una aventura peligrosa ataques a nivel de hypervisor · 2016-05-25 · channel marketing manager...
TRANSCRIPT
UNA AVENTURA PELIGROSA–ATAQUES A NIVEL DE
HYPERVISOR
Horatiu BandoiuChannel Marketing Manager
Bitdefender SE & LATAM
Agenda Whoami
La nube y la virtualización
Ataques
Debilidades intrínsecas
APT
Memory Introspection – HVMI
Conclusiones
3
4
11
12
15
19
28
whoami > 15 años en la seguridad informatica
2000 – 2004 Bitdefender
2004 – 2009 Provision / iSEC / Zona IT :
ISO 27001 – implementaciones en bancos,
telecom, petroliferas
Promotor de CISA/CISM, ISO 27001 LA
Colaborador de (ISC)2 – CISSP, SSCP –
Microsoft MCT
Miembro de ISACA desde 2005
Varios proyectos de IoT
Presente:
Bitdefender Ch Mkt Manager
Divulgador de la tecnología moderna y sus
particularidades
Padre de familia
NEW ERA OF COMPUTING
THE
AHORROSEFFICIENCIAUBICUIDAD
ESENCIA DE LA NUBE
La
¿QUE ES LA NUBE?
Server Virtualization
Storage Virtualization
Network Virtualization
Desktop Virtualization
Device Virtualization
Autonomics
Grid Computing - DevOps
Cloud Computing
~ On-demand Computing
Utility Computing
Elastic Computing
Scalable Computing
Future Internet
Internet of Services
Green IT
Enterprise Cloud
Mass Market Clouds
Technologias
Consolidación en el Data Center
Public / Private /
Hybrid Clouds
Compute / Storage Clouds
Recursos en el Data Center
(servers, routers)
~ Computer Center
Hosting Facility,
Server Farm, Data Farm
Desktops / Laptops
Other Devices
(mobile,
network equipments)
Visiones
Usos
Mercados/
Modelos
Infraestructuras
físicas
SaaS (Service, Apps)
PaaS (Platform)
IaaS (Infrastructure)RaaS (Resource)
FaaS (Facility)
Tipos de virtualización – Tipo 1
Instruction Set
VM Exits / Entries
System Calls
Tipos de virtualización – Tipo 2
Virtualized
System Calls
VM Exits / Entries
System Calls
Instruction Set
Tipos de virtualización – Tipo 3 (micro – virtualización)
Instruction Set
VM Exits / Entries
System Calls
SMM & STM
Instruction Set
VM Exits / Entries
System Calls
Tipos de ataques:
Hypervisor
vSwitch
Hardware
VM VM VM VM
STORAGE
VNIC
CPU MEMORY NETWORK
PNIC
Virtual Network Layer
MAC spoofing/snooping
Ataques a nivel de IP
VLAN hopping
Máquinas virtuales
Hyper spacing
Hyperthreading
Buffer overflows
Cache Poisoning
A nivel del Hypervisor
Hyperjacking:
High attack surfaces
Blue Pill
A nivel de storage
Violaciones de la
autenticación, intercepción de
las llaves de encriptación
Ransomware
A nivel de memoria
Memory overcommit,
optimized page sharing,
balloon drivers…
Prioridades de ejecución
¿Cual es la principal debilidad de las infraestructuras en la nube?
¿LA COMPLEXIDAD?
SI Y NO =
La que nos falla es la
MEMORIA
Transicion entre las
direcciones en memoria
física (RAM) y las
direcciones adresables
… porque tenemos segmentación y paging… y no solo estos
ADVANCEDPERSISTENT THREATS
APT – El flujo del ataque – 5 steps kill chain
El malware avanzado
UNFOLLOW THE TRADITIONALBITDEFENDER
Reforzando el hipervisor – MEMORY INTROSPECTION
MEMORY INTROSPECTION
?QUE ES?
Seguridad desde fuera del Sistema Operativo
Elimina la superficie de los ataques a nivel del OS y del kernel del
OS
Pero puede tener un problema con el malware moderno que se
aprovecha de la complexidad de las arquitecturas y del trabajo
con la memoria, de las debilidades intrínsecas de la virtualización
La respuesta de Bitdefender:
Análisis de las imágenes en memoria básica de los SO
huéspedes y sus procesos/apps
Interceptamos y marcamos las paginas extendidas de asignación
de memoria (EPT) como non-Writeable y non-Xecutable
Auditamos los accesos a esas zonas por el código que se ejecuta
“inside VM” – especialmente los de W y X - y los permitimos o no
cortocircuitar el Semantic Gap – correlación entre las paginas de la
memoria básica y los SOs y sus procesos
¿Qué operaciones se han de ejecutar y porque?
¿Qué procesos se ejecutan y porque?
Asegurar un impacto de funcionamiento mínimo
los eventos que se envían tienen una carga mínima
interceptamos solo eventos “con sentido”
gestionar rapidamente los eventos (análisis, re-ejecución / emulation,
renvío etc.)
RETOS DE LA HVMI
¿Que protegemos y porque?
CONCLUSIONES:
Cloud is a dangerous place…
La virtualización tiene sus debilidades…
La memoria – añade complexidad y posibilidades de abusos
Los ataques modernos se ejecutan con privilegios iguales que el
antimalware o aun más altos
Una solución potencial es la introspección en memoria
Bitdefender les ofrece la posibilidad de enfrentarse al reto pero
tienen que pensar “out-of-the box”
START YOUR SECURE JOURNEYBITDEFENDER