conferencia arquitectura de ciberdefensa apt
TRANSCRIPT
ARQUITECTURA DE CIBERDEFENSA PARA ENFRENTAR AMENAZAS
AVANZADAS PERSISTENTES
Bogotá Colombia
David Pereira
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH.Investigador Digital, Consultor con mas de 15 años de experiencia en el Area de la Seguridad Informática y la Computación Forense, ha desarrollado labores de Ethical Hacking, Pruebas de Penetración, Análisis Forense y Capacitación para diversas empresas y entidades tanto Nacionales como Internacionales de los sectores Militar, Financiero, Energético, Diplomático, Minero.
PERSPECTIVA:
• El campo de batalla mundial está migrando de los 4 dominios tradicionales al quinto Dominio:
Tierra Mar
Aire
C4ISR
Quinto Dominio: C4ISR
Comando, Control, Comunicaciones, Computadores, Inteligencia, Vigilancia y Reconocimiento (Command, Control, Communications, Computers, Intelligence, Surveillance and Reconnaissance)
LOS HACKERS SON LOS GUERREROS DEL SIGLO XXI: OTAN
http://www.nato.int/docu/review/2013/Cyber/Hackers-for-hire/EN/index.htm
QUE ES UNA AMENAZA AVANZADA PERSISTENTE - (APT) ?
• Malware orientado específicamente contra objetivos Corporativos, Políticos, de Infraestructura o Militares.
• Este Malware, normalmente es Diseñado y Construido a la Medida específica del Blanco.
• Se debe tener en cuenta que las APTs son adaptativas de acuerdo a las medidas de seguridad que encuentran en el objetivo; esto incluye el usar puertos abiertos en Firewall, hacer Bypass de detección estándar de IDS e IPS, técnicas anti forenses, entre otras.
CARACTERISTICAS DE LAS APT
• Mientras que las Amenazas "Tradicionales” explotan sus objetivos buscando un beneficio económico (Datos de Tarjetas de Crédito, Cuentas Bancarias, Secuestro de info), las APTs se orientan a infiltrar una red objetivo, para extraer información sensible o generar algún tipo de situación específica.
• Una APT puede permanecer “dormida” mucho tiempo y solo activarse en situaciones específicas o a intervalos específicos, esporádicos.
FUNCIONAMIENTO DE LAS APT
• Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización (awareness) suficientes para hacerlo desconfiar de ciertos indicadores;• Correo Electrónico de una persona familiar, pero con
información fuera de lo común (Adjuntos)• Enlaces en Correos electrónicos que lo lleven a un sitio web
fuera de los sitios pertenecientes a la Empresa – Entidad• Correo electrónico que le indique la obligación de descargar
determinado software o información.• Regalos de Dispositivos de Almacenamiento
ETAPAS DE LAS APT
1. Intelligence Gathering – Recolección de Información – OSINT
• Recolección de Información estratégica acerca del Target; su Ambiente e Infraestructura de IT, su Estructura Organizacional, sus Empleados, Colaboradores o Clientes.
ETAPAS DE LAS APT
2. Lograr un Punto de Acceso• Lograr entrar a la Red Interna por medio de un Correo Electrónico,
Mensajería Instantánea, Redes Sociales, o Explotación de Fallas en Software. (Buscando el Error del Usuario Final)
• 87% de las Organizaciones Atacadas, caen por una URL maliciosa
ETAPAS DE LAS APT
3. Command and Control (C&C) Communication (C2)
• Asegurar la Continuidad de la Comunicación entre la red Comprometida y el o los Servidores de C&C o C2.
• La mayor cantidad de tráfico de C&C se maneja a través de puertos HTTP y HTTPS.
• Se utilizan mecanismos Fast Flux para esconder los Servidores C&C o C2
http://blog.aodbc.es/2012/11/05/redes-fast-flux/
EJEMPLO FAST FLUX
http://upload.wikimedia.org/wikipedia/commons/7/7a/Facebook_new_login_system_spam_fastflux_4.png
USO DE LLAMADO REVERSO POR MEDIO DE RESOLUCION DNS
ServidorDNSComputadorInfectado
conMalware ServidordeC&C
(C2)
1. UsandoelprotocoloderesoluciónDNS(DomainNameSystem)elcomputadorconsultaaunServidorDNSladireccióndelDominiodellamadaInversa.
2. ElServidorDNSentregaalavictimaladirecciónIPx.x.x.xdelServidordeC&C(C2)3. ElMalwaresecomunicaconelservidorC2enladirecciónIPentregadayrecibe
instruccionesy/oenvíaunarespuesta.4. ElServidorC2proveeinformaciónadicionaloinstruccionesalMalware.
PUPPETNET COMO MECANISMO DE C&C – C2 PARA APTSitioWebMalicioso
SolicitudesNormalesdenavegación/respuestasconinstruccionesdeataqueadjuntas(Piggybacked)
TraficodeAtaque/Penetración/Exfiltración
ClientesWEB
SitioVictima
ETAPAS DE LAS APT
4. Movimiento Lateral• Búsqueda de Hosts que almacenen información
sensible e importante con valor para el o los atacantes dentro de la red comprometida.
• Las técnicas utilizadas incluyen por ejemplo Pasan the Hash; que le permite a un atacante alcanzar los privilegios de una cuenta determinada y escalar hasta lograr nivel administrativo.
ETAPAS DE LAS APT
5. Descubrimiento de ACTIVOS / DATOS
• Identificar información importante para su futura ex filtración.
• Este proceso puede tomar mucho tiempo, pero esta es una de las características de las APT; no tienen prisa.
ETAPAS DE LAS APT
6. Ex filtración de los Datos:
• Transmisión de la Información de Valor a una ubicación bajo el control del atacante.
• Esto se realiza normalmente por puertos autorizados en el Firewall: http (80) https(443-SSL).
COSTO DE LOS EFECTOS DE LAS APT
http://www.washingtonpost.com/blogs/post-tech/post/cyber-attack-on-rsa-cost-emc-66-million/2011/07/26/gIQA1ceKbI_blog.html
COMO ESTA COLOMBIA FRENTE A LAS CIBER AMENAZAS?
http://www.elespectador.com/tecnologia/articulo-374381-colombia-lidera-el-ranking-de-inseguridad-informatica-america-la
MAPA DE CIBER ATAQUES MUNDIALES
http://www.nchc.org.tw/en/research/index.php?RESEARCH_ID=69
INFORMACIÓN EN TIEMPO REAL
Real-time Web Monitor (Akamai)http://www.akamai.com/html/technology/dataviz1.html
Sistema Global Botnet Threat Activity Map (Trend Micro)http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html?ClickID=az9k09lkonlssoostznpvz9pt09onnyy0lwk
Sistema de Información Atlas (Threat Level Analysis System) de Arborhttp://atlas.arbor.net/worldmap/index
Mapa Honeynet (honeynet.org)http://map.honeynet.org/
COMO NOS DEFENDEMOS NORMALMENTE? (ARQUITECTURA ESTANDAR)
IDS / IPSCorrelacionadorUTM
Switch DMZSwitch LAN
Antivirus en Estaciones
Vlan NAC
ENTONCES, NUESTRAS DEFENSAS NORMALES (ESTANDAR) SON EFECTIVAS CONTRA LAS APT?
NO!
POR QUE NO ES EFECTIVA NUESTRA ARQUITECTURA?
• Siempre diseñamos pensando que el enemigo está Afuera y tratamos de cerrar todas las entradas, pero nos olvidamos de los que están adentro. (Insider)
• Muchas APT han logrado éxito por que alguien interno colaboró.• Nuestras defensas tradicionales están diseñadas para permitir
servicios o denegar servicios; así que un servicio permitido puede ser explotado (Http/Https).
• Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades día cero. (Heurística)
ENTONCES ESTAMOS INDEFENSOS ANTE LAS APT?
La respuesta es……… Depende!
Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT; no necesariamente la penetración o el ataque en si mismo.
ARQUITECTURA DE DEFENSA
BD
AplicaciónS.O.Red
Físico/Ambiental
IdentidadyAcceso
SeguridadenBD
FirewalldeAplicac.
EndurecimientoS.O.AntimalwareFirewallenClientes
NAC/VLAN/ACLEncripciónAseguram.WiFiInsp.ProfundaMail/WebAseg.AccesoRemoto
NIDS/NIPS/HIDSFirewalldeRedesLANSegmentacióndeRedAseguramientoVoIp
AseguramientoFísicoyAmbiental.
ControlesdeIdentidadyAcceso
GerenciadeVulnerabilidadesSeguridadProactivaAseguramientodeAccesoyD.A.Capacitación/Concientización
AutenticaciónFuertePrevencióndePerdidadeDatos/DLPPolíticasdeAcceso/SeguridadRegladeMenorPrivilegio
SIEM/CorrelacionamientodeEventosServiciosdeSeguridadAdministradosEstrategiasdeDisasterRecoverySeguridadEndpoints
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Concientización - Capacitación
La primera línea de defensa contra las APT y el malware en general, son las personas que componen o interactúan con una Organización.Deben generarse lineamientos que les permitan a las personas ser mas proactivas y menos pasivas ante la amenaza.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Implementación de IDS e IPS con reglados fuertes y actualizados.
Existen muchas herramientas de IDS que permiten adicionar reglados ya creados con base en todo lo que hasta ahora sabemos de las APT; es decir: Comportamiento del tráfico, países de origen/destino, tipo de tráfico, etc. de esta manera dificultamos la labor del atacante principalmente a la salida, no necesariamente a la entrada.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Implementación de IDS e IPS con reglados fuertes y actualizados.
• Herramientas Open Source:• SNORT• Suricata• 2047 Reglados específicos contra APT(Snorby):• https://github.com/packetstash/packetstash-rules
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Correlacionamiento y Métodos Estadísticos
El Correlacionamiento nos permite atar cabos acerca de lo que ocurre en mi infraestructura, con base en diversos orígenes de información (logs); el uso de mecanismos que aprendan de nuestro tráfico y conozcan su comportamiento normal, permite detectar mas fácilmente el comportamiento anómalo.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Análisis en Caja de Arena (Sandbox) de Archivos Adjuntos
Cada vez que llega un archivo adjunto, se examina desde la perspectiva del análisis de malware, en busca de identificadores, comportamiento, acceso a zonas de memoria específicas, conectividad de red, creación de Archivos, entre otras.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Forzar el tráfico http (80-81-8080) a través de Proxy.
El obligar a que mi tráfico http saliente pase por un proxy me permite realizar filtrado de salida de los datos, y además controlar hacia donde estoy enviando esos datos; acá podemos aplicar filtrados múltiples: MIME, DNS, País, etc.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Forzar el tráfico SSL a través de Proxy de Terminación
Permite que en las redes que se confía se elimine el certificado SSL (Encripción), pero adicionalmente permite filtrar todo el tipo de tráfico SSL en el cual no se confíe. Aun si se confía en el tráfico, va a ir desencriptado, y de esta forma puede ser inspeccionado en profundidad.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Políticas Fuertes (Restrictivas) en Reglados y Filtros de Salida del Firewall
Se debe tener el mismo control y preocupación tanto por la información o datos que entran a nuestras redes desde la internet, como por los Datos y la información que salen de ella.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Monitoreo de los Logs de DNS
Es indispensable saber hacia donde estamos resolviendo las direcciones y que direcciones estamos resolviendo. Al conocer esto, podemos manejar estadísticas y determinar hacia que países se está dirigiendo nuestro tráfico y de esta forma implementar filtros para bloquear las resoluciones no deseadas o desconocidas.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Inspección de Todo el tráfico (principalmente http)
Necesitamos saber que estamos recibiendo y enviando desde y hacia nuestras redes, para poder actuar proactivamente ante cualquier tipo de tráfico anómalo.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Creación de Listas Blancas de Redes de Confianza
Si confiamos en una red, podemos dedicar todo nuestro esfuerzo de filtrado y control hacia las redes en las que no confiamos o no conocemos.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Creación de Listas Blancas de Procesos de Confianza
Si confiamos en una aplicación ya sea por que nos pertenece o por que pertenece a un asociado o colaborador, podemos dedicar todo nuestro esfuerzo de inspección y control hacia las aplicaciones que se salgan de los parámetros de operación de las listas blancas.
ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSA Vs. APT
Resumen
Las herramientas o mecanismos para defendernos o mitigar APT, existen; No estamos totalmente indefensos, pero el reto es enorme, por que la sofisticación de los ataques cada día es mayor.La concientización y la capacitación es nuestra mejor arma para protegernos ante los potenciales atacantes.
PREGUNTAS ??
David Pereira
Twitter: d4v1dp3r31r4Email: [email protected]