGACION
EJEMPLO DE PRIORIDAD
REMEDIAR RAPIDAMENTE
Contener y remediar la amenaza en minutos
Buscar la manera de reducir las tareas de búsqueda y contención
Encuentra y remedia los ataques antes de que hagan daño irrecuperable
Ver todos los datos de ataque en un solo lugar , sin ningún tipo de búsqueda manual o de recuperación de datos
REMEDIAR RAPIDAMENTE
Objetivo: Tener sistemas seguros, ie detener mas infecciones
Como?
• Saber rápidamente qué estamos buscando
• Asegurar que cada instancia haya sido encontrada. Encontrar malware “vivo” y pasivo.
• Rapidamente cuarentena cada archvo
• Tener controles en puntos finales, correo , y red para permitir acciones rápidas.
VISBILIDAD E INTELIGENCIA = CONTEXTO
Conexión de red bloqueada
Virus detectado
Email Malicioso bloqueado
INTELIGENCIATRADICIONAL
Todas las conexión de red desde cada maquina
Hash del archivo, fuente de la infección de endpoints
Categoría de Malware método de detección, datos del URL
INTELIGENCIA Y CONTEXTO
EJEMPLOS DE CONTEXTO
EN RESUMEN
PREVENIR| Bloquear ataques a través de los puntos de control en tiempo-real
DETECTAR |Descubrir actividades maliciosas y amenazas avanzadas usando un sandbox y análisis de comportamiento.
RESPONDER| Correlación y Priorización inteligente de incidentes. Realizar Análisis Forense para investigar, y Remediar
Proteger, Detectar y Responder a través de los Puntos de Control
PREVENIRDETECTAR
RESPONDER