seguridad de cuentas privilegiadas · linux virtual images windows virtual images unix/linux...
TRANSCRIPT
4
Forrester estima que en el 80% de las brechas de seguridad hubo
robo o mal uso de credenciales privilegiadas
The Forrester Wave: Privileged Identity Management, Q3 2016
CUENTAS PRIVILEGIADAS- LAS “LLAVES DEL REINO DE TI”
Provee de
Protección y Detección Proactiva
USUARIOS INTERNOS
MALINTENCIONADOSATACANTES EXTERNOS
CUENTAS PRIVILEGIADAS
“Las llaves del reino de IT”
LAS REGULACIONES DETERMINAN LOS CONTROLES DE CUENTAS PRIVILEGIADAS…
Restringir el acceso de
acuerdo a la función de la
persona
Auditar el uso de cuentas
compartidas
Rotar frecuentemente las
credenciales de login
Auditar todos los accesos
privilegiados
System User Pass
Unix root
Oracle SYS
Windows Administrator
z/OS DB2ADMIN
Cisco enable
ESTADO ACTUAL– ¿DONDE SE ALMACENAN TODAS LAS CREDENCIALESPRIVILEGIADAS?
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
IT
Operating Systems
Network Devices
Data Bases
Security Appliances
Applications
Cloud Applications
Storage Devices
Directory and Cred storage
Remote control and Monitoring
OT/SCADA
Generic Interfaces
10
• Un tipo común de ataque es Pass-the-Hash
attack
• Para que Windows pueda efectuar un SSO /
Password hashes son almacenados en el
Local Security Authority Subsystem (Lsass).
• Hash: Representación encriptada de un
password
• Herramientas gratuitas muy conocidas como
Mimikatz pueden ser usadas para obtener los
hashes y moverse lateralmente a través de la
red
VULNERABILIDAD PASS-THE-HASH
10
Attacker Machine
LSASS.EXE
Victim
1
2
3
Obtaining
Hashes
Access Target
Hash
DESCUBRIMIENTO DE CUENTAS PRIVILEGIADAS- CYBERARK DNA
VMware ESX/ESXi
Linux virtual images
Windows virtual images
Unix/Linux Servers
MAC
Windows Services
Scheduled Tasks
IIS Pools
WebSphere App Servers
WebLogic App Servers
DevOps
Amazon Web Services AWS
Windows
Desktops & Laptops
Windows Servers
¿Donde existen Cuentas Privilegiadas?¿Cual es el Riesgo?
IT
EPV
ESTADO DESEABLE(PASO 1 – ALMACENAMIENTO Y ROTACIÓN DE CREDENCIALES)
PVWA
Request access to Windows
Administrator On prod.dom.us
TIER 0
System User Pass
Unix root
Oracle SYS
Windows Administrator
z/OS DB2ADMIN
Cisco enable
CPM
Master Policy
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
tops3cr3t
lm7yT5wX5$aq+pTojsd$5fhgviNa9%Oiue^$fgWy7qeF$1
ADMINISTRACIÓN Y PROTECCIÓN DE CREDENCIALES
13
DISPOSITIVOS
DE RED
SERVIDORES MAINFRAMES
BASES DE
DATOSAPLICACIONES
APPLIANCES DE
SEGURIDAD
WEBSITES/
WEBAPPSINFRAESTRUCTURA
EN LA NUBE
Infraestructura de la
Organización
CyberArk web portal
Rotación de
passwords y llaves
SSH
Almacenamiento
Seguro
Usuarios
Vault
Windows/UNIX
Servers
1. Logon through PVWA
2. Connect
3. Fetch credential from Vault
4. Connect using native protocols
5. Store session recording
4
5
Databases
1HTTPS
2
RDP over HTTPS PSM
3
14
PVWA
ESTADO DESEABLE (PASO 2– AISLAMIENTO Y GRABACION DE SESIONES)
Vault
Windows/UNIX
Servers
1. Logon through PVWA with MFA
2. Connect
3. Fetch credential from Vault
4. Connect using native protocols
5. Store session recording
4
5
Databases
1HTTPS
2
RDP over HTTPS PSM
3
15
PVWA
MFA
Legacy systems
ESTADO DESEABLE (PASO 3 – MULTI-FACTOR PARA TODO)
RDP
Target
Server
Malware-Infected
Desktop Computer
Direct RDP
Connection
AISLAMIENTO DE SESION / JUMP SERVER
• El servidor PSM actúa como
jump server, deteniendo
cualquier infección de malware a
los sistemas críticos.
• Se puede restringir el acceso
remoto a los sistemas críticos
autorizando solo la dirección IP
del servidor PSM, para evitar
que los usuarios se conecten
directamente desde sus equipos
PVWA
PSM Server
Bloqueo de Malware
AISLAMIENTO, GRABACIÓN Y MONITOREO DE SESIONES PRIVILEGIADAS
17
CyberArk web portal o método preferido
Las credenciales no son expuestasUsuarios
DISPOSITIVOS
DE RED
SERVIDORES MAINFRAMES
BASES DE
DATOSAPLICACIONES
APPLIANCES DE
SEGURIDAD
WEBSITES/
WEBAPPSINFRAESTRUCTURA
EN LA NUBE
Infraestructura de la
Organización
Privileged Threat
Analytics
Alert and remediate on
suspicious activities
Endpoint Privilege
Manager
Enterprise
Password Vault
Privileged Session
Manager
Real-time analytics powered
by proprietary profiling
algorithms detect
anomalous activities
Cyb
erA
rk
Vau
lt
SIE
M
So
luti
on
s
Acti
ve
Dir
ec
tory
Netw
ork
Collect and ingest data
from critical components
18
ANALISIS Y DETECCIÓN DE AMENAZAS EN TIEMPO REAL
PRIVILEGED THREAT ANALYTICS – CASOS GENERALES DE USO
• Privilege Escalation
• Lateral Movement
• Insider Threats
• Credential Theft
• Abnormal Privileged Activity
• Access via Unmanaged Privileged Account
• Total Network Takeovers
¡LAS CREDENCIALES HARDCODING SE ENCUENTRAN EN TODOS LADOS!
• IIS configuration files
• General INI/text files
▪ Windows service
▪ Scheduled tasks
▪ IIS application pool
▪ IIS Directory Security
▪ COM+
▪ Registry
Configuration Files
& Databases
Application Servers
Service
Accounts
Clear Text
Credentials in Code
J2EE Application Servers IIS for Windows® Server
▪ Risk and Compliance Management
▪ Availability and Recovery Management
▪ IT Automation & Management
Third Party
Applications
Secure Storage
Password and SSH
Key Rotation
*****
Application Identity
Management
Application Servers
(WebSphere, Weblogic, etc.)
Unix
Servers
Windows
Servers
Desktops
Mainframe
Servers
Security
Appliances
Websites/
Web Apps
Databases
ServersNetwork
Devices
Cloud
Infrastructure
Username =
Password =
Host =
ConnectDatabase(Host, Username, Password)
Applications
Applications
Applications
Applications
Applications
“app”
“y7qeF$1”
“10.10.3.56”
Username = GetUserName()
Password = GetPassword()
Host = GetHost()
ConnectDatabase(Host, Username, Password)
CyberArk Vault
CONTROL DE CREDENCIALES EN HARDCODING
Code Build Test
Re
lea
se
DeployOperateMonitor
pla
n
SEGURIDAD PARA DEVOPS
Protección y gestión
centralizada de secrets
Integración con
herramientas de CI/CD y
aplicaciones COTS
Control de acceso
granular “least privilege”
Auditoría centralizada y
generación de reportes
Detección de actividad
sospechosa
Consulta segura de
secrets desde máquinas
On-Premises Hybrid Cloud
STANDARD CYBERARK ARCHITECTURE
24
DR VAULT
PSM DR
PVWA PVWA
CPM DR
DISASTER RECOVERY SITE
TARGET DEVICES
PVWA LOAD BALANCING
PRIMARY
VAULT
PSM1
PVWA
CPM1
SITE 1
TARGET DEVICES
SATELLITE
VAULT
PSM2
PVWA
CPM2
SITE 2
TARGET DEVICES
BACKUP
PVWA LOAD BALANCING
USER
SOLUTION BENEFITS
25
IMPROVE
REGULATORY
COMPLIANCE
REDUCE OPERATIONS
EXPENSE AND COMPLEXITY
ACCELERATE
TIME-TO-
VALUE
MITIGATE
SECURITY
RISKS
IMPROVE
OVERALL
VISIBILITY
February 5 (PM):
Se enviaron transacciones
fraudulentas
February 4:
Atacantes robaron
credenciales de usuarios de
SWIFT
January 29:
SysMon fue instalado en
sistemas SWIFT-
conectados
CRIMINALES ROBARON $81 MILLONES DE USD DEL BANCO CENTRAL DE BANGLADESH
Mid-January 2016:
Atacantes irrumpieron el
perímetro
February 5 (AM):
Las impresoras del
banco cayeron
B R E A C H O V E R V I E W
Objectivo Bangladesh Central Bank
Atacante Unknown
Motivación Monetaria
Resultado$81M robados y no
recuperados
May 15, 2015:
Tres cuentas bancarias
se abrieron en RCBC
IMPACTO
$81 millones de USD robados y no
recuperados
Millones de USD lavados a través de
casinos
El gobernador del banco central renunció
Investigador perdido por seis días
EL DAÑO PUDO HABER SIDO MUCHO PEOR
35 ORDENES CON VALOR DE $951 MILLONES FUERON
ENVIADAS
5 ORDENES CON VALOR DE
$101 MILLONES FUERON
EJECUTADAS POR NY FED
$20 millones se transfirieron a
Pan Asia Banking Company
• $20 millones hacia “Shalika
Fandation” fueron detenidos
$81 millones transferidos a
RCBC en Filipinas
• $29 millones a una compañia de
entreteniemiento
• $31 millones entregados a un
huesped de un hotel
• $21 millones enviados a un casino
30 ORDENES CON VALOR DE $850 MILLONES
FUERON BLOQUEADAS POR FALTA DE
DATOS
EL PAPEL DE LOS PRIVILEGIOS EN ESTE ATAQUE
Captura de credenciales
administrativas desde
equipos infectados
Utilizaron credenciales para
movimientos laterales por la
red de TI y llegar a SWIFTNet
Utilizadas para ejecutar 35
operaciones financieras y
para cubrir rastros
1
2
3
THE SANDS ATTACK
Bethlehem
network
Sands
website
Malware Bomb
compiled within the
network
6
“found a
weakness”
3
Test
Web
Server
Privilegedcredentials
Senior computer system engineer
Credentials collection
Using Mimikatz
4
Brute force
attack
1
Brute force
attack
2Burning bridges
Disconnect servers
from the internet
Wiper is still on!
8
Using privileged
credentials
Las Vegas has been
compromised
5
Extracting sensitive
data
“compressing batches
of sensitive files”
7
Las Vegas
network
Website defacing
Publish sensitive data
on company’s website
9
THE SANDS ATTACK
Bethlehem
network
Las Vegas
network
Privilegedcredentials
Senior computer system engineer
Credentials collection
Using Mimikatz
4
THE SANDS ATTACK
Bethlehem
network
Las Vegas
network
Privilegedcredentials
Senior computer system engineer
Using privileged
credentials
Las Vegas has been
compromised
5
THE SANDS ATTACK
Bethlehem
network
Las Vegas
network
Privilegedcredentials
Senior computer system engineer
Malware Bomb
compiled within the
network
6
THE SANDS ATTACK
Bethlehem
network
Las Vegas
network
Privilegedcredentials
Senior computer system engineer
Extracting sensitive
data
“compressing batches
of sensitive files”
7
THE SANDS ATTACK
Bethlehem
network
Las Vegas
network
Privilegedcredentials
Senior computer system engineer
Burning bridges
Disconnect servers
from the internet
Wiper is still on!
8
THE SANDS ATTACK
Bethlehem
network
Las Vegas
network
Privilegedcredentials
Senior computer system engineer
Sands
website
Website defacing
Publish sensitive data
on company’s website
9
“La gran lección es… alguién apagó un Sistema de energía a
través de medios cyberneticos. Es un evento histórico, nunca
había ocurrido antes.- Robert M. Lee, Cyber Warfare Operations Officer for the US Air Force
EL PRIMERO DE SU CLASE: ATACANTES APAGARON LAS LUCES
O B J E T I V O :
QuíenTres compañías eléctricas en
Ucrania
Q U É P A S Ó:
Impacto225,000 clientes perdieron
electricidad
PASO 1: COMPROMETER EL PERÍMETRO
CampañasSpear-phishing
Dirigido a los empleados
1
Endpoints infectados
Empleados abrieron
correos y adjuntos
maliciosos
2
Atacantes obtuvieron
acceso
Malware instala RAT para
controlar remotamente y
KillDisk
3
Reconocimiento
Credenciales e información
fueron recolectadas
4
PERIMETR
O
****** ******
PASO 3: EJECUCIÓN DEL ATAQUE A LA RED ELÉCTRICA
La Realidad
Fuera:
La Realidad
Dentro:
Atacantes utilizaron su control para
desconectar los interruptores de
electricidad y cortar la energía en
regiones de Ucrania
Atacantes tomaron control de
sistemas HMI y desconectaron el
teclado y mouse para que los
operadores no pudieran intervenir
EL PAPEL DE LOS PRIVILEGIOS
Utilizaron las credenciales para
movimientos laterales y
elevacion de privilegios en IT y
OT.
Utilizaron cuentas privilegiadas
para ejecutar un ataque
coordinado
1
2
3
Captura de credenciales
administrativas desde
equipos infectados
CLIENTES GLOBALES DE CYBERARK
48
3,800+ CLIENTES GLOBALES
MAS DE 50% DE FORTUNE 100
MAS DE 25% DE GLOBAL 2000
ALIANZAS C³
49
3,400+ CLIENTES A NIVEL GLOBAL
WORLDWIDE
INTEGRADORES Y
PARTNERS CERTIFICADOS
EN TODO EL MUNDO
SOLUCIONES
VALIDADAS
> 200 +60 INTEGRACIONES
CERTIFICADAS CON
PARTNERS
+98SOLUCIONES CONJUNTAS