La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero

Presentaciones similares


Presentación del tema: "Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero"— Transcripción de la presentación:

1 Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero

2 Introducción

3 Análisis de un ciberataque moderno 3 | ©2013, Palo Alto Networks.. Engañar al usuario ExploitDescarga del Backdoor Conectar con el Centro de control Examinar y Robar El terminal es el punto más débil de la cadena y su usuario fácilmente engañable Infectar algún componente del terminal sin conocimiento del usuario (navegador, java, PDF reader...) Descarga secundaria del Malware que será el responsable de cometer el ataque El Malware establece una conexión con el centro de control para recibir modificaciones y órdenes El atacante remoto tiene control de una de las piezas internas de la red y dispone de mucha más capacidad

4 AplicacionesPayloadsDominios Vector de infección Web, , transferencias de archivos Mando y Control P2P, IM, DNS, otros Persistencia y evasión RDP, SSL, anonymizers, proxies y túneles Malware Botnets Backdoors Keyloggers Exploits SQL Injection XSS Scripting Buffer Overflows Infección Sitios comprometidos Kits de exploits (blackhole) Mando y Control Dynamic DNS Dominios fast flux Domain Generation Algorithms (DGAs) Los ciberataques son algo más que payloads Los ciberataques dependen de la coordinación automatizada de aplicaciones maliciosas, websites y payloads 4 | ©2013 Palo Alto Networks..

5 Aplicaciones propietarias Payloads personalizadosNuevos Dominios UDP y TCP personalizados Los protocolos C2 están altamente personalizados Modifican P2P, IM y las aplicaciones de transferencia de archivos Puertos no estándar Evitan firmas Utilizados para descargar nuevos payloads Malware personalizado Reto al mercado para detectar nuevo malware Malware polimórfico Malware modificado para variar el nombre o su hash Nuevos dominios Nuevos dominios sin reputación utilizados para entregar y controlar el malware 5 | ©2013 Palo Alto Networks.. Los atacantes personalizan todas las fases Unknown UDP = 2% del tráfico de red, pero 51% de los logs de malware Entre el 50%-70% del malware capturado por WildFire no tiene cobertura de AV Las botnets cambian constantemente de dominio para evitar ser detectadas

6 6 | ©2013, Palo Alto Networks..

7 Automatizando la protección

8 Automatización en el descubrimiento de Zero-days Visibilidad y prevención multigabit en todo el tráfico y todos los puertos (web, , SMB,...) El malware se ejecuta en la nube con acceso a Internet para descubrir protocolos C2, dominios, URLs y descargas de malware planificadas Se crean automáticamente firmas de malware, DNS, URL y C2 que se entregan a todos los clientes Motor en línea de tipo streaming que realiza el análisis y bloqueo Posibilidad de utilizar una nube local para garantizar la privacidad 8 | ©2013, Palo Alto Networks.. WildFire TM Appliance WildFire (opcional) Firmas Anti-malware Inteligencia DNS Base de datos de URL Malware Firmas Anti-C2 Sitios de prueba, sinkholes, Fuentes de 3 as partes Usuarios WildFire Inteligencia global y protección ofrecida a todos los usuarios Mando y control

9 Automatización de las contramedidas contra Zero-days Firmas AV Firmas DNS Firmas C&C Filtrado URL Malware 9 | ©2013, Palo Alto Networks.. Todas las contramedidas son compartidas por todos los firewalls de nueva generación

10 Automatización de las firmas contra peticiones DNS a botnets 10 | ©2013, Palo Alto Networks.. Host infectado Servidor DNS interno Petición DNS para badwebserver.com? ??? Servidor DNS Auth Respuesta DNS para badwebserver.com Phone home al servidor C2 badwebserver.com ¿Infectado? Bloqueo de la petición DNS que un host infectado hace para conectarse al servidor de C&C

11 Yendo un paso más allá: DNS Sinkholing Monitorización pasiva de las peticiones DNS para identificar peticiones a sistios web maliciosos o actividad de mando y control El DNS sinkhole ayuda a identificar las máquinas potencialmente infectadas 11 | ©2013, Palo Alto Networks.. Host infectado Sinkhole IP Servidor DNS interno Respuesta DNS falsa para badwebserver.com a ??? Servidor DNS Auth Infectado Petición DNS para badwebserver.com? Phone home al servidor C2

12 Conexión a servidores de C&C en base a DGAs Los atacantes utilizan algoritmos para generar listas de dominios de los servidores C&C Cuando el zombie pierde la conexión ejecuta el algoritmo y reintenta conectarse a la nueva lista (Conficker fue el primero en usar esta estrategia) 12 | ©2013, Palo Alto Networks.. Zombie Servidor C&C Ejecutar DGA:

13 Rizando el rizo: detección y desactivación de DGAs Ingeniería inversa sobre el algoritmo que utiliza el DGA Base de datos con las variantes del DGA Registro periódico de los dominios antes de que lo hagan los atacantes Honeynet para recibir a los zombies 13 | ©2013, Palo Alto Networks.. Host infectado Honeypot benigna Servidor DNS interno Respuesta DNS a dominio registrado ??? Servidor DNS Auth Infectado Petición DNS para xyza.xyza.com? Phone home al servidor honeypot C&C malicioso

14 Automatizando la gestión

15 Automatizando la gestión: detección de hosts infectados por comportamiento Informe automático diario sobre la actividad sospechosa de máquinas potencialmente infectadas 15 | ©2013, Palo Alto Networks..

16 Automatizando la gestión: integración con API XML Cualquier sistema externo puede conectarse a través de una conexión SSL Usado para: Leer/escribir la configuración del equipo Extraer informes en formato XML Ejecutar comandos operativos Grandes posibilidades para explotar altos volúmenes de datos e integrarse con la inteligencia de terceras herramientas 16 | ©2013, Palo Alto Networks.. REST API sobre SSL Sistema externo Config dispositivo /Report datos

17 Automatizando la gestión: ejemplo de SDK via API 17 | ©2013, Palo Alto Networks..

18 Automatización del datacenter en entornos virtuales 18 | ©2013, Palo Alto Networks.. Nuevo Web Server La solución VM protege el tráfico Este-Oeste Se reduce la superfice de ataque al mantener políticas por aplicación y no por puerto Los objetos dinámicos permiten automatizar políticas cuando se instancia, modifica o mueve una máquina virtual We b SQL Dynamic Address Object = Web App-ID = Permitir solo las aplicaciones web Content-ID = Escanear todas las amenazasweb Bloquear el resto de aplicaciones Dynamic Address Object = Web App-ID = Permitir solo las aplicaciones web Content-ID = Escanear todas las amenazasweb Bloquear el resto de aplicaciones Política de seguridad para VMs webserver

19 Conclusión: necesidad de usar automatización 19 | ©2013, Palo Alto Networks.. Los ciberataques son cada vez más sofisticados, frecuentes y automatizados Han proliferado las herramientas que intentan resolver solo parte del problema Las aproximaciones basadas en intervenciones manuales fallan o llegan tarde El volumen de datos que hay que manejar requiere automatización en la defensa, tanto en el perímetro como en el datacenter Un NGFW es capaz de coordinar, integrar y automatizar las diferentes contramedidas que se necesitan

20 NGFW: Visión y control integrales App-ID URL IPS Lic. Spyware AV Files WildFire Bloquear las apps de alto riesgo Bloquear los sitios con malware Bloquear el exploit Prevenir drive- by-downloads Detectar malware desconocido Bloquear el malware Cebo al usuario ExploitDescargar Backdoor Establecimiento del canal trasero Explorar & Robar Bloquear el spyware, el tráfico C&C Bloquear C&C en puertos no estándar Bloquear malware, dominios fast-flux Bloquear nuevo tráfico de C&C Inteligencia coordinada para detectar y bloquear los ataques activos en base a firmas, orígenes y comportamientos

21


Descargar ppt "Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero"

Presentaciones similares


Anuncios Google