conferencia arquitectura de ciberdefensa apt

ARQUITECTURA DE CIBERDEFENSA PARA ENFRENTAR AMENAZAS

AVANZADAS PERSISTENTES

Bogotá Colombia

David Pereira

CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH.Investigador Digital, Consultor con mas de 15 años de experiencia en el Area de la Seguridad Informática y la Computación Forense, ha desarrollado labores de Ethical Hacking, Pruebas de Penetración, Análisis Forense y Capacitación para diversas empresas y entidades tanto Nacionales como Internacionales de los sectores Militar, Financiero, Energético, Diplomático, Minero.

PERSPECTIVA:

• El campo de batalla mundial está migrando de los 4 dominios tradicionales al quinto Dominio:

Tierra Mar

Aire

C4ISR

Quinto Dominio: C4ISR

Comando, Control, Comunicaciones, Computadores, Inteligencia, Vigilancia y Reconocimiento (Command, Control, Communications, Computers, Intelligence, Surveillance and Reconnaissance)

LOS HACKERS SON LOS GUERREROS DEL SIGLO XXI: OTAN

http://www.nato.int/docu/review/2013/Cyber/Hackers-for-hire/EN/index.htm

QUE ES UNA AMENAZA AVANZADA PERSISTENTE - (APT) ?

• Malware orientado específicamente contra objetivos Corporativos, Políticos, de Infraestructura o Militares.

• Este Malware, normalmente es Diseñado y Construido a la Medida específica del Blanco.

• Se debe tener en cuenta que las APTs son adaptativas de acuerdo a las medidas de seguridad que encuentran en el objetivo; esto incluye el usar puertos abiertos en Firewall, hacer Bypass de detección estándar de IDS e IPS, técnicas anti forenses, entre otras.

CARACTERISTICAS DE LAS APT

• Mientras que las Amenazas "Tradicionales” explotan sus objetivos buscando un beneficio económico (Datos de Tarjetas de Crédito, Cuentas Bancarias, Secuestro de info), las APTs se orientan a infiltrar una red objetivo, para extraer información sensible o generar algún tipo de situación específica.

• Una APT puede permanecer “dormida” mucho tiempo y solo activarse en situaciones específicas o a intervalos específicos, esporádicos.

FUNCIONAMIENTO DE LAS APT

• Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización (awareness) suficientes para hacerlo desconfiar de ciertos indicadores;• Correo Electrónico de una persona familiar, pero con

información fuera de lo común (Adjuntos)• Enlaces en Correos electrónicos que lo lleven a un sitio web

fuera de los sitios pertenecientes a la Empresa – Entidad• Correo electrónico que le indique la obligación de descargar

determinado software o información.• Regalos de Dispositivos de Almacenamiento

ETAPAS DE LAS APT

1. Intelligence Gathering – Recolección de Información – OSINT

• Recolección de Información estratégica acerca del Target; su Ambiente e Infraestructura de IT, su Estructura Organizacional, sus Empleados, Colaboradores o Clientes.

ETAPAS DE LAS APT

2. Lograr un Punto de Acceso• Lograr entrar a la Red Interna por medio de un Correo Electrónico,

Mensajería Instantánea, Redes Sociales, o Explotación de Fallas en Software. (Buscando el Error del Usuario Final)

• 87% de las Organizaciones Atacadas, caen por una URL maliciosa

ETAPAS DE LAS APT

3. Command and Control (C&C) Communication (C2)

• Asegurar la Continuidad de la Comunicación entre la red Comprometida y el o los Servidores de C&C o C2.

• La mayor cantidad de tráfico de C&C se maneja a través de puertos HTTP y HTTPS.

• Se utilizan mecanismos Fast Flux para esconder los Servidores C&C o C2

http://blog.aodbc.es/2012/11/05/redes-fast-flux/

EJEMPLO FAST FLUX

http://upload.wikimedia.org/wikipedia/commons/7/7a/Facebook_new_login_system_spam_fastflux_4.png

USO DE LLAMADO REVERSO POR MEDIO DE RESOLUCION DNS

ServidorDNSComputadorInfectado

conMalware ServidordeC&C

(C2)

1. UsandoelprotocoloderesoluciónDNS(DomainNameSystem)elcomputadorconsultaaunServidorDNSladireccióndelDominiodellamadaInversa.

2. ElServidorDNSentregaalavictimaladirecciónIPx.x.x.xdelServidordeC&C(C2)3. ElMalwaresecomunicaconelservidorC2enladirecciónIPentregadayrecibe

instruccionesy/oenvíaunarespuesta.4. ElServidorC2proveeinformaciónadicionaloinstruccionesalMalware.

PUPPETNET COMO MECANISMO DE C&C – C2 PARA APTSitioWebMalicioso

SolicitudesNormalesdenavegación/respuestasconinstruccionesdeataqueadjuntas(Piggybacked)

TraficodeAtaque/Penetración/Exfiltración

ClientesWEB

SitioVictima

ETAPAS DE LAS APT

4. Movimiento Lateral• Búsqueda de Hosts que almacenen información

sensible e importante con valor para el o los atacantes dentro de la red comprometida.

• Las técnicas utilizadas incluyen por ejemplo Pasan the Hash; que le permite a un atacante alcanzar los privilegios de una cuenta determinada y escalar hasta lograr nivel administrativo.

ETAPAS DE LAS APT

5. Descubrimiento de ACTIVOS / DATOS

• Identificar información importante para su futura ex filtración.

• Este proceso puede tomar mucho tiempo, pero esta es una de las características de las APT; no tienen prisa.

ETAPAS DE LAS APT

6. Ex filtración de los Datos:

• Transmisión de la Información de Valor a una ubicación bajo el control del atacante.

• Esto se realiza normalmente por puertos autorizados en el Firewall: http (80) https(443-SSL).

COSTO DE LOS EFECTOS DE LAS APT

http://www.washingtonpost.com/blogs/post-tech/post/cyber-attack-on-rsa-cost-emc-66-million/2011/07/26/gIQA1ceKbI_blog.html

COMO ESTA COLOMBIA FRENTE A LAS CIBER AMENAZAS?

http://www.elespectador.com/tecnologia/articulo-374381-colombia-lidera-el-ranking-de-inseguridad-informatica-america-la

MAPA DE CIBER ATAQUES MUNDIALES

http://www.nchc.org.tw/en/research/index.php?RESEARCH_ID=69

INFORMACIÓN EN TIEMPO REAL

Real-time Web Monitor (Akamai)http://www.akamai.com/html/technology/dataviz1.html

Sistema Global Botnet Threat Activity Map (Trend Micro)http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html?ClickID=az9k09lkonlssoostznpvz9pt09onnyy0lwk

Sistema de Información Atlas (Threat Level Analysis System) de Arborhttp://atlas.arbor.net/worldmap/index

Mapa Honeynet (honeynet.org)http://map.honeynet.org/

COMO NOS DEFENDEMOS NORMALMENTE? (ARQUITECTURA ESTANDAR)

IDS / IPSCorrelacionadorUTM

Switch DMZSwitch LAN

Antivirus en Estaciones

Vlan NAC

ENTONCES, NUESTRAS DEFENSAS NORMALES (ESTANDAR) SON EFECTIVAS CONTRA LAS APT?

NO!

POR QUE NO ES EFECTIVA NUESTRA ARQUITECTURA?

• Siempre diseñamos pensando que el enemigo está Afuera y tratamos de cerrar todas las entradas, pero nos olvidamos de los que están adentro. (Insider)

• Muchas APT han logrado éxito por que alguien interno colaboró.• Nuestras defensas tradicionales están diseñadas para permitir

servicios o denegar servicios; así que un servicio permitido puede ser explotado (Http/Https).

• Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades día cero. (Heurística)

ENTONCES ESTAMOS INDEFENSOS ANTE LAS APT?

La respuesta es……… Depende!

Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT; no necesariamente la penetración o el ataque en si mismo.

ARQUITECTURA DE DEFENSA

BD

AplicaciónS.O.Red

Físico/Ambiental

IdentidadyAcceso

SeguridadenBD

FirewalldeAplicac.

EndurecimientoS.O.AntimalwareFirewallenClientes

NAC/VLAN/ACLEncripciónAseguram.WiFiInsp.ProfundaMail/WebAseg.AccesoRemoto

NIDS/NIPS/HIDSFirewalldeRedesLANSegmentacióndeRedAseguramientoVoIp

AseguramientoFísicoyAmbiental.

ControlesdeIdentidadyAcceso

GerenciadeVulnerabilidadesSeguridadProactivaAseguramientodeAccesoyD.A.Capacitación/Concientización

AutenticaciónFuertePrevencióndePerdidadeDatos/DLPPolíticasdeAcceso/SeguridadRegladeMenorPrivilegio

SIEM/CorrelacionamientodeEventosServiciosdeSeguridadAdministradosEstrategiasdeDisasterRecoverySeguridadEndpoints

ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT

Concientización - Capacitación

La primera línea de defensa contra las APT y el malware en general, son las personas que componen o interactúan con una Organización.Deben generarse lineamientos que les permitan a las personas ser mas proactivas y menos pasivas ante la amenaza.


Implementación de IDS e IPS con reglados fuertes y actualizados.

Existen muchas herramientas de IDS que permiten adicionar reglados ya creados con base en todo lo que hasta ahora sabemos de las APT; es decir: Comportamiento del tráfico, países de origen/destino, tipo de tráfico, etc. de esta manera dificultamos la labor del atacante principalmente a la salida, no necesariamente a la entrada.


Implementación de IDS e IPS con reglados fuertes y actualizados.

• Herramientas Open Source:• SNORT• Suricata• 2047 Reglados específicos contra APT(Snorby):• https://github.com/packetstash/packetstash-rules


Correlacionamiento y Métodos Estadísticos

El Correlacionamiento nos permite atar cabos acerca de lo que ocurre en mi infraestructura, con base en diversos orígenes de información (logs); el uso de mecanismos que aprendan de nuestro tráfico y conozcan su comportamiento normal, permite detectar mas fácilmente el comportamiento anómalo.


Análisis en Caja de Arena (Sandbox) de Archivos Adjuntos

Cada vez que llega un archivo adjunto, se examina desde la perspectiva del análisis de malware, en busca de identificadores, comportamiento, acceso a zonas de memoria específicas, conectividad de red, creación de Archivos, entre otras.


Forzar el tráfico http (80-81-8080) a través de Proxy.

El obligar a que mi tráfico http saliente pase por un proxy me permite realizar filtrado de salida de los datos, y además controlar hacia donde estoy enviando esos datos; acá podemos aplicar filtrados múltiples: MIME, DNS, País, etc.


Forzar el tráfico SSL a través de Proxy de Terminación

Permite que en las redes que se confía se elimine el certificado SSL (Encripción), pero adicionalmente permite filtrar todo el tipo de tráfico SSL en el cual no se confíe. Aun si se confía en el tráfico, va a ir desencriptado, y de esta forma puede ser inspeccionado en profundidad.


Políticas Fuertes (Restrictivas) en Reglados y Filtros de Salida del Firewall

Se debe tener el mismo control y preocupación tanto por la información o datos que entran a nuestras redes desde la internet, como por los Datos y la información que salen de ella.


Monitoreo de los Logs de DNS

Es indispensable saber hacia donde estamos resolviendo las direcciones y que direcciones estamos resolviendo. Al conocer esto, podemos manejar estadísticas y determinar hacia que países se está dirigiendo nuestro tráfico y de esta forma implementar filtros para bloquear las resoluciones no deseadas o desconocidas.


Inspección de Todo el tráfico (principalmente http)

Necesitamos saber que estamos recibiendo y enviando desde y hacia nuestras redes, para poder actuar proactivamente ante cualquier tipo de tráfico anómalo.


Creación de Listas Blancas de Redes de Confianza

Si confiamos en una red, podemos dedicar todo nuestro esfuerzo de filtrado y control hacia las redes en las que no confiamos o no conocemos.


Creación de Listas Blancas de Procesos de Confianza

Si confiamos en una aplicación ya sea por que nos pertenece o por que pertenece a un asociado o colaborador, podemos dedicar todo nuestro esfuerzo de inspección y control hacia las aplicaciones que se salgan de los parámetros de operación de las listas blancas.


Resumen

Las herramientas o mecanismos para defendernos o mitigar APT, existen; No estamos totalmente indefensos, pero el reto es enorme, por que la sofisticación de los ataques cada día es mayor.La concientización y la capacitación es nuestra mejor arma para protegernos ante los potenciales atacantes.

PREGUNTAS ??

David Pereira

Twitter: d4v1dp3r31r4Email: [email protected]

conferencia arquitectura de ciberdefensa apt

Technology