Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación

Firewalls Elemento imprescindible en cualquier entorno seguro. Una correcta configuración del mismo junto con buena política de seguridad puede ofrecer servicio de detección de APTs altamente eficiente. Importante definir correctamente los flujos de datos, es decir, determinar qué tipo de tráfico debe entrar/salir de la organización y su origen. Firewall.Detalle

Análisis forense del tráfico de red Capa enlace de datos Ataques ARP Spoofing. Ataques al servicio DHCP: Servidor DHCP falso. DHCP ACK Injection Attack. No solo proteger el perímetro. El atacante puede estar dentro

Monitorizar el tráfico. Geolocalización. Conocer patrones habituales de conexiones hacia según qué países. Filtrado geográfico IDS/IPS. Darknets. HoneyNets. Análisis forense del tráfico de red Capa de red Geolocalización de las alertas de Snort con Snoge.Detalle

Esencial disponer de un inventario detallado de los activos/servicios de nuestra red. Revisiones periódicas. Si se detecta uno nuevo se averigüe su origen y se evalúe si supone amenaza. Recomendable habilitar solo aquellos servicios estrictamente necesarios. En caso de equipamiento que esté expuesto en zonas DMZ o que deban ser accedidos desde Internet se deberán tomar medidas adicionales de protección. (Bastionado) Análisis forense del tráfico de red Capa de transporte

Definir indicadores estadísticos que pueden variar dependiendo de cada organización: Tamaño medio paquetes UDP/TCP que entran/salen. Número paquetes por puerto. Distribución de tráfico por servicio. Etc. Análisis forense del tráfico de red Indicadores estadísticos Distribución por protocolos de red a nivel de aplicación con herramienta NTOP

Control del servicio DNS a través de Passive DNS. Réplica en pasivo del DNS de nuestra organización. Ayuda a ver qué nombres de dominios maliciosos se están solicitando como medida complementaria para combatir el malware. De gran ayuda en la gestión de incidentes Análisis forense del tráfico de red Capa de aplicación Ejemplo interfaz gráfica de un Passive DNS implementado con la herramienta passivedns.

En una APT: tráfico cifrado o a través de Covert Channels Detección perspectiva sencilla → Paquetes de firmas. Detección perspectiva compleja → Comportamientos anómalos que conlleven una investigación: Importante establecer indicadores estadísticos que tras ser superados nos alerten: Aumento considerable y repentino de paquetes ICMP. Aumento de peticiones DNS. Rango horario de las peticiones, regularidad en las mismas, tipo de peticiones… etc Análisis forense del tráfico de red Covert Channels

Es igual de importante disponer de mecanismos de detección en cada una de las máquinas de nuestra organización con el objetivo de detectar anomalias en el propio sistema operativo. HIDS Host-based intrusion detection system No solo antivirus sino también HIDS: Monitorización del estado del sistema. Gestión centralizada de cada agente cuya función será la de correlar los eventos de cada equipo así como los logs de los dispositivos de red: Configurar alertas. Buscar indicadores de compromiso, etc.

Correlación Procesar toda la información mediante sistemas avanzados → correladores: Recopilar todos los eventos y comprender su relación ya que en conjunto proporcionan gran fuente de información. Proceso muy complejo pero beneficioso. Diferentes herramientas en el mercado tanto comerciales como open-source. La correlación de incidentes es el proceso de comparar distintos eventos, de diversas fuentes, incluso externas para identificar patrones y relaciones que permitan identificar un ataque.

Gracias por su atención Web: Twitter: Facebook: Teléfono: CSIRT-CV Generalitat Valenciana, Avda/Cardenal Benlloch Nº Valencia