Jesús Díaz Barrero jdiaz@paloaltonetworks.com Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero.

Slides:



Advertisements
Presentaciones similares
Estudio de seguridad TI en Escuelas de Primaria
Advertisements

Intranets P. Reyes / Octubre 2004.
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
Storage Networking y el almacenamiento sobre internet: iSCSI
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Sistemas Peer-To-Peer La plataforma JXTA
Declaración de derechos y Responsabilidades de Facebook 1.Privacidad 2. Compartir el contenido y la información 3. Seguridad.
Introducción a servidores
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
ESET Endpoint Security y ESET Endpoint Antivirus
DIRECT ACCESS.
Índice Introducción: - Fraud Modus Operandi Detección:
SERVICIOS DE TCP/IP.
Ing. Horacio Carlos Sagredo Tejerina
Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7
Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Seguridad de redes empresariales
Pablo Suau/Ramón Rizo - Seguridad en Entornos Web 1 Navegación segura Cookies Internet Explorer Outlook Express Virus.
García Alamilla José Carlos López Romero Edgar Santos Arrieta Juan.
Exploración de la infraestructura de red empresarial
TIPOS DE SERVIDORES 4/2/2017 3:29 PM
¿Cómo conectamos nuestra red a Internet?
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Tema 5 – Servidores Proxy
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
LA SEGURIDAD EN LAS TIC ©VEROKILA2009.
FIREWALL.
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Auditoría de Sistemas y Software
FIREWALLS.
Norman Endpoint Protection Seguridad avanzada, pero sencilla.
MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
DNS Pamela Millán Ana Laura Félix Teresa Treviño
Norman SecureTide Potente solución de nube para detener el spam y las amenazas antes de que lleguen a su red.
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
Sustentante: Francis Ariel Jiménez Zapata Matricula: Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
Políticas de defensa en profundidad: - Defensa perimetral
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
Seguridad en la red José miguel Tardío Fernández José Manuel Sancho Gómez Jesús Vozmediano Vázquez.
Servicios de Red e Internet
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Seguridad en Internet consiste En asegurar que los recursos del sistema de información ( material informático o programas) de una organización sean utilizados.
Seguridad de Datos IDS e IPS.
VIRUS Características principales
Unidad 4. Servicios de acceso remoto
QUE ES EL TELNET El protocolo Telnet es un protocolo de Internet estándar que permite conectar terminales y aplicaciones en Internet.
Norman SecureSurf Proteja a los usuarios cuando navegan por Internet.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
Antivirus en la Nubes Es un SOFTWARE de tipo Antivirus, que este mismo no consume muchos recursos y no pide mucho hardware para ejecutarlo. Además su.
Son antivirus especialmente diseñados ara ofrecer protección desde la nube, salvaguardando al usuario contra nuevo códigos maliciosos prácticamente en.
Antivirus Cloud Computing
GUARI, MARIELA ESTEFANIA L.U.:  ‘DEFINICION’ ‘Los Antivirus Cloud? (antivirus en la nube) son antivirus que aplican a los antivirus el concepto.
Los antivirus cloud o antivirus en la nube, son antivirus que aplican a los antivirus el concepto cloud computing. Instalan un cliente en nuestro PC que.
Es un antivirus gratuito basado en cloud computing, especialmente diseñados para ofrecer protección desde la nube. Es un software de protección, como los.
ANTIVIRUS CLOUD COMPUTING. Los antivirus cloud o antivirus en la nube, son antivirus que aplican a los antivirus el concepto cloud computing. Instalan.
* Definición: Los antivirus cloud o antivirus en la nube, son antivirus que aplican a los antivirus el concepto cloud computing. Instalan un cliente.
Antivirus Cloud Computing. Definición Antivirus Cloud Computing es un software de protección, que no consume muchos recursos y no necesita de un hardware.
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED UNIDAD 2. SERVICIOS DHCP UNIDAD 3. SERVICIOS DNS UNIDAD 4. SERVICIOS DE ACCESO REMOTO.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Jesús Díaz – Diseñando soluciones Zero Trust con una plataforma de seguridad de nueva generación Jesús Díaz –
¿QUE ES EL TEAMVIEWER? ES UN SOFTWARE CUYA FUNCIÓN ES CONECTARSE REMOTAMENTE A OTRO EQUIPO. ENTRE SUS FUNCIONES ESTÁN: COMPARTIR Y CONTROLAR ESCRITORIOS,
Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación
Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.
Transcripción de la presentación:

Jesús Díaz Barrero jdiaz@paloaltonetworks.com Palo Alto Networks Automatización de la seguridad con los firewalls de nueva generación Jesús Díaz Barrero jdiaz@paloaltonetworks.com

Introducción

Análisis de un ciberataque moderno 1 2 3 4 5 Engañar al usuario Exploit Descarga del Backdoor Conectar con el Centro de control Examinar y Robar El atacante remoto tiene control de una de las piezas internas de la red y dispone de mucha más capacidad El terminal es el punto más débil de la cadena y su usuario fácilmente engañable Infectar algún componente del terminal sin conocimiento del usuario (navegador, java, PDF reader ...) Descarga secundaria del Malware que será el responsable de cometer el ataque El Malware establece una conexión con el centro de control para recibir modificaciones y órdenes

Los ciberataques son algo más que payloads Los ciberataques dependen de la coordinación automatizada de aplicaciones maliciosas, websites y payloads Aplicaciones Payloads Dominios Vector de infección Web, email, transferencias de archivos Mando y Control P2P, IM, DNS, otros Persistencia y evasión RDP, SSL, anonymizers, proxies y túneles Malware Botnets Backdoors Keyloggers Exploits SQL Injection XSS Scripting Buffer Overflows Infección Sitios comprometidos Kits de exploits (blackhole) Dynamic DNS Dominios fast flux Domain Generation Algorithms (DGAs)

Los atacantes personalizan todas las fases Aplicaciones propietarias Payloads personalizados Nuevos Dominios UDP y TCP personalizados Los protocolos C2 están altamente personalizados Modifican P2P, IM y las aplicaciones de transferencia de archivos Puertos no estándar Evitan firmas Utilizados para descargar nuevos payloads Malware personalizado Reto al mercado para detectar nuevo malware Malware polimórfico Malware modificado para variar el nombre o su hash Nuevos dominios Nuevos dominios sin reputación utilizados para entregar y controlar el malware Unknown UDP = 2% del tráfico de red, pero 51% de los logs de malware Entre el 50%-70% del malware capturado por WildFire no tiene cobertura de AV Las botnets cambian constantemente de dominio para evitar ser detectadas

Automatizando la protección

Automatización en el descubrimiento de Zero-days Firmas Anti-malware Inteligencia DNS Base de datos de URL Malware Firmas Anti-C2 Inteligencia global y protección ofrecida a todos los usuarios Visibilidad y prevención multigabit en todo el tráfico y todos los puertos (web, email, SMB, ...) El malware se ejecuta en la nube con acceso a Internet para descubrir protocolos C2, dominios, URLs y descargas de malware planificadas Se crean automáticamente firmas de malware, DNS, URL y C2 que se entregan a todos los clientes Motor en línea de tipo streaming que realiza el análisis y bloqueo Posibilidad de utilizar una nube local para garantizar la privacidad WildFire TM Sitios de prueba, sinkholes, Fuentes de 3as partes Mando y control Appliance WildFire (opcional) Usuarios WildFire

Automatización de las contramedidas contra Zero-days Todas las contramedidas son compartidas por todos los firewalls de nueva generación Firmas AV Firmas DNS Filtrado URL Malware Firmas C&C WildFire

Automatización de las firmas contra peticiones DNS a botnets Bloqueo de la petición DNS que un host infectado hace para conectarse al servidor de C&C Servidor DNS interno Servidor DNS Auth ??? Petición DNS para badwebserver.com? ¿Infectado? Respuesta DNS para badwebserver.com 122.45.23.26 Host infectado Phone home al servidor C2 badwebserver.com 122.45.23.26

Yendo un paso más allá: DNS “Sinkholing” Monitorización pasiva de las peticiones DNS para identificar peticiones a sistios web maliciosos o actividad de mando y control El DNS sinkhole ayuda a identificar las máquinas potencialmente infectadas Servidor DNS interno Servidor DNS Auth Petición DNS para badwebserver.com? ??? Infectado Respuesta DNS falsa para badwebserver.com a 10.10.10.10. Host infectado Phone home al servidor C2 Sinkhole IP 10.10.10.10

Conexión a servidores de C&C en base a DGAs Los atacantes utilizan algoritmos para generar listas de dominios de los servidores C&C Cuando el zombie pierde la conexión ejecuta el algoritmo y reintenta conectarse a la nueva lista (Conficker fue el primero en usar esta estrategia) 1 Servidor C&C www.abcdefghij.com 2 Ejecutar DGA: www.xyzk.com www.zabc.com www.ledfsa.com 3 Zombie

Rizando el rizo: detección y desactivación de DGAs Ingeniería inversa sobre el algoritmo que utiliza el DGA Base de datos con las variantes del DGA Registro periódico de los dominios antes de que lo hagan los atacantes Honeynet para recibir a los zombies Servidor DNS interno Servidor DNS Auth Petición DNS para xyza.xyza.com? ??? Infectado Respuesta DNS a dominio registrado Host infectado Phone home al servidor honeypot Honeypot benigna 1.1.1.1 C&C malicioso

Automatizando la gestión

Automatizando la gestión: detección de hosts infectados por comportamiento Informe automático diario sobre la actividad sospechosa de máquinas potencialmente infectadas

Automatizando la gestión: integración con API XML Cualquier sistema externo puede conectarse a través de una conexión SSL Usado para: Leer/escribir la configuración del equipo Extraer informes en formato XML Ejecutar comandos operativos Grandes posibilidades para explotar altos volúmenes de datos e integrarse con la inteligencia de terceras herramientas Config dispositivo /Report datos REST API sobre SSL Sistema externo

Automatizando la gestión: ejemplo de SDK via API

Automatización del datacenter en entornos virtuales La solución VM protege el tráfico “Este-Oeste” Se reduce la superfice de ataque al mantener políticas por aplicación y no por puerto Los objetos dinámicos permiten automatizar políticas cuando se instancia, modifica o mueve una máquina virtual Nuevo Web Server We b SQL Dynamic Address Object = ‘Web’ App-ID = Permitir solo las aplicaciones web Content-ID = Escanear todas las amenazas web Bloquear el resto de aplicaciones Política de seguridad para VMs webserver

Conclusión: necesidad de usar automatización Los ciberataques son cada vez más sofisticados, frecuentes y automatizados Han proliferado las herramientas que intentan resolver solo parte del problema Las aproximaciones basadas en intervenciones manuales fallan o llegan tarde El volumen de datos que hay que manejar requiere automatización en la defensa, tanto en el perímetro como en el datacenter Un NGFW es capaz de coordinar, integrar y automatizar las diferentes contramedidas que se necesitan

NGFW: Visión y control integrales Cebo al usuario Exploit Descargar Backdoor Establecimiento del canal trasero Explorar & Robar App-ID URL IPS Lic. Spyware AV Files WildFire Bloquear las apps de alto riesgo Bloquear C&C en puertos no estándar Bloquear los sitios con malware Bloquear malware, dominios fast-flux Bloquear el exploit Inteligencia coordinada para detectar y bloquear los ataques activos en base a firmas, orígenes y comportamientos Bloquear el spyware, el tráfico C&C Bloquear el malware Prevenir drive-by-downloads Detectar malware desconocido Bloquear nuevo tráfico de C&C

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.