una aventura peligrosa ataques a nivel de hypervisor · 2016-05-25 · channel marketing manager...
TRANSCRIPT
![Page 1: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/1.jpg)
UNA AVENTURA PELIGROSA–ATAQUES A NIVEL DE
HYPERVISOR
Horatiu BandoiuChannel Marketing Manager
Bitdefender SE & LATAM
![Page 2: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/2.jpg)
Agenda Whoami
La nube y la virtualización
Ataques
Debilidades intrínsecas
APT
Memory Introspection – HVMI
Conclusiones
3
4
11
12
15
19
28
![Page 3: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/3.jpg)
whoami > 15 años en la seguridad informatica
2000 – 2004 Bitdefender
2004 – 2009 Provision / iSEC / Zona IT :
ISO 27001 – implementaciones en bancos,
telecom, petroliferas
Promotor de CISA/CISM, ISO 27001 LA
Colaborador de (ISC)2 – CISSP, SSCP –
Microsoft MCT
Miembro de ISACA desde 2005
Varios proyectos de IoT
Presente:
Bitdefender Ch Mkt Manager
Divulgador de la tecnología moderna y sus
particularidades
Padre de familia
![Page 4: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/4.jpg)
NEW ERA OF COMPUTING
THE
AHORROSEFFICIENCIAUBICUIDAD
![Page 5: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/5.jpg)
ESENCIA DE LA NUBE
La
![Page 6: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/6.jpg)
¿QUE ES LA NUBE?
Server Virtualization
Storage Virtualization
Network Virtualization
Desktop Virtualization
Device Virtualization
Autonomics
Grid Computing - DevOps
Cloud Computing
~ On-demand Computing
Utility Computing
Elastic Computing
Scalable Computing
Future Internet
Internet of Services
Green IT
Enterprise Cloud
Mass Market Clouds
Technologias
Consolidación en el Data Center
Public / Private /
Hybrid Clouds
Compute / Storage Clouds
Recursos en el Data Center
(servers, routers)
~ Computer Center
Hosting Facility,
Server Farm, Data Farm
Desktops / Laptops
Other Devices
(mobile,
network equipments)
Visiones
Usos
Mercados/
Modelos
Infraestructuras
físicas
SaaS (Service, Apps)
PaaS (Platform)
IaaS (Infrastructure)RaaS (Resource)
FaaS (Facility)
![Page 7: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/7.jpg)
Tipos de virtualización – Tipo 1
Instruction Set
VM Exits / Entries
System Calls
![Page 8: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/8.jpg)
Tipos de virtualización – Tipo 2
Virtualized
System Calls
VM Exits / Entries
System Calls
Instruction Set
![Page 9: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/9.jpg)
Tipos de virtualización – Tipo 3 (micro – virtualización)
Instruction Set
VM Exits / Entries
System Calls
![Page 10: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/10.jpg)
SMM & STM
Instruction Set
VM Exits / Entries
System Calls
![Page 11: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/11.jpg)
Tipos de ataques:
Hypervisor
vSwitch
Hardware
VM VM VM VM
STORAGE
VNIC
CPU MEMORY NETWORK
PNIC
Virtual Network Layer
MAC spoofing/snooping
Ataques a nivel de IP
VLAN hopping
Máquinas virtuales
Hyper spacing
Hyperthreading
Buffer overflows
Cache Poisoning
A nivel del Hypervisor
Hyperjacking:
High attack surfaces
Blue Pill
A nivel de storage
Violaciones de la
autenticación, intercepción de
las llaves de encriptación
Ransomware
A nivel de memoria
Memory overcommit,
optimized page sharing,
balloon drivers…
Prioridades de ejecución
![Page 12: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/12.jpg)
¿Cual es la principal debilidad de las infraestructuras en la nube?
¿LA COMPLEXIDAD?
![Page 13: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/13.jpg)
SI Y NO =
La que nos falla es la
MEMORIA
Transicion entre las
direcciones en memoria
física (RAM) y las
direcciones adresables
![Page 14: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/14.jpg)
… porque tenemos segmentación y paging… y no solo estos
![Page 15: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/15.jpg)
ADVANCEDPERSISTENT THREATS
![Page 16: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/16.jpg)
APT – El flujo del ataque – 5 steps kill chain
![Page 17: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/17.jpg)
El malware avanzado
![Page 18: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/18.jpg)
UNFOLLOW THE TRADITIONALBITDEFENDER
![Page 19: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/19.jpg)
Reforzando el hipervisor – MEMORY INTROSPECTION
![Page 20: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/20.jpg)
MEMORY INTROSPECTION
?QUE ES?
![Page 21: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/21.jpg)
Seguridad desde fuera del Sistema Operativo
Elimina la superficie de los ataques a nivel del OS y del kernel del
OS
Pero puede tener un problema con el malware moderno que se
aprovecha de la complexidad de las arquitecturas y del trabajo
con la memoria, de las debilidades intrínsecas de la virtualización
La respuesta de Bitdefender:
Análisis de las imágenes en memoria básica de los SO
huéspedes y sus procesos/apps
Interceptamos y marcamos las paginas extendidas de asignación
de memoria (EPT) como non-Writeable y non-Xecutable
Auditamos los accesos a esas zonas por el código que se ejecuta
“inside VM” – especialmente los de W y X - y los permitimos o no
![Page 22: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/22.jpg)
cortocircuitar el Semantic Gap – correlación entre las paginas de la
memoria básica y los SOs y sus procesos
¿Qué operaciones se han de ejecutar y porque?
¿Qué procesos se ejecutan y porque?
Asegurar un impacto de funcionamiento mínimo
los eventos que se envían tienen una carga mínima
interceptamos solo eventos “con sentido”
gestionar rapidamente los eventos (análisis, re-ejecución / emulation,
renvío etc.)
RETOS DE LA HVMI
![Page 23: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/23.jpg)
¿Que protegemos y porque?
![Page 24: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/24.jpg)
![Page 25: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/25.jpg)
![Page 26: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/26.jpg)
![Page 27: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/27.jpg)
![Page 28: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/28.jpg)
CONCLUSIONES:
Cloud is a dangerous place…
La virtualización tiene sus debilidades…
La memoria – añade complexidad y posibilidades de abusos
Los ataques modernos se ejecutan con privilegios iguales que el
antimalware o aun más altos
Una solución potencial es la introspección en memoria
Bitdefender les ofrece la posibilidad de enfrentarse al reto pero
tienen que pensar “out-of-the box”
![Page 29: UNA AVENTURA PELIGROSA ATAQUES A NIVEL DE HYPERVISOR · 2016-05-25 · Channel Marketing Manager Bitdefender SE & LATAM. Agenda Whoami La nube y la virtualización Ataques ... Tipos](https://reader033.vdocuments.net/reader033/viewer/2022050415/5f8b67411d6f0954e338e443/html5/thumbnails/29.jpg)
START YOUR SECURE JOURNEYBITDEFENDER