La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación

Publicada porPurificación Cortés Segura Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación"— Transcripción de la presentación:

1

2 Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación http://www.CSIRTCV.es

3 Firewalls Elemento imprescindible en cualquier entorno seguro. Una correcta configuración del mismo junto con buena política de seguridad puede ofrecer servicio de detección de APTs altamente eficiente. Importante definir correctamente los flujos de datos, es decir, determinar qué tipo de tráfico debe entrar/salir de la organización y su origen. Firewall.Detalle

4 Análisis forense del tráfico de red Capa enlace de datos Ataques ARP Spoofing. Ataques al servicio DHCP: Servidor DHCP falso. DHCP ACK Injection Attack. No solo proteger el perímetro. El atacante puede estar dentro http://www.CSIRTCV.es

5 Monitorizar el tráfico. Geolocalización. Conocer patrones habituales de conexiones hacia según qué países. Filtrado geográfico IDS/IPS. Darknets. HoneyNets. Análisis forense del tráfico de red Capa de red Geolocalización de las alertas de Snort con Snoge.Detalle

6 Esencial disponer de un inventario detallado de los activos/servicios de nuestra red. Revisiones periódicas. Si se detecta uno nuevo se averigüe su origen y se evalúe si supone amenaza. Recomendable habilitar solo aquellos servicios estrictamente necesarios. En caso de equipamiento que esté expuesto en zonas DMZ o que deban ser accedidos desde Internet se deberán tomar medidas adicionales de protección. (Bastionado) http://www.CSIRTCV.es Análisis forense del tráfico de red Capa de transporte

7 Definir indicadores estadísticos que pueden variar dependiendo de cada organización: Tamaño medio paquetes UDP/TCP que entran/salen. Número paquetes por puerto. Distribución de tráfico por servicio. Etc. Análisis forense del tráfico de red Indicadores estadísticos Distribución por protocolos de red a nivel de aplicación con herramienta NTOP

8 Control del servicio DNS a través de Passive DNS. Réplica en pasivo del DNS de nuestra organización. Ayuda a ver qué nombres de dominios maliciosos se están solicitando como medida complementaria para combatir el malware. De gran ayuda en la gestión de incidentes Análisis forense del tráfico de red Capa de aplicación Ejemplo interfaz gráfica de un Passive DNS implementado con la herramienta passivedns.

9 En una APT: tráfico cifrado o a través de Covert Channels Detección perspectiva sencilla → Paquetes de firmas. Detección perspectiva compleja → Comportamientos anómalos que conlleven una investigación: Importante establecer indicadores estadísticos que tras ser superados nos alerten: Aumento considerable y repentino de paquetes ICMP. Aumento de peticiones DNS. Rango horario de las peticiones, regularidad en las mismas, tipo de peticiones… etc http://www.CSIRTCV.es Análisis forense del tráfico de red Covert Channels

10 Es igual de importante disponer de mecanismos de detección en cada una de las máquinas de nuestra organización con el objetivo de detectar anomalias en el propio sistema operativo. http://www.CSIRTCV.es HIDS Host-based intrusion detection system No solo antivirus sino también HIDS: Monitorización del estado del sistema. Gestión centralizada de cada agente cuya función será la de correlar los eventos de cada equipo así como los logs de los dispositivos de red: Configurar alertas. Buscar indicadores de compromiso, etc.

11 Correlación Procesar toda la información mediante sistemas avanzados → correladores: Recopilar todos los eventos y comprender su relación ya que en conjunto proporcionan gran fuente de información. Proceso muy complejo pero beneficioso. Diferentes herramientas en el mercado tanto comerciales como open-source. http://www.CSIRTCV.es La correlación de incidentes es el proceso de comparar distintos eventos, de diversas fuentes, incluso externas para identificar patrones y relaciones que permitan identificar un ataque.

12 Gracias por su atención E-mail: csirtcv@gva.es csirtcv@gva.es Web: http://www.csirtcv.gva.es http://www.csirtcv.gva.es Twitter: http://twitter.com/csirtcv http://twitter.com/csirtcv Facebook: http://www.facebook.com/csirtcv http://www.facebook.com/csirtcv Teléfono: 96 398 53 00 CSIRT-CV Generalitat Valenciana, Avda/Cardenal Benlloch Nº 69 46021 Valencia

Descargar ppt "Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación"

Presentaciones similares

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
Internet y tecnologías web

Internet y tecnologías web
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Firewalls COMP 417.

Firewalls COMP 417.
Que es y su funcionamiento básico

Que es y su funcionamiento básico
PandoraFMS el Sistema de Monitorización Flexible.

PandoraFMS el Sistema de Monitorización Flexible.
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento

Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Problemas asociados a DHCP. Seguridad.

Problemas asociados a DHCP. Seguridad.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
¿Qué es ZABBIX? Zabbix esta diseñado para monitorear y registrar el estado de varios servicios de red, Servidores, hardware de red, alertas y visualización.

¿Qué es ZABBIX? Zabbix esta diseñado para monitorear y registrar el estado de varios servicios de red, Servidores, hardware de red, alertas y visualización.
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Juan Luis García Rambla MVP Windows Security

Juan Luis García Rambla MVP Windows Security
Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.

Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
MARIO I. F. PARRA HERNÁNDEZ. SISTEMA DISTRIBUIDO DE AGENTES CON CONTROL CENTRALIZADO 05/OCTUBRE/2004 Centro de investigación y estudios avanzados del IPN.

MARIO I. F. PARRA HERNÁNDEZ. SISTEMA DISTRIBUIDO DE AGENTES CON CONTROL CENTRALIZADO 05/OCTUBRE/2004 Centro de investigación y estudios avanzados del IPN.

Presentaciones similares

Anuncios Google